“熊猫烧香”可能大规模爆发

吟风听月 · 发表于 2007-1-22 18:33

http://it.people.com.cn/mediafile/200701/10/F200701101522072782728031.jpg

1月19号，安天实验室反病毒监测网发现，目前多个网站，遭到恶意攻击，用户如果访问这些网站，会被病毒感染。
截止1月19日16时整，部分统计如下：
hXXtp://www.fzzv.com/ (福州热线)
hXXp://hrway.cn/ (招聘求职网)
hXXp://www.myfdc.com.cn/building(绵阳房地产网站)
hXXp://kesum.cn/(开商网--中国商业零售门户网站)
hXXp://www.zewq.com (美图之家)
hXXp://www.wodown.com.cn/ (我的下载站)
hXXp://www.iq158.com
hXXp://www.ck816.com/
hXXp://www.nanti.cn/ (在线小游戏)
hXXp://www.510188.cn/ (QQ园)
hXXp://coosoon.com/index.htm (coosoon搜索)
hXXp://www.lalago.net (啦啦购)
hXXp://soft100.com.cn/ (百分百软件搜索站)
hXXp://www.downgame.com.cn (手机加油站)
hXXp://168.zg168.net (中国广告网(中国１６８)??中国最全的电子大黄页)
hXXp://www.17kx.net/ (在线小游戏)
hXXp://www.sfwzk.com/ (外挂网址库)
hXXp://www.tao168188.com/index.htm
hXXp://www.baofeng.com/(暴风影音官方网站)
攻击者利用MS06-014漏洞来传播木马，一旦用户访问，则主机会在用户不知情的情况下自动链接到互联网，下载恶意程序。
此次事件，涉及到的病毒大部分为“熊猫烧香”。这是因为目前越来越多的攻击者使用在网页中植入“熊猫烧香”病毒。再利用其来下载其他恶意程序到受感染主机的攻击手法。熊猫烧香本身是一个具有强感染性的蠕虫，它可以利用局域网传播，因此感染范围非常广。危害巨大。
该病毒会感染系统中的重要文件，而被感染的文件手工修复困难，广大用户，如果感染该病毒，可以使用安天实验室发布的熊猫烧香病毒专杀工具KillPP,此专杀工具可以清除所有熊猫烧香病毒变种，可以恢复被感染的EXE文件，并附带U盘免疫功能。

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
杀病毒：实例讲解如何干掉“熊猫烧香”
　　你中过熊猫烧香么？！看到过熊猫拿着三支香的样子么！？中招后如何处理！？看完本文，你将学会如何从计算机中杀掉“熊猫烧香”。
　　惊险查杀过程
　　1.熊猫烧香病毒：图片就是个熊猫在烧香感觉蛮可爱的！当时并没有很在意！第二天再次打开电脑的时候！几乎电脑所有的EXE文件都成了熊猫烧香图片！这时才有所感觉！
　　部分EXE文件已经无法正常使用！新加一个AUTORUN.INF的文件！
　　当初不明白这个文件的作用！在网上查了一些资料表明。才知道。只要用户打开盘符。就会运行这个病毒！用杀毒软件杀毒！没有效果！看来现在的杀毒软件越来越不行了~..
　　2.想用组合键打开任务管理器！无法打开~失败....想看看注册表有没什么情况。依然失败！奇怪的是：电脑运行正常。也都不卡！难道不是病毒.是系统出了问题？从网上下了第三方工具查看进程！果然看到两个可疑进程！f##kJacks.exe貌似是最可疑的不敢贸然终止！赶快问问白度大叔！
　　3.大叔告诉我。是熊猫病毒的进程！一切正如我意！懒的装系统了！
　　4.先结束f##kJacks.exe进程！开始-运行-CMD 输入：ntsd -c q -p 病毒的PID~终于KILL掉了！一切恢复正常了！兴奋ING...赶快打开注册表
　　突然注册表又关了.看看进程f##kJacks.exe。又出现了~~那应该它还有个守护进程！找找找。无发现....奇怪了。难道他的守护进程插入到系统
　　进程了？不会吧.....头疼一阵...。
　　5.算了，去向朋友找个专杀工具。有一个朋友说他写过熊猫的专杀工具！晕~~原来牛人在我身边。我都没发现~赶快想他请教~~才大概的了解了熊猫烧香~ 叫他给了我一个无壳的熊猫自己分析下~（自己动手.丰衣足食嘛~~）
　　6.用UI32打开熊猫.看到了条用的部分资源！文件执行后。释放到\system32\f##kJacks.exe下。
　　7.继续象下可以看到熊猫的一些传播过程相当的经典..有扫描同一网段的电脑~自我复制.等等相当强大公能~同时感染所有盘符的EXE文件~却不对一些重要的系统文件和常用文件进行感染！可见并不想早成太大破坏~修改注册表.禁止打开注册表.甚至禁用了部分服务~~
　　8下面就是重要的时刻了！从后面的代码可以看出！病毒的作者是个非常出色的程序员！有非常好的编程习惯！对病毒的异常运行~进行了很好的定义~都很大段都是作者对病毒运行条件的判断定义~值得注意的一点：在感染EXE文件的同时！感染ASP。HTML文件。会在最后加一段类似挂马的基本代码.~~做到通过第三方尽快传播的办法~（如果被感染者是网站管理人员。后果可想而知了）
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
各类专杀：
金山专杀工具
http://down.www.kingsoft.com/db/download/othertools/DuBaTool_WhBoy.BAT
安天专杀工具
http://www.antiy.com/download/KillPP.scr
江民专杀工具
http://ec.jiangmin.com/test/PandaKiller.rar
安博士专杀工具
http://dl00.x.baidu.com/x/20060915shadu/ahn_dellboy.rar
赛门铁克专杀工具
http://dl00.x.baidu.com/x/20060915shadu/FixFujacks.exe

假爱为名 · 发表于 2007-1-22 18:35

什么意思？路过

种瓜得豆 · 发表于 2007-1-22 18:46

风助火势，越烧越旺呵~~~~
旺旺~~~

恐龙居士 · 发表于 2007-1-22 21:24

我们单位的局域网也感染了

quganjue · 发表于 2007-1-22 22:19

有过...
杀杀杀用这个杀了再用那个杀

叶秋霜 · 发表于 2007-1-22 23:24

熊猫烧香病毒的厉害一招：
自动搜索浏览器里面带“熊猫烧香”字样的网页，一旦监测到，就强制关闭这网页。
这样中招后想上网求救都难。
（本公子这厢有礼了。）

wzzhang · 发表于 2007-1-26 17:19

现在的熊猫烧香病毒好厉害啊我上次中过啊用专杀杀没了

小莲子 · 发表于 2007-1-27 21:34

我中了什么都没了还好前期做了光盘的备份损失不大但哥都没了

牯牛 · 发表于 2007-1-28 18:47

前天一早,接到命令要出差两天,因为接近年底了,治安太乱,就把家中值点银子的东西(一台笔记本\一个数码相机)全都塞到冰箱的冷冻室里了(估计即使有小偷进入也不会翻这里吧!)又把房间的灯打开,制造有人在家的样子.
　　　　
由于本人不慎,该本本已经感染了熊猫烧香这个可恶的病毒,还没来得及找大虾格就进入了零下的冰雪世界.今晚刚刚到家准备找个老友大虾重装系统,备好了酒菜呼来老友~~~~~~
　　　　待拿出本本,摸着外壳与室温一致时开机------奇了!
　　　　那些烧香的大熊猫不见了!我本本的系统恢复正常了啊!
　　　　万岁!万岁!!万万岁!!!
　　　　堪称大虾的老友也不禁称奇!!!
　　　　-----难道熊猫怕冻??????
　　　　中招的朋友不妨一试: 本本用塑料裹好防入冰箱冷冻室,温度调成4档(共七档),48小时后拿出,大约两个小时后开机----一切正常!!!

左右逢源 · 发表于 2007-1-29 07:28

我也不幸中招这个病毒会自动屏蔽部分带熊猫烧香字眼的杀毒软件下载页所长给的链接地址一个不行我推荐个地方http://bbs.cpcw.com/thread-1055567-1-10.html 最后一个软件非常好用

红娘 · 发表于 2007-1-29 07:52

最近出现新的病毒名为熊猫烧香，危害较大，感染后所有EXE可执行文件图标变成一个烧香的熊猫，大家电脑如出现此现象可认真阅读以下文章：
一、病毒描述：
含有病毒体的文件被运行后，病毒将自身拷贝至系统目录，同时修改注册表将自身设置为开机启动项，并遍历各个驱动器，将自身写入磁盘根目录下，增加一个Autorun.inf文件，使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染，同时开另外一个线程连接某网站下载ddos程序进行发动恶意攻击。

二、病毒基本情况：
[文件信息]
病毒名: Virus.Win32.EvilPanda.a.ex$
大  小: 0xDA00 (55808), (disk) 0xDA00 (55808)
SHA1  : F0C3DA82E1620701AD2F0C8B531EEBEA0E8AF69D
壳信息: 未知
危害级别：高

病毒名: Flooder.Win32.FloodBots.a.ex$
大  小: 0xE800 (59392), (disk) 0xE800 (59392)
SHA1  : B71A7EF22A36DBE27E3830888DAFC3B2A7D5DA0D
壳信息: UPX 0.89.6 - 1.02 / 1.05 - 1.24
危害级别：高
三、病毒行为：
Virus.Win32.EvilPanda.a.ex$ ：
1、病毒体执行后，将自身拷贝到系统目录：
%SystemRoot%\system32\f##kJacks.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run       Userinit       “C:\WIN2K\system32\SVCH0ST.exe”
2、添加注册表启动项目确保自身在系统重启动后被加载：
键路径：HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键名：f##kJacks
键值：”C:\WINDOWS\system32\f##kJacks.exe”

键路径：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键名：svohost
键值：”C:\WINDOWS\system32\f##kJacks.exe”

3、拷贝自身到所有驱动器根目录，命名为Setup.exe，并生成一个autorun.inf使得用户打开该盘运行病毒，并将这两个文件属性设置为隐藏、只读、系统。    C:\autorun.inf       1KB       RHS
C:\setup.exe       230KB       RHS

4、关闭众多杀毒软件和安全工具。
5、连接*****.3322.org下载某文件，并根据该文件记录的地址，去www.****.com下载某ddos程序，下载成功后执行该程序。
6、刷新bbs.qq.com，某QQ秀链接。
7、循环遍历磁盘目录，感染文件，对关键系统文件跳过，不感染Windows媒体播放器、MSN、IE 等程序。

Flooder.Win32.FloodBots.a.ex$ ：

1、病毒体执行后，将自身拷贝到系统目录：
%SystemRoot%\SVCH0ST.EXE
%SystemRoot%\system32\SVCH0ST.EXE
2、该病毒后下载运行后，添加注册表启动项目，确保自身在系统重启动后被加载：
键路径：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键名：Userinit
键值：”C:\WINDOWS\system32\SVCH0ST.exe”
3、尝试关闭窗口
QQKav
QQAV
天网防火墙进程
VirusScan
网镖杀毒
毒霸
瑞星
江民
黄山IE
超级兔子
优化大师
木马克星
木马清道夫
木馬清道夫
QQ病毒注册表编辑器
系统配置实用程序
卡巴斯基反病毒
Symantec AntiVirus
Duba
Windows 任务管理器
esteem procs
绿鹰PC
密码防盗
噬菌体
木马辅助查找器
System Safety Monitor
Wrapped gift Killer
Winsock Expert
游戏木马检测大师
小沈Q盗杀手
pjf(ustc)
IceSword
4、尝试关闭进程
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
KvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl132.exe
删除以下启动项
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RavTask
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KvMonXP
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kav
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KAVPersonal50
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\McAfeeUpdaterUI
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Network Associates Error Reporting
ServiceSOFTWARE\Microsoft\Windows\CurrentVersion\Run\ShStatEXE
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\YLive.exe
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\yassistse
禁用以下服务
kavsvc
AVP
AVPkavsvc
McAfeeFramework
McShield
McTaskManager
McAfeeFramework McShield
McTaskManager
navapsvc
KVWSC
KVSrvXP
KVWSC
KVSrvXP
Schedule
sharedaccess
RsCCenter
RsRavMon
RsCCenter
RsRavMon
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec
Core LC
NPFMntor
MskService
FireSvc
搜索感染除以下目录外的所有.EXE/.SCR/.PIF/.COM文件，并记有标记
WINDOWS
Winnt
System Volume Information
Recycled
Windows NT
Windows Update
Windows Media Player
Outlook Express
Internet Explorer
NetMeeting
Common Files
ComPlus
Applications
Messenger
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
MSN Gamin Zone
删除.GHO文件
添加以下启动位置
\Documents and Settings\All Users\Start Menu\Programs\Startup\
\Documents and Settings\All Users\「开始」菜单\程序\启动\
\WINDOWS\Start Menu\Programs\Startup\
\WINNT\Profiles\All Users\Start Menu\Programs\Startup\
监视记录QQ和访问局域网文件记录：c:\test.txt，试图QQ消息传送
试图用以下口令访问感染局域网文件（GameSetup.exe）
1234
password
……
admin
Root
所有根目录及移动存储生成
X:\setup.exe
X:\autorun.inf
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\Auto\command=setup.exe
删除隐藏共享
cmd.exe /c net share $ /del /y
cmd.exe /c net share admin$ /del /y
cmd.exe /c net share IPC$ /del /y
创建启动项：
Software\Microsoft\Windows\CurrentVersion\Run
svcshare=指向\%system32%\drivers\spoclsv.exe
禁用文件夹隐藏选项
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced
\Folder\Hidden\SHOWALL\CheckedValue

开到荼靡 · 发表于 2007-1-29 20:30

这个病毒好可爱。。。

小莲子 · 发表于 2007-1-29 23:21

是不是很可爱

叶秋霜 · 发表于 2007-1-30 16:17

下面引用由开到荼靡在 2007/01/29 08:30pm 发表的内容：
这个病毒好可爱。。。

嗯。你是不是要领养这会烧香的熊猫啊？
还有人悬赏10万美金找病毒原制发人呢。总不会是要这熊猫的制作版权吧，哈哈。
我看啊，还是10万美金可爱得多。
（本公子这厢有礼了。）

天风浪浪 · 发表于 2007-1-31 13:07

熊猫烧香化身金猪报喜
春节将至，然而广大网络用户仍没有彻底摆脱“熊猫烧香”的阴霾。伴随着大量“熊猫烧香”变种的出现，对用户的危害一浪高过一浪。1月29日，来自金山毒霸反病毒中心最新消息：“熊猫烧香”化身“金猪”，危害指数再度升级，被感染的电脑中不但“熊猫”成群，而且“金猪”满圈。但象征财富的金猪仍然让用户无法摆脱“系统被破坏，大量应用软件无法应用”的噩梦。
　　“昨天，我打开电脑的时候，发现C盘目录下的可执行文件全部变为金色的小猪，起初我还觉得很可爱，但紧接着发现办公软件都不好用了，而且杀毒软件也被终止了。”用户张小姐非常无奈的表示。
　　“刚刚把熊猫查杀干净，今天一开电脑，又发现了N只小金猪，真是郁闷！”用户黄先生气愤地表示。
　　金山毒霸反病毒专家戴光剑指出，伴随着各大杀毒厂商对“熊猫烧香”病毒的集中绞杀，该病毒正在不断“繁衍”新的变种，密谋更加隐蔽的传播方式。据不完全统计，仅12月份至今，变种数已达90多个，个人用户感染熊猫烧香的已经高达几百万，企业用户感染数还在继续上升。
　　此外学生寒假开始，上网人群短期内集中上升，病毒的传播速度也空前加快，所以用户在进行上网的过程中要更加警惕病毒的入侵。据了解，前几天在网络上出现了“熊猫烧香”作者声称不再有变种出现，而“金猪”的出现再次粉碎了人们的美梦，再次将人们拉回到熊猫烧香的梦魇之中。专家称，按照目前“熊猫烧香”破坏程度，威胁将延伸至春节。

采桑人 · 发表于 2007-2-1 09:01

我的笔记本前几天也被这只看上去可爱的熊猫咬了一口哦,当时一早开机时电脑总是重启,我没当回事,根本没有想到这只熊猫会把香烧到我的电脑里来.后来它重启了几次以后就能正常上网了.一天相安无事后到了傍晚我打开天空软件,刚进入就看到一只熊猫一闪,当时心里哇凉哇凉的,赶紧打开C盘一看,所有的可执行文件全变成熊猫了.后来我把电脑交给朋友帮我杀毒,第二天朋友告诉我怎么杀也没有用,杀完后重新开机还是满机都是大熊猫!我就请他帮我重装系统,一天后朋友把电脑交给我,说只能装2003的,XP的装不了.我现在只用别别扭扭地用这个操作系统了.我恨死这个制造病毒的人了!

小小叫花子 · 发表于 2007-2-1 16:46

制造这种病毒的人出门被车撞死！

吟风听月 · 发表于 2007-2-1 16:58

下面引用由采桑人在 2007/02/01 09:01am 发表的内容：
我的笔记本前几天也被这只看上去可爱的熊猫咬了一口哦,当时一早开机时电脑总是重启,我没当回事,根本没有想到这只熊猫会把香烧到我的电脑里来.后来它重启了几次以后就能正常上网了.一天相安无事后到了傍晚我打开　...

呵呵，以后把电脑给我。
昨天我家的计算机也中了，我杀到差不多12.，几万个文件，晕死了

红娘 · 发表于 2007-2-1 17:51

吟风把电脑给我，我叫我们公司里面的工程师帮你搞一下哈!!

吟风听月 · 发表于 2007-2-1 18:16

下面引用由jerry821101在 2007/02/02 02:51am 发表的内容：
吟风把电脑给我，我叫我们公司里面的工程师帮你搞一下哈!!

不早说，我都搞好了阿。
下次我找你。

		自动登录	找回密码
密码			注册

“熊猫烧香”可能大规模爆发