开发者社区> 技术小甜> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

'熊猫烧香'病毒专题:多少变种,怎么破坏,如何查杀?

简介:
+关注继续查看
这个幽默又具有破坏力的病毒恐怕最近中招的不少,来看看这篇技术分析:
一、熊猫烧香有几个变种?

到目前为止,从大体上分,目前主要有四大变种,变种A我们已经分析,见本版,变种B的就是大家常说的spoclsv.exe进程,它藏的全路径是:% SystemRoot%/Driversspoclsv.exe,其它部分与变种A基本一致.

变种C主要的改动是对抗杀毒软件,尤其是超级巡警的专杀, 该专杀旧版本被360安全卫士内置到工具列表中。变种C通过查找窗口标题有超级巡警字样,即关闭该窗口,即使在桌面新建一个名为超级巡警的文本文件,用记 事本打开也会被关闭。因此许多网友下载了旧版的专杀,抱怨打开就被关闭。

同时熊猫烧香病毒还会关闭其它一些常见的进程管理的,比如常用的Windows任 务管理器。对付这种变种的方法就是使用一个不被关闭的进程管理的,推荐使用X-PS,下载地址和使用说明:[url]http://www.unnoo.com/html/research/2006/0718/29.html[/url],关闭掉名为spoclsv.exe的进程。然后在使用巡警的专杀,当然也可以下载最新的超级巡警使用里面的专杀来查杀。
变种D是最近才出现的一个变种,该变种感染文件后图标不在是熊猫模样,当感染该变种会在临时目录发现100个图标文件。还有其它一些变种,基本都是为了躲避查杀进行修改和下载不同的后门的版本。

二、对系统的破坏:

熊猫烧香在感染的系统上,会关闭杀毒软件进程,删除杀毒软件的注册表项目,禁用杀毒软件的服务,修改资源管理器不显示隐藏文件等。

还会调用如下命令来删除共享:
cmd.exe /c net share C$ /del /y
cmd.exe /c net share D$ /del /y
cmd.exe /c net share admin$ /del /y
....

旧变种会全面感染系统文件,新变种会感染除系统目录外的文件,即尽量不感染微软操作系统自身的文件。

新旧变种都会删除.gho,一般人会在安装完成系统后,使用Norton Ghost进行备份,熊猫会恶意删除这个备份文件。

其中一个变种还会在感染目录生成desktop_.ini。

最大的破坏是,熊猫烧香本身就是一种下载者,会在指定的网站下载后门、木马、各种盗号程序,甚至DDoS程序。

三、为什么无法清除干净,如何彻底查杀:

有人使用了超级巡警和巡警之熊猫专杀后,将一个机子杀干净了,但不久又发现感染了,这是因为,熊猫烧香在感染了一个系统后,开启一个单独的线程进行C类网 络扫描感染,访问同网段的139/445端口,进行IPC$密码猜解和查找共享,并感染共享中的文件。这样只要网络内有一个机子还有存活的熊猫烧香病毒, 就依然存在再次感染全网的可能。

许多朋友网络内都是有文件共享服务器,电影服务器,而许多网友的网络内的人都为了方便系统登录口令都是空口令,或者是123这样的简单口令。

局域网中有个IE没有打病毒,浏览挂了熊猫烧香病毒的网站,并不知情。

查杀的办法是:

1、断开网络,使用超级巡警之熊猫烧香专杀,每个机子全面杀毒。
2、修改口令,取消本地共享目录。
3、查杀完成后使用超级巡警的补丁检查检查系统没有打的补丁,及时打上补丁,尤其是IE补丁。

最新版巡警已经内置了最新专杀,请到官方网站[url]http://dswlab.com[/url]中推荐的下载地址去下载!





















本文转自loveme2351CTO博客,原文链接:http://blog.51cto.com/loveme23/14186 ,如需转载请自行联系原作者


版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
Sentinel FlowSlot 限流实现原理(文末附流程图与总结)
Sentinel FlowSlot 限流实现原理(文末附流程图与总结)
45 0
[病毒分析]熊猫烧香(中)病毒释放机理(二)
[病毒分析]熊猫烧香(中)病毒释放机理
42 0
[病毒分析]熊猫烧香(上)初始分析(三)
[病毒分析]熊猫烧香(上)初始分析
37 0
Qt单例:Qt有专门的宏Q_GLOBAL_STATIC,用来实现线程安全的单例模式
Qt单例:Qt有专门的宏Q_GLOBAL_STATIC,用来实现线程安全的单例模式
323 0
庖丁解牛-图解查询分析和调优利器Optimizer Trace
查询分析和调优背景在数据库的使用过程,我们经常会碰到SQL突然变慢,是由于下面导致的问题:选择错误的索引选择错误的连接顺序范围查询使用了不同的快速优化策略子查询选择的执行方式变化半连接选择的策略方式变化如何使用分析工具OPTIMIZER TRACE来理解优化过程和原理来深度分析和调优慢SQL就成为高级DBA的利器。我们先来了解下查询优化整体的过程:该过程主要考虑的因素是访问方式、连接顺序和方法已经
488 0
基于Python的Flask WEB框架实现后台权限管理系统(建议在windows环境进行部署)
内容包含:用户管理、角色管理、资源管理和机构管理
1544 0
how to design a good api and why it matters
http://www.open-open.com/doc/view/ceee1d75382f4bbc93c8a8a2a98b4e52   Characteristics of a Good API • Easy to learn • Easy to use, even without documen...
769 0
Flash/Flex学习笔记(32):播放音乐并同步显示lyc歌词(适用于Silverlight)
题外话:个别朋友总是问我同样的问题,做为一名c#/silverlight程序员为啥还要学flash ? 回 答:看日本片时,就不能对照看欧美的么? 不体会日本的细腻,又怎能感觉到欧美的粗放;同样都是web相关的技术,不必报门户之见;何况这二者有很多可以相互借鉴的东西。
1012 0
+关注
10136
文章
0
问答
文章排行榜
最热
最新
相关电子书
更多
低代码开发师(初级)实战教程
立即下载
阿里巴巴DevOps 最佳实践手册
立即下载
冬季实战营第三期:MySQL数据库进阶实战
立即下载