熊貓燒香病毒怎么樣
你了解熊貓燒香病毒嗎?它們是怎么樣的呢?下面由學習啦小編給你做出詳細的熊貓燒香病毒介紹!希望對你有幫助!
熊貓燒香病毒介紹一:
1、打開任務管理器,結束掉FuckJacks.exe進程。
2、右擊每個分區(qū)盤符選擇“打開”刪除分區(qū)根目錄下面的setup.exe和autorun.inf文件。
3、刪除上面提到的病毒增加的注冊表值。
4、關于安全中心的恢復可以從正常系統(tǒng)中倒入注冊表,或者跳過這一步,不是特別重要。
5、被病毒覆蓋的文件(覆蓋后的文件大小為30,465字節(jié))是不可恢復的,直接刪除;被修改的文件用16進制編輯器刪除00000000到00007700的代碼段,在文件末尾刪除“WhBoyD.exe.exe.714241.”的代碼段保存即可恢復原貌。00000000到00007700的代碼段
在文件末尾刪除“WhBoyD.exe.exe.714241.”的代碼段保存即可恢復原貌。 下面讓我們看看這個病毒的詳細分析 作者:killvirus setup.exe File size:22886 bytes SHA-160: 5D3222D8AB6FC11F899EFF32C2C8D3CD50CBD755 MD5 : 9749216A37D57CF4B2E528C027252062 CRC-32 : DE81BD8A 加殼方式:
UPack 編寫語言:Borland Delphi 6.0 - 7.0 感染方式:惡意網頁傳播,其它木馬下載,局域網傳播
感染移動存儲設備 嘗試關閉窗口 QQKav QQAV 天網防火墻進程 VirusScan 網鏢殺毒 毒霸 瑞星 江民 黃山IE 超級兔子 優(yōu)化大師 木馬克星 木馬清道夫 QQ病毒注冊表編輯器 系統(tǒng)配置實用程序 卡巴斯基反病毒 Symantec AntiVirus Duba Windows 任務管理器 esteem procs 綠鷹PC 密碼防盜 噬菌體
木馬輔助查找器 System Safety Monitor Wrapped gift Killer Winsock Expert 游戲木馬檢測大師 小沈Q盜殺手 pjf(ustc) IceSword 嘗試關閉進程 Mcshield.exe VsTskMgr.exe naPrdMgr.exe UpdaterUI.exe TBMon.exe scan32.exe Ravmond.exe CCenter.exe RavTask.exe Rav.exe Ravmon.exe RavmonD.exe RavStub.exe KVXP.kxp KvMonXP.kxp KVCenter.kxp KVSrvXP.exe KRegEx.exe UIHost.exe TrojDie.kxp FrogAgent.exe Logo1_.exe Logo_1.exe Rundl132.exe 刪除以下啟動項 SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RavTask SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KvMonXP SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kav SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KAVPersonal50 SOFTWARE\Microsoft\Windows\CurrentVersion\Run\McAfeeUpdaterUI SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Network Associates Error Reporting ServiceSOFTWARE\Microsoft\Windows\CurrentVersion\Run\ShStatEXE SOFTWARE\Microsoft\Windows\CurrentVersion\Run\YLive.exe SOFTWARE\Microsoft\Windows\CurrentVersion\Run\yassistse 禁用以下服務 kavsvc AVP AVPkavsvc McAfeeFramework McShield McTaskManager McAfeeFramework McShield McTaskManager navapsvc KVWSC KVSrvXP KVWSC KVSrvXP Schedule sharedaccess RsCCenter RsRavMon RsCCenter RsRavMon wscsvc KPfwSvc SNDSrvc ccProxy ccEvtMgr ccSetMgr SPBBCSvc Symantec Core LC NPFMntor MskService FireSvc 搜索感染除以下目錄外的所有.EXE/.SCR/.PIF/.COM文件,并記有標記 WINDOWS Winnt System Volume Information Recycled Windows NT Windows Update Windows Media Player Outlook Express Internet Explorer NetMeeting Common Files ComPlus Applications Messenger InstallShield Installation Information MSN Microsoft Frontpage Movie Maker MSN Gamin Zone 刪除.GHO文件 添加以下啟動位置 \Documents and Settings\All Users\Start Menu\Programs\Startup\ Documents and Settings\All Users\「開始」菜單\程序\啟動\WINDOWS\Start Menu\Programs\Startup\ WINNT\Profiles\All Users\Start Menu\Programs\Startup\
監(jiān)視記錄QQ和訪問局域網文件記錄:c:\test.txt,試圖QQ消息傳送 試圖用以下口令訪問感染局域網文件(GameSetup.exe) 1234 password 6969 harley 123456 golf pussy mustang 1111 shadow 1313 fish 5150 7777 qwerty baseball 2112 letmein 12345678 12345 ccc admin 5201314 qq520 1 12 123 1234567 123456789 654321 54321 111 000000 abc pw 11111111 88888888 pass passwd database abcd abc123 sybase 123qwe server computer 520 super 123asd 0 ihavenopass godblessyou enable xp 2002 2003 2600 alpha 110 111111 121212 123123 1234qwer 123abc 007 aaaa patrick pat administrator root *** god foobar secrettest test123 temp temp123 win pc asdf pwd qwer yxcv zxcv home xxx owner login Login pw123 love mypc mypc123 admin123 mypass mypass123 901100 Administrator Guest admin Root 所有根目錄及移動存儲生成 X:\setup.exe X:\autorun.inf [AutoRun] OPEN=setup.exe shellexecute=setup.exe shell\Auto\command=setup.exe 刪除隱藏共享 cmd.exe /c net share $ /del /y cmd.exe /c net share admin$ /del /y cmd.exe /c net share IPC$ /del /y 創(chuàng)建啟動項: Software\Microsoft\Windows\CurrentVersion\Run svcshare=指向\%system32%\drivers\spoclsv.exe 禁用文件夾隱藏選項 SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue 海色最新測試過結果:病毒22,886字節(jié),頭部寫入病毒代碼22,838字節(jié),并在最尾部添加.WhBoy原文件名.exe.原文件字節(jié)數
熊貓燒香病毒介紹二:
武漢男生”,俗稱“熊貓燒香”,這是一個感染型的蠕蟲病毒,它能感染系統(tǒng)中exe,com,pif,src,html,asp等文件,它還能中止大量的反病毒軟件進程并且會刪除擴展名為gho的文件,該文件是一系統(tǒng)備份工具GHOST的備份文件,使用戶的系統(tǒng)備份文件丟失。被感染的用戶系統(tǒng)中所有.exe可執(zhí)行文件全部被改成熊貓舉著三根香的模樣。
1:拷貝文件
病毒運行后,會把自己拷貝到C:\WINDOWS\System32\Drivers\spoclsv.exe
2:添加注冊表自啟動
病毒會添加自啟動項HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe
3:病毒行為
a:每隔1秒尋找桌面窗口,并關閉窗口標題中含有以下字符的程序:
QQKav、QQAV、防火墻、進程、VirusScan、網鏢、殺毒、毒霸、瑞星、江民、黃山IE、超級兔子、優(yōu)化大師、木馬克星、木馬清道夫、QQ病毒、注冊表編輯器、系統(tǒng)配置實用程序、卡巴斯基反病毒、Symantec AntiVirus、Duba、esteem proces、綠鷹PC、密碼防盜、噬菌體、木馬輔助查找器、System Safety Monitor、Wrapped gift Killer、Winsock Expert、游戲木馬檢測大師、msctls_statusbar32、pjf(ustc)、IceSword
并使用的鍵盤映射的方法關閉安全軟件IceSword
添加注冊表使自己自啟動 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe
并中止系統(tǒng)中以下的進程:
Mcshield.exe、VsTskMgr.exe、naPrdMgr.exe、UpdaterUI.exe、TBMon.exe、scan32.exe、Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、RavmonD.exe、RavStub.exe、KVXP.kxp、kvMonXP.kxp、KVCenter.kxp、KVSrvXP.exe、KRegEx.exe、UIHost.exe、TrojDie.kxp、FrogAgent.exe、Logo1_.exe、Logo_1.exe、Rundl132.exe
b:每隔18秒點擊病毒作者指定的網頁,并用命令行檢查系統(tǒng)中是否存在共享,共存在的話就運行net share命令關閉admin$共享
c:每隔10秒下載病毒作者指定的文件,并用命令行檢查系統(tǒng)中是否存在共享,共存在的話就運行net share命令關閉admin$共享
d:每隔6秒刪除安全軟件在注冊表中的鍵值
并修改以下值不顯示隱藏文件 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue -> 0x00
刪除以下服務:
navapsvc、wscsvc、KPfwSvc、SNDSrvc、ccProxy、ccEvtMgr、ccSetMgr、SPBBCSvc、Symantec Core LC、NPFMntor MskService、FireSvc
e:感染文件
病毒會感染擴展名為exe,pif,com,src的文件,把自己附加到文件的頭部,并在擴展名為htm,html, asp,php,jsp,aspx的文件中添加一網址,用戶一但打開了該文件,IE就會不斷的在后臺點擊寫入的網址,達到增加點擊量的目的,但病毒不會感染以下文件夾名中的文件:
WINDOW、Winnt、System Volume Information、Recycled、Windows NT、WindowsUpdate、Windows Media Player、Outlook Express、Internet Explorer、NetMeeting、Common Files、ComPlus Applications、Messenger、InstallShield Installation Information、MSN、Microsoft Frontpage、Movie Maker、MSN Gamin Zone
g:刪除文件
病毒會刪除擴展名為gho的文件,該文件是一系統(tǒng)備份工具GHOST的備份文件使用戶的系統(tǒng)備份文件丟失。
看了“ 熊貓燒香病毒怎么樣”文章的還看了:
4.熊貓燒香病毒介紹
7.熊貓燒香病毒懲罰
熊貓燒香病毒怎么樣
上一篇:新型計算機病毒有哪些
下一篇:引導區(qū)病毒怎么樣清理