[病毒分析]熊猫烧香应急处理方法(上)

简介: [病毒分析]熊猫烧香应急处理方法

熊猫烧香病毒机理分析

(1)自启动方式


熊猫烧香病毒将自身拷贝至系统目录,同时修改注册表将自身设置为开机启动项

这种方式也是绝大部分病毒自启动所采用的方式。


拷贝自身到所有驱动器根目录(盘符),命名为Setup.exe,在驱动器根目录生成


autorun.inf文件,并把它设置为隐藏、只读、系统


autorun.inf文件的作用是允许在双击磁盘时自动运行指定的某个文件,即运行Setup.exe。


(2)传播方式


a、感染可执行文件

熊猫烧香病毒会搜索并感染系统中特定目录外的所有.EXE / .SCR / .PIF / .COM等文件,将自身捆绑在被感染文件前端,并在尾部添加标记信息:.WhBoy{原文件名}.exe.{原文件大小}。注意,它感染的是特定目录外的,而某些系统目录是不去感染的,因为Windows系统某些可执行文件是有还原机制的,系统文件修改有时候会有报警提示。


b、感染网页

熊猫烧香病毒会查找系统以 .html 和 .asp 为后缀的文件,在里面插入网页标记,这个帧iframe会将另外一个URL嵌入到当前网页,并且宽度和高度设置为0(看不到)。嵌入页面后会利用如IE浏览器的漏洞来触发恶意代码,从而释放相应病毒出来。


c、通过弱口令传播

这种传播方式非普遍,它会访问局域网共享文件夹将病毒文件拷贝到该目录下,并改名为GameSetup.exe(模拟游戏名称);通过弱口令猜测从而进入系统C盘。


(3) 自我隐藏


a、禁用安全软件

熊猫烧香病毒会尝试关闭安全软件(杀毒软件、防火墙、安全工具)的窗口、进程,比如包含360的名称等;删除注册表中安全软件的启动项;禁用安全软件的服务等操作。


b、自动恢复“显示所有文件和文件夹”选项隐藏功能

某些用户去看隐藏文件,会主动点击查看隐藏文件夹,但这个病毒会自动恢复隐藏。


c、删除系统的隐藏共享(net share)

Windows系统其实默认会开启隐藏共享 C$ ,比如早期的 IPC$ 管道等,通过net share命令可以删除隐藏共享。


(4)破坏情况


a、熊猫烧香病毒同时会开另一个线程连接某网站下载DDOS程序进行发动恶意攻击

具有破坏功能,可开启附件攻击行为,熊猫烧香感染计算机台数非常多,它就能发动多台电脑发起DDOS攻击。


b、删除扩展名为gho的文件,延长存活时间

该文件是系统备份工具GHOST的备份文件,从而使用户的系统备份文件丢失。当用户中了病毒,想去恢复时就存在困难了。


实战过程


实验环境: Windows XP 吾爱破解专版

实验文件:setup.exe(熊猫烧香)

手动查杀病毒基本流程

1、排插可疑进程

2、检查启动项

3、删除病毒

4、修复被病毒破坏的文件

第一步,运行样本之前打开任务管理器查看当前进程

1.png

第二步,运行样本之后,发现任务管理器闪退

第三步,打开cmd,输入”tasklist“

我们看到的process信息如下,我们发现多出来一个新的进程“spoclsv.exe”

1.png

第四步 终止进程

指令:**taskkill /f /im + 对应的PID值 ** /f 表示强制执行 /im 表示文件

这里输入的是:taskkill /f /im 1752

image.png

第五步 查询启动项

image.png

image.png

第六步 检测这个启动项创建的位置和键值

也就是上图中的命令和位置

  • C:\WINDOWS\System32\drivers\spoclsv.exe
  • HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

第七步 注册表查看对应的值

image.png

1.png

我们打开这个目录查看


相关文章
|
SQL 设计模式 安全
如何有效预防XSS?这几招管用!!!
如何有效预防XSS?这几招管用!!!
如何有效预防XSS?这几招管用!!!
|
安全
[病毒分析]熊猫烧香应急处理方法(下)
[病毒分析]熊猫烧香应急处理方法
179 0
[病毒分析]熊猫烧香应急处理方法(下)
|
安全
[病毒分析]熊猫烧香(中)病毒释放机理(四)
[病毒分析]熊猫烧香(中)病毒释放机理
150 0
[病毒分析]熊猫烧香(中)病毒释放机理(四)
|
安全
[病毒分析]熊猫烧香(中)病毒释放机理(二)
[病毒分析]熊猫烧香(中)病毒释放机理
152 0
[病毒分析]熊猫烧香(中)病毒释放机理(二)
|
安全
[病毒分析]熊猫烧香(中)病毒释放机理(三)
[病毒分析]熊猫烧香(中)病毒释放机理
174 0
 [病毒分析]熊猫烧香(中)病毒释放机理(三)
|
安全
[病毒分析]熊猫烧香(中)病毒释放机理(一)
[病毒分析]熊猫烧香(中)病毒释放机理
180 0
[病毒分析]熊猫烧香(中)病毒释放机理(一)
|
机器学习/深度学习 云安全 人工智能
勒索病毒的彻底终结 主动式防御的剑与魔法
勒索病毒的彻底终结 主动式防御的剑与魔法
勒索病毒的彻底终结 主动式防御的剑与魔法
|
云安全 监控 安全
瑞星2009:3大拦截2大防御功能主动遏制木马病毒
  12月16日,“瑞星全功能安全软件2009”正式发布,它基于瑞星“云安全”技术开发,实现了彻底的互联网化,是一款超越了传统“杀毒软件”的划时代安全产品。该产品集“拦截、防御、查杀、保护”多重防护功能于一身,并将杀毒软件与防火墙的无缝集成为一个产品,实现两者间互相配合、整体联动,同时极大地降低了电脑资源占用。
1166 0
|
安全
黑客借“甲型流感”传毒 挂马疾病预防控制中心网站
4月开始的一场全球性的甲型流感,使得疫情防控成为公众关注的焦点。然而,金山毒霸云安全中心却监测到网络上已有黑客针对该事件发起了恶意攻击。 据金山互联网安全公司发布的《2009年4月份中国电脑病毒疫情及互联网安全报告》,海南省疾病预防控制中心网站多次被黑客挂马。
1978 0