熊貓燒香病毒的手工清除技巧 附專(zhuān)殺工具
有只熊貓?jiān)谀茄Y燒香?????
不是有只熊貓?jiān)跓?,而是所有的EXE圖標(biāo)兜變成一個(gè)燒3個(gè)香的小熊貓,圖標(biāo)倒是很可愛(ài)的
付個(gè)手動(dòng)的方式:
熊貓燒香 變種 spoclsv.exe 解決方案
病毒名稱(chēng):Worm.Win32.Delf.bf(Kaspersky)
病毒別名:Worm.Nimaya.d(瑞星)
Win32.Trojan.QQRobber.nw.22835(毒霸)
病毒大?。?2,886 字節(jié)
加殼方式:UPack
樣本MD5:9749216a37d57cf4b2e528c027252062
樣本SHA1:5d3222d8ab6fc11f899eff32c2c8d3cd50cbd755
發(fā)現(xiàn)時(shí)間:2006.11
更新時(shí)間:2006.11
關(guān)聯(lián)病毒:
傳播方式:通過(guò)惡意網(wǎng)頁(yè)傳播,其它木馬下載,可通過(guò)局域網(wǎng)、移動(dòng)存儲(chǔ)設(shè)備等傳播
技術(shù)分析
==========
又是“熊貓燒香”FuckJacks.exe的變種,和之前的變種一樣使用白底熊貓燒香圖標(biāo),病毒運(yùn)行后復(fù)制自身到系統(tǒng)目錄下:
%System%\drivers\spoclsv.exe
創(chuàng)建啟動(dòng)項(xiàng):
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"svcshare"="%System%\drivers\spoclsv.exe"
修改注冊(cè)表信息干擾“顯示所有文件和文件夾”設(shè)置:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000000
在各分區(qū)根目錄生成副本:
X:\setup.exe
X:\autorun.inf
autorun.inf內(nèi)容:
[Copy to clipboard]
CODE:
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\Auto\command=setup.exe
嘗試關(guān)閉下列窗口:
QQKav
QQAV
VirusScan
Symantec AntiVirus
Duba
Windows
esteem procs
System Safety Monitor
Wrapped gift Killer
Winsock Expert
msctls_statusbar32
pjf(ustc)
IceSword
結(jié)束一些對(duì)頭的進(jìn)程:
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
KvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl132.exe
禁用一系列服務(wù):
Schedule
sharedaccess
RsCCenter
RsRavMon
RsCCenter
RsRavMon
KVWSC
KVSrvXP
kavsvc
AVP
McAfeeFramework
McShield
McTaskManager
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec Core LC
NPFMntor
MskService
FireSvc
刪除若干安全軟件啟動(dòng)項(xiàng)信息:
RavTask
KvMonXP
kav
KAVPersonal50
McAfeeUpdaterUI
Network Associates Error Reporting Service
ShStatEXE
YLive.exe
yassistse
使用net share命令刪除管理共享:
net share X$ /del /y
net share admin$ /del /y
net share IPC$ /del /y
遍歷目錄,感染除以下系統(tǒng)目錄外其它目錄中的exe、com、scr、pif文件:
X:\WINDOWS
X:\Winnt
X:\System Volume Information
X:\Recycled
%ProgramFiles%\Windows NT
%ProgramFiles%\WindowsUpdate
%ProgramFiles%\Windows Media Player
%ProgramFiles%\Outlook Express
%ProgramFiles%\Internet Explorer
%ProgramFiles%\NetMeeting
%ProgramFiles%\Common Files
%ProgramFiles%\ComPlus Applications
%ProgramFiles%\Messenger
%ProgramFiles%\InstallShield Installation Information
%ProgramFiles%\MSN
%ProgramFiles%\Microsoft Frontpage
%ProgramFiles%\Movie Maker
%ProgramFiles%\MSN Gamin Zone
將自身捆綁在被感染文件前端,并在尾部添加標(biāo)記信息:
QUOTE:
.WhBoy{原文件名}.exe.{原文件大小}.
與之前變種不同的是,這個(gè)病毒體雖然是22886字節(jié),但是捆綁在文件前段的只有22838字節(jié),被感染文件運(yùn)行后會(huì)出錯(cuò),而不會(huì)像之前變種那樣釋放出{原文件名}.exe的原始正常文件。
另外還發(fā)現(xiàn)病毒會(huì)覆蓋少量exe,刪除.gho文件。
病毒還嘗試使用弱密碼訪問(wèn)局域網(wǎng)內(nèi)其它計(jì)算機(jī):
password
harley
golf
pussy
mustang
shadow
fish
qwerty
baseball
letmein
ccc
admin
abc
pass
passwd
database
abcd
abc123
sybase
123qwe
server
computer
super
123asd
ihavenopass
godblessyou
enable
alpha
1234qwer
123abc
aaa
patrick
pat
administrator
root
sex
god
foobar
secret
test
test123
temp
temp123
win
asdf
pwd
qwer
yxcv
zxcv
home
xxx
owner
login
Login
love
mypc
mypc123
admin123
mypass
mypass123
Administrator
Guest
admin
Root
清除步驟
==========
1. 斷開(kāi)網(wǎng)絡(luò)
2. 結(jié)束病毒進(jìn)程
%System%\drivers\spoclsv.exe
3. 刪除病毒文件:
%System%\drivers\spoclsv.exe
4. 右鍵點(diǎn)擊分區(qū)盤(pán)符,點(diǎn)擊右鍵菜單中的“打開(kāi)”進(jìn)入分區(qū)根目錄,刪除根目錄下的文件:
X:\setup.exe
X:\autorun.inf
5. 刪除病毒創(chuàng)建的啟動(dòng)項(xiàng):
[Copy to clipboard]
CODE:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"svcshare"="%System%\drivers\spoclsv.exe"
6. 修改注冊(cè)表設(shè)置,恢復(fù)“顯示所有文件和文件夾”選項(xiàng)功能:
[Copy to clipboard]
CODE:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
7. 修復(fù)或重新安裝反病毒軟件
8. 使用反病毒軟件或?qū)⒐ぞ哌M(jìn)行全盤(pán)掃描,清除恢復(fù)被感染的exe文件
再付個(gè)熊貓燒香的圖標(biāo),我發(fā)的這個(gè)是QQ表情里面的,中毒后的圖標(biāo)和這個(gè)基本一樣,就是熊貓身上沒(méi)有字的:179ab: :179ab: :24ab:
這個(gè)病毒會(huì)殺掉殺毒軟件的所以提供這個(gè)我測(cè)試過(guò)能殺,偶爾會(huì)出現(xiàn)被殺現(xiàn)象 下這個(gè)最新的
毒霸專(zhuān)殺下載
電信用戶(hù)下載
網(wǎng)通用戶(hù)下載
迅雷下載專(zhuān)用地址
相關(guān)文章
RAVFY.EXE,RAVWL.EXE,msdebug.dll,Servere.exe等的清除指南附SREng.EXE
RAVFY.EXE,RAVWL.EXE,msdebug.dll,Servere.exe等的清除指南附SREng.EXE PowerRmv.com unlocker1.8.5.exe打...2007-04-04發(fā)現(xiàn)一篇不錯(cuò)的DLL后門(mén)完全清除技巧
發(fā)現(xiàn)一篇不錯(cuò)的DLL后門(mén)完全清除技巧...2007-08-08“燈泡男”“神奇小子”(Win32.WizardBoy.a)病毒完整解決方案
“燈泡男”“神奇小子”(Win32.WizardBoy.a)病毒完整解決方案...2007-02-02msnet.sys、jet300.dll的簡(jiǎn)單分析與清除辦法
msnet.sys、jet300.dll的簡(jiǎn)單分析與清除辦法...2007-02-02test.exe,vista.exe,a.jpg,Flower.dll病毒分析解決
2008-01-01Windows提示找不到文件“chkfat.exe”的解決方法
Windows提示找不到文件“chkfat.exe”的解決方法...2007-04-04