熊貓燒香病毒及禍害
“熊貓燒香”,是一種經過多次變種的蠕蟲病毒變種,它能感染系統中exe,com,pif,src,html,asp等文件,它還能中止大量的反病毒軟件進程并且會刪除擴展名為gho的文件,下面由學習啦小編給你做出詳細的介紹!希望對你有幫助!
熊貓燒香病毒:
該文件是一系統備份工具GHOST的備份文件,使用戶的系統備份文件丟失。被感染的用戶系統中所有.exe可執行文件全部被改成熊貓舉著三根香的模樣。2006年10月16日由25歲的中國湖北武漢新洲區人李俊編寫,2007年1月初肆虐網絡,它主要透過下載的文件傳染。2007年2月12日,湖北省公安廳宣布,李俊以及其同伙共8人已經落網,這是中國警方破獲的首例計算機病毒大案。[1]2014年,“熊貓燒香”之父因涉案網絡賭場,獲刑5年。
中文名熊貓燒香
程序類別計算機病毒
編寫者李俊
病毒類型蠕蟲病毒新變種
外文名Worm.WhBoy或Worm.Nimaya
感染系統Win9x/2000/NT/XP/2003/Vista/7
泛濫時間2006年底2007年初
1基本介紹編輯
病毒名稱:熊貓燒香,Worm.WhBoy.(金山稱),Worm.Nimaya。(瑞星稱)
病毒別名:尼姆亞,武漢男生,后又化身為“金豬報喜”,國外稱“熊貓燒香”
危險級別:★★★★★
病毒類型:蠕蟲病毒,能夠終止大量的反病毒軟件和防火墻軟件進程。
影響系統:Windows 9x/ME、Windows 2000/NT、Windows XP、Windows 2003 、Windows Vista 、Windows 7
發現時間:2006年10月16日
來源地:中國武漢東湖高新技術開發區關山
2病毒描述編輯
熊貓燒香其實是一種蠕蟲病毒的變種,而且是經過多次變種而來的,由于中毒電腦的可執行文件會出現“熊貓燒香”圖案,所以也被稱為 “熊貓燒香”病毒。但原病毒只會對EXE圖標進行替換,并不會對系統本身進行破壞。而大多數是中的病毒變種,用戶電腦中毒后可能會出現藍屏、頻繁重啟以及系統硬盤中數據文件被破壞等現象。同時,該病毒的某些變種可以通過局域網進行傳播,進而感染局域網內所有計算機系統,最終導致企業局域網癱瘓,無法正常使用。[2]
3中毒癥狀編輯
除了通過網站帶毒感染用戶之外,此病毒還會在局域網中傳播,在極短時間之內就 可以感染幾千臺計算機,嚴重時可以導致網絡癱瘓。中毒電腦上會出現“熊貓燒香”圖案,所以也被稱為“熊貓燒香”病毒。中毒電腦會出現藍屏、頻繁重啟以及系統硬盤中數據文件被破壞等現象。
4病毒危害編輯
熊貓燒香病毒會刪除擴展名為gho的文件,使用戶無法使用ghost軟件恢復操作系統。“熊貓燒香”感染系統的.exe .com. f.src .html.asp文件,添加病毒網址,導致用戶一打開這些網頁文件,IE就會自動連接到指定的病毒網址中下載病毒。在硬盤各個分區下生成文件autorun.inf和setup.exe,可以通過U盤和移動硬盤等方式進行傳播,并且利用Windows系統的自動播放功能來運行,搜索硬盤中的.exe可執行文件并感染,感染后的文件圖標變成“熊貓燒香”圖案。“熊貓燒香”還可以通過共享文件夾、用戶簡單密碼等多種方式進行傳播。該病毒會在中毒電腦中所有的網頁文件尾部添加病毒代碼。一些網站編輯人員的電腦如果被該病毒感染,上傳網頁到網站后,就會導致用戶瀏覽這些網站時也被病毒感染。據悉,多家著名網站已經遭到此類攻擊,而相繼被植入病毒。由于這些網站的瀏覽量非常大,致使“熊貓燒香”病毒的感染范圍非常廣,中毒企業和政府機構已經超過千家,其中不乏金融、稅務、能源等關系到國計民生的重要單位。注:江蘇等地區成為“熊貓燒香”重災區。
5傳播方法編輯
金山分析:這是一個感染型的蠕蟲病毒,它能感染系統中exe,com,pif,src,html,asp等文件,它還能中止大量的反病毒軟件進程
1拷貝文件
病毒運行后,會把自己拷貝到
C:\WINDOWS\System32\Drivers\spoclsv.exe
2添加注冊表自啟動
病毒會添加自啟動項
svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe
3病毒行為
a:每隔1秒
尋找桌面窗口,并關閉窗口標題中含有以下字符的程序
QQKav
QQAV
防火墻
進程
VirusScan
網鏢
殺毒
毒霸
瑞星
江民
黃山IE
超級兔子
優化大師
木馬克星
木馬清道夫
QQ病毒
注冊表編輯器
系統配置實用程序
卡巴斯基反病毒
Symantec AntiVirus
Duba
熊貓燒香esteem proces
綠鷹PC
密碼防盜
噬菌體
木馬輔助查找器
System Safety Monito
Wrapped gift Killer
Winsock Expert
游戲木馬檢測大師
msctls_statusbar32
pjf(ustc)
IceSword
并使用的鍵盤映射的方法關閉安全軟件IceSword
添加注冊表使自己自啟動
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe
并中止系統中以下的進程:
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
熊貓燒香KVXP.kxp
kvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.ex
Logo_1.exe
Rundl132.exe
b:每隔18秒
點擊病毒作者指定的網頁,并用命令行檢查系統中是否存在共享
共享存在的話就運行net share命令關閉admin$共享
c:每隔10秒
下載病毒作者指定的文件,并用命令行檢查系統中是否存在共享
共享存在的話就運行net share命令關閉admin$共享
d:每隔6秒
刪除安全軟件在注冊表中的鍵值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
RavTask
KvMonXP
kav
KAVPersonal50
McAfeeUpdaterUI
Network Associates Error Reporting Service
ShStartEXE
YLive.exe
yassistse
并修改以下值不顯示隱藏文件
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
CheckedValue -> 0x00
刪除以下服務:
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec Core LC
NPFMntor
MskService
FireSvc
e:感染文件
病毒會感染擴展名為exe,pif,com,src的文件,把自己附加到文件的頭部
并在擴展名為htm,html,asp,php,jsp,aspx的文件中添加一網址,
用戶一但打開了該文件,IE就會不斷的在后臺點擊寫入的網址,達到
增加點擊量的目的,但病毒不會感染以下文件夾名中的文件:
熊貓燒香WINDOW
Winnt
System Volume Information
Recycled
Windows NT
WindowsUpdate
Windows Media Player
Outlook Express
Internet Explorer
NetMeeting
Common Files
ComPlus Applications
Messenger
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
MSN Gamin Zone
g:刪除文件
病毒會刪除擴展名為gho的文件,該文件是一系統備份工具GHOST的備份文件
使用戶的系統備份文件丟失.
瑞星病毒分析報告:“Nimaya(熊貓燒香)”
這是一個傳染型的DownLoad 使用Delphi編寫
6運行過程編輯
本地磁盤感染
病毒對系統中所有除了盤符為A,
B的磁盤類型為DRⅣE_REMOTE,DRⅣE_FⅨED的磁盤進行文件遍歷感染
注:不感染文件大小超過10485760字節以上的
(病毒將不感染如下目錄的文件):
Microsoft Frontpage
Movie Maker
MSN Gamin Zone
Common Files
Windows NT
Recycled
System Volume Information
Documents and Settings
……
(病毒將不感染文件名如下的文件):
setup.exe
病毒將使用兩類感染方式應對不同后綴的文件名進行感染
1)二進制可執行文件(后綴名為:EXE,SCR,PIF,COM): 將感染目標文件和病毒溶合成一個文件(被感染文件貼在病毒文件尾部)完成感染.
2)腳本類(后綴名為:htm,html,asp,php,jsp,aspx): 在這些腳本文件尾加上如下鏈接(下邊的頁面存在安全漏洞):
在感染時會刪除這些磁盤上的后綴名為.GHO
生成文件
病毒建立一個計時器,以6秒為周期在磁盤的根目錄下生成setup.exe(病毒本身)autorun.inf,并利用AutoRun Open關聯使病毒在用戶點擊被感染磁盤時能被自動運行。
局域網傳播
病毒生成隨機個局域網傳播線程實現如下的傳播方式:
當病毒發現能成功聯接攻擊目標的139或445端口后,將使用內置的一個用戶列表及密碼字典進行聯接(猜測被攻擊端的密碼)。當成功聯接上以后將自己復制過去,并利用計劃任務啟動激活病毒。
修改操作系統的啟動關聯
下載文件啟動
與殺毒軟件對抗
7殺毒方法編輯
各種版本的熊貓燒香專殺
瑞星 金山 江民
超級巡警 李俊
雖然用戶及時更新殺毒軟件病毒庫,并下載各殺毒軟件公司提供的專殺工具,即可對“熊貓燒香”病毒進行查殺,但是如果能做到防患于未然豈不更好。
8解決辦法編輯
熊貓燒香【1】 立即檢查本機administrator組成員口令,一定要放棄簡單口令甚至空口令,安全的口令是字母數字特殊字符的組合,自己記得住,別讓病毒猜到就行。
修改方法
右鍵單擊我的電腦,選擇管理,瀏覽到本地用戶和組,在右邊的窗格中,選擇具備管理員權限的用戶名,單擊右鍵,選擇設置密碼,輸入新密碼就行。
【2】 利用組策略,關閉所有驅動器的自動播放功能。
步驟1
單擊開始,運行,輸入gpedit.msc,打開組策略編輯器,瀏覽到計算機配置,管理模板,系統,在右邊的窗格中選擇關閉自動播放,該配置缺省是未配置,在下拉框中選擇所有驅動器,再選取已啟用,確定后關閉。最后,在開始,運行中輸入gpupdate,確定后,該策略就生效了。
【3】 修改文件夾選項,以查看不明文件的真實屬性,避免無意雙擊騙子程序中毒。
步驟
打開資源管理器(按windows徽標鍵+E),點工具菜單下文件夾選項,再點查看,在高級設置中,選擇查看所有文件,取消隱藏受保護的操作系統文件,取消隱藏文件擴展名。
【4】 時刻保持操作系統獲得最新的安全更新,不要隨意訪問來源不明的網站,特別是微軟的MS06-014漏洞,應立即打好該漏洞補丁。
同時,QQ、UC的漏洞也可以被該病毒利用,因此,用戶應該去他們的官方網站打好最新補丁。此外,由于該病毒會利用IE瀏覽器的漏洞進行攻擊,因此用戶還應該給IE打好所有的補丁。如果必要的話,用戶可以暫時換用Firefox、Opera等比較安全的瀏覽器。
【5】 啟用Windows防火墻保護本地計算機。同時,局域網用戶盡量避免創建可寫的共享目錄,已經創建共享目錄的應立即停止共享。
此外,對于未感染的用戶,病毒專家建議,不要登錄不良網站,及時下載微軟公布的最新補丁,來避免病毒利用漏洞襲擊用戶的電腦,同時上網時應采用“殺毒軟件+防火墻”的立體防御體系。
9防御方法編輯
計世網消息 在2007年新年出現的“PE_FUJACKS”就是讓廣大互聯網用戶聞之色變的“熊貓燒香”。該病毒的作者為“武漢男生”(文件末簽名”WhBoy”),這個版本的病毒已經集成了PE_FUJA CK和QQ大盜的代碼,通過網絡共享,文件感染和移動存儲設備傳播,尤其是感染網頁文件,并在網頁文件寫入自動更新的代碼,一旦瀏覽該網頁,就會感染更新后的變種。
不幸中招的用戶都知道,“熊貓燒香”會占用局域網帶寬,使得電腦變得緩慢,計算機會出現以下癥狀:熊貓燒香病毒會在網絡共享文件夾中生成一個名為GameSetup.exe的病毒文件;結束某些應用程序以及防毒軟件的進程,導致應用程序異常,或不能正常執行,或速度變慢;硬盤分區或者U盤不能訪問使用;exe程序無法使用程序圖標變成熊貓燒香圖標;硬盤的根目錄出現setup.exe auturun.INF文件 ;同時瀏覽器會莫名其妙地開啟或關閉。
該病毒主要通過瀏覽惡意網站、網絡共享、文件感染和移動存儲設備(如U盤)等途徑感染,其中網絡共享和文件感染的風險系數較高,而通過Web和移動存儲感染的風險相對較低。該病毒會自行啟動安裝,生成注冊列表和病毒文件%System%\drivers\spoclsv.exe ,并在所有磁盤跟目錄下生成病毒文件setup.exe,autorun.inf。
應用統一變為熊貓燒香的圖標其實就是在注冊表的HKEY_CLASSES_ROOT這個分支中寫入了一個值,將所有的EXE文件圖標指向一個圖標文件,所以一般只要刪除此值,改回原貌就可以了。
看了此文熊貓燒香病毒及禍害的人還看了: