近日，江民科技發(fā)布緊急病毒警報，一偽裝成“熊貓燒香”圖案的病毒正在瘋狂作案，已有數(shù)十家企業(yè)局域網(wǎng)遭受重創(chuàng)。來自我國不同地區(qū)的企業(yè)向江民反病毒中心舉報，他們公司正在遭受不明病毒攻擊，電腦中所有可執(zhí)行的.exe文件都變成了一種怪異的圖案，該圖案顯示為“熊貓燒香”



中毒癥狀表現(xiàn)為系統(tǒng)藍(lán)屏、頻繁重啟、硬盤數(shù)據(jù)被破壞等等，嚴(yán)重的整個公司局域網(wǎng)內(nèi)所有電腦全部中毒，公司業(yè)務(wù)幾乎陷入停頓。廣東、上海等地區(qū)也出現(xiàn)了類似病毒疫情，江民大客戶技術(shù)服務(wù)部電話響個不停。跡象表明，“熊貓燒香”病毒有集中爆發(fā)可能。






使用熊貓燒香病毒專殺 后恢復(fù)正常
　　江民反病毒工程師分析，該病毒為“威金”蠕蟲病毒新變種，自從去年被截獲以來，已經(jīng)感染了超過30萬臺電腦，幾乎每天都有新變種出現(xiàn)。該病毒可以通過局域網(wǎng)傳播，病毒發(fā)作嚴(yán)重時可導(dǎo)致局域網(wǎng)癱瘓。而值得關(guān)注的是，感染該病毒的多數(shù)是沒有安裝網(wǎng)絡(luò)版殺毒軟件的小型企業(yè)用戶。

　　小企業(yè)局域網(wǎng)成重災(zāi)區(qū)

　　蘇州經(jīng)濟園區(qū)的某企業(yè)高女士說，他們公司是一家金屬制品的中小型公司，這兩天公司的網(wǎng)絡(luò)服務(wù)器突然出現(xiàn)頻繁重啟現(xiàn)象，經(jīng)檢查后發(fā)現(xiàn)，電腦中出現(xiàn)了五個不明文件，所有可執(zhí)行文案都被改成一個奇怪的熊貓燒香圖案，由于服務(wù)器故障，導(dǎo)致整個局域網(wǎng)全部癱瘓。北京某工程公司也出現(xiàn)了類似現(xiàn)象，更糟糕的是他們公司遭受病毒攻擊的是財務(wù)部，整個財務(wù)部8臺電腦頻頻出現(xiàn)藍(lán)屏、死機現(xiàn)象，電腦中同樣出現(xiàn)了“熊貓燒香”的圖案，公司對外財務(wù)結(jié)算完全停頓，總經(jīng)理為此大為光火。

　　資料顯示，我國目前有小企業(yè)1000萬家以上，而近年來盛行的SOHO型家庭式創(chuàng)業(yè)型小公司更是不計其數(shù)，這些企業(yè)由于處于創(chuàng)業(yè)初期，往往在網(wǎng)絡(luò)安全方面沒有設(shè)防，多數(shù)企業(yè)僅靠安裝一套單機版殺毒軟件來防范病毒，由于單機版殺毒軟件無法對威金此類通過局域網(wǎng)傳播的病毒進(jìn)行統(tǒng)一防殺，最終導(dǎo)致局域網(wǎng)內(nèi)病毒屢殺不絕，病毒在通過網(wǎng)絡(luò)在電腦間來回流竄，許多小企業(yè)局域網(wǎng)甚至長期“養(yǎng)”著一種以上的網(wǎng)絡(luò)病毒。

　　江民反病毒工程師介紹，在他們接到的求助企業(yè)中，多數(shù)企業(yè)由于感染病毒導(dǎo)致業(yè)務(wù)不能正常開展，少則一兩小時，多則一兩天無法正常工作，產(chǎn)生的直接和間接損失遠(yuǎn)遠(yuǎn)超過購買一套網(wǎng)絡(luò)版殺毒軟件的價格。

　　單機版及病毒專殺無法殺盡局域網(wǎng)病毒

　　據(jù)調(diào)查，超過70%的中小企業(yè)并不愿意選購網(wǎng)絡(luò)版級的殺毒軟件，而更傾向于單機版殺毒軟件，而其中價格無疑是阻礙小企業(yè)應(yīng)用網(wǎng)絡(luò)版的最大障礙。網(wǎng)絡(luò)版殺毒軟件由于長期應(yīng)用在高端企業(yè)市場，在普通用戶心目中屬于一種“奢侈”的產(chǎn)品，以擁有25臺電腦的小企業(yè)局域網(wǎng)計算，國內(nèi)主流的相同配置的網(wǎng)絡(luò)版殺毒軟件價格在10000到17000元之間，面對高高在上的價格，那些為了創(chuàng)業(yè)省吃儉用的SOHO一族需要下多大的決心才能購買！而更多的小企業(yè)主則在遭到病毒攻擊時，被動地購買一套單機版殺毒軟件應(yīng)急。

　　盡管單機版殺毒軟件甚至免費的專殺工具也能殺掉病毒，但在互聯(lián)互通的局域里，這些殺毒軟件和專殺工具卻往往顧此失彼，通常是這臺機器病毒殺掉了，卻又感染給了另一臺機器，來回反復(fù)，讓網(wǎng)管員疲于應(yīng)付。如果僅僅是幾臺電腦還可能用斷開網(wǎng)線的方式逐臺殺毒，而如果是數(shù)十臺上百臺電腦，對于網(wǎng)管員的來講無疑是一場噩夢。

　　江民反病毒專家介紹，由于單機版并不具備網(wǎng)絡(luò)版殺毒軟件的統(tǒng)一殺毒、統(tǒng)一監(jiān)控、統(tǒng)一設(shè)置、統(tǒng)一升級、遠(yuǎn)程控制等功能，因此在對付局域網(wǎng)病毒上存在先天缺陷，對付通過局域網(wǎng)傳播的網(wǎng)絡(luò)病毒，只能利用網(wǎng)絡(luò)版殺毒軟件進(jìn)行全網(wǎng)統(tǒng)一查殺。
熊貓燒香病毒專殺解決方案

第一步打補?。?a class="vLink1" id="vad_4" onclick="" style="FONT-SIZE: 1em" target="_blank" title="立即下載Firefox2.0瀏覽器 @Vogate.com">下載Firefox，12月份新的帶Google上網(wǎng)工具的Firefox瀏覽器已經(jīng)集成了熊貓燒香病毒的補丁，如果你是電腦高手更應(yīng)該了解，針對IE7的漏洞，最新Firefox已經(jīng)修補了這些補丁。沒有此補丁，殺了病毒還會有，下載后安裝并運行一次，自動安裝此病毒補丁。官方網(wǎng)站 點擊進(jìn)入 點右邊的立即免費的下載按鈕下載。
第二步：下載超級巡警熊貓燒香病毒專殺工具。
下載最新專殺工具：
瑞星最新熊貓燒香專殺工具


點擊下載

江民最新熊貓燒香專殺工具


點擊下載

金山最新熊貓燒香專殺工具


點擊下載

熊貓燒香病毒11月快速蔓延，至今已經(jīng)出現(xiàn)了十幾個變種?？梢娖淦茐姆秶畯V！
含有病毒體的文件被運行后，病毒將自身拷貝至系統(tǒng)目錄，同時修改注冊表將自身設(shè)置為開機啟動項，并遍歷各個驅(qū)動器，將自身寫入磁盤根目錄下，增加一個Autorun.inf文件，使得用戶打開該盤時激活病毒體。隨后病毒體開一個線程進(jìn)行本地文件感染，同時開另外一個線程連接某網(wǎng)站下載ddos程序進(jìn)行發(fā)動惡意攻擊。
超級巡警熊貓燒香專殺工具是目前唯一一款可以查殺所有熊貓燒香變種病毒的工具，實現(xiàn)檢測和清除、修復(fù)感染熊貓燒香病毒的文件，對熊貓燒香的未知變種具備偵測和處理能力，可以處理目前所有的熊貓燒香病毒家族和相關(guān)變種。
Killer (killeruid0.net)
Date:2006-11-20


一、病毒描述：

含有病毒體的文件被運行后，病毒將自身拷貝至系統(tǒng)目錄，同時修改注冊表將自身設(shè)置為開機啟動項，并遍歷各個驅(qū)動器，將自身寫入磁盤根目錄下，增加一個Autorun.inf文件，使得用戶打開該盤時激活病毒體。隨后病毒體開一個線程進(jìn)行本地文件感染，同時開另外一個線程連接某網(wǎng)站下載ddos程序進(jìn)行發(fā)動惡意攻擊。

二、病毒基本情況：

[文件信息]

病毒名: Virus.Win32.EvilPanda.a.ex$
大 小: 0xDA00 (55808), (disk) 0xDA00 (55808)
SHA1 : F0C3DA82E1620701AD2F0C8B531EEBEA0E8AF69D
殼信息: 未知
危害級別：高

病毒名: Flooder.Win32.FloodBots.a.ex$
大 小: 0xE800 (59392), (disk) 0xE800 (59392)
SHA1 : B71A7EF22A36DBE27E3830888DAFC3B2A7D5DA0D
殼信息: UPX 0.89.6 - 1.02 / 1.05 - 1.24
危害級別：高

三、病毒行為：

Virus.Win32.EvilPanda.a.ex$ ：

1、病毒體執(zhí)行后，將自身拷貝到系統(tǒng)目錄：

%SystemRoot%\system32\Fuc kJacks.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Userinit "C:\WIN2K\system32\SVCH0ST.exe"
2、添加注冊表啟動項目確保自身在系統(tǒng)重啟動后被加載：

鍵路徑：HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
鍵名：Fuc kJacks
鍵值："C:\WINDOWS\system32\Fuc kJacks.exe"

鍵路徑：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
鍵名：svohost
鍵值："C:\WINDOWS\system32\Fuc kJacks.exe"

3、拷貝自身到所有驅(qū)動器根目錄，命名為Setup.exe，并生成一個autorun.inf使得用戶打開該盤運行病毒，并將這兩個文件屬性設(shè)置為隱藏、只讀、系統(tǒng)。

C:\autorun.inf 1KB RHS
C:\setup.exe 230KB RHS

4、關(guān)閉眾多殺毒軟件和安全工具。
5、連接*****.3322.org下載某文件，并根據(jù)該文件記錄的地址，去www.****.com下載某ddos程序，下載成功后執(zhí)行該程序。
6、刷新bbs.qq.com，某QQ秀鏈接。
7、循環(huán)遍歷磁盤目錄，感染文件，對關(guān)鍵系統(tǒng)文件跳過，不感染W(wǎng)indows媒體播放器、MSN、IE 等程序。

Flooder.Win32.FloodBots.a.ex$ ：

1、病毒體執(zhí)行后，將自身拷貝到系統(tǒng)目錄：

%SystemRoot%\SVCH0ST.EXE
%SystemRoot%\system32\SVCH0ST.EXE

2、該病毒后下載運行后，添加注冊表啟動項目確保自身在系統(tǒng)重啟動后被加載：

鍵路徑：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
鍵名：Userinit
鍵值："C:\WINDOWS\system32\SVCH0ST.exe"

3、連接ddos2.****.com，獲取攻擊地址列表和攻擊配置，并根據(jù)配置文件，進(jìn)行相應(yīng)的攻擊。

配置文件如下：
www.victim.net:3389
www.victim.net:80
www.victim.com:80
www.victim.net:80
1
1
120
50000
“熊貓燒香”Fuc kJacks.exe的變種，和之前的變種一樣使用白底熊貓燒香圖標(biāo)，病毒運行后復(fù)制自身到系統(tǒng)目錄下：
%System%\drivers\spoclsv.exe

創(chuàng)建啟動項：
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"svcshare"="%System%\drivers\spoclsv.exe"


修改注冊表信息干擾“顯示所有文件和文件夾”設(shè)置：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000000


在各分區(qū)根目錄生成副本：
X:\setup.exe
X:\autorun.inf

autorun.inf內(nèi)容：
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\Auto\command=setup.exe


嘗試關(guān)閉下列窗口：
QQKav
QQAV
VirusScan
Symantec AntiVirus
Duba
Windows
esteem procs
System Safety Monitor
Wrapped gift Killer
Winsock Expert
msctls_statusbar32
pjf(ustc)
IceSword

結(jié)束一些對頭的進(jìn)程：
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
KvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl132.exe

禁用一系列服務(wù)：
Schedule
sharedaccess
RsCCenter
RsRavMon
RsCCenter
RsRavMon
KVWSC
KVSrvXP
kavsvc
AVP
McAfeeFramework
McShield
McTaskManager
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec Core LC
NPFMntor
MskService
FireSvc

刪除若干安全軟件啟動項信息：
RavTask
KvMonXP
kav
KAVPersonal50
McAfeeUpdaterUI
Network Associates Error Reporting Service
ShStatEXE
YLive.exe
yassistse

使用net share命令刪除管理共享：
net share X$ /del /y
net share admin$ /del /y
net share IPC$ /del /y


遍歷目錄，感染除以下系統(tǒng)目錄外其它目錄中的exe、com、scr、pif文件：
X:\WINDOWS
X:\Winnt
X:\System Volume Information
X:\Recycled
%ProgramFiles%\Windows NT
%ProgramFiles%\WindowsUpdate
%ProgramFiles%\Windows Media Player
%ProgramFiles%\Outlook Express
%ProgramFiles%\Internet Explorer
%ProgramFiles%\NetMeeting
%ProgramFiles%\Common Files
%ProgramFiles%\ComPlus Applications
%ProgramFiles%\Messenger
%ProgramFiles%\InstallShield Installation Information
%ProgramFiles%\MSN
%ProgramFiles%\Microsoft Frontpage
%ProgramFiles%\Movie Maker
%ProgramFiles%\MSN Gamin Zone

將自身捆綁在被感染文件前端，并在尾部添加標(biāo)記信息：
.WhBoy{原文件名}.exe.{原文件大小}.


與之前變種不同的是，這個病毒體雖然是22886字節(jié)，但是捆綁在文件前段的只有22838字節(jié)，被感染文件運行后會出錯，而不會像之前變種那樣釋放出{原文件名}.exe的原始正常文件。

另外還發(fā)現(xiàn)病毒會覆蓋少量exe，刪除.gho文件。

病毒還嘗試使用弱密碼訪問局域網(wǎng)內(nèi)其它計算機：
password
harley
golf
pu ssy
mustang
shadow
fish
qwerty
baseball
letmein
ccc
admin
abc
pass
passwd
database
abcd
abc123
sybase
123qwe
server
computer
super
123asd
ihavenopass
godblessyou
enable
alpha
1234qwer
123abc
aaa
patrick
pat
administrator
root
sex
god
foobar
secret
test
test123
temp
temp123
win
asdf
pwd
qwer
yxcv
zxcv
home
xxx
owner
login
Login
love
mypc
mypc123
admin123
mypass
mypass123
Administrator
Guest
admin
Root
清除步驟
==========

1. 斷開網(wǎng)絡(luò)

2. 結(jié)束病毒進(jìn)程
%System%\drivers\spoclsv.exe

3. 刪除病毒文件：
%System%\drivers\spoclsv.exe

4. 右鍵點擊分區(qū)盤符，點擊右鍵菜單中的“打開”進(jìn)入分區(qū)根目錄，刪除根目錄下的文件：
X:\setup.exe
X:\autorun.inf

5. 刪除病毒創(chuàng)建的啟動項：

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"svcshare"="%System%\drivers\spoclsv.exe"

6. 修改注冊表設(shè)置，恢復(fù)“顯示所有文件和文件夾”選項功能：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
7. 修復(fù)或重新安裝反病毒軟件
8. 使用反病毒軟件或?qū)⒐ぞ哌M(jìn)行全盤掃描，清除恢復(fù)被感染的exe文件
四、解決方案：
1、使用超級巡警可以完全清除此病毒和恢復(fù)被感染的文件。
2、推薦在清除時先使用超級巡警的進(jìn)程管理工具結(jié)束病毒程序，否則系統(tǒng)響應(yīng)很慢。
3、中止病毒進(jìn)程和刪除啟動項目

最新評論