(熊猫烧香变种)解决方案

最新推荐文章于 2018-07-25 15:00:30 发布
最新推荐文章于 2018-07-25 15:00:30 发布
阅读量998 收藏 1
点赞数
分类专栏: 其他 文章标签: system sybase exe express login database
档案编号:CISRT2006081
病毒名称:Worm.Win32.Delf.bf(Kaspersky)
病毒别名:Worm.Nimaya.d(瑞星)
      Win32.Trojan.QQRobber.nw.22835(毒霸)
病毒大小:22,886 字节
加壳方式:UPack
样本MD5:9749216a37d57cf4b2e528c027252062
样本SHA1:5d3222d8ab6fc11f899eff32c2c8d3cd50cbd755
发现时间:2006.11
更新时间:2006.11
关联病毒:
传播方式:通过恶意网页传播,其它木马下载,可通过局域网、移动存储设备等传播


技术分析
==========

又是“熊猫烧香”[内容被过滤,请注意论坛文明]Jacks.exe的变种,和之前的变种一样使用白底熊猫烧香图标,病毒运行后复制自身到系统目录下:
%System%/drivers/spoclsv.exe

创建启动项:



CODE:
[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run]
"svcshare"="%System%/drivers/spoclsv.exe"

修改注册表信息干扰“显示所有文件和文件夹”设置:



CODE:
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/SHOWALL]
"CheckedValue"=dword:00000000

在各分区根目录生成副本:
X:/setup.exe
X:/autorun.inf

autorun.inf内容:



CODE:
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell/Auto/command=setup.exe

尝试关闭下列窗口:
QQKav
QQAV
VirusScan
Symantec AntiVirus
Duba
Windows
esteem procs
System Safety Monitor
Wrapped gift Killer
Winsock Expert
msctls_statusbar32
pjf(ustc)
IceSword

结束一些对头的进程:
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
KvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl132.exe

禁用一系列服务:
Schedule
sharedaccess
RsCCenter
RsRavMon
RsCCenter
RsRavMon
KVWSC
KVSrvXP
kavsvc
AVP
McAfeeFramework
McShield
McTaskManager
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec Core LC
NPFMntor
MskService
FireSvc

删除若干安全软件启动项信息:
RavTask
KvMonXP
kav
KAVPersonal50
McAfeeUpdaterUI
Network Associates Error Reporting Service
ShStatEXE
YLive.exe
yassistse

使用net share命令删除管理共享:



CODE:
net share X$ /del /y
net share admin$ /del /y
net share IPC$ /del /y

遍历目录,感染除以下系统目录外其它目录中的exe、com、scr、pif文件:
X:/WINDOWS
X:/Winnt
X:/System Volume Information
X:/Recycled
%ProgramFiles%/Windows NT
%ProgramFiles%/WindowsUpdate
%ProgramFiles%/Windows Media Player
%ProgramFiles%/Outlook Express
%ProgramFiles%/Internet Explorer
%ProgramFiles%/NetMeeting
%ProgramFiles%/Common Files
%ProgramFiles%/ComPlus Applications
%ProgramFiles%/Messenger
%ProgramFiles%/InstallShield Installation Information
%ProgramFiles%/MSN
%ProgramFiles%/Microsoft Frontpage
%ProgramFiles%/Movie Maker
%ProgramFiles%/MSN Gamin Zone

将自身捆绑在被感染文件前端,并在尾部添加标记信息:


QUOTE:
.WhBoy{原文件名}.exe.{原文件大小}.

与之前变种不同的是,这个病毒体虽然是22886字节,但是捆绑在文件前段的只有22838字节,被感染文件运行后会出错,而不会像之前变种那样释放出{原文件名}.exe的原始正常文件。

另外还发现病毒会覆盖少量exe,删除.gho文件。

病毒还尝试使用弱密码访问局域网内其它计算机:
password
harley
golf
pussy
mustang
shadow
fish
qwerty
baseball
letmein
ccc
admin
abc
pass
passwd
database
abcd
abc123
sybase
123qwe
server
computer
super
123asd
ihavenopass
godblessyou
enable
alpha
1234qwer
123abc
aaa
patrick
pat
administrator
root
sex
god
foobar
secret
test
test123
temp
temp123
win
asdf
pwd
qwer
yxcv
zxcv
home
xxx
owner
login
Login
love
mypc
mypc123
admin123
mypass
mypass123
Administrator
Guest
admin
Root


清除步骤
==========

1. 断开网络

2. 结束病毒进程
%System%/drivers/spoclsv.exe

3. 删除病毒文件:
%System%/drivers/spoclsv.exe

4. 右键点击分区盘符,点击右键菜单中的“打开”进入分区根目录,删除根目录下的文件:
X:/setup.exe
X:/autorun.inf

5. 删除病毒创建的启动项:



CODE:
[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run]
"svcshare"="%System%/drivers/spoclsv.exe"

6. 修改注册表设置,恢复“显示所有文件和文件夹”选项功能:



CODE:
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/SHOWALL]
"CheckedValue"=dword:00000001

7. 修复或重新安装反病毒软件

8. 使用反病毒软件或专杀工具进行全盘扫描,清除恢复被感染的exe文件  
jxf_ioriyagami
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
比较完整的熊猫烧香解决方案
weixin_34124939的博客
01-27 1557
熊猫烧香”病毒无疑成了近期互联网最热门的关键字了,网上也能找到很多个有关熊猫烧香病毒的解决办法,这些方法都显得不尽完美,再加上熊猫的变种很多,有效性就更加大打折扣了。金山毒霸反病毒专家为广大感染熊猫烧香的用户提供了一个相对完整的解决方案供大家参考。 病毒名: 中文:熊猫烧香病毒(又称武汉男生) 英文:Worm.WhBoy 目前发现的变种数已超过50个 典...
决战熊猫烧香宝典之企业解决方案
03-03
熊猫烧香”已经在互联网上肆虐了一段时日,尽管杀毒厂商每天都在发布关于“熊猫烧香”的最新报道及解决方案,但仍然有大量用户,尤其是企业用户,无法彻底摆脱熊猫烧香的困扰。本文是一个决战熊猫烧香宝典之企业...
熊猫烧香专杀工具.exe
10-29
这是一个小巧但好用的软件,杀毒很彻底,试试哦
熊猫烧香病毒完整解决方案
weixin_34292959的博客
01-27 655
这个方案也广为传播,传播组真是好样的 熊猫烧香病毒无疑成了近期互联网最热门的关键字了,网上也能找到很多个有关熊猫烧香病毒的解决办法,这些方法不尽完美,再加上熊猫的变种很多,很多方法已经失效。这里提供一个相对完整的方案供大家参考。病毒名:中文名:熊猫烧香病毒(又称武汉男生),英文名(Worm.WhBoy),目前发现的变种数已超过50个。典型表现:感染病毒后发现较多的EXE文件图标变成点着香的熊...
熊猫烧香系列变种分析报告
weixin_34239592的博客
01-27 131
熊猫烧香变种,只是换了层壳,共性基本没变化。 您可以访问vi.duba.net输入whboy查询更多更详细的熊猫烧香分析报告病毒名称:毒霸(Worm.WhBoy,中文名武汉男生变种)瑞星(Worm.Nimaya) 江民(维金变种) 之前的病毒:尼姆亚(Worm.Nimaya) 或 烈性***FuckJacks.exe ,该病毒采用“熊猫烧香”头像作为图标,诱使用户运行。 释放文件分区根目...
熊猫烧香病毒企业局域网网完整解决方案
weixin_33696822的博客
02-02 109
继维金后的熊猫烧香病毒一度蔓延开来. .我们可能会因为工作繁忙忘记给金山毒霸客户端升级导致系统中该病毒.网上有各种针对该病毒的解决办法.我们也不去讨论其良莠了,在这里,主要面向各位负责金山毒霸企业版(网络版和中小企业版)管理和维护的相关人员介绍一下该病毒防治的解决办法: 病毒名中文名:熊猫烧香病毒(又称武汉男生),英文名(Worm.WhBoy),目前发现的变种数已达上百个。 典型表现:感染病毒...
熊猫电子智慧交通解决方案
08-19
熊猫电子智慧交通解决方案
工程伦理案例分析-“熊猫烧香”案例分析
01-18
【工程伦理案例分析——“熊猫烧香”】 “熊猫烧香”事件是中国互联网历史上的一次重大安全事件,它揭示了软件开发伦理的重要性。这个案例涉及到的伦理问题主要包括:技术滥用、责任承担、信息安全和道德责任。 1....
熊猫烧香实验报告
06-30
在w7系统下对熊猫烧香病毒的演示及清除,使用专业的熊猫烧香杀毒工具清除病毒。
熊猫有礼直播策划方案.docx
05-18
熊猫有礼直播策划方案.docx
熊猫烧香”(Worm_Viking变种)情况分析和解决方案
weixin_33762130的博客
01-29 232
国家计算机病毒应急处理中心通过对互联网的监测发现,一伪装成“熊猫烧香”图案的蠕虫正在互联网上进行传播,已有数百万个人计算机用户和企业局域网遭受感染。国家计算机病毒应急处理中心分析发现,该蠕虫为“威金”蠕虫的一个新变种。该变种感染计算机系统后,可使系统中所有.exe文件都变成了一种奇怪的图案,该图案显示为“熊猫烧香”,同时受...
感染[熊猫烧香变种 spoclsv.exe]
Robert's Log
03-31 894
熊猫烧香变种 spoclsv.exe 病毒名称:Worm.Win32.Delf.bf(Kaspersky)病毒别名:Worm.Nimaya.d(瑞星)      Win32.Trojan.QQRobber.nw.22835(毒霸)病毒大小:22,886 字节加壳方式:UPack样本MD5:9749216a37d57cf4b2e528c027252062样本SHA1:5d3222d8ab6fc1
熊猫烧香最新变种分析及查杀
dbjtmax的专栏
01-18 569
文件名称:nvscv32.exe病毒名称:目前各杀毒软件无法查杀(已经将病毒样本上报各杀毒厂商)中文名称:(尼姆亚,熊猫烧香)病毒大小:68,570 字节编写语言:Borland Delphi 6.0 - 7.0加壳方式:FSG 2.0 -> bart/xt发现时间:2007.1.16危害等级:高一、病毒描述:含有病毒体的文件被运行后,病毒将自身拷贝至系统目录,同时修改注册表将自身设置
熊猫烧香病毒技术分析及应急解决方案
爱.NET
06-14 844
熊猫烧香病毒技术分析及应急解决方案 BY Delphiscn(http://blog.csdn.net/delphiscn)cnBlaster#hotmail.com 目录A.简介B.样本分析C.病毒特征及行为D.反编译及源代码分析E.解决方案 A.简介2006年12月初,一个以熊猫烧香图像为标记的诡异病毒现身网络,使近千家企业的计算机遭到感染,个人用户更是不计其数。中毒的途径主要还是某些...
分析最新变种的"熊猫烧香"及其清除方法
冷眼旁观互联网
02-05 759
文件名称:nvscv32.exe病毒名称:目前各杀毒软件无法查杀病毒大小:68,570 字节编写语言:Borland Delphi 6.0 - 7.0加壳方式:FSG 2.0 -> bart/xt发现时间:2007.1.16危害等级:高一、病毒描述:含有病毒体的文件被运行后,病毒将自身拷贝至系统目录,同时修改注册表将自身设置为开机启动项,并遍历各个驱动器,将自身写入磁盘根目录下,增
熊猫烧香变种病毒分析
yusakul的博客
07-25 2609
熊猫烧香变种病毒分析分析报告 样本名 2_dump_SCY.exe熊猫烧香) 作者 yusakul 时间 2018-07-13 平台 Win7-32 1.样本概况 1.1 样本信息 病毒名称 2_dump_SCY.exe 所属家族 熊猫烧香 样本名称 0c15096fb3bc3080...
熊猫烧香集体"自杀"新变种情人节爆发威胁大增
[智能天空教程区 Smart-sky]
02-08 1216
金山毒霸反病毒中心最新消息:熊猫烧香变身"金猪"后,病毒肆虐数日之后,于2月6日凌晨,出现集体"自杀"现象--熊猫烧香变种(Worm.WhBoy.cw)正在大规模"残杀"旧变种。 据悉,该熊猫烧香变种的传播性和感染性是已有熊猫烧香变种的10倍,极有可能在两节期间大规模爆发,用户必须高度警惕。 金山毒霸反病毒专家戴光剑介绍,该"熊猫烧香"变种,不但能感染系统中可执行文件与网页文件,而且能够结束
kill panda
china_mumu的专栏
02-10 874
1. 断开网络(必要) 2. 结束病毒进程 %System%/drivers/spoclsv.exe 本步骤要本着2大原则:“眼疾手快、愚公移山”,有了这2大精神,那么本步骤也就不难完成了,不过运气好的哥们儿,可能会一下搞定,运气不好的....... 3. 删除病毒文件: c:/windows/system32/drivers/spoclsv.exe 注意:打开C盘要右键-开打,负
spoclsv病毒清除
被水煮的魚
11-22 3953
这几天频繁中毒,昨天刚ghost的,今天又特慢,查了查发现是spoclsv.exe,停止了卡巴司机和天网,竟然还把我的ghost.exe和ghost文件全感染了,图标变成了熊猫,只好重装。结果装好没多久双击c盘时又中了,试了好多方法都没用,只能通过资源管理器打开盘符。病毒的特征:1、在各盘目录下生成隐藏的autorun.inf和setup.exe文件,内容为:          [AutoRun]
python熊猫烧香
最新发布
06-05
Python熊猫烧香是一个指代使用pandas库进行数据处理的术语。pandas是Python中非常流行的用于数据分析和处理的库,它提供了许多用于快速读取、处理和分析数据的工具和函数。Pandas是一个强大的数据处理库,可以处理...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值