作者:傻女[马后炮]

“熊猫烧香”系列病毒的症状、预防与查杀
近段时间,“熊猫烧香”(Worm.WhBoy.h) 蠕虫正处于急速变种期,仅11月份至今,变种数量已达10几个,变种速度之快,影响范围之广,与06年横行于局域网的“威金”不相上下。我很多朋友和同事都尽受其苦!!(后用瑞星2007杀毒软件才把它搞定,不要误解在作广告,傻女本来用瑞星)
熊猫烧香病毒的症状:
一、病毒描述:
含有病毒体的文件被运行后,(打开和复制U盘文件)病毒将自身拷贝至系统目录,同时修改注册表将自身设置为开机启动项,并遍历各个驱动器,将自身写入磁盘根目录下,增加一个Autorun.inf隐藏性伪系统文件,使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染并发作,发作后破坏所有EXE文件以及GHOST文件,并修改注册表,以EXE文件都变为同一“熊猫”图标,同时开另外一个线程连接某网站下载ddos程序进行发动恶意攻击。在未能清除病毒之前,重装系统也是白费劲(未完全格式化全盘)。
二、病毒基本情况:
[文件信息]
病毒名: Virus.Win32.EvilPanda.a.ex$
危害级别:高
病毒名: Flooder.Win32.FloodBots.a.ex$
危害级别:高
三、病毒行为:
Virus.Win32.EvilPanda.a.ex$ :
1、病毒体执行后,将自身拷贝到系统目录:
%SystemRoot%\system32\FuckJacks.exe
2、添加注册表启动项目确保自身在系统重启动后被加载:
键路径:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键名:FuckJacks
键值:"C:WINDOWS\system32\FuckJacks.exe"  
键路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键名:svohost
键值:"C:WINDOWS\system32\FuckJacks.exe"
3、拷贝自身到所有驱动器根目录,命名为Setup.exe,并生成一个autorun.inf使得用户打开该盘运行病毒,并将这两个文件属性设置为隐藏、只读、系统。
C:autorun.inf   1KB   RHS
C:setup.exe   230KB   RHS  
4、关闭众多未及时升级更新杀毒软件和安全工具。
5、连接*****.3322.org下载某文件,并根据该文件记录的地址,去www.****.com下载某ddos程序,下载成功后执行该程序。
6、刷新bbs.qq.com,某QQ秀链接。
7、循环遍历磁盘目录,感染文件,对关键系统文件跳过,不感染Windows媒体播放器、MSN、IE 等程序。
Flooder.Win32.FloodBots.a.ex$ :
8、病毒体执行后,将自身拷贝到系统目录:
%SystemRoot%\SVCH0ST.EXE
%SystemRoot%\system32\SVCH0ST.EXE
9、该病毒后下载运行后,添加注册表启动项目确保自身在系统重启动后被加载:
键路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键名:Userinit
键值:"C:WINDOWS\system32\SVOH0ST.exe"

  怎样预防熊猫烧香系列病毒?
  1.立即检查本机administrator组成员口令,勿用简单口令甚至空口令,安全的口令是字母数字特殊字符的组合。修改方法,右键单击我的电脑,选择管理,浏览到本地用户和组,在右边的窗格中,选择具备管理员权限的用户名,单击右键,选择设置密码,输入新密码就行。
  2.利用组策略,关闭所有驱动器的自动播放功能。
  步骤:单击开始,运行,输入gpedit.msc,打开组策略编辑器,浏览到计算机配置,管理模板,系统,在右边的窗格中选择关闭自动播放,该配置缺省是未配置,在下拉框中选择所有驱动器,再选取已启用,确定后关闭。最后,在开始,运行中输入gpupdate,确定后,该策略就生效了。
  3.修改文件夹选项,取消隐藏受保护的操作系统文件和已知文件类型的扩展名设置,以查看不明文件的真实属性,避免无意双击骗子程序中毒。
  步骤:打开资源管理器(按windows徽标键+E),点工具菜单下文件夹选项,再点查看,在高级设置中,选择查看所有文件,取消隐藏受保护的操作系统文件,取消隐藏文件扩展名。
  4.时刻保持操作系统获得最新的安全更新。打开系统自动更新。
  5.启用windows防火墙保护本地计算机。

手动清除最近横行的熊猫烧香病毒:    
清除步骤  
1. 断开网络  
2. 结束病毒进程  
  %System%\FuckJacks.exe  
3. 删除病毒文件:  
  %System%\FuckJacks.exe  
4. 右键点击分区盘符,点击右键菜单中的“打开”进入分区根目录,删除根目录下的文件
  X:\autorun.inf  
  X:\setup.exe  
5. 删除病毒创建的启动项:  
  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]  
  "FuckJacks"="%System%\FuckJacks.exe  
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]  
  "svohost"="%System%\FuckJacks.exe" 
6. 修复或重新安装反病毒软件(一定为最新版,并病毒库为最新)  
7. 使用反病毒软件或专杀工具进行全盘扫描,清除恢复被感染的exe文件  

熊猫烧香专杀下载:
瑞星专杀1.5
http://download.rising.com.cn/zsgj/NimayaKiller.scr

DSWLAB数据安全实验室所作的
超级巡警1.6
http://killer.9i3g.cn/download/Pandakiller.rar

超级巡警之U盘病毒免疫器 V1.0
http://killer.9i3g.cn/download/antiautorun.rar

更多专杀信息(熊猫烧香病毒专杀网)
http://www.xiongmaoshaoxiang.com/

Last modification:August 30th, 2019 at 04:33 pm