高度注意熊猫烧香病毒
揭秘“熊猫烧香”肆虐内幕 千余家企业网络遭攻击瑞星全球反病毒监测网向企业局域网发布警告,目前“尼姆亚(也称熊猫烧香)”病毒的攻击重点正在转向企业局域网和网站,广大企业和网站应提高警惕紧密防范。瑞星反病毒专家介绍说,该病毒会在中毒电脑中所有的网页文件尾部添加病毒代码。一些网站编辑人员的电脑如果被该病毒感染,上传网页到网站后,就会导致用户浏览这些网站时也被病毒感染。
据悉,目前多家著名网站已经遭到此类攻击,而相继被植入病毒。由于这些网站的浏览量非常大,致使此次“熊猫烧香”病毒的感染范围非常广,中毒企业和政府机构已经超过千家,其中不乏金融、税务、能源等关系到国计民生的重要单位。
瑞星反病毒专家介绍说,“熊猫烧香”其实是“尼姆亚”病毒的新变种,最早出现在2006年的11月,到目前为止已经有数十个不同变种,在此期间瑞星已经发布针对该病毒的专杀工具,今天该工具已经升级,用户可以去瑞星网站(?
除了通过网站带毒感染用户之外,此病毒还会在局域网中传播,在极短时间之内就可以感染几千台计算机,严重时可以导致网络瘫痪。中毒电脑上会出现“熊猫烧香”图案,所以也被称为“熊猫烧香”病毒。中毒电脑会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。
那么,用户应该如何防范“熊猫烧香”病毒的攻击?专家建议:
第一,安装杀毒软件和瑞星卡卡3.1,并在上网时打开网页实时监控。由于现在海底光缆中断,很多国外杀毒软件难以升级,瑞星杀毒软件免费为用户提供一个月服务,可以登陆:免费下载并使用。用户还可以通过瑞星在线专家门诊:得帮助。
第二,网站管理员应该更改机器密码,以防止病毒通过局域网传播。
第三,QQ、UC的漏洞已经被该病毒利用,用户应该去他们的官方网站打好最新补丁。
第四,该病毒会利用IE浏览器的漏洞进行攻击,因此用户应该给IE打好所有的补丁。如果必要的话,用户可以暂时换用Firefox、Opera等比较安全的浏览器。
[color=#000080]病毒名称:Worm.WhBoy.h
病毒中文名:熊猫烧香
病毒类型:蠕虫
危险级别:★★★★★
影响平台:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
专杀工具:金山专杀工具 安天专杀工具 江民专杀工具
病毒描述:
“武汉男生”,俗称“熊猫烧香”,这是一个感染型的蠕虫病毒,它能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件,使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。
补充: rar等压缩文件也会被感染
感染病毒后的截图:
[img]http://www.diybuy.cn/tcpic/snap2.jpg[/img]
★注意★
2000系统的系统目录为 C:\WINNT
XP系统的则是 C:\WINDOWS
以下涉及到的都是 2000系统中的系统目录,如果你是XP系统,请自己将 WINNT改为WINDOWS
★病毒的启动原理:
首先,它在 C:\WINNT\system32\drivers目录下建立了一个
"spo0lsv.exe"文件,o是英文字母,0是数字,伪装成正常的系统打印服务"spoolsv.exe"并实现开机的加载。
第二,有些机器会有与以前的U盘病毒一样的特征,每个盘双击打开会运行病毒的程序。原理是在每个盘比如C盘根目录下建立两个隐藏文件 setup.exe 和 autorun.inf
autorun.inf这个文件实在是变态,它本来是用来实现“光盘的自动播放”功能。你自己随便在哪个盘建立一个该文件,哪怕是空的,也会造成该盘会被认为是自动运行盘,病毒只要在里面写上一句短短的病毒程序路径,双击该盘图标就会运行这个autorun.inf文件,从而达到运行病毒的目的。
autoruns.exe 是一个国外的优秀启动项目检查和设置工具,小巧但功能全面。我们下面就要使用它来进行“熊猫烧香”病毒的手动分析、清除。所有病毒的启动原理都差不多,学会一两个病毒的查杀,以后碰见新病毒,说不定就能派上用场。
软件截图:
[img]http://www.diybuy.cn/tcpic/snap5.jpg[/img]
首先,我们重启机器,按 f8 键进入安全模式。
“安全模式”停用了大部分的系统服务和第三方服务。比如“熊猫烧香”病毒,进入安全模式后是不会启动的,除非你在安全模式下运行了感染该病毒的文件。
而且,由于该病毒每秒都穷举所打开软件的标题和内容,如果含有“杀毒软件、进程、专杀”等等对它不利的关键字,就会马上关闭该窗口。比如常用的“进程管理器”一打开就马上被关闭掉了。我常推荐的“超然进程管理器”也是一样,所以这个案例我暂时不使用它。
网上有人居然提出“在进程管理器被关闭之前,迅速的把spo0lsv.exe进程关闭”这个愚蠢的办法....相信能在1秒的时间里在一堆进程列表里找到这个进程并关闭它的人,不太多。
好了,进入安全模式。
运行下载好的autoruns.exe,不管它是否也已被病毒感染,我们看到的界面如上图所示,我们需要关注的内容是“登录”和“服务”两项。
其中“登录”一栏截图如下:
[img]http://www.diybuy.cn/tcpic/snap3.jpg[/img]
如上图所示,在 HKLM\SOFTWARE\Microsoft\windows\currentversion\run键下面,有5个列表,除了 ATICC是该机器的ATI显卡控制面板程序外, 8\cmdbcs\iect1v142wyy\RavMonHelp这4个启动项都是病毒产生的文件。
在列表的右边,有对应的文件详细路径,分别是:
C:\WINNT\alga.exe
C:\winnt\rx.exe
c:\winnt\iexpl0re.exe (l为字母,0为数字)
C:\WINNT\my.exe
在HKCU\software\microsoft\windows\currentversion\run下有2个列表,其中 internat是键盘输入法管理程序, svcshare光看图标就知道是熊猫烧香的病毒了。
它的详细路径是:
C:\winnt\system32\drivers\spo0lsv.exe (o是字母,0是数字)
我们把这5个病毒的启动项前面的勾去掉,并记下路径,也可以在后来再次打开autoruns来查看。
接着来看“服务”一栏下部分(上部分在第二个图)里的启动项,如图:
[img]http://www.diybuy.cn/tcpic/snap4.jpg[/img]
上周中了viking(威金)
和这个原理上差不多
找到这几个病毒文件的启动项后,我们需要做的就是,把这几个启动项前面的勾取消掉。
在”登录“一栏应该取消的是
8\cmdbcs\iect1v142wyy\RavMonHelp这4个启动项
对应的文件详细路径,分别是:
C:\WINNT\alga.exe
C:\winnt\rx.exe
c:\winnt\iexpl0re.exe (l为字母,0为数字)
C:\WINNT\my.exe
如图:
[img]http://www.diybuy.cn/tcpic/snap6.jpg[/img]
服务里应该取消的,如图:
[img]http://www.diybuy.cn/tcpic/snap7.jpg[/img]
将这几个启动项前面的勾取消后,如果你运行过感染病毒的文件,先别干别的,重启机器。相反的话,你运行“任务管理器”如果没被强行关闭,那么可以不重启机器,直接进行下步操作
因为 C:\winnt\system32\drivers\spo0lsv.exe可能已经运行,且没有办法停止它,也就无法删掉它。只有重启后,由于启动项被取消,它不会被启动,才能被删除。
开始-运行-输入cmd 回车,运行命令行。 如图:
[img]http://www.diybuy.cn/tcpic/snap8.jpg[/img]
这里,恐怕要说明一下命令行的几个dos命令了。
我们先"cd \winnt" 回车 (意思是,无论当前目录是什么,进入到“\"符号代表的所在盘的根目录下的WINNT目录,如果是 "CD \"则是返回到根目录)
再输入 "attrib -s -h -r"回车,这是取消当前目录所有文件的s系统h隐藏r只读属性。 (本来可以在”我的电脑“工具-文件夹选项-查看里设置显示系统和隐藏文件,但熊猫烧香病毒好象动了手脚,设置不起作用,所以只好用命令行来了)
再用 "del 文件名"的方式将WINNT目录下的4个-5个病毒文件删掉。
[img]http://www.diybuy.cn/tcpic/snap9.jpg[/img]
补充,可能winnt目录下还有个病毒文件 feige.exe,用del feige.exe命令删除它。
再删除以下三个病毒文件
如图:
[img]http://www.diybuy.cn/tcpic/snap10.jpg[/img]
另外,前面还有提到,病毒可能在每个盘的根目录产生两个隐藏文件setup.exe/autorun.inf,同样,用命令行方式先进入该盘,去除目录下的隐藏等属性,再删除
[img]http://www.diybuy.cn/tcpic/snap11.jpg[/img]
然后,病毒的源头已经没了。
这并不是万事大吉了的。记得吗?还有很多已经被病毒感染的文件存在着呢。
对于一般疯狂创建文件的病毒来说,我们或许可以手动把病毒文件直接删除,但”熊猫烧香“却不能这样处理。它是采用感染计算机上已经存在的文件的方式来传播的,也许它感染的是你最重要最重要的一个文件--------"A片"...呵呵,我们当然不能直接把文件也删除。手工将病毒从染毒文件里剥离出来也不现实,怎么办?还是那句老话:
再手工的,也得用到工具。
我们学习的整个步骤,是一般病毒的常用自启动和隐藏方式,对于已经感染病毒的文件,是无能为力的。这时,杀毒软件和专杀工具就派上用场了。
下一个专杀工具清除病毒吧。
最后,我可以很肯定很肯定的告诉大家,很多病毒,包括有人提到的WOWEXEC病毒,我前几天也是使用autoruns和windows自带的任务管理器、服务管理器帮别人手工搞定的(最近我见过的80%以上的病毒,几乎都使用了系统服务作为隐藏自己和启动自己的方式)。也就是说,学习到如何分析病毒隐藏、启动这个知识,再加点经验,应付再厉害的病毒,大多都是可以解决的。
[/color] 可爱的熊猫,却惹得人人讨厌 哈哈,强啊,那个病毒 [quote]原帖由 [i]bean[/i] 于 2007-1-25 13:08 发表
哈哈,强啊,那个病毒 [/quote]
你有没有中招啊?
厉害啊
厉害啊,原来有很厉害的师弟师妹们中招就惨了.exe回全军覆没的
页:
[1]