熊貓燒香病毒原理、清除/刪除方法及解決方案(附最新專殺工具下載) 原創(chuàng)
原創(chuàng) 更新時(shí)間:2007年01月27日 00:00:00 原創(chuàng) 作者:
熊貓燒香病毒專殺 V1.6正式版:
本工具實(shí)現(xiàn)檢測(cè)和清除、修復(fù)感染熊貓燒香病毒的文件,對(duì)熊貓燒香的未知變種具備偵測(cè)和處理能力,可以處理目前所有的熊貓燒香病毒家族和相關(guān)變種。下載地址如下
下載此文件
測(cè)試好用,上述軟件有兩個(gè)專殺工具,可以交替使用,效果更好.
含有病毒體的文件被運(yùn)行后,病毒將自身拷貝至系統(tǒng)目錄,同時(shí)修改注冊(cè)表將自身設(shè)置為開機(jī)啟動(dòng)項(xiàng),并遍歷各個(gè)驅(qū)動(dòng)器,將自身寫入磁盤根目錄下,增加一個(gè) Autorun.inf文件,使得用戶打開該盤時(shí)激活病毒體。隨后病毒體開一個(gè)線程進(jìn)行本地文件感染,同時(shí)開另外一個(gè)線程連接某網(wǎng)站下載ddos程序進(jìn)行發(fā)動(dòng)惡意攻擊。
超級(jí)巡警熊貓燒香專殺工具是目前唯一一款可以查殺所有熊貓燒香變種病毒的工具,實(shí)現(xiàn)檢測(cè)和清除、修復(fù)感染熊貓燒香病毒的文件,對(duì)熊貓燒香的未知變種具備偵測(cè)和處理能力,可以處理目前所有的熊貓燒香病毒家族和相關(guān)變種。
Killer (killer<2>uid0.net)
Date:2006-11-20
一、病毒描述:
含有病毒體的文件被運(yùn)行后,病毒將自身拷貝至系統(tǒng)目錄,同時(shí)修改注冊(cè)表將自身設(shè)置為開機(jī)啟動(dòng)項(xiàng),并遍歷各個(gè)驅(qū)動(dòng)器,將自身寫入磁盤根目錄下,增加一個(gè) Autorun.inf文件,使得用戶打開該盤時(shí)激活病毒體。隨后病毒體開一個(gè)線程進(jìn)行本地文件感染,同時(shí)開另外一個(gè)線程連接某網(wǎng)站下載ddos程序進(jìn)行發(fā)動(dòng)惡意攻擊。
二、病毒基本情況:
[文件信息]
病毒名: Virus.Win32.EvilPanda.a.ex$
大 小: 0xDA00 (55808), (disk) 0xDA00 (55808)
SHA1 : F0C3DA82E1620701AD2F0C8B531EEBEA0E8AF69D
殼信息: 未知
危害級(jí)別:高
病毒名: Flooder.Win32.FloodBots.a.ex$
大 小: 0xE800 (59392), (disk) 0xE800 (59392)
SHA1 : B71A7EF22A36DBE27E3830888DAFC3B2A7D5DA0D
殼信息: UPX 0.89.6 - 1.02 / 1.05 - 1.24
危害級(jí)別:高
三、病毒行為:
Virus.Win32.EvilPanda.a.ex$ :
1、病毒體執(zhí)行后,將自身拷貝到系統(tǒng)目錄:
%SystemRoot%\system32\FuckJacks.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Userinit "C:\WIN2K\system32\SVCH0ST.exe"
2、添加注冊(cè)表啟動(dòng)項(xiàng)目確保自身在系統(tǒng)重啟動(dòng)后被加載:
鍵路徑:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
鍵名:FuckJacks
鍵值:"C:\WINDOWS\system32\FuckJacks.exe"
鍵路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
鍵名:svohost
鍵值:"C:\WINDOWS\system32\FuckJacks.exe"
3、拷貝自身到所有驅(qū)動(dòng)器根目錄,命名為Setup.exe,并生成一個(gè)autorun.inf使得用戶打開該盤運(yùn)行病毒,并將這兩個(gè)文件屬性設(shè)置為隱藏、只讀、系統(tǒng)。
C:\autorun.inf 1KB RHS
C:\setup.exe 230KB RHS
4、關(guān)閉眾多殺毒軟件和安全工具。
5、連接*****.3322.org下載某文件,并根據(jù)該文件記錄的地址,去www.****.com下載某ddos程序,下載成功后執(zhí)行該程序。
6、刷新bbs.qq.com,某QQ秀鏈接。
7、循環(huán)遍歷磁盤目錄,感染文件,對(duì)關(guān)鍵系統(tǒng)文件跳過,不感染W(wǎng)indows媒體播放器、MSN、IE 等程序。
Flooder.Win32.FloodBots.a.ex$ :
1、病毒體執(zhí)行后,將自身拷貝到系統(tǒng)目錄:
%SystemRoot%\SVCH0ST.EXE
%SystemRoot%\system32\SVCH0ST.EXE
2、該病毒后下載運(yùn)行后,添加注冊(cè)表啟動(dòng)項(xiàng)目確保自身在系統(tǒng)重啟動(dòng)后被加載:
鍵路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
鍵名:Userinit
鍵值:"C:\WINDOWS\system32\SVCH0ST.exe"
3、連接ddos2.****.com,獲取攻擊地址列表和攻擊配置,并根據(jù)配置文件,進(jìn)行相應(yīng)的攻擊。
配置文件如下:
www.victim.net:3389
www.victim.net:80
www.victim.com:80
www.victim.net:80
1
1
120
50000
“熊貓燒香”FuckJacks.exe的變種,和之前的變種一樣使用白底熊貓燒香圖標(biāo),病毒運(yùn)行后復(fù)制自身到系統(tǒng)目錄下:
%System%\drivers\spoclsv.exe
創(chuàng)建啟動(dòng)項(xiàng):
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"svcshare"="%System%\drivers\spoclsv.exe"
修改注冊(cè)表信息干擾“顯示所有文件和文件夾”設(shè)置:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000000
在各分區(qū)根目錄生成副本:
X:\setup.exe
X:\autorun.inf
autorun.inf內(nèi)容:
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\Auto\command=setup.exe
嘗試關(guān)閉下列窗口:
QQKav
QQAV
VirusScan
Symantec AntiVirus
Duba
Windows
esteem procs
System Safety Monitor
Wrapped gift Killer
Winsock Expert
msctls_statusbar32
pjf(ustc)
IceSword
結(jié)束一些對(duì)頭的進(jìn)程:
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
KvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl132.exe
禁用一系列服務(wù):
Schedule
sharedaccess
RsCCenter
RsRavMon
RsCCenter
RsRavMon
KVWSC
KVSrvXP
kavsvc
AVP
McAfeeFramework
McShield
McTaskManager
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec Core LC
NPFMntor
MskService
FireSvc
刪除若干安全軟件啟動(dòng)項(xiàng)信息:
RavTask
KvMonXP
kav
KAVPersonal50
McAfeeUpdaterUI
Network Associates Error Reporting Service
ShStatEXE
YLive.exe
yassistse
使用net share命令刪除管理共享:
net share X$ /del /y
net share admin$ /del /y
net share IPC$ /del /y
遍歷目錄,感染除以下系統(tǒng)目錄外其它目錄中的exe、com、scr、pif文件:
X:\WINDOWS
X:\Winnt
X:\System Volume Information
X:\Recycled
%ProgramFiles%\Windows NT
%ProgramFiles%\WindowsUpdate
%ProgramFiles%\Windows Media Player
%ProgramFiles%\Outlook Express
%ProgramFiles%\Internet Explorer
%ProgramFiles%\NetMeeting
%ProgramFiles%\Common Files
%ProgramFiles%\ComPlus Applications
%ProgramFiles%\Messenger
%ProgramFiles%\InstallShield Installation Information
%ProgramFiles%\MSN
%ProgramFiles%\Microsoft Frontpage
%ProgramFiles%\Movie Maker
%ProgramFiles%\MSN Gamin Zone
將自身捆綁在被感染文件前端,并在尾部添加標(biāo)記信息:
.WhBoy{原文件名}.exe.{原文件大小}.
與之前變種不同的是,這個(gè)病毒體雖然是22886字節(jié),但是捆綁在文件前段的只有22838字節(jié),被感染文件運(yùn)行后會(huì)出錯(cuò),而不會(huì)像之前變種那樣釋放出{原文件名}.exe的原始正常文件。
另外還發(fā)現(xiàn)病毒會(huì)覆蓋少量exe,刪除.gho文件。
病毒還嘗試使用弱密碼訪問局域網(wǎng)內(nèi)其它計(jì)算機(jī):
password
harley
golf
pussy
mustang
shadow
fish
qwerty
baseball
letmein
ccc
admin
abc
pass
passwd
database
abcd
abc123
sybase
123qwe
server
computer
super
123asd
ihavenopass
godblessyou
enable
alpha
1234qwer
123abc
aaa
patrick
pat
administrator
root
sex
god
foobar
secret
test
test123
temp
temp123
win
asdf
pwd
qwer
yxcv
zxcv
home
xxx
owner
login
Login
love
mypc
mypc123
admin123
mypass
mypass123
Administrator
Guest
admin
Root
清除步驟
==========
1. 斷開網(wǎng)絡(luò)
2. 結(jié)束病毒進(jìn)程
%System%\drivers\spoclsv.exe
3. 刪除病毒文件:
%System%\drivers\spoclsv.exe
4. 右鍵點(diǎn)擊分區(qū)盤符,點(diǎn)擊右鍵菜單中的“打開”進(jìn)入分區(qū)根目錄,刪除根目錄下的文件:
X:\setup.exe
X:\autorun.inf
5. 刪除病毒創(chuàng)建的啟動(dòng)項(xiàng):
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"svcshare"="%System%\drivers\spoclsv.exe"
6. 修改注冊(cè)表設(shè)置,恢復(fù)“顯示所有文件和文件夾”選項(xiàng)功能:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
7. 修復(fù)或重新安裝反病毒軟件
8. 使用反病毒軟件或?qū)⒐ぞ哌M(jìn)行全盤掃描,清除恢復(fù)被感染的exe文件
四、解決方案:
1、使用超級(jí)巡警可以完全清除此病毒和恢復(fù)被感染的文件。
2、推薦在清除時(shí)先使用超級(jí)巡警的進(jìn)程管理工具結(jié)束病毒程序,否則系統(tǒng)響應(yīng)很慢。
3、中止病毒進(jìn)程和刪除啟動(dòng)項(xiàng)目請(qǐng)看論壇相關(guān)圖片。
本工具實(shí)現(xiàn)檢測(cè)和清除、修復(fù)感染熊貓燒香病毒的文件,對(duì)熊貓燒香的未知變種具備偵測(cè)和處理能力,可以處理目前所有的熊貓燒香病毒家族和相關(guān)變種。下載地址如下

測(cè)試好用,上述軟件有兩個(gè)專殺工具,可以交替使用,效果更好.
含有病毒體的文件被運(yùn)行后,病毒將自身拷貝至系統(tǒng)目錄,同時(shí)修改注冊(cè)表將自身設(shè)置為開機(jī)啟動(dòng)項(xiàng),并遍歷各個(gè)驅(qū)動(dòng)器,將自身寫入磁盤根目錄下,增加一個(gè) Autorun.inf文件,使得用戶打開該盤時(shí)激活病毒體。隨后病毒體開一個(gè)線程進(jìn)行本地文件感染,同時(shí)開另外一個(gè)線程連接某網(wǎng)站下載ddos程序進(jìn)行發(fā)動(dòng)惡意攻擊。
超級(jí)巡警熊貓燒香專殺工具是目前唯一一款可以查殺所有熊貓燒香變種病毒的工具,實(shí)現(xiàn)檢測(cè)和清除、修復(fù)感染熊貓燒香病毒的文件,對(duì)熊貓燒香的未知變種具備偵測(cè)和處理能力,可以處理目前所有的熊貓燒香病毒家族和相關(guān)變種。
Killer (killer<2>uid0.net)
Date:2006-11-20
一、病毒描述:
含有病毒體的文件被運(yùn)行后,病毒將自身拷貝至系統(tǒng)目錄,同時(shí)修改注冊(cè)表將自身設(shè)置為開機(jī)啟動(dòng)項(xiàng),并遍歷各個(gè)驅(qū)動(dòng)器,將自身寫入磁盤根目錄下,增加一個(gè) Autorun.inf文件,使得用戶打開該盤時(shí)激活病毒體。隨后病毒體開一個(gè)線程進(jìn)行本地文件感染,同時(shí)開另外一個(gè)線程連接某網(wǎng)站下載ddos程序進(jìn)行發(fā)動(dòng)惡意攻擊。
二、病毒基本情況:
[文件信息]
病毒名: Virus.Win32.EvilPanda.a.ex$
大 小: 0xDA00 (55808), (disk) 0xDA00 (55808)
SHA1 : F0C3DA82E1620701AD2F0C8B531EEBEA0E8AF69D
殼信息: 未知
危害級(jí)別:高
病毒名: Flooder.Win32.FloodBots.a.ex$
大 小: 0xE800 (59392), (disk) 0xE800 (59392)
SHA1 : B71A7EF22A36DBE27E3830888DAFC3B2A7D5DA0D
殼信息: UPX 0.89.6 - 1.02 / 1.05 - 1.24
危害級(jí)別:高
三、病毒行為:
Virus.Win32.EvilPanda.a.ex$ :
1、病毒體執(zhí)行后,將自身拷貝到系統(tǒng)目錄:
%SystemRoot%\system32\FuckJacks.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Userinit "C:\WIN2K\system32\SVCH0ST.exe"
2、添加注冊(cè)表啟動(dòng)項(xiàng)目確保自身在系統(tǒng)重啟動(dòng)后被加載:
鍵路徑:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
鍵名:FuckJacks
鍵值:"C:\WINDOWS\system32\FuckJacks.exe"
鍵路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
鍵名:svohost
鍵值:"C:\WINDOWS\system32\FuckJacks.exe"
3、拷貝自身到所有驅(qū)動(dòng)器根目錄,命名為Setup.exe,并生成一個(gè)autorun.inf使得用戶打開該盤運(yùn)行病毒,并將這兩個(gè)文件屬性設(shè)置為隱藏、只讀、系統(tǒng)。
C:\autorun.inf 1KB RHS
C:\setup.exe 230KB RHS
4、關(guān)閉眾多殺毒軟件和安全工具。
5、連接*****.3322.org下載某文件,并根據(jù)該文件記錄的地址,去www.****.com下載某ddos程序,下載成功后執(zhí)行該程序。
6、刷新bbs.qq.com,某QQ秀鏈接。
7、循環(huán)遍歷磁盤目錄,感染文件,對(duì)關(guān)鍵系統(tǒng)文件跳過,不感染W(wǎng)indows媒體播放器、MSN、IE 等程序。
Flooder.Win32.FloodBots.a.ex$ :
1、病毒體執(zhí)行后,將自身拷貝到系統(tǒng)目錄:
%SystemRoot%\SVCH0ST.EXE
%SystemRoot%\system32\SVCH0ST.EXE
2、該病毒后下載運(yùn)行后,添加注冊(cè)表啟動(dòng)項(xiàng)目確保自身在系統(tǒng)重啟動(dòng)后被加載:
鍵路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
鍵名:Userinit
鍵值:"C:\WINDOWS\system32\SVCH0ST.exe"
3、連接ddos2.****.com,獲取攻擊地址列表和攻擊配置,并根據(jù)配置文件,進(jìn)行相應(yīng)的攻擊。
配置文件如下:
www.victim.net:3389
www.victim.net:80
www.victim.com:80
www.victim.net:80
1
1
120
50000
“熊貓燒香”FuckJacks.exe的變種,和之前的變種一樣使用白底熊貓燒香圖標(biāo),病毒運(yùn)行后復(fù)制自身到系統(tǒng)目錄下:
%System%\drivers\spoclsv.exe
創(chuàng)建啟動(dòng)項(xiàng):
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"svcshare"="%System%\drivers\spoclsv.exe"
修改注冊(cè)表信息干擾“顯示所有文件和文件夾”設(shè)置:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000000
在各分區(qū)根目錄生成副本:
X:\setup.exe
X:\autorun.inf
autorun.inf內(nèi)容:
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\Auto\command=setup.exe
嘗試關(guān)閉下列窗口:
QQKav
QQAV
VirusScan
Symantec AntiVirus
Duba
Windows
esteem procs
System Safety Monitor
Wrapped gift Killer
Winsock Expert
msctls_statusbar32
pjf(ustc)
IceSword
結(jié)束一些對(duì)頭的進(jìn)程:
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
KvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl132.exe
禁用一系列服務(wù):
Schedule
sharedaccess
RsCCenter
RsRavMon
RsCCenter
RsRavMon
KVWSC
KVSrvXP
kavsvc
AVP
McAfeeFramework
McShield
McTaskManager
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec Core LC
NPFMntor
MskService
FireSvc
刪除若干安全軟件啟動(dòng)項(xiàng)信息:
RavTask
KvMonXP
kav
KAVPersonal50
McAfeeUpdaterUI
Network Associates Error Reporting Service
ShStatEXE
YLive.exe
yassistse
使用net share命令刪除管理共享:
net share X$ /del /y
net share admin$ /del /y
net share IPC$ /del /y
遍歷目錄,感染除以下系統(tǒng)目錄外其它目錄中的exe、com、scr、pif文件:
X:\WINDOWS
X:\Winnt
X:\System Volume Information
X:\Recycled
%ProgramFiles%\Windows NT
%ProgramFiles%\WindowsUpdate
%ProgramFiles%\Windows Media Player
%ProgramFiles%\Outlook Express
%ProgramFiles%\Internet Explorer
%ProgramFiles%\NetMeeting
%ProgramFiles%\Common Files
%ProgramFiles%\ComPlus Applications
%ProgramFiles%\Messenger
%ProgramFiles%\InstallShield Installation Information
%ProgramFiles%\MSN
%ProgramFiles%\Microsoft Frontpage
%ProgramFiles%\Movie Maker
%ProgramFiles%\MSN Gamin Zone
將自身捆綁在被感染文件前端,并在尾部添加標(biāo)記信息:
.WhBoy{原文件名}.exe.{原文件大小}.
與之前變種不同的是,這個(gè)病毒體雖然是22886字節(jié),但是捆綁在文件前段的只有22838字節(jié),被感染文件運(yùn)行后會(huì)出錯(cuò),而不會(huì)像之前變種那樣釋放出{原文件名}.exe的原始正常文件。
另外還發(fā)現(xiàn)病毒會(huì)覆蓋少量exe,刪除.gho文件。
病毒還嘗試使用弱密碼訪問局域網(wǎng)內(nèi)其它計(jì)算機(jī):
password
harley
golf
pussy
mustang
shadow
fish
qwerty
baseball
letmein
ccc
admin
abc
pass
passwd
database
abcd
abc123
sybase
123qwe
server
computer
super
123asd
ihavenopass
godblessyou
enable
alpha
1234qwer
123abc
aaa
patrick
pat
administrator
root
sex
god
foobar
secret
test
test123
temp
temp123
win
asdf
pwd
qwer
yxcv
zxcv
home
xxx
owner
login
Login
love
mypc
mypc123
admin123
mypass
mypass123
Administrator
Guest
admin
Root
清除步驟
==========
1. 斷開網(wǎng)絡(luò)
2. 結(jié)束病毒進(jìn)程
%System%\drivers\spoclsv.exe
3. 刪除病毒文件:
%System%\drivers\spoclsv.exe
4. 右鍵點(diǎn)擊分區(qū)盤符,點(diǎn)擊右鍵菜單中的“打開”進(jìn)入分區(qū)根目錄,刪除根目錄下的文件:
X:\setup.exe
X:\autorun.inf
5. 刪除病毒創(chuàng)建的啟動(dòng)項(xiàng):
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"svcshare"="%System%\drivers\spoclsv.exe"
6. 修改注冊(cè)表設(shè)置,恢復(fù)“顯示所有文件和文件夾”選項(xiàng)功能:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
7. 修復(fù)或重新安裝反病毒軟件
8. 使用反病毒軟件或?qū)⒐ぞ哌M(jìn)行全盤掃描,清除恢復(fù)被感染的exe文件
四、解決方案:
1、使用超級(jí)巡警可以完全清除此病毒和恢復(fù)被感染的文件。
2、推薦在清除時(shí)先使用超級(jí)巡警的進(jìn)程管理工具結(jié)束病毒程序,否則系統(tǒng)響應(yīng)很慢。
3、中止病毒進(jìn)程和刪除啟動(dòng)項(xiàng)目請(qǐng)看論壇相關(guān)圖片。
相關(guān)文章
詳細(xì)解說iexplore.exe是進(jìn)程還是病毒不知所云
詳細(xì)解說iexplore.exe是進(jìn)程還是病毒不知所云...2007-01-01winfoams.dll,auto.exe,450381EC.EXE病毒的手動(dòng)清除方法
winfoams.dll,auto.exe,450381EC.EXE病毒的手動(dòng)清除方法...2007-10-10非常不錯(cuò)的封殺網(wǎng)絡(luò)木馬病毒十大絕招
非常不錯(cuò)的封殺網(wǎng)絡(luò)木馬病毒十大絕招...2007-12-12