找回密码
 注册

QQ登录

只需一步,快速开始

查看: 3974|回复: 31
收起左侧

“熊猫烧香”可能大规模爆发

[复制链接]
  • TA的每日心情
    开心
    2023-4-15 08:35
  • 签到天数: 462 天

    连续签到: 1 天

    [LV.9]以坛为家II

    发表于 2007-1-22 18:33 | 显示全部楼层 |阅读模式
    http://it.people.com.cn/mediafile/200701/10/F200701101522072782728031.jpg

        1月19号,安天实验室反病毒监测网发现,目前多个网站,遭到恶意攻击,用户如果访问这些网站,会被病毒感染。
        截止1月19日16时整,部分统计如下:
    hXXtp://www.fzzv.com/ (福州热线)
    hXXp://hrway.cn/ (招聘求职网)
    hXXp://www.myfdc.com.cn/building(绵阳房地产网站)
    hXXp://kesum.cn/(开商网--中国商业零售门户网站)
    hXXp://www.zewq.com (美图之家)
    hXXp://www.wodown.com.cn/ (我的下载站)
    hXXp://www.iq158.com
    hXXp://www.ck816.com/
    hXXp://www.nanti.cn/ (在线小游戏)
    hXXp://www.510188.cn/ (QQ园)
    hXXp://coosoon.com/index.htm (coosoon搜索)
    hXXp://www.lalago.net (啦啦购)
    hXXp://soft100.com.cn/ (百分百软件搜索站)
    hXXp://www.downgame.com.cn (手机加油站)
    hXXp://168.zg168.net (中国广告网(中国168)??中国最全的电子大黄页)
    hXXp://www.17kx.net/ (在线小游戏)
    hXXp://www.sfwzk.com/ (外挂网址库)
    hXXp://www.tao168188.com/index.htm
    hXXp://www.baofeng.com/(暴风影音官方网站)
        攻击者利用MS06-014漏洞来传播木马,一旦用户访问,则主机会在用户不知情的情况下自动链接到互联网,下载恶意程序。
        此次事件,涉及到的病毒大部分为“熊猫烧香”。这是因为目前越来越多的攻击者使用在网页中植入“熊猫烧香”病毒。再利用其来下载其他恶意程序到受感染主机的攻击手法。熊猫烧香本身是一个具有强感染性的蠕虫,它可以利用局域网传播,因此感染范围非常广。危害巨大。
        该病毒会感染系统中的重要文件,而被感染的文件手工修复困难,广大用户,如果感染该病毒,可以使用安天实验室发布的熊猫烧香病毒专杀工具KillPP,此专杀工具可以清除所有熊猫烧香病毒变种,可以恢复被感染的EXE文件,并附带U盘免疫功能。

    ====================================
    杀病毒:实例讲解如何干掉“熊猫烧香”
      你中过熊猫烧香么?!看到过熊猫拿着三支香的样子么!?中招后如何处理!?看完本文,你将学会如何从计算机中杀掉“熊猫烧香”。
      惊险查杀过程
      1.熊猫烧香病毒:图片就是个熊猫在烧香感觉蛮可爱的!当时并没有很在意!第二天再次打开电脑的时候!几乎电脑所有的EXE文件都成了熊猫烧香图片!这时才有所感觉!
      部分EXE文件已经无法正常使用!新加一个AUTORUN.INF的文件!
      当初不明白这个文件的作用!在网上查了一些资料表明。才知道。只要用户打开盘符。就会运行这个病毒!用杀毒软件杀毒!没有效果!看来现在的杀毒软件越来越不行了~..
      2.想用组合键打开任务管理器!无法打开~失败....想看看注册表有没什么情况。依然失败!奇怪的是:电脑运行正常。也都不卡!难道不是病毒.是系统出了问题?从网上下了第三方工具查看进程!果然看到两个可疑进程!f##kJacks.exe貌似是最可疑的不敢贸然终止!赶快问问白度大叔!
      3.大叔告诉我。是熊猫病毒的进程!一切正如我意!懒的装系统了!
      4.先结束f##kJacks.exe进程!开始-运行-CMD 输入:ntsd -c q -p 病毒的PID~终于KILL掉了!一切恢复正常了!兴奋ING...赶快打开注册表
      突然注册表又关了.看看进程f##kJacks.exe。又出现了~~那应该它还有个守护进程!找找找。无发现....奇怪了。难道他的守护进程插入到系统
      进程了?不会吧.....头疼一阵...。
      5.算了,去向朋友找个专杀工具。有一个朋友说他写过熊猫的专杀工具!晕~~原来牛人在我身边。我都没发现~赶快想他请教~~才大概的了解了熊猫烧香~ 叫他给了我一个无壳的熊猫自己分析下~(自己动手.丰衣足食嘛~~)
      6.用UI32打开熊猫.看到了条用的部分资源!文件执行后。释放到\system32\f##kJacks.exe下。
      7.继续象下可以看到熊猫的一些传播过程相当的经典..有扫描同一网段的电脑~自我复制.等等相当强大公能~同时感染所有盘符的EXE文件~却不对一些重要的系统文件和常用文件进行感染!可见并不想早成太大破坏~修改注册表.禁止打开注册表.甚至禁用了部分服务~~
      8下面就是重要的时刻了!从后面的代码可以看出!病毒的作者是个非常出色的程序员!有非常好的编程习惯!对病毒的异常运行~进行了很好的定义~都很大段都是作者对病毒运行条件的判断定义~值得注意的一点:在感染EXE文件的同时!感染ASP。HTML文件。会在最后加一段类似挂马的基本代码.~~做到通过第三方尽快传播的办法~(如果被感染者是网站管理人员。后果可想而知了)
    ===================================
    ===================================
    ===================================
    各类专杀:
    金山专杀工具
    http://down.www.kingsoft.com/db/download/othertools/DuBaTool_WhBoy.BAT
    安天专杀工具
    http://www.antiy.com/download/KillPP.scr
    江民专杀工具
    http://ec.jiangmin.com/test/PandaKiller.rar
    安博士专杀工具
    http://dl00.x.baidu.com/x/20060915shadu/ahn_dellboy.rar
    赛门铁克专杀工具
    http://dl00.x.baidu.com/x/20060915shadu/FixFujacks.exe

    该用户从未签到

    发表于 2007-1-22 18:35 | 显示全部楼层

    “熊猫烧香”可能大规模爆发

    什么意思?             路过
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2007-1-22 18:46 | 显示全部楼层

    “熊猫烧香”可能大规模爆发

    风助火势,越烧越旺呵~~~~
    旺旺~~~
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2007-1-22 21:24 | 显示全部楼层

    “熊猫烧香”可能大规模爆发

    我们单位的局域网也感染了
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2007-1-22 22:19 | 显示全部楼层

    “熊猫烧香”可能大规模爆发

    有过...
    杀杀杀 用这个杀了再用那个杀
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2007-1-22 23:24 | 显示全部楼层

    “熊猫烧香”可能大规模爆发

    熊猫烧香 病毒 的厉害一招:
    自动搜索浏览器里面带“熊猫烧香”字样的网页,一旦监测到,就强制关闭这网页。
    这样中招后想上网求救都难。
    (本公子这厢有礼了。)
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2007-1-26 17:19 | 显示全部楼层

    “熊猫烧香”可能大规模爆发

    现在的熊猫烧香病毒好厉害啊   我上次中过啊  用专杀 杀没了
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2007-1-27 21:34 | 显示全部楼层

    “熊猫烧香”可能大规模爆发

    我中了什么都没了 还好前期做了光盘的备份 损失不大但哥都没了
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2007-1-28 18:47 | 显示全部楼层

    “熊猫烧香”可能大规模爆发

    前天一早,接到命令要出差两天,因为接近年底了,治安太乱,就把家中值点银子的东西(一台笔记本\一个数码相机)全都塞到冰箱的冷冻室里了(估计即使有小偷进入也不会翻这里吧!)又把房间的灯打开,制造有人在家的样子.
        
    由于本人不慎,该本本已经感染了熊猫烧香这个可恶的病毒,还没来得及找大虾格就进入了零下的冰雪世界.今晚刚刚到家准备找个老友大虾重装系统,备好了酒菜呼来老友~~~~~~
         待拿出本本,摸着外壳与室温一致时开机------奇了!
        那些烧香的大熊猫不见了!我本本的系统恢复正常了啊!
         万岁!万岁!!万万岁!!!
         堪称大虾的老友也不禁称奇!!!
        -----难道熊猫怕冻??????
         中招的朋友不妨一试: 本本用塑料裹好防入冰箱冷冻室,温度调成4档(共七档),48小时后拿出,大约两个小时后开机----一切正常!!!
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2007-1-29 07:28 | 显示全部楼层

    “熊猫烧香”可能大规模爆发

    我也不幸中招  这个病毒会自动屏蔽 部分带熊猫烧香字眼的杀毒软件下载页 所长给的链接地址一个不行  我推荐个地方http://bbs.cpcw.com/thread-1055567-1-10.html  最后一个软件非常好用
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2007-1-29 07:52 | 显示全部楼层

    “熊猫烧香”可能大规模爆发

    最近出现新的病毒名为熊猫烧香,危害较大,感染后所有EXE可执行文件图标变成一个烧香的熊猫,大家电脑如出现此现象可认真阅读以下文章:
    一、病毒描述:
    含有病毒体的文件被运行后,病毒将自身拷贝至系统目录,同时修改注册表将自身设置为开机启动项,并遍历各个驱动器,将自身写入磁盘根目录下,增加一个Autorun.inf文件,使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染,同时开另外一个线程连接某网站下载ddos程序进行发动恶意攻击。
       
    二、病毒基本情况:
    [文件信息]
    病毒名: Virus.Win32.EvilPanda.a.ex$
    大  小: 0xDA00 (55808), (disk) 0xDA00 (55808)
    SHA1  : F0C3DA82E1620701AD2F0C8B531EEBEA0E8AF69D
    壳信息: 未知
    危害级别:高
      
    病毒名: Flooder.Win32.FloodBots.a.ex$
    大  小: 0xE800 (59392), (disk) 0xE800 (59392)
    SHA1  : B71A7EF22A36DBE27E3830888DAFC3B2A7D5DA0D
    壳信息: UPX 0.89.6 - 1.02 / 1.05 - 1.24
    危害级别:高
    三、病毒行为:
    Virus.Win32.EvilPanda.a.ex$ :
    1、病毒体执行后,将自身拷贝到系统目录:
    %SystemRoot%\system32\f##kJacks.exe
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run        Userinit        “C:\WIN2K\system32\SVCH0ST.exe”
    2、添加注册表启动项目确保自身在系统重启动后被加载:
    键路径:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    键名:f##kJacks
    键值:”C:\WINDOWS\system32\f##kJacks.exe”
          
    键路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    键名:svohost
    键值:”C:\WINDOWS\system32\f##kJacks.exe”
          
    3、拷贝自身到所有驱动器根目录,命名为Setup.exe,并生成一个autorun.inf使得用户打开该盘运行病毒,并将这两个文件属性设置为隐藏、只读、系统。      C:\autorun.inf        1KB        RHS
    C:\setup.exe        230KB        RHS
          
    4、关闭众多杀毒软件和安全工具。
    5、连接*****.3322.org下载某文件,并根据该文件记录的地址,去www.****.com下载某ddos程序,下载成功后执行该程序。
    6、刷新bbs.qq.com,某QQ秀链接。
    7、循环遍历磁盘目录,感染文件,对关键系统文件跳过,不感染Windows媒体播放器、MSN、IE 等程序。
       
    Flooder.Win32.FloodBots.a.ex$ :
       
    1、病毒体执行后,将自身拷贝到系统目录:
    %SystemRoot%\SVCH0ST.EXE
    %SystemRoot%\system32\SVCH0ST.EXE
    2、该病毒后下载运行后,添加注册表启动项目,确保自身在系统重启动后被加载:      
    键路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    键名:Userinit
    键值:”C:\WINDOWS\system32\SVCH0ST.exe”
    3、尝试关闭窗口
    QQKav
    QQAV
    天网防火墙进程
    VirusScan
    网镖杀毒
    毒霸
    瑞星
    江民
    黄山IE
    超级兔子
    优化大师
    木马克星
    木马清道夫
    木馬清道夫
    QQ病毒注册表编辑器
    系统配置实用程序
    卡巴斯基反病毒
    Symantec AntiVirus
    Duba
    Windows 任务管理器
    esteem procs
    绿鹰PC
    密码防盗
    噬菌体
    木马辅助查找器
    System Safety Monitor
    Wrapped gift Killer
    Winsock Expert
    游戏木马检测大师
    小沈Q盗杀手
    pjf(ustc)
    IceSword
    4、尝试关闭进程
    Mcshield.exe
    VsTskMgr.exe
    naPrdMgr.exe
    UpdaterUI.exe
    TBMon.exe
    scan32.exe
    Ravmond.exe
    CCenter.exe
    RavTask.exe
    Rav.exe
    Ravmon.exe
    RavmonD.exe
    RavStub.exe
    KVXP.kxp
    KvMonXP.kxp
    KVCenter.kxp
    KVSrvXP.exe
    KRegEx.exe
    UIHost.exe
    TrojDie.kxp
    FrogAgent.exe
    Logo1_.exe
    Logo_1.exe
    Rundl132.exe
    删除以下启动项
    SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RavTask
    SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KvMonXP
    SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kav
    SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KAVPersonal50
    SOFTWARE\Microsoft\Windows\CurrentVersion\Run\McAfeeUpdaterUI
    SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Network Associates Error Reporting
    ServiceSOFTWARE\Microsoft\Windows\CurrentVersion\Run\ShStatEXE
    SOFTWARE\Microsoft\Windows\CurrentVersion\Run\YLive.exe
    SOFTWARE\Microsoft\Windows\CurrentVersion\Run\yassistse
    禁用以下服务
    kavsvc
    AVP
    AVPkavsvc
    McAfeeFramework
    McShield
    McTaskManager
    McAfeeFramework McShield
    McTaskManager
    navapsvc
    KVWSC
    KVSrvXP
    KVWSC
    KVSrvXP
    Schedule
    sharedaccess
    RsCCenter
    RsRavMon
    RsCCenter
    RsRavMon
    wscsvc
    KPfwSvc
    SNDSrvc
    ccProxy
    ccEvtMgr
    ccSetMgr
    SPBBCSvc
    Symantec
    Core LC
    NPFMntor
    MskService
    FireSvc
    搜索感染除以下目录外的所有.EXE/.SCR/.PIF/.COM文件,并记有标记
    WINDOWS
    Winnt
    System Volume Information
    Recycled
    Windows NT
    Windows Update
    Windows Media Player
    Outlook Express
    Internet Explorer
    NetMeeting
    Common Files
    ComPlus
    Applications
    Messenger
    InstallShield Installation Information
    MSN
    Microsoft Frontpage
    Movie Maker
    MSN Gamin Zone
    删除.GHO文件
    添加以下启动位置
    \Documents and Settings\All Users\Start Menu\Programs\Startup\
    \Documents and Settings\All Users\「开始」菜单\程序\启动\
    \WINDOWS\Start Menu\Programs\Startup\
    \WINNT\Profiles\All Users\Start Menu\Programs\Startup\
    监视记录QQ和访问局域网文件记录:c:\test.txt,试图QQ消息传送
    试图用以下口令访问感染局域网文件(GameSetup.exe)
    1234
    password
    ……
    admin
    Root
    所有根目录及移动存储生成
    X:\setup.exe
    X:\autorun.inf
    [AutoRun]
    OPEN=setup.exe
    shellexecute=setup.exe
    shell\Auto\command=setup.exe
    删除隐藏共享
    cmd.exe /c net share $ /del /y
    cmd.exe /c net share admin$ /del /y
    cmd.exe /c net share IPC$ /del /y
    创建启动项:
    Software\Microsoft\Windows\CurrentVersion\Run
    svcshare=指向\%system32%\drivers\spoclsv.exe
    禁用文件夹隐藏选项
    SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced
    \Folder\Hidden\SHOWALL\CheckedValue
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2007-1-29 20:30 | 显示全部楼层

    “熊猫烧香”可能大规模爆发

    这个病毒好可爱。。。
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2007-1-29 23:21 | 显示全部楼层

    “熊猫烧香”可能大规模爆发


    是不是很可爱

    本帖子中包含更多资源

    您需要 登录 才可以下载或查看,没有帐号?注册

    x
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2007-1-30 16:17 | 显示全部楼层

    “熊猫烧香”可能大规模爆发

    下面引用由开到荼靡2007/01/29 08:30pm 发表的内容:
    这个病毒好可爱。。。
    嗯。你是不是要领养这会烧香的熊猫啊?
    还有人悬赏10万美金找病毒原制发人呢。 总不会是要这熊猫的制作版权吧,哈哈。
    我看啊,还是10万美金可爱得多。
    (本公子这厢有礼了。)
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2007-1-31 13:07 | 显示全部楼层

    “熊猫烧香”可能大规模爆发

    熊猫烧香化身金猪报喜
    春节将至,然而广大网络用户仍没有彻底摆脱“熊猫烧香”的阴霾。伴随着大量“熊猫烧香”变种的出现,对用户的危害一浪高过一浪。1月29日,来自金山毒霸反病毒中心最新消息:“熊猫烧香”化身“金猪”,危害指数再度升级,被感染的电脑中不但“熊猫”成群,而且“金猪”满圈。但象征财富的金猪仍然让用户无法摆脱“系统被破坏,大量应用软件无法应用”的噩梦。
      “昨天,我打开电脑的时候,发现C盘目录下的可执行文件全部变为金色的小猪,起初我还觉得很可爱,但紧接着发现办公软件都不好用了,而且杀毒软件也被终止了。”用户张小姐非常无奈的表示。
      “刚刚把熊猫查杀干净,今天一开电脑,又发现了N只小金猪,真是郁闷!”用户黄先生气愤地表示。
      金山毒霸反病毒专家戴光剑指出,伴随着各大杀毒厂商对“熊猫烧香”病毒的集中绞杀,该病毒正在不断“繁衍”新的变种,密谋更加隐蔽的传播方式。据不完全统计,仅12月份至今,变种数已达90多个,个人用户感染熊猫烧香的已经高达几百万,企业用户感染数还在继续上升。
      此外学生寒假开始,上网人群短期内集中上升,病毒的传播速度也空前加快,所以用户在进行上网的过程中要更加警惕病毒的入侵。据了解,前几天在网络上出现了“熊猫烧香”作者声称不再有变种出现,而“金猪”的出现再次粉碎了人们的美梦,再次将人们拉回到熊猫烧香的梦魇之中。专家称,按照目前“熊猫烧香”破坏程度,威胁将延伸至春节。
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2007-2-1 09:01 | 显示全部楼层

    “熊猫烧香”可能大规模爆发

    我的笔记本前几天也被这只看上去可爱的熊猫咬了一口哦,当时一早开机时电脑总是重启,我没当回事,根本没有想到这只熊猫会把香烧到我的电脑里来.后来它重启了几次以后就能正常上网了.一天相安无事后到了傍晚我打开天空软件,刚进入就看到一只熊猫一闪,当时心里哇凉哇凉的,赶紧打开C盘一看,所有的可执行文件全变成熊猫了.后来我把电脑交给朋友帮我杀毒,第二天朋友告诉我怎么杀也没有用,杀完后重新开机还是满机都是大熊猫!我就请他帮我重装系统,一天后朋友把电脑交给我,说只能装2003的,XP的装不了.我现在只用别别扭扭地用这个操作系统了.我恨死这个制造病毒的人了!
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2007-2-1 16:46 | 显示全部楼层

    “熊猫烧香”可能大规模爆发

    制造这种病毒的人出门被车撞死!
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2023-4-15 08:35
  • 签到天数: 462 天

    连续签到: 1 天

    [LV.9]以坛为家II

     楼主| 发表于 2007-2-1 16:58 | 显示全部楼层

    “熊猫烧香”可能大规模爆发

    下面引用由采桑人2007/02/01 09:01am 发表的内容:
    我的笔记本前几天也被这只看上去可爱的熊猫咬了一口哦,当时一早开机时电脑总是重启,我没当回事,根本没有想到这只熊猫会把香烧到我的电脑里来.后来它重启了几次以后就能正常上网了.一天相安无事后到了傍晚我打开 ...
    呵呵,以后把电脑给我。
    昨天我家的计算机也中了,我杀到差不多12.,几万个文件,晕死了
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2007-2-1 17:51 | 显示全部楼层

    “熊猫烧香”可能大规模爆发

    吟风把电脑给我,我叫我们公司里面的工程师帮你搞一下哈!!
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2023-4-15 08:35
  • 签到天数: 462 天

    连续签到: 1 天

    [LV.9]以坛为家II

     楼主| 发表于 2007-2-1 18:16 | 显示全部楼层

    “熊猫烧香”可能大规模爆发

    下面引用由jerry8211012007/02/02 02:51am 发表的内容:
    吟风把电脑给我,我叫我们公司里面的工程师帮你搞一下哈!!
    不早说,我都搞好了阿。
    下次我找你。
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    QQ|小黑屋|《唐诗宋词》网站 ( 苏ICP备2021032776号 )

    GMT+8, 2024-11-26 22:07 , Processed in 0.098555 second(s), 19 queries .

    Powered by Discuz! X3.4

    Copyright © 2001-2021, Tencent Cloud.

    快速回复 返回顶部 返回列表