发帖 回复
返回列表
12
  • 4187阅读
  • 10回复

元旦小心,熊猫病毒来袭,势不可当 [复制链接]

 上一主题 下一主题
离线zxl1985
新手上路
 
发帖
29
金钱
45
威望
30
贡献值
0
交易币
0
只看楼主 倒序阅读 楼主  发表于: 2006-12-29
  文字文字
    本人近期不甚中毒,所有的程序运行缓慢,后来所有的可执行文件全部都变成了会哭的黑色熊猫,基本所有的杀毒软件均无法杀掉,现在来介绍一下
一、病毒描述:

含有病毒体的文件被运行后,病毒将自身拷贝至系统目录,同时修改注册表将自身设置为开机启动项,并遍历各个驱动器,将自身写入磁盘根目录下,增加一个 Autorun.inf文件,使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染,同时开另外一个线程连接某网站下载ddos程序进行发动恶意攻击。

二、病毒基本情况:

[文件信息]

病毒名: Virus.Win32.EvilPanda.a.ex$
大 小: 0xDA00 (55808), (disk) 0xDA00 (55808)
SHA1 : F0C3DA82E1620701AD2F0C8B531EEBEA0E8AF69D
壳信息: 未知
危害级别:高

病毒名: Flooder.Win32.FloodBots.a.ex$
大 小: 0xE800 (59392), (disk) 0xE800 (59392)
SHA1 : B71A7EF22A36DBE27E3830888DAFC3B2A7D5DA0D
壳信息: UPX 0.89.6 - 1.02 / 1.05 - 1.24
危害级别:高

三、病毒行为:

Virus.Win32.EvilPanda.a.ex$ :

1、病毒体执行后,将自身拷贝到系统目录:

%SystemRoot%\\system32\\FuckJacks.exe

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run Userinit \"C:\\WIN2K\\system32\\SVCH0ST.exe\"
2、添加注册表启动项目确保自身在系统重启动后被加载:

键路径:HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
键名:FuckJacks
键值:\"C:\\WINDOWS\\system32\\FuckJacks.exe\"

键路径:HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
键名:svohost
键值:\"C:\\WINDOWS\\system32\\FuckJacks.exe\"

3、拷贝自身到所有驱动器根目录,命名为Setup.exe,并生成一个autorun.inf使得用户打开该盘运行病毒,并将这两个文件属性设置为隐藏、只读、系统。

C:\\autorun.inf 1KB RHS
C:\\setup.exe 230KB RHS

4、关闭众多杀毒软件和安全工具。
5、连接*****.3322.org下载某文件,并根据该文件记录的地址,去www.****.com下载某ddos程序,下载成功后执行该程序。
6、刷新bbs.qq.com,某QQ秀链接。
7、循环遍历磁盘目录,感染文件,对关键系统文件跳过,不感染Windows媒体播放器、MSN、IE 等程序。

Flooder.Win32.FloodBots.a.ex$ :

1、病毒体执行后,将自身拷贝到系统目录:

%SystemRoot%\\SVCH0ST.EXE
%SystemRoot%\\system32\\SVCH0ST.EXE

2、该病毒后下载运行后,添加注册表启动项目确保自身在系统重启动后被加载:

键路径:HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
键名:Userinit
键值:\"C:\\WINDOWS\\system32\\SVCH0ST.exe\"

3、连接ddos2.****.com,获取攻击地址列表和攻击配置,并根据配置文件,进行相应的攻击。


宗上所述,该病毒再次变种,且查杀工具极少,并且杀毒工具也会变成熊猫,所以应如下解决{本人试用,新变种不一定可用}

方法1:
含有病毒体的文件被运行后,病毒将自身拷贝至系统目录,同时修改注册表将自身设置为开机启动项,并遍历各个驱动器,将自身写入磁盘根目录下,增加一个 Autorun.inf文件,使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染,同时开另外一个线程连接某网站下载ddos程序进行发动恶意攻击。
超级巡警熊猫烧香专杀工具是目前唯一一款可以查杀所有熊猫烧香变种病毒的工具,实现检测和清除、修复感染熊猫烧香病毒的文件,对熊猫烧香的未知变种具备侦测和处理能力,可以处理目前所有的熊猫烧香病毒家族和相关变种。
下载:http://killer.9i3g.cn/download/Pandakiller.rar
方法2:
1、使用超级巡警可以完全清除此病毒和恢复被感染的文件。
2、推荐在清除时先使用超级巡警的进程管理工具结束病毒程序,否则系统响应很慢。
3、中止病毒进程和删除启动项目请看论坛相关图片。

总之就这俩种杀毒有效,且都容易被感染成熊猫,推荐下载后断网杀毒,并尽量不要使用IE,IE是他传播的一个平台,也可以通过QQ传播

付图片,其实病毒也挺可爱的啊,不过中了重做系统也不一定能解决问题,大家小心啊
图片在附件中
回复
举报
分享到 淘江湖 新浪 QQ微博 QQ空间 开心 人人 豆瓣 网易微博 百度 鲜果 白社会 飞信
离线zxl1985
新手上路
发帖
29
金钱
45
威望
30
贡献值
0
交易币
0
只看该作者 沙发  发表于: 2006-12-29
有需要病毒的打招呼
回复
举报
离线牛哥
总版主

发帖
8460
金钱
556335
威望
538070
贡献值
102938
交易币
102958
只看该作者 板凳  发表于: 2006-12-29
引用第1楼zxl19852006-12-29 22:21发表的:
有需要病毒的打招呼


估计没人需要这玩意吧


楼主可不能把病毒当作新年礼物啊
IBM笔记本专业供应商
笔记本电脑专业论坛
业务咨询QQ:85050026
手机:13601002170
MSN:pchobby@163.com
回复
举报
离线zxl1985
新手上路
发帖
29
金钱
45
威望
30
贡献值
0
交易币
0
只看该作者 地板  发表于: 2006-12-30
不知道有没有人中,不过最近西安挺流行的,好多人都无奈的将机子整成了刚买来得样子,
大家小心了
回复
举报
离线zxl1985
新手上路
发帖
29
金钱
45
威望
30
贡献值
0
交易币
0
只看该作者 4楼 发表于: 2007-01-04
其实这病毒挺可爱的,不知道有没人中啊
回复
举报
离线牛哥
总版主

发帖
8460
金钱
556335
威望
538070
贡献值
102938
交易币
102958
只看该作者 5楼 发表于: 2007-01-09
没有接到客户反映中这个可爱的病毒
IBM笔记本专业供应商
笔记本电脑专业论坛
业务咨询QQ:85050026
手机:13601002170
MSN:pchobby@163.com
回复
举报
离线zxl1985
新手上路
发帖
29
金钱
45
威望
30
贡献值
0
交易币
0
只看该作者 6楼 发表于: 2007-01-15
哎,今天又有一个哥们中毒啊
资料啊160G,全完了
回复
举报
离线hongyuan19
金牌会员
发帖
170
金钱
32
威望
68
贡献值
0
交易币
0
只看该作者 7楼 发表于: 2007-01-16
出售各类病毒,优惠价啊
这个头像酷,就他了!
欢迎大家来光顾!
回复
举报
离线牛哥
总版主

发帖
8460
金钱
556335
威望
538070
贡献值
102938
交易币
102958
只看该作者 8楼 发表于: 2007-01-16
引用第7楼zxl19852007-01-15 22:41发表的:
哎,今天又有一个哥们中毒啊
资料啊160G,全完了



你这些哥们咋怎么老中毒啊
IBM笔记本专业供应商
笔记本电脑专业论坛
业务咨询QQ:85050026
手机:13601002170
MSN:pchobby@163.com
回复
举报
离线htn1245
金牌会员
发帖
228
金钱
274
威望
231
贡献值
0
交易币
0
只看该作者 9楼 发表于: 2007-01-16
快升级杀软吧~今天刚查了下,没事
回复
举报
发帖 回复
返回列表
12
快速回复
限100 字节
 
上一个 下一个