熊猫烧香病毒分析与专杀工具

最新推荐文章于 2022-09-24 17:27:56 发布
最新推荐文章于 2022-09-24 17:27:56 发布
阅读量2.6k 收藏
点赞数
文章标签: 工具 system exe sybase login database
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fallingleaf/article/details/1499972
版权

先看看专业分析:
Jacks.exe setup.exe 熊猫烧香 尼姆亚 解决方案
档案编号:CISRT2006078
病毒名称:Trojan-PSW.Win32.QQRob.ec(Kaspersky)
病毒别名:Worm.Nimaya.a[尼姆亚](瑞星)
病毒大小:30,465 字节
加壳方式:FSG
样本MD5:2a6ad4fb015a3bfc4acc4ef234609383
样本SHA1:bd2499c1bcddc5a55c87510730e6e826f7dac9bc
发现时间:2006.11
更新时间:2006.11
关联病毒:
传播方式:通过恶意网页传播,其它木马下载,可通过局域网、移动存储设备等传播
技术分析
==========
exe主程序使用白底熊猫烧香图标,运行后复制自身到系统目录:
%System%/非法词语 被系统自动过滤Jacks.exe
创建自启动项:
[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run]
"非法词语 被系统自动过滤Jacks"="%System%/非法词语 被系统自动过滤Jacks.exe"
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
"svohost"="%System%/非法词语 被系统自动过滤Jacks.exe"
在各分区根目录创建副本:
X:/autorun.inf
X:/setup.exe
autorun.inf内容:
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell/Auto/command=setup.exe
尝试删除隐藏管理共享:
net share X$ /del /y
net share admin$ /del /y
net share IPC$ /del /y
尝试结束进程:
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
KvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl123.exe
关闭窗口:
QQKav
QQAV
VirusScan
Symantec AntiVirus
iDuba
esteem procs
Wrapped gift Killer
Winsock Expert
msctls_statusbar32
pjf(ustc)
IceSword
删除启动项:
RavTask
KvMonXP
kav
KAVPersonal50
McAfeeUpdaterUI
Network Associates Error Reporting Service
ShStatEXE
YLive.exe
yassistse
禁用服务:
Schedule
sharedaccess
RsCCenter
RsRavMon
RsCCenter
KVWSC
KVSrvXP
kavsvc
AVP
McAfeeFramework
McShield
McTaskManager
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec Core LC
NPFMntor
MskService
FireSvc
遍历目录,感染除系统目录外其它目录中的exe文件,将自身捆绑在exe文件前端,并在尾部添加标记信息:
QUOTE:WhBoy{原文件名}.exe.{原文件大小}.
被感染exe运行后释放前端病毒文件到%System%/非法词语 被系统自动过滤Jacks.exe,并使用bat批处理将后边原始exe文件“还原”,bat批处理内容:
:try1
del "file.exe"
if exist "file.exe" goto try1
ren "file.exe.exe" "file.exe"
if exist "file.exe.exe" goto try2
"file.exe"
:try2
del %0
这个环节和Viking类似
病毒还尝试使用弱密码访问局域网内其它计算机:
password
harley
golf
pussy
mustang
shadow
fish
qwerty
baseball
letmein
ccc
admin
abc
pass
passwd
database
abcd
abc123
sybase
123qwe
server
computer
super
123asd
ihavenopass
godblessyou
enable
alpha
1234qwer
123abc
aaa
patrick
pat
administrator
root
~
god
foobar
secret
test
test123
temp
temp123
win
asdf
pwd
qwer
yxcv
zxcv
home
xxx
owner
login
Login
love
mypc
mypc123
admin123
mypass
mypass123
Administrator
Guest
admin
Root
病毒体内包含文字:
xXx_WhBoy_Worm
xXx_WhBoy

清除步骤
==========
1. 断开网络
2. 结束病毒进程
%System%/非法词语 被系统自动过滤Jacks.exe
3. 删除病毒文件:
%System%/非法词语 被系统自动过滤Jacks.exe
4. 右键点击分区盘符,点击右键菜单中的“打开”进入分区根目录,删除根目录下的文件:
X:/autorun.inf
X:/setup.exe
5. 删除病毒创建的启动项:
[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run]
"非法词语 被系统自动过滤Jacks"="%System%/非法词语 被系统自动过滤Jacks.exe"
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
"svohost"="%System%/非法词语 被系统自动过滤Jacks.exe"
6. 修复或重新安装反病毒软件
7. 使用反病毒软件或专杀工具进行全盘扫描,清除恢复被感染的exe文件

 

下载地址:

http://www.dswlab.com/dow/d2.html

此工作室还有许多相关的安全工具,不错的!

 
落叶
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
号称病毒之王的“熊猫烧香”详细分析
Test网络安全
09-12 1万+
01-样本概况 1.1-样本信息 基本信息 文件: C:\Users\15pb-win7\Desktop\xiongmao.exe 大小: 30001 bytes 修改时间: 2018年7月14日, 8:40:21 MD5: 512301C535C88255C9A252FDF70B7A03 SHA1: CA3A1070CFF311C0BA40AB60A8FE3266CFEFE870 CRC32: E334747C 病毒行为: 1.在系统目录下生成病毒程序
熊猫烧香之手动查杀
该用户很懒,没有写简介。。。
07-29 691
对熊猫烧香进行手动查杀学习笔记: 手动查杀:只不通过代码的方式对病毒进行查杀,通过鼠标指指点点+DOS命令实现杀毒 粗浅,往往不能查杀干净 并不代表什么软件都不用,专业分析软件 手动查杀病毒木马固定的流程: 1. 排查可疑进程。因为病毒往往会创建出来一个或多个进程,因此我们需要分辨出哪些进程是由病毒所创建,然后删除可疑进程。 2. 检查启动项。病毒为了实现自启动,会...
云守护版熊猫烧香病毒专杀工具演示
01-11
云守护版 熊猫烧香 病毒 专杀工具演示 c++builder 实现
【病毒分析】——熊猫烧香 && 专杀工具C源码
VI___
11-28 4966
最近忙里偷闲,将自己分析过的一些病毒记录一下,一是给刚入门的小白有个借鉴,二是不让自己写博客的习惯停下来。 一、基本信息 FileName panda.exe Type 感染型病毒 Size 30001 bytes MD5 512...
程序之家系列教程之手把手教你写熊猫烧香病毒专杀工具
Penlee's Blog
03-11 2913
(作者:chenhui530,论坛http://chenhui530.com)前言      经过去年和熊猫烧香、威金等病毒的“斗争”,我也累了,“程序之家病毒专杀工具”虽然可以轻松解决此类病毒问题,虽然“熊猫”已经成为历史了,但是我相信更多的“熊猫”会悄然而至,病毒制造者也会不断编写新的病毒,各种各样的病毒每天都会出现,反病毒只靠专业的杀软公司是远远不够得。大家想到过自己写专杀工具清除病毒呢
熊猫烧香分析专杀
Starr
12-18 2170
熊猫烧香病毒分析 文章目录熊猫烧香病毒分析0. 样本信息1. 提取样本进程启动项网络2. 行为分析执行监控文件监控注册表监控进程监控网络监控行为监控小结3. 详细分析3.0 初始化3.1 func_0-sub_4052503.2 func_1-sub_40819c3.2.0 判断ini文件是否存在3.2.1 拷贝自身到系统路径3.2.2 感染函数3.3 func_2-sub_40d18c3.3...
第6篇 熊猫烧香专杀工具编写
热门推荐
qq_55202378的博客
09-24 3万+
专杀工具编写
计算机病毒研究开题报告
04-20
例如,熊猫烧香病毒就是一个典型的例子,它在刚出现时,许多反病毒软件都无法有效应对。 创新思路在于使用VB编程语言构建一个无害的病毒模拟,通过用户交互来检验其防御机制。该病毒在用户回答正确问题后会自我删除...
计算机病毒及预防教学设计.doc
最新发布
05-27
教学策略以“熊猫烧香病毒”为例,引发学生兴趣,通过案例分析、自主探究和小组合作,教授病毒防治方法,通过练习进一步强化防毒意识和技能。 教学过程分为导入新课和讲授新课两部分。新课引入通过“熊猫烧香病毒”...
熊猫烧香病毒专杀及手动修复方案
[智能天空教程区 Smart-sky]
01-14 1384
编者按:本文介绍了熊猫烧香病毒熊猫烧香病毒变种的查杀方法,及熊猫烧香病毒的手动清除方案。提供了病毒进程为spoclsv.exe和FuckJacks.exe变种的解决方案,和熊猫烧香病毒专杀工具。   在动手查杀熊猫烧香病毒之前,强烈建议先注意以下四点:   1.本文包含两种熊猫烧香病毒变种的描述,请注意查看病毒症状,根据实际情况选用不同的查杀方法。   2.对于被熊
熊猫烧香专杀工具
信息安全
08-09 1321
之前分析熊猫烧香后写的简单的专杀代码 #include <stdio.h> #include <stdlib.h> #include <windows.h> #include <Tlhelp32.h> //遍历进程 BOOL FindTargetProcess(const char *pszProcessName) { BOOL bKill ...
熊猫烧香病毒分析
黑夜黎明
05-17 1152
1.样本概况 1.1 样本信息 病毒名称:panda 所属家族:Virus MD5值:512301C535C88255C9A252FDF70B7A03 SHA1值:CA3A1070CFF311C0BA40AB60A8FE3266CFEFE870 CRC32:E334747C 病毒行为:   复制自身、感染PE文件、覆写PE文件、修改注册表自启动、枚举进程、结束杀软进程、删除安全软件相关启动项   ...
病毒木马查杀实战第004篇:熊猫烧香之专杀工具的编写
Gleam的专栏
11-09 8433
一、前言         如果是非感染型的病毒,完成行为分析之后,就可以开始编写专杀工具了。当然对于我们这次研究的对象——“熊猫烧香”来说,其实通过之前的行为分析,我们并没有得出它的所有恶意行为,毕竟还没有对其进行逆向分析。所以这里仅针对我们上一篇文章所得出的结果,来进行专杀工具的编写。一般来说,专杀工具既可以用批处理实现,又可以用编程语言编写,但是现实中更多的还是用后者进行制作的,因为其更加严
病毒分析之熊猫烧香
Hades的博客
05-22 8513
病毒分析之熊猫烧香1.样本概况1.1样本信息病毒名称:熊猫烧香所属家族:WhboyMD5值:512301C535C88255C9A252FDF70B7A03SHA1值:CA3A1070CFF311C0BA40AB60A8FE3266CFEFE870CRC32:E334747C文件: C:\spo0lsv.vir大小: 30001 bytes壳: PSG v2.0编程语言:Delphi病毒行为:病毒...
熊猫烧香专杀工具的编写
richard1230的博客
03-10 2220
熊猫烧香专杀工具编写 (注:本篇文章是参考了其他的一些技术文章) 一.终止病毒的进程 终止进程的思路: 利用ToolHelpAPI获得快照句柄,而后再利用Process32First和Process32Next枚举当前的进程,枚举的过程当中获取结构体ProcessEntry32这个结构体里面的相关信息(包括进程名和进程ID); 找到目标进程之后,利用OpenProcess获取当前...
熊猫烧香 - 核心源码 (僅供研究使用!後果自行負責 )
hunhun02的专栏
03-01 1348
熊猫烧香 - 核心源码 -------------------------------------------------
熊猫烧香病毒vbs版本 仅供研究
hefenghhhh的专栏
10-06 6756
 dim fso,wsh,myfile,ws,pp,fsoFolder set wsh=w.createobject("w.shell") set fso=w.createobject("ing.filesystemobject") set myfile=fso.GetFile(w.fullname) 修改注册表(开始菜单里面的东西和IE各项设置)wsh.Regwrite "HKLM/SOFTW
ARP病毒攻击与防范:专杀工具与原理解析
本文档深入探讨了局域网中的ARP病毒问题,包括专杀工具的介绍、病毒入侵的原理以及相应的解决方案。在校园网络环境中,用户可能会遭遇频繁的掉线、断网和服务器连接问题,这些问题往往是由ARP欺骗(也称为ARP攻击)...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值