最近出现新的病毒名为熊猫烧香,危害较大,感染后所有EXE可执行文件图标变成一个烧香的熊猫,大家电脑如出现此现象可认真阅读以下文章:一、病毒描述:含有病毒体的文件被运行后,病毒将自身拷贝至系统目录,同时修改注册表将自身设置为开机启动项,并遍历各个驱动器,将自身写入磁盘根目录下,增加一个Autorun.inf文件,使得用户打开该盘时激活病毒体。
随后病毒体开一个线程进行本地文件感染,同时开另外一个线程连接某网站下载ddos程序进行发动恶意攻击。
二、病毒基本情况:[文件信息]病毒名: Virus.Win32.EvilPanda.a.ex$大小: 0xDA00 (55808), (disk) 0xDA00 (55808)SHA1 : F0C3DA82E1620701AD2F0C8B531EEBEA0E8AF69D壳信息: 未知危害级别:高病毒名: Flooder.Win32.FloodBots.a.ex$大小: 0xE800 (59392), (disk) 0xE800 (59392)SHA1 : B71A7EF22A36DBE27E3830888DAFC3B2A7D5DA0D壳信息: UPX 0.89.6 - 1.02 / 1.05 - 1.24危害级别:高三、病毒行为:Virus.Win32.EvilPanda.a.ex$ :1、病毒体执行后,将自身拷贝到系统目录:%SystemRoot%system32FuckJacks.exeHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun UserinitC:WIN2Ksystem32SVCH0ST.exe2、添加注册表启动项目确保自身在系统重启动后被加载:键路径:HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun键名:FuckJacks键值:C:WINDOWSsystem32FuckJacks.exe键路径:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun键名:svohost键值:C:WINDOWSsystem32FuckJacks.exe3、拷贝自身到所有驱动器根目录,命名为Setup.exe,并生成一个autorun.inf使得用户打开该盘运行病毒,并将这两个文件属性设置为隐藏、只读、系统。
C:autorun.inf 1KB RHSC:setup.exe 230KB RHS4、关闭众多杀毒软件和安全工具。
5、连接*****下载某文件,并根据该文件记录的地址,下载某ddos程序,下载成功后执行该程序。
6、刷新,某QQ秀链接。
7、循环遍历磁盘目录,感染文件,对关键系统文件跳过,不感染Windows媒体播放器、MSN、IE 等程序。
Flooder.Win32.FloodBots.a.ex$ :1、病毒体执行后,将自身拷贝到系统目录:%SystemRoot%SVCH0ST.EXE%SystemRoot%system32SVCH0ST.EXE2、该病毒后下载运行后,添加注册表启动项目,确保自身在系统重启动后被加载:键路径:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun键名:Userinit键值:C:WINDOWSsystem32SVCH0ST.exe 3、尝试关闭窗口QQKavQQAV天网防火墙进程VirusScan网镖杀毒毒霸瑞星江民黄山IE超级兔子优化大师木马克星木马清道夫木馬清道夫QQ病毒注册表编辑器系统配置实用程序卡巴斯基反病毒Symantec AntiVirusDubaWindows 任务管理器esteem procs绿鹰PC密码防盗噬菌体木马辅助查找器System Safety Monitor Wrapped gift Killer Winsock Expert游戏木马检测大师小沈Q盗杀手pjf(ustc)IceSword4、尝试关闭进程Mcshield.exe VsTskMgr.exe naPrdMgr.exe UpdaterUI.exe TBMon.exescan32.exe Ravmond.exe CCenter.exe RavTask.exeRav.exeRavmon.exeRavmonD.exeRavStub.exeKVXP.kxpKvMonXP.kxpKVCenter.kxpKVSrvXP.exeKRegEx.exeUIHost.exeTrojDie.kxpFrogAgent.exeLogo1_.exeLogo_1.exeRundl132.exe删除以下启动项SOFTWAREMicrosoftWindowsCurrentVersionRunRavTask SOFTWAREMicrosoftWindowsCurrentVersionRunKvMonXP SOFTWAREMicrosoftWindowsCurrentVersionRunkav SOFTWAREMicrosoftWindowsCurrentVersionRunKAVPersonal50 SOFTWAREMicrosoftWindowsCurrentVersionRunMcAfeeUpdaterUI SOFTWAREMicrosoftWindowsCurrentVersionRunNetwork Associates Error ReportingServiceSOFTWAREMicrosoftWindowsCurrentVersionRunShStatEXE SOFTWAREMicrosoftWindowsCurrentVersionRunYLive.exe SOFTWAREMicrosoftWindowsCurrentVersionRunyassistse禁用以下服务kavsvcAVPAVPkavsvcMcAfeeFrameworkMcShieldMcTaskManagerMcAfeeFramework McShieldMcTaskManagernavapsvcKVWSCKVSrvXPKVWSCKVSrvXPSchedulesharedaccessRsCCenterRsRavMonRsCCenterRsRavMonwscsvcKPfwSvcSNDSrvcccProxyccEvtMgrccSetMgrSPBBCSvcSymantecCore LCNPFMntorMskServiceFireSvc搜索感染除以下目录外的所有.EXE/.SCR/.PIF/.COM文件,并记有标记WINDOWSWinntSystem Volume InformationRecycledWindows NTWindows UpdateWindows Media PlayerOutlook ExpressInternet ExplorerNetMeetingCommon FilesComPlusApplicationsMessengerInstallShield Installation InformationMSNMicrosoft FrontpageMovie MakerMSN Gamin Zone删除.GHO文件添加以下启动位置Documents and SettingsAll UsersStart MenuProgramsStartup Documents and SettingsAll Users「开始」菜单程序启动WINDOWSStart MenuProgramsStartupWINNTProfilesAll UsersStart MenuProgramsStartup监视记录QQ和访问局域网文件记录:c:test.txt,试图QQ消息传送试图用以下口令访问感染局域网文件(GameSetup.exe)1234passwordadminRoot所有根目录及移动存储生成X:setup.exeX:autorun.inf[AutoRun]OPEN=setup.exeshellexecute=setup.exeshellAutocommand=setup.exe删除隐藏共享cmd.exe /c net share $ /del /ycmd.exe /c net share admin$ /del /ycmd.exe /c net share IPC$ /del /y创建启动项:SoftwareMicrosoftWindowsCurrentVersionRunsvcshare=指向%system32%driversspoclsv.exe禁用文件夹隐藏选项SOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvanced FolderHiddenSHOWALLCheckedValue。