熊貓燒香病毒原理、清除/刪除方法及解決方案(附最新專殺工具下載) 原創(chuàng)
原創(chuàng) 更新時間:2007年01月27日 00:00:00 原創(chuàng) 作者:
熊貓燒香病毒專殺 V1.6正式版:
本工具實(shí)現(xiàn)檢測和清除、修復(fù)感染熊貓燒香病毒的文件,對熊貓燒香的未知變種具備偵測和處理能力,可以處理目前所有的熊貓燒香病毒家族和相關(guān)變種。下載地址如下
下載此文件
測試好用,上述軟件有兩個專殺工具,可以交替使用,效果更好.
含有病毒體的文件被運(yùn)行后,病毒將自身拷貝至系統(tǒng)目錄,同時修改注冊表將自身設(shè)置為開機(jī)啟動項,并遍歷各個驅(qū)動器,將自身寫入磁盤根目錄下,增加一個 Autorun.inf文件,使得用戶打開該盤時激活病毒體。隨后病毒體開一個線程進(jìn)行本地文件感染,同時開另外一個線程連接某網(wǎng)站下載ddos程序進(jìn)行發(fā)動惡意攻擊。
超級巡警熊貓燒香專殺工具是目前唯一一款可以查殺所有熊貓燒香變種病毒的工具,實(shí)現(xiàn)檢測和清除、修復(fù)感染熊貓燒香病毒的文件,對熊貓燒香的未知變種具備偵測和處理能力,可以處理目前所有的熊貓燒香病毒家族和相關(guān)變種。
Killer (killer<2>uid0.net)
Date:2006-11-20
一、病毒描述:
含有病毒體的文件被運(yùn)行后,病毒將自身拷貝至系統(tǒng)目錄,同時修改注冊表將自身設(shè)置為開機(jī)啟動項,并遍歷各個驅(qū)動器,將自身寫入磁盤根目錄下,增加一個 Autorun.inf文件,使得用戶打開該盤時激活病毒體。隨后病毒體開一個線程進(jìn)行本地文件感染,同時開另外一個線程連接某網(wǎng)站下載ddos程序進(jìn)行發(fā)動惡意攻擊。
二、病毒基本情況:
[文件信息]
病毒名: Virus.Win32.EvilPanda.a.ex$
大 小: 0xDA00 (55808), (disk) 0xDA00 (55808)
SHA1 : F0C3DA82E1620701AD2F0C8B531EEBEA0E8AF69D
殼信息: 未知
危害級別:高
病毒名: Flooder.Win32.FloodBots.a.ex$
大 小: 0xE800 (59392), (disk) 0xE800 (59392)
SHA1 : B71A7EF22A36DBE27E3830888DAFC3B2A7D5DA0D
殼信息: UPX 0.89.6 - 1.02 / 1.05 - 1.24
危害級別:高
三、病毒行為:
Virus.Win32.EvilPanda.a.ex$ :
1、病毒體執(zhí)行后,將自身拷貝到系統(tǒng)目錄:
%SystemRoot%\system32\FuckJacks.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Userinit "C:\WIN2K\system32\SVCH0ST.exe"
2、添加注冊表啟動項目確保自身在系統(tǒng)重啟動后被加載:
鍵路徑:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
鍵名:FuckJacks
鍵值:"C:\WINDOWS\system32\FuckJacks.exe"
鍵路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
鍵名:svohost
鍵值:"C:\WINDOWS\system32\FuckJacks.exe"
3、拷貝自身到所有驅(qū)動器根目錄,命名為Setup.exe,并生成一個autorun.inf使得用戶打開該盤運(yùn)行病毒,并將這兩個文件屬性設(shè)置為隱藏、只讀、系統(tǒng)。
C:\autorun.inf 1KB RHS
C:\setup.exe 230KB RHS
4、關(guān)閉眾多殺毒軟件和安全工具。
5、連接*****.3322.org下載某文件,并根據(jù)該文件記錄的地址,去www.****.com下載某ddos程序,下載成功后執(zhí)行該程序。
6、刷新bbs.qq.com,某QQ秀鏈接。
7、循環(huán)遍歷磁盤目錄,感染文件,對關(guān)鍵系統(tǒng)文件跳過,不感染W(wǎng)indows媒體播放器、MSN、IE 等程序。
Flooder.Win32.FloodBots.a.ex$ :
1、病毒體執(zhí)行后,將自身拷貝到系統(tǒng)目錄:
%SystemRoot%\SVCH0ST.EXE
%SystemRoot%\system32\SVCH0ST.EXE
2、該病毒后下載運(yùn)行后,添加注冊表啟動項目確保自身在系統(tǒng)重啟動后被加載:
鍵路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
鍵名:Userinit
鍵值:"C:\WINDOWS\system32\SVCH0ST.exe"
3、連接ddos2.****.com,獲取攻擊地址列表和攻擊配置,并根據(jù)配置文件,進(jìn)行相應(yīng)的攻擊。
配置文件如下:
www.victim.net:3389
www.victim.net:80
www.victim.com:80
www.victim.net:80
1
1
120
50000
“熊貓燒香”FuckJacks.exe的變種,和之前的變種一樣使用白底熊貓燒香圖標(biāo),病毒運(yùn)行后復(fù)制自身到系統(tǒng)目錄下:
%System%\drivers\spoclsv.exe
創(chuàng)建啟動項:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"svcshare"="%System%\drivers\spoclsv.exe"
修改注冊表信息干擾“顯示所有文件和文件夾”設(shè)置:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000000
在各分區(qū)根目錄生成副本:
X:\setup.exe
X:\autorun.inf
autorun.inf內(nèi)容:
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\Auto\command=setup.exe
嘗試關(guān)閉下列窗口:
QQKav
QQAV
VirusScan
Symantec AntiVirus
Duba
Windows
esteem procs
System Safety Monitor
Wrapped gift Killer
Winsock Expert
msctls_statusbar32
pjf(ustc)
IceSword
結(jié)束一些對頭的進(jìn)程:
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
KvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl132.exe
禁用一系列服務(wù):
Schedule
sharedaccess
RsCCenter
RsRavMon
RsCCenter
RsRavMon
KVWSC
KVSrvXP
kavsvc
AVP
McAfeeFramework
McShield
McTaskManager
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec Core LC
NPFMntor
MskService
FireSvc
刪除若干安全軟件啟動項信息:
RavTask
KvMonXP
kav
KAVPersonal50
McAfeeUpdaterUI
Network Associates Error Reporting Service
ShStatEXE
YLive.exe
yassistse
使用net share命令刪除管理共享:
net share X$ /del /y
net share admin$ /del /y
net share IPC$ /del /y
遍歷目錄,感染除以下系統(tǒng)目錄外其它目錄中的exe、com、scr、pif文件:
X:\WINDOWS
X:\Winnt
X:\System Volume Information
X:\Recycled
%ProgramFiles%\Windows NT
%ProgramFiles%\WindowsUpdate
%ProgramFiles%\Windows Media Player
%ProgramFiles%\Outlook Express
%ProgramFiles%\Internet Explorer
%ProgramFiles%\NetMeeting
%ProgramFiles%\Common Files
%ProgramFiles%\ComPlus Applications
%ProgramFiles%\Messenger
%ProgramFiles%\InstallShield Installation Information
%ProgramFiles%\MSN
%ProgramFiles%\Microsoft Frontpage
%ProgramFiles%\Movie Maker
%ProgramFiles%\MSN Gamin Zone
將自身捆綁在被感染文件前端,并在尾部添加標(biāo)記信息:
.WhBoy{原文件名}.exe.{原文件大小}.
與之前變種不同的是,這個病毒體雖然是22886字節(jié),但是捆綁在文件前段的只有22838字節(jié),被感染文件運(yùn)行后會出錯,而不會像之前變種那樣釋放出{原文件名}.exe的原始正常文件。
另外還發(fā)現(xiàn)病毒會覆蓋少量exe,刪除.gho文件。
病毒還嘗試使用弱密碼訪問局域網(wǎng)內(nèi)其它計算機(jī):
password
harley
golf
pussy
mustang
shadow
fish
qwerty
baseball
letmein
ccc
admin
abc
pass
passwd
database
abcd
abc123
sybase
123qwe
server
computer
super
123asd
ihavenopass
godblessyou
enable
alpha
1234qwer
123abc
aaa
patrick
pat
administrator
root
sex
god
foobar
secret
test
test123
temp
temp123
win
asdf
pwd
qwer
yxcv
zxcv
home
xxx
owner
login
Login
love
mypc
mypc123
admin123
mypass
mypass123
Administrator
Guest
admin
Root
清除步驟
==========
1. 斷開網(wǎng)絡(luò)
2. 結(jié)束病毒進(jìn)程
%System%\drivers\spoclsv.exe
3. 刪除病毒文件:
%System%\drivers\spoclsv.exe
4. 右鍵點(diǎn)擊分區(qū)盤符,點(diǎn)擊右鍵菜單中的“打開”進(jìn)入分區(qū)根目錄,刪除根目錄下的文件:
X:\setup.exe
X:\autorun.inf
5. 刪除病毒創(chuàng)建的啟動項:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"svcshare"="%System%\drivers\spoclsv.exe"
6. 修改注冊表設(shè)置,恢復(fù)“顯示所有文件和文件夾”選項功能:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
7. 修復(fù)或重新安裝反病毒軟件
8. 使用反病毒軟件或?qū)⒐ぞ哌M(jìn)行全盤掃描,清除恢復(fù)被感染的exe文件
四、解決方案:
1、使用超級巡警可以完全清除此病毒和恢復(fù)被感染的文件。
2、推薦在清除時先使用超級巡警的進(jìn)程管理工具結(jié)束病毒程序,否則系統(tǒng)響應(yīng)很慢。
3、中止病毒進(jìn)程和刪除啟動項目請看論壇相關(guān)圖片。
本工具實(shí)現(xiàn)檢測和清除、修復(fù)感染熊貓燒香病毒的文件,對熊貓燒香的未知變種具備偵測和處理能力,可以處理目前所有的熊貓燒香病毒家族和相關(guān)變種。下載地址如下

測試好用,上述軟件有兩個專殺工具,可以交替使用,效果更好.
含有病毒體的文件被運(yùn)行后,病毒將自身拷貝至系統(tǒng)目錄,同時修改注冊表將自身設(shè)置為開機(jī)啟動項,并遍歷各個驅(qū)動器,將自身寫入磁盤根目錄下,增加一個 Autorun.inf文件,使得用戶打開該盤時激活病毒體。隨后病毒體開一個線程進(jìn)行本地文件感染,同時開另外一個線程連接某網(wǎng)站下載ddos程序進(jìn)行發(fā)動惡意攻擊。
超級巡警熊貓燒香專殺工具是目前唯一一款可以查殺所有熊貓燒香變種病毒的工具,實(shí)現(xiàn)檢測和清除、修復(fù)感染熊貓燒香病毒的文件,對熊貓燒香的未知變種具備偵測和處理能力,可以處理目前所有的熊貓燒香病毒家族和相關(guān)變種。
Killer (killer<2>uid0.net)
Date:2006-11-20
一、病毒描述:
含有病毒體的文件被運(yùn)行后,病毒將自身拷貝至系統(tǒng)目錄,同時修改注冊表將自身設(shè)置為開機(jī)啟動項,并遍歷各個驅(qū)動器,將自身寫入磁盤根目錄下,增加一個 Autorun.inf文件,使得用戶打開該盤時激活病毒體。隨后病毒體開一個線程進(jìn)行本地文件感染,同時開另外一個線程連接某網(wǎng)站下載ddos程序進(jìn)行發(fā)動惡意攻擊。
二、病毒基本情況:
[文件信息]
病毒名: Virus.Win32.EvilPanda.a.ex$
大 小: 0xDA00 (55808), (disk) 0xDA00 (55808)
SHA1 : F0C3DA82E1620701AD2F0C8B531EEBEA0E8AF69D
殼信息: 未知
危害級別:高
病毒名: Flooder.Win32.FloodBots.a.ex$
大 小: 0xE800 (59392), (disk) 0xE800 (59392)
SHA1 : B71A7EF22A36DBE27E3830888DAFC3B2A7D5DA0D
殼信息: UPX 0.89.6 - 1.02 / 1.05 - 1.24
危害級別:高
三、病毒行為:
Virus.Win32.EvilPanda.a.ex$ :
1、病毒體執(zhí)行后,將自身拷貝到系統(tǒng)目錄:
%SystemRoot%\system32\FuckJacks.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Userinit "C:\WIN2K\system32\SVCH0ST.exe"
2、添加注冊表啟動項目確保自身在系統(tǒng)重啟動后被加載:
鍵路徑:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
鍵名:FuckJacks
鍵值:"C:\WINDOWS\system32\FuckJacks.exe"
鍵路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
鍵名:svohost
鍵值:"C:\WINDOWS\system32\FuckJacks.exe"
3、拷貝自身到所有驅(qū)動器根目錄,命名為Setup.exe,并生成一個autorun.inf使得用戶打開該盤運(yùn)行病毒,并將這兩個文件屬性設(shè)置為隱藏、只讀、系統(tǒng)。
C:\autorun.inf 1KB RHS
C:\setup.exe 230KB RHS
4、關(guān)閉眾多殺毒軟件和安全工具。
5、連接*****.3322.org下載某文件,并根據(jù)該文件記錄的地址,去www.****.com下載某ddos程序,下載成功后執(zhí)行該程序。
6、刷新bbs.qq.com,某QQ秀鏈接。
7、循環(huán)遍歷磁盤目錄,感染文件,對關(guān)鍵系統(tǒng)文件跳過,不感染W(wǎng)indows媒體播放器、MSN、IE 等程序。
Flooder.Win32.FloodBots.a.ex$ :
1、病毒體執(zhí)行后,將自身拷貝到系統(tǒng)目錄:
%SystemRoot%\SVCH0ST.EXE
%SystemRoot%\system32\SVCH0ST.EXE
2、該病毒后下載運(yùn)行后,添加注冊表啟動項目確保自身在系統(tǒng)重啟動后被加載:
鍵路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
鍵名:Userinit
鍵值:"C:\WINDOWS\system32\SVCH0ST.exe"
3、連接ddos2.****.com,獲取攻擊地址列表和攻擊配置,并根據(jù)配置文件,進(jìn)行相應(yīng)的攻擊。
配置文件如下:
www.victim.net:3389
www.victim.net:80
www.victim.com:80
www.victim.net:80
1
1
120
50000
“熊貓燒香”FuckJacks.exe的變種,和之前的變種一樣使用白底熊貓燒香圖標(biāo),病毒運(yùn)行后復(fù)制自身到系統(tǒng)目錄下:
%System%\drivers\spoclsv.exe
創(chuàng)建啟動項:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"svcshare"="%System%\drivers\spoclsv.exe"
修改注冊表信息干擾“顯示所有文件和文件夾”設(shè)置:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000000
在各分區(qū)根目錄生成副本:
X:\setup.exe
X:\autorun.inf
autorun.inf內(nèi)容:
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\Auto\command=setup.exe
嘗試關(guān)閉下列窗口:
QQKav
QQAV
VirusScan
Symantec AntiVirus
Duba
Windows
esteem procs
System Safety Monitor
Wrapped gift Killer
Winsock Expert
msctls_statusbar32
pjf(ustc)
IceSword
結(jié)束一些對頭的進(jìn)程:
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
KvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl132.exe
禁用一系列服務(wù):
Schedule
sharedaccess
RsCCenter
RsRavMon
RsCCenter
RsRavMon
KVWSC
KVSrvXP
kavsvc
AVP
McAfeeFramework
McShield
McTaskManager
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec Core LC
NPFMntor
MskService
FireSvc
刪除若干安全軟件啟動項信息:
RavTask
KvMonXP
kav
KAVPersonal50
McAfeeUpdaterUI
Network Associates Error Reporting Service
ShStatEXE
YLive.exe
yassistse
使用net share命令刪除管理共享:
net share X$ /del /y
net share admin$ /del /y
net share IPC$ /del /y
遍歷目錄,感染除以下系統(tǒng)目錄外其它目錄中的exe、com、scr、pif文件:
X:\WINDOWS
X:\Winnt
X:\System Volume Information
X:\Recycled
%ProgramFiles%\Windows NT
%ProgramFiles%\WindowsUpdate
%ProgramFiles%\Windows Media Player
%ProgramFiles%\Outlook Express
%ProgramFiles%\Internet Explorer
%ProgramFiles%\NetMeeting
%ProgramFiles%\Common Files
%ProgramFiles%\ComPlus Applications
%ProgramFiles%\Messenger
%ProgramFiles%\InstallShield Installation Information
%ProgramFiles%\MSN
%ProgramFiles%\Microsoft Frontpage
%ProgramFiles%\Movie Maker
%ProgramFiles%\MSN Gamin Zone
將自身捆綁在被感染文件前端,并在尾部添加標(biāo)記信息:
.WhBoy{原文件名}.exe.{原文件大小}.
與之前變種不同的是,這個病毒體雖然是22886字節(jié),但是捆綁在文件前段的只有22838字節(jié),被感染文件運(yùn)行后會出錯,而不會像之前變種那樣釋放出{原文件名}.exe的原始正常文件。
另外還發(fā)現(xiàn)病毒會覆蓋少量exe,刪除.gho文件。
病毒還嘗試使用弱密碼訪問局域網(wǎng)內(nèi)其它計算機(jī):
password
harley
golf
pussy
mustang
shadow
fish
qwerty
baseball
letmein
ccc
admin
abc
pass
passwd
database
abcd
abc123
sybase
123qwe
server
computer
super
123asd
ihavenopass
godblessyou
enable
alpha
1234qwer
123abc
aaa
patrick
pat
administrator
root
sex
god
foobar
secret
test
test123
temp
temp123
win
asdf
pwd
qwer
yxcv
zxcv
home
xxx
owner
login
Login
love
mypc
mypc123
admin123
mypass
mypass123
Administrator
Guest
admin
Root
清除步驟
==========
1. 斷開網(wǎng)絡(luò)
2. 結(jié)束病毒進(jìn)程
%System%\drivers\spoclsv.exe
3. 刪除病毒文件:
%System%\drivers\spoclsv.exe
4. 右鍵點(diǎn)擊分區(qū)盤符,點(diǎn)擊右鍵菜單中的“打開”進(jìn)入分區(qū)根目錄,刪除根目錄下的文件:
X:\setup.exe
X:\autorun.inf
5. 刪除病毒創(chuàng)建的啟動項:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"svcshare"="%System%\drivers\spoclsv.exe"
6. 修改注冊表設(shè)置,恢復(fù)“顯示所有文件和文件夾”選項功能:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
7. 修復(fù)或重新安裝反病毒軟件
8. 使用反病毒軟件或?qū)⒐ぞ哌M(jìn)行全盤掃描,清除恢復(fù)被感染的exe文件
四、解決方案:
1、使用超級巡警可以完全清除此病毒和恢復(fù)被感染的文件。
2、推薦在清除時先使用超級巡警的進(jìn)程管理工具結(jié)束病毒程序,否則系統(tǒng)響應(yīng)很慢。
3、中止病毒進(jìn)程和刪除啟動項目請看論壇相關(guān)圖片。
相關(guān)文章
詳細(xì)解說iexplore.exe是進(jìn)程還是病毒不知所云
詳細(xì)解說iexplore.exe是進(jìn)程還是病毒不知所云...2007-01-01winfoams.dll,auto.exe,450381EC.EXE病毒的手動清除方法
winfoams.dll,auto.exe,450381EC.EXE病毒的手動清除方法...2007-10-10