找回密码
 注册
搜索
热搜: 超星 读书 找书
查看: 1046|回复: 0

[【原创资源】] 【警惕】看武藤兰色 情电影中熊猫烧香病毒

[复制链接]
发表于 2007-11-14 19:50:26 | 显示全部楼层 |阅读模式
今天小编在网上发现有朋友疾呼:“今天看了几部武滕兰的片子中了熊猫烧香病毒直今未愈,各位警惕啊还有就是瑞星专杀没鸟用。”



看AV本身不是好事,由此中了病毒就更糟糕了,希望大家引以为戒。熊猫烧香是近期流传的一个相当厉害的病毒,属于威金的一个最新变种蠕虫病毒。很多朋友中了以后用杀毒软件根本杀不死,只能忍痛割爱删除硬盘里所有的程序文件。这个病毒严格的说是去年12月份开始流行的,按说杀毒软件应该已经升级解决了,但由于熊猫烧香的生命力惊人,经过这样长的一段时间仍然没有死绝。



熊猫烧香的中毒特征是:

  ■1,这个病毒关闭众多杀毒软件和安全工具

  ■2,循环遍历磁盘目录,感染文件,对关键系统文件跳过

  ■3,感染所有EXE、SCR、PIF、COM文件,并更改图标为烧香熊猫

  ■4,感染所有.htm/.html/.asp/.php/.jsp/.aspx文件,添加木马恶意代码

  ■5,自动删除*.gho文件

■网友哭诉



  网友对病毒的描述:

  发觉做这些病毒的人真的很无耻~! 我昨天晚上就不幸中招了~(而且是上的正常的网站,在PCONLINE进入主页,然后点击“笔记本”栏目后,电脑就不行了,然后提示什么数据出错

  一个熊猫烧香的东西就出来了……

  幸好当时记下了程序名称就是它:spoclsv.exe 之后重启,发觉不对劲了,所有盘符都被扫描了。然后就是进入系统后,杀毒软件、防火墙等防护软件全被自动取消,任务管理器也被强制关闭!

  后来进到“安全模式”,用杀毒软件查, 我用金山的,还同时用了金山的木马专杀查,结果,都没查出来,但木马专杀查出了另一个可疑文件: yjplqb.exe (应该是一起生成的,但BAIDU搜过,没记录~!) 然后每个主盘目录下,被安装了三个隐藏文件,其中一个是sxs.exe 还有一个熊猫烧香图案的EXE文件 及autoinf那个文件, 各盘无法双击开启

  后来没办法,只能去网上找解决办法,幸好网上有人解答, 用瑞星的nimayakiller.scr专杀软件和橙色八月专用提取清除工具扫描,把病毒弄出来了。 然后又修改注册表,等等等等费劲周折

  不过就这样还没完,杀完后, 1、发觉杀毒软件彻底被摧毁了,虽然可以用,但“病毒防火墙”失效了,连修复都不行,只能重装

  2、重装完金山毒霸后,竟然又提示有病毒,一看感染文件生成时期,就是昨天感染熊猫病毒的时候,发现病毒在: C:\\WINDOWS\\ system32\\windhcp.ocx 病毒名:Win32.Troj.Delf.ag.41984 病毒类型: 其他病毒 处理结果: 其他病毒; 需要重启;

  然后这个病毒还不断复制出新病毒

  发现病毒在: C:\\WINDOWS\\system32\\devgt.exe 病毒名:Win32.Troj.Delf.fa.31310 病毒类型: 其他病毒 处理结果: 删除

  发现病毒在: C:\\WINDOWS\\mh.exe 病毒名:Win32.Troj.Delf.fa.31310 病毒类型: 其他病毒 处理结果: 删除

  后重启进入安全模式后,发觉消失了,估计被杀掉了。

  之后再进入系统正常模式,到现在,发觉还好,暂时还没问题了。

  另但奇怪的是,这个病毒文件在我除C、D、E外的后面几个盘内几乎所有有文件夹内生成了“Desktop_.ini”文件, 不知道为什么C、D、E三个盘里没有。 没办法,只能用搜索方式查出来然后批量删除。

  我现在真是 搞到真的有点不敢上网开网页了,连正规的大网站都被人种下木马了,这个世界实在太疯狂了,真不知道还有那些网站是安全的了。 现在对PCONLINE有点恐惧了……

  不要轻易下载专杀工具:

  公司的电脑都中了熊猫,网管叫我到网上下载一个叫“橙色八月”的专杀工具。于是我打开百度搜索,下载,解压缩,双击......电脑彻底消停了。 我下的竟然是一个叫相同名称的病毒 大家BS我吧......

  重要资料全部丢失

  刚才刚刚中了,一个熊猫图标出现,关闭了我的天网防火墙,而且打开任务管理器之后也马上被关闭。我心想坏了,情急之下马上拔网线,强制重启

  重开机进安全模式后找出几个可疑的程序的杀掉,发现任务管理器可以打开了,暂时没有发现新的熊猫图象程序(除了删掉的某个)。不过心里还是不踏实

  我硬盘里有好多资料啊,全格式了还不如杀了我算了

■解决方法



  根据小编目前知道的情况,各大杀毒软件厂商已经针对熊猫烧香进行了升级,已经可以基本控制病毒的传播了。不过网上还有用户说杀不死病毒。

  其实原理很简单,熊猫烧香感染.htm/.html/.asp/.php/.jsp/.aspx,EXE、SCR、PIF、COM文件,真正杀死非常困难,只有完全删除才能杜绝病毒的传播。不过在此之前,大家最好尝试多种杀毒软件。

  以下是网友自己总结的防范方法,大家可以试验。

  公司局域网估计70台机器左右吧,就在突然间全部开始“烧香”了,中毒最轻的是office的exe文件被篡改不能使用,最重的是,电脑所有程序不能运行,打开任何exe文件都是立即关闭,任务管理器,以及注册表也是打开立即自动关闭。
但是因为本人刚刚调动岗位,不再负责网络,所以不方便处理局域网内的,但是对自己的电脑还是有处理权的,因为熊猫在局域网内传播的很厉害,所以只清除自己电脑,基本没用,一个星期,无论我重装系统,无论我如何打补丁,但是仍然感染,我电脑用了nod32+look n stop,修改了administrator密码,用普通用户登陆,但是仍然阻挡不了熊猫跑到我的机器里面,下载了网上说的什么瑞星的熊猫专杀工具也不管用(我怀疑这个病毒就是瑞星公司弄的,为什么他们那么快就出了专杀?虽然后来基本不管用了)。甚至网上还流传用firefox2浏览器就没有问题,但是我装了后仍然感染。。。。。基本上每天我的应用程序都要重新安装一遍。。。。

  于是考虑到如何防范熊猫这样的病毒

  我又上网查了n多资料

  终于找到一种防范的方法
不过可能对以后安装游戏之类的增添一点麻烦

  方法如下:


第一步:制作免疫补丁(批处理内容)
echo > c:\\windows\\Logo1.exe
echo > c:\\windows\\Logo_1.exe
echo > c:\\windows\\Logo1_1.exe
echo > c:\\windows\\Logo1_.exe
echo > c:\\windows\\0Sy.exe
echo > c:\\windows\\1Sy.exe
echo > c:\\windows\\2Sy.exe
echo > c:\\windows\\3Sy.exe
echo > c:\\windows\\4Sy.exe
echo > c:\\windows\\5Sy.exe
echo > c:\\windows\\6Sy.exe
echo > c:\\windows\\7Sy.exe
echo > c:\\windows\\8Sy.exe
echo > c:\\windows\\9Sy.exe
echo > c:\\windows\\1.com
echo > c:\\windows\\rundll32.exe
echo > c:\\windows\\rundl132.exe
echo > c:\\windows\\vDll.dll
echo > c:\\windows\\exerouter.exe
echo > c:\\windows\\EXP10RER.com
echo > c:\\windows\\finders.com
echo > c:\\windows\\Shell.sys
echo > c:\\windows\\smss.exe
echo > c:\\windows\\kill.exe
echo > c:\\windows\\sws.dll
echo > c:\\windows\\sws32.dll
echo > c:\\windows\\tool.exe
echo > c:\\windows\\tool2005.exe
echo > c:\\windows\\tool2006.exe
echo > c:\\windows\\tools.exe
echo > c:\\windows\\finders.exe
attrib c:\\windows\\Logo1.exe +s +r +h
attrib c:\\windows\\Logo_1.exe +s +r +h
attrib c:\\windows\\Logo1_1.exe +s +r +h
attrib c:\\windows\\Logo1_.exe +s +r +h
attrib c:\\windows\\0Sy.exe +s +r +h
attrib c:\\windows\\1Sy.exe +s +r +h
attrib c:\\windows\\2Sy.exe +s +r +h
attrib c:\\windows\\3Sy.exe +s +r +h
attrib c:\\windows\\4Sy.exe +s +r +h
attrib c:\\windows\\5Sy.exe +s +r +h
attrib c:\\windows\\6Sy.exe +s +r +h
attrib c:\\windows\\7Sy.exe +s +r +h
attrib c:\\windows\\8Sy.exe +s +r +h
attrib c:\\windows\\9Sy.exe +s +r +h
attrib c:\\windows\\1.com +s +r +h
attrib c:\\windows\\rundl132.exe +s +r +h
attrib c:\\windows\\rundll32.exe +s +r +h
attrib c:\\windows\\vDll.dll +s +r +h
attrib c:\\windows\\exerouter.exe +s +r +h
attrib c:\\windows\\EXP10RER.com +s +r +h
attrib c:\\windows\\finders.com +s +r +h
attrib c:\\windows\\Shell.sys +s +r +h
attrib c:\\windows\\smss.exe +s +r +h
attrib c:\\windows\\kill.exe +s +r +h
attrib c:\\windows\\sws.dll +s +r +h
attrib c:\\windows\\sws32.dll +s +r +h
attrib c:\\windows\\tool.exe +s +r +h
attrib c:\\windows\\tool2005.exe +s +r +h
attrib c:\\windows\\tool2006.exe +s +r +h
attrib c:\\windows\\tools.exe +s +r +h
attrib c:\\windows\\finders.exe +s +r +h
==================================================================
第二步:巩固免疫补丁,禁止免疫补丁运行。(注册表内容)
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Group Policy Objects\\本地
User\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\ Explorer\\DisallowRun]
\"**delvals.\"=\" \"
\"1\"=\"Logo1.exe\"
\"2\"=\"Logo_1.exe\"
\"3\"=\"Logo1_1.exe\"
\"4\"=\"Logo1_.exe\"
\"5\"=\"0Sy.exe\"
\"6\"=\"1Sy.exe\"
\"7\"=\"2Sy.exe\"
\"8\"=\"3Sy.exe\"
\"9\"=\"4Sy.exe\"
\"10\"=\"5Sy.exe\"
\"11\"=\"6Sy.exe\"
\"12\"=\"7Sy.exe\"
\"13\"=\"8Sy.exe\"
\"14\"=\"9Sy.exe\"
\"15\"=\"1.com\"
\"16\"=\"rundll32.exe\"
\"17\"=\"rundl132.exe\"
\"18\"=\"vDll.dll\"
\"19\"=\"exerouter.exe\"
\"20\"=\"EXP10RER.com\"
\"21\"=\"finders.com\"
\"22\"=\"Shell.sys\"
\"23\"=\"smss.exe\"
\"24\"=\"kill.exe\"
\"25\"=\"sws.dll\"
\"26\"=\"sws32.dll\"
\"27\"=\"tool.exe\"
\"28\"=\"tool2005.exe\"
\"29\"=\"tool2006.exe\"
\"30\"=\"tools.exe\"
\"31\"=\"finders.exe\"
===============================================
第三步,加强系统自身安全性(P处理内容)
@echo off
echo 程序运行中......
echo y|cacls e:\\ /p everyone:r
echo y|cacls f:\\ /p everyone:r
(P处理内容说明:禁止在E盘,F盘跟目录下创建任何文件及文件夹)
===========================================================
第四步:增强文件权限安全,防止病毒感染(P处理内容)
e:
cd e:\\netgames
cacls *.exe /t /e /g /everyone:r
cacls *.exe /t /e /p /everyone:r
cacls *.dll /t /e /g /everyone:r
cacls *.dll /t /e /p /everyone:r
(P处理内容说明:该批处理会把e:\\netgames文件夹下所有的exe和dll文件属性设为只读,同步更新软件会复制文件的只读属性,文件在只读状态下无法修改和保存,但不影响更新和删除(服务器上也必须做这一步)
附:有人问了,用了第三步,那管理员要在其盘符下创建文件夹怎么办?不用着急,运行下面的P处理就解决了。
@echo off
echo 程序运行中......
echo y|cacls e:\\ /g everyone:f
echo y|cacls f:\\ /g everyone:f
===============================完====================================
第3步修正:网络游戏及QQ等一些东西~必须在盘符下建2级目录。如:e:\\net+game\\netgame,所有游戏都放在里面,
执行P处理,批处理内容为:
echo y|cacls e:\\ /p everyone:r
echo y|cacls e:\\net+game /p everyone:n
参数R是只读,N是取消一切权限,切记,一定要建二级目录,在二级目录下的一切操作不受任何限制,当你运行了P处理后,可以看看net+game的属性,大小都0,而LOG1这类感染EXE文件的病毒,他必须先搜索其文件,但他根本搜索不到无权限的文件夹里面的东西,所以他也无法感染,如果只做一级目录,直接将E盘设为无权限的话,那么会导致无法更新游戏,热血江湖玩不了。这一步骤修正了,那么我们就可以省略了第四步了~如果QQ游戏等在线游戏类的,也可以放在E盘,其方法是一样的,举一反三是基本的学习能力。那么,现在处理下载盘的问题,方法一样,直接将下载目录的快捷方式拖到桌面就可以了~大家多多实验吧~!总之,系统没有绝对的安全,制作病毒的人都是寻找系统弱点来做的,系统的安全性能只能靠平时的经验了~以上P处理的解除:echo y|cacls e:\\net+game /g everyone:f ,赋予其所有权限~!

■熊猫烧香靠啥传播?



  熊猫烧香基本上可以肯定是靠网页恶意代码,木马,软件夹带等途径传播的,因此我们上网一定要注意安装防火墙软件,并且保持杀毒软件的更新。

  有人问下载BT电影为何会感染病毒?是不是只有看AV电影才会感染病毒?

  这个问题其实和AV电影关系不大,根据小编的分析很可能是依靠其中夹带的木马或RMVB恶意事件来完成的。

 “事件”可以在RMVB文件中加入进去,属于官方提供的功能之一。其作用是可以在用户播放文件中,弹出广告窗口或进行其他操作。另外,事件本身也有可能具备防盗链功能。其实,在视频文件中加入广告连接并不是啥大不了的问题,毕竟你白用人家的东西看视频,捎带脚看看广告业无所谓。但是,现在某些人利用这个功能加入了“恶意事件”,用户在播放视频的时候,不断的弹出窗口,直到死机为止。

这个文件在播放中不断弹出黄色信息

  色情电影本身就是不合法的东西,很多别有用心的人往里输入了很多杂七杂八的内容,里面包含病毒一定也不奇怪。

  万幸的是,RMVB事件的破解比较容易。原因在于想触发RMVB事件,必须安装REAL ONE才行,否则即便文件中有事件也不能触发。破解方法是采用其他兼容播放器,如“INTO版酷热影音”等,即便是播放也不会触发事件。另外你也可以找一些破解RMVB事件的专用软件,彻底干掉RMVB 事件。

最后再度提醒您注意,文件备份最重要!中病毒再解毒,只能是亡羊补牢!
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

Archiver|手机版|小黑屋|网上读书园地

GMT+8, 2024-12-23 22:38 , Processed in 0.147331 second(s), 5 queries , Redis On.

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表