加入收藏 | 设为首页 | 会员中心 | 我要投稿 广西网 (https://www.guangxiwang.cn/)- 科技、建站、经验、云计算、5G、大数据,站长网!
当前位置: 首页 > 教程 > 正文

熊猫烧香病毒介绍

发布时间:2022-02-23 09:57:06 所属栏目:教程 来源:互联网
导读:熊猫烧香是一种经过多次变种的蠕虫病毒变种,2006年10月16日由25岁的中国湖北武汉新洲区人李俊编写,2007年1月初肆虐网络,它主要通过下载的档案传染。对计算机程序、系统破坏严重。 熊猫烧香病毒是什么 基本信息 病毒名称:熊猫烧香,Worm.WhBoy.(金山称),W
  熊猫烧香是一种经过多次变种的蠕虫病毒变种,2006年10月16日由25岁的中国湖北武汉新洲区人李俊编写,2007年1月初肆虐网络,它主要通过下载的档案传染。对计算机程序、系统破坏严重。
 
熊猫烧香病毒是什么
 
基本信息
 
  病毒名称:熊猫烧香,Worm.WhBoy.(金山称),Worm.Nimaya. (瑞星称)
 
  病毒别名:尼姆亚,武汉男生,后又化身为“金猪报喜”,国外称“熊猫烧香”
 
  危险级别:★★★★★
 
  病毒类型:蠕虫病毒,能够终止大量的反病毒软件和防火墙软件进程。
 
  影响系统:Win 9x/ME、Win 2000/NT、Win XP、Win 2003 、Win Vista、WIN 7
 
  发现时间:2006年10月16日
 
  来源地:中国武汉东湖高新技术开发区关山
 
病毒描述
 
  其实是一种蠕虫病毒的变种,而且是经过多次变种而来的,由于中毒电脑的可执行文件会出现“熊猫烧香”图案,所以也被称为 “熊猫烧香”病毒。但原病毒只会对EXE图标进行替换,并不会对系统本身进行破坏。而大多数 是中的病毒变种,用户电脑中毒后可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。同时,该病毒的某些变种可以通过局域网进行传播,进而感染局域网内所有计算机系统,最终导致企业局域网瘫痪,无法正常使用,它能感染系统中exe,com,pif,src,html,asp等文件,它还能终止大量的反病毒软件进程并且会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件,使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。
 
中毒症状
 
  除了通过网站带毒感染用户之外,此病毒还会在局域网中传播,在极短时间之内就 可以感染几千台计算机,严重时可以导致网络瘫痪。中毒电脑上会出现“熊猫烧香”图案,所以也被称为“熊猫烧香”病毒。中毒电脑会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。
 
传播方法
 
  “熊猫烧香”还可以通过共享文件夹、系统弱口令等多种方式进行传播。
 
  金山分析:这是一个感染型的蠕虫病毒,它能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程
 
  1 拷贝文件
 
  病毒运行后,会把自己拷贝到
 
  C:WINDOWSSystem32Driversspoclsv.exe
 
  2 添加注册表自启动
 
  病毒会添加自启动项
 
  HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
 
  svcshare -> C:WINDOWSSystem32Driversspoclsv.exe
 
  3 病毒行为
 
  a:每隔1秒
 
  寻找桌面窗口,并关闭窗口标题中含有以下字符的程序
 
  QQKav
 
  QQAV
 
  防火墙
 
  进程
 
  VirusScan
 
  网镖
 
  杀毒
 
  毒霸
 
  瑞星
 
  江民
 
  黄山IE
 
  超级兔子
 
  优化大师
 
  木马克星
 
  木马清道夫
 
  QQ病毒
 
  注册表编辑器
 
  系统配置实用程序
 
  卡巴斯基反病毒
 
  Symantec AntiVirus
 
  Duba
 
  esteem proces
 
  绿鹰PC
 
  密码防盗
 
  噬菌体
 
  木马辅助查找器
 
  System Safety Monitor
 
  Wrapped gift Killer
 
  Winsock Expert
 
  游戏木马检测大师
 
  msctls_statusbar32
 
  pjf(ustc)
 
  IceSword
 
  并使用的键盘映射的方法关闭安全软件IceSword
 
  添加注册表使自己自启动
 
  HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
 
  svcshare -> C:WINDOWSSystem32Driversspoclsv.exe
 
  并中止系统中以下的进程:
 
  Mcshield.exe
 
  VsTskMgr.exe
 
  naPrdMgr.exe
 
  UpdaterUI.exe
 
  TBMon.exe
 
  scan32.exe
 
  Ravmond.exe
 
  CCenter.exe
 
  RavTask.exe
 
  Rav.exe
 
  Ravmon.exe
 
  RavmonD.exe
 
  RavStub.exe
 
  KVXP.kxp
 
  kvMonXP.kxp
 
  KVCenter.kxp
 
  KVSrvXP.exe
 
  KRegEx.exe
 
  UIHost.exe
 
  TrojDie.kxp
 
  FrogAgent.exe
 
  Logo1_.exe
 
  Logo_1.exe
 
  Rundl132.exe
 
  b:每隔18秒
 
  点击病毒作者指定的网页,并用命令行检查系统中是否存在共享
 
  共存在的话就运行net share命令关闭admin$共享
 
  c:每隔10秒
 
  下载病毒作者指定的文件,并用命令行检查系统中是否存在共享
 
  共存在的话就运行net share命令关闭admin$共享
 
  d:每隔6秒
 
  删除安全软件在注册表中的键值
 
  HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
 
  RavTask
 
  KvMonXP
 
  kav
 
  KAVPersonal50
 
  McAfeeUpdaterUI
 
  Network Associates Error Reporting Service
 
  ShStartEXE
 
  YLive.exe
 
  yassistse
 
  并修改以下值不显示隐藏文件
 
  HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL
 
  CheckedValue -> 0x00
 
  删除以下服务:
 
  navapsvc
 
  wscsvc
 
  KPfwSvc
 
  SNDSrvc
 
  ccProxy
 
  ccEvtMgr
 
  ccSetMgr
 
  SPBBCSvc
 
  Symantec Core LC
 
  NPFMntor
 
  MskService
 
  FireSvc
 
  e:感染文件
 
  病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部
 
  并在扩展名为htm,html, asp,php,jsp,aspx的文件中添加一网址,
 
  用户一但打开了该文件,IE就会不断的在后台点击写入的网址,达到
 
  增加点击量的目的,但病毒不会感染以下文件夹名中的文件:
 
  WINDOW
 
  Winnt
 
  System Volume Information
 
  Recycled
 
  Windows NT
 
  WindowsUpdate
 
  Windows Media Player
 
  Outlook Express
 
  Internet Explorer
 
  NetMeeting
 
  Common Files
 
  ComPlus Applications
 
  Messenger
 
  InstallShield Installation Information
 
  MSN
 
  Microsoft Frontpage
 
  Movie Maker
 
  MSN Gamin Zone
 
  g:删除文件
 
  病毒会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件
 
  使用户的系统备份文件丢失.
 
  瑞星最新病毒分析报告:“Nimaya(熊猫烧香)”
 
  这是一个传染型的DownLoad 使用Delphi编写
 
  传播对象和运行过程
 
  本地磁盘感染
 
  病毒对系统中所有除了盘符为A,B的磁盘类型为DRIVE_REMOTE,DRIVE_FIXED的磁盘进行文件遍历感染
 
  注:不感染文件大小超过10485760字节以上的.
 
  (病毒将不感染如下目录的文件):
 
  Microsoft Frontpage
 
  Movie Maker
 
  MSN Gamin Zone
 
  Common Files
 
  Windows NT
 
  Recycled
 
  System Volume Information
 
  Documents and Settings
 
  ……
 
  (病毒将不感染文件名如下的文件):
 
  setup.exe
 
  病毒将使用两类感染方式应对不同后缀的文件名进行感染
 
  1)二进制可执行文件(后缀名为:EXE,SCR,PIF,COM): 将感染目标文件和病毒溶合成一个文件(被感染文件贴在病毒文件尾部)完成感染.
 
  2)脚本类(后缀名为:htm,html,asp,php,jsp,aspx): 在这些脚本文件尾加上如下链接(下边的页面存在安全漏洞):
 
 
  修改操作系统的启动关联
 
  下载文件启动
 
  与杀毒软件对抗
 
杀毒方法
 
  各种版本的熊猫烧香专杀
 
  瑞星 金山 江民
 
  超级巡警 李俊
 
  虽然用户及时更新杀毒软件病毒库,并下载各杀毒软件公司提供的专杀工具,即可对“熊猫烧香”病毒进行查杀,但是如果能做到防患于未然岂不更好。
 
解决办法
 
  【1】 立即检查本机administrator组成员口令,一定要放弃简单口令甚至空口令,安全的口令是字母数字特殊字符的组合,自己记得住,别让病毒猜到就行。
 
修改方法
 
  右键单击我的电脑,选择管理,浏览到本地用户和组,在右边的窗格中,选择具备管理员权限的用户名,单击右键,选择设置密码,输入新密码就行。
 
  【2】 利用组策略,关闭所有驱动器的自动播放功能。
 
  步骤1
 
  单击开始,运行,输入gpedit.msc,打开组策略编辑器,浏览到计算机配置,管理模板,系统,在右边的窗格中选择关闭自动播放,该配置缺省是未配置,在下拉框中选择所有驱动器,再选取已启用,确定后关闭。最后,在开始,运行中输入gpupdate,确定后,该策略就生效了。
 
  【3】 修改文件夹选项,以查看不明文件的真实属性,避免无意双击骗子程序中毒。
 
  步骤2
 
  打开资源管理器(按windows徽标键+E),点工具菜单下文件夹选项,再点查看,在高级设置中,选择查看所有文件,取消隐藏受保护的操作系统文件,取消隐藏文件扩展名。
 
  【4】 时刻保持操作系统获得最新的安全更新,不要随意访问来源不明的网站,特别是微软的MS06-014漏洞,应立即打好该漏洞补丁。
 
  【5】 启用Windows防火墙保护本地计算机。同时,局域网用户尽量避免创建可写的共享目录,已经创建共享目录的应立即停止共享。
 
  此外,对于未感染的用户,病毒专家建议,不要登录不良网站,及时下载微软公布的最新补丁,来避免病毒利用漏洞袭击用户的电脑,同时上网时应采用“杀毒软件+防火墙”的立体防御体系。

(编辑:广西网)

【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!
    相关内容
      推荐文章
      站长推荐
      热点阅读

      【免责声明】本站内容转载自互联网,其发布内容言论不代表本站观点,如果其链接、内容的侵犯您的权益,烦请提交相关链接至邮箱bqsm@foxmail.com我们将及时予以处理。

      建议您使用1920×1080分辨率、谷歌浏览器Google Chrome、Microsoft Edge以获得本站的最佳浏览效果

      Copygight © 2008-2022 https://www.guangxiwang.cn/ All Rights Reserved. 广西网

      网站统计