熊猫烧香与维金专杀工具、系统补丁,很好用的
作者: 狂人•发布于: 2007/01/11 14:13•浏览: 1872•回复: 8
[color=Blue]熊猫烧香病毒分析与解决方案
一、病毒描述:
含有病毒体的文件被运行后,病毒将自身拷贝至系统目录,同时修改注册表将自身设置为开机启动项,并遍历各个驱动器,将自身写入磁盘根目录下,增加一个Autorun.inf文件,使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染,同时开另外一个线程连接某网站下载ddos程序进行发动恶意攻击。
二、病毒基本情况:
[文件信息]
病毒名: Virus.Win32.EvilPanda.a.ex$
大 小: 0xDA00 (55808), (disk) 0xDA00 (55808)
SHA1 : F0C3DA82E1620701AD2F0C8B531EEBEA0E8AF69D
壳信息: 未知
危害级别:高
病毒名: Flooder.Win32.FloodBots.a.ex$
大 小: 0xE800 (59392), (disk) 0xE800 (59392)
SHA1 : B71A7EF22A36DBE27E3830888DAFC3B2A7D5DA0D
壳信息: UPX 0.89.6 - 1.02 / 1.05 - 1.24
危害级别:高
三、病毒行为:
Virus.Win32.EvilPanda.a.ex$ :
1、病毒体执行后,将自身拷贝到系统目录:
%SystemRoot%\system32\FuckJacks.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Userinit "C:\WIN2K\system32\SVCH0ST.exe"
2、添加注册表启动项目确保自身在系统重启动后被加载:
键路径:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键名:FuckJacks
键值:"C:\WINDOWS\system32\FuckJacks.exe"
键路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键名:svohost
键值:"C:\WINDOWS\system32\FuckJacks.exe"
3、拷贝自身到所有驱动器根目录,命名为Setup.exe,并生成一个autorun.inf使得用户打开该盘运行病毒,并将这两个文件属性设置为隐藏、只读、系统。
C:\autorun.inf 1KB RHS
C:\setup.exe 230KB RHS
4、关闭众多杀毒软件和安全工具。
5、连接*****.3322.org下载某文件,并根据该文件记录的地址,去www.****.com下载某ddos程序,下载成功后执行该程序。
6、刷新bbs.qq.com,某QQ秀链接。
7、循环遍历磁盘目录,感染文件,对关键系统文件跳过,不感染Windows媒体播放器、MSN、IE 等程序。
Flooder.Win32.FloodBots.a.ex$ :
1、病毒体执行后,将自身拷贝到系统目录:
%SystemRoot%\SVCH0ST.EXE
%SystemRoot%\system32\SVCH0ST.EXE
2、该病毒后下载运行后,添加注册表启动项目确保自身在系统重启动后被加载:
键路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键名:Userinit
键值:"C:\WINDOWS\system32\SVCH0ST.exe"
3、连接ddos2.****.com,获取攻击地址列表和攻击配置,并根据配置文件,进行相应的攻击。
配置文件如下:
www.victim.net:3389
www.victim.net:80
www.victim.com:80
www.victim.net:80
1
1
120
50000
四、解决方案:
1、使用超级巡警可以完全清除此病毒和恢复被感染的文件。
2、推荐在清除时先使用超级巡警的进程管理工具结束病毒程序,否则系统响应很慢。
3、中止病毒进程和删除启动项目。
威金(LOGO_1)过后的新威胁,熊猫烧香图标病毒的详细分析[天下网..
标题:威金(LOGO_1)过后的新威胁,熊猫烧香图标病毒的详细分析 标囝 等级:新手上路 文章:3 积分...在围巾病毒的威胁渐渐归于平息的时候,熊猫烧香图标病毒又开始了对我们的新一轮疯狂攻击,这个病毒和围巾一样,也是感染所有的exe文件...
熊猫烧香病毒
熊猫烧香病毒 页: [1] dswlab 2006-11-20 10:42 熊猫烧香病毒发现许多用户感染,超级巡警可以清除,完美修复感染的文件: 发现病毒:Virus.Win32.EvilPanda.a 处理结果:清除成功描述:病毒 感染文件:C:\setup.exe 发现病毒:Virus....
新的熊猫烧香、尼姆亚setup.exe spoclsv.exe 瑞星专杀已支持修复(..
新的熊猫烧香、尼姆亚再次上演,套路差不多setup.exe spoclsv.exeGameSetup.exe附瑞星专杀修复工具2006-11...【CISRT2006081】熊猫烧香变种 spoclsv.exe解决方案[url]http://www.cisrt.org/bbs/viewthread.php?tid=539&extra=page%3D1...
学习交流平台 - 网络·安全新的熊猫烧香、尼姆亚setup.exe spocls..
【CISRT2006081】熊猫烧香变种 spoclsv.exe解决方案[url=http://www.cisrt.org/bbs/viewthread.php?tid=539&extra=...新的熊猫烧香、尼姆亚setup.exe spoclsv.exe分析及临时处理 Powered by Discuz! Archiver 5.0.02001-2006 ...
熊猫烧香病毒 熊猫烧香专杀 熊猫烧香病毒专杀 熊猫烧香专杀工具 熊猫烧香变种 熊猫烧香图标 超级巡警 熊猫烧香 熊猫烧香图标病毒 熊猫烧香专杀软件
这是一个感染型的蠕虫病毒,它能感染系统中exe,com,pif,src,html,asp等文件,
它还能中止大量的反病毒软件进程,还有无法显示隐藏文件,
我的解决方法是:
1、按F8进入“安全模式”。
2、用注册表恢复“显示隐藏文件”
运行regedit 找到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
中的CheckedValue双击修改为,确定
3、进入“文件夹选项”中的查看去掉
隐藏系统文件夹和系统文件的勾
再选显示隐藏文件。这时 隐藏的系统文件就显示出来了。
4。右键点击分区盘符,点击右键菜单中的“打开”进入分区根目录,删除根目录下的文 件: autorun.inf setup.exe
5、运行msconfig进入启动项去掉spoclsv.exe或者进入注册表
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run中删除
svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe
6、重启电脑就行了。记住再杀毒就万事大吉[/color][/size]
一、病毒描述:
含有病毒体的文件被运行后,病毒将自身拷贝至系统目录,同时修改注册表将自身设置为开机启动项,并遍历各个驱动器,将自身写入磁盘根目录下,增加一个Autorun.inf文件,使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染,同时开另外一个线程连接某网站下载ddos程序进行发动恶意攻击。
二、病毒基本情况:
[文件信息]
病毒名: Virus.Win32.EvilPanda.a.ex$
大 小: 0xDA00 (55808), (disk) 0xDA00 (55808)
SHA1 : F0C3DA82E1620701AD2F0C8B531EEBEA0E8AF69D
壳信息: 未知
危害级别:高
病毒名: Flooder.Win32.FloodBots.a.ex$
大 小: 0xE800 (59392), (disk) 0xE800 (59392)
SHA1 : B71A7EF22A36DBE27E3830888DAFC3B2A7D5DA0D
壳信息: UPX 0.89.6 - 1.02 / 1.05 - 1.24
危害级别:高
三、病毒行为:
Virus.Win32.EvilPanda.a.ex$ :
1、病毒体执行后,将自身拷贝到系统目录:
%SystemRoot%\system32\FuckJacks.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Userinit "C:\WIN2K\system32\SVCH0ST.exe"
2、添加注册表启动项目确保自身在系统重启动后被加载:
键路径:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键名:FuckJacks
键值:"C:\WINDOWS\system32\FuckJacks.exe"
键路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键名:svohost
键值:"C:\WINDOWS\system32\FuckJacks.exe"
3、拷贝自身到所有驱动器根目录,命名为Setup.exe,并生成一个autorun.inf使得用户打开该盘运行病毒,并将这两个文件属性设置为隐藏、只读、系统。
C:\autorun.inf 1KB RHS
C:\setup.exe 230KB RHS
4、关闭众多杀毒软件和安全工具。
5、连接*****.3322.org下载某文件,并根据该文件记录的地址,去www.****.com下载某ddos程序,下载成功后执行该程序。
6、刷新bbs.qq.com,某QQ秀链接。
7、循环遍历磁盘目录,感染文件,对关键系统文件跳过,不感染Windows媒体播放器、MSN、IE 等程序。
Flooder.Win32.FloodBots.a.ex$ :
1、病毒体执行后,将自身拷贝到系统目录:
%SystemRoot%\SVCH0ST.EXE
%SystemRoot%\system32\SVCH0ST.EXE
2、该病毒后下载运行后,添加注册表启动项目确保自身在系统重启动后被加载:
键路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键名:Userinit
键值:"C:\WINDOWS\system32\SVCH0ST.exe"
3、连接ddos2.****.com,获取攻击地址列表和攻击配置,并根据配置文件,进行相应的攻击。
配置文件如下:
www.victim.net:3389
www.victim.net:80
www.victim.com:80
www.victim.net:80
1
1
120
50000
四、解决方案:
1、使用超级巡警可以完全清除此病毒和恢复被感染的文件。
2、推荐在清除时先使用超级巡警的进程管理工具结束病毒程序,否则系统响应很慢。
3、中止病毒进程和删除启动项目。
威金(LOGO_1)过后的新威胁,熊猫烧香图标病毒的详细分析[天下网..
标题:威金(LOGO_1)过后的新威胁,熊猫烧香图标病毒的详细分析 标囝 等级:新手上路 文章:3 积分...在围巾病毒的威胁渐渐归于平息的时候,熊猫烧香图标病毒又开始了对我们的新一轮疯狂攻击,这个病毒和围巾一样,也是感染所有的exe文件...
熊猫烧香病毒
熊猫烧香病毒 页: [1] dswlab 2006-11-20 10:42 熊猫烧香病毒发现许多用户感染,超级巡警可以清除,完美修复感染的文件: 发现病毒:Virus.Win32.EvilPanda.a 处理结果:清除成功描述:病毒 感染文件:C:\setup.exe 发现病毒:Virus....
新的熊猫烧香、尼姆亚setup.exe spoclsv.exe 瑞星专杀已支持修复(..
新的熊猫烧香、尼姆亚再次上演,套路差不多setup.exe spoclsv.exeGameSetup.exe附瑞星专杀修复工具2006-11...【CISRT2006081】熊猫烧香变种 spoclsv.exe解决方案[url]http://www.cisrt.org/bbs/viewthread.php?tid=539&extra=page%3D1...
学习交流平台 - 网络·安全新的熊猫烧香、尼姆亚setup.exe spocls..
【CISRT2006081】熊猫烧香变种 spoclsv.exe解决方案[url=http://www.cisrt.org/bbs/viewthread.php?tid=539&extra=...新的熊猫烧香、尼姆亚setup.exe spoclsv.exe分析及临时处理 Powered by Discuz! Archiver 5.0.02001-2006 ...
熊猫烧香病毒 熊猫烧香专杀 熊猫烧香病毒专杀 熊猫烧香专杀工具 熊猫烧香变种 熊猫烧香图标 超级巡警 熊猫烧香 熊猫烧香图标病毒 熊猫烧香专杀软件
这是一个感染型的蠕虫病毒,它能感染系统中exe,com,pif,src,html,asp等文件,
它还能中止大量的反病毒软件进程,还有无法显示隐藏文件,
我的解决方法是:
1、按F8进入“安全模式”。
2、用注册表恢复“显示隐藏文件”
运行regedit 找到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
中的CheckedValue双击修改为,确定
3、进入“文件夹选项”中的查看去掉
隐藏系统文件夹和系统文件的勾
再选显示隐藏文件。这时 隐藏的系统文件就显示出来了。
4。右键点击分区盘符,点击右键菜单中的“打开”进入分区根目录,删除根目录下的文 件: autorun.inf setup.exe
5、运行msconfig进入启动项去掉spoclsv.exe或者进入注册表
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run中删除
svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe
6、重启电脑就行了。记住再杀毒就万事大吉[/color][/size]
永久链接:
/posts/15045
回复 (8)
雪狼湖dj•1/13/2007, 3:00:25 PM
我单位有53台电脑联网,因为这个病毒崩溃了47台😊 ,我真的我和这个病毒大战过100回合!!
熊猫烧香病毒就是“尼姆亚(Worm.Nimaya)”病毒:蠕虫病毒,通过感染文件传播,依赖系统:WIN 9X/NT/2000/XP。 该病毒采用熊猫头像作为图标,诱使用户运行。病毒运行后,会自动查找Windows格式的EXE可执行文件,并进行感染。由于该病毒编写存在问题,用户的一些软件可能会被其损坏,无法运行。
杀这个病毒必须断开网络,不然😊 ,公司网络内只要有一台机有病毒,很快就会感染😊
每台机都会杀出几百个病毒,我公司里的是 熊猫烧香病毒Worm.Nimaya.v (注意:是v变种,最新的!网络上查不到它的资料!)留了一个病毒样板,谁想试试!!😊 没事干可以玩玩,看你杀毒快还是它传播快!!
熊猫烧香病毒就是“尼姆亚(Worm.Nimaya)”病毒:蠕虫病毒,通过感染文件传播,依赖系统:WIN 9X/NT/2000/XP。 该病毒采用熊猫头像作为图标,诱使用户运行。病毒运行后,会自动查找Windows格式的EXE可执行文件,并进行感染。由于该病毒编写存在问题,用户的一些软件可能会被其损坏,无法运行。
杀这个病毒必须断开网络,不然😊 ,公司网络内只要有一台机有病毒,很快就会感染😊
每台机都会杀出几百个病毒,我公司里的是 熊猫烧香病毒Worm.Nimaya.v (注意:是v变种,最新的!网络上查不到它的资料!)留了一个病毒样板,谁想试试!!😊 没事干可以玩玩,看你杀毒快还是它传播快!!
11•1/19/2007, 6:35:45 PM
这个帖子对社员有用呀, 帮顶起
车神•1/20/2007, 12:43:51 AM
我公司上星期有一台中了,不过没通过局域网传播
狂人•1/20/2007, 12:49:36 PM
好多大公司的网管欲哭无泪,要加班杀毒,哈哈.
雪狼湖dj•1/20/2007, 4:17:36 PM
😊 😊 😊 我就是那个倒霉的网管.......................
..........................😊 不过,还是我赢了😊
..........................😊 不过,还是我赢了😊
车神•1/22/2007, 5:28:27 AM
公司里又一个同事中了熊猫烧香
狂人•1/24/2007, 4:06:18 PM
呵呵,没有升级病毒库吗?现在的熊猫烧香变种已经达到400多种了。小心啊。
碧水云天•1/25/2007, 3:55:57 AM
[quote]原帖由 狂人 于 2007-1-20 20:49 发表
好多大公司的网管欲哭无泪,要加班杀毒,哈哈. [/quote]
就是呀,我公司的网管都在加班杀毒😊
我部办公电脑慢到似只老牛都没时间帮我看看
好多大公司的网管欲哭无泪,要加班杀毒,哈哈. [/quote]
就是呀,我公司的网管都在加班杀毒😊
我部办公电脑慢到似只老牛都没时间帮我看看