熊貓燒香病毒介紹
熊貓燒香其實(shí)是一種蠕蟲病毒的變種,而且是經(jīng)過多次變種而來的,下面由學(xué)習(xí)啦小編給你做出詳細(xì)的熊貓燒香病毒介紹!希望對(duì)你有幫助!歡迎回訪學(xué)習(xí)啦網(wǎng)站,謝謝!
熊貓燒香病毒介紹:
由于中毒電腦的可執(zhí)行文件會(huì)出現(xiàn)“熊貓燒香”圖案,所以也被稱為 “熊貓燒香”病毒。但原病毒只會(huì)對(duì)EXE圖標(biāo)進(jìn)行替換,并不會(huì)對(duì)系統(tǒng)本身進(jìn)行破壞。而大多數(shù)是中的病毒變種,用戶電腦中毒后可能會(huì)出現(xiàn)藍(lán)屏、頻繁重啟以及系統(tǒng)硬盤中數(shù)據(jù)文件被破壞等現(xiàn)象。同時(shí),該病毒的某些變種可以通過局域網(wǎng)進(jìn)行傳播,進(jìn)而感染局域網(wǎng)內(nèi)所有計(jì)算機(jī)系統(tǒng),最終導(dǎo)致企業(yè)局域網(wǎng)癱瘓,無(wú)法正常使用。[2]
3中毒癥狀編輯
除了通過網(wǎng)站帶毒感染用戶之外,此病毒還會(huì)在局域網(wǎng)中傳播,在極短時(shí)間之內(nèi)就 可以感染幾千臺(tái)計(jì)算機(jī),嚴(yán)重時(shí)可以導(dǎo)致網(wǎng)絡(luò)癱瘓。中毒電腦上會(huì)出現(xiàn)“熊貓燒香”圖案,所以也被稱為“熊貓燒香”病毒。中毒電腦會(huì)出現(xiàn)藍(lán)屏、頻繁重啟以及系統(tǒng)硬盤中數(shù)據(jù)文件被破壞等現(xiàn)象。
4病毒危害編輯
熊貓燒香病毒會(huì)刪除擴(kuò)展名為gho的文件,使用戶無(wú)法使用ghost軟件恢復(fù)操作系統(tǒng)。“熊貓燒香”感染系統(tǒng)的.exe .com. f.src .html.asp文件,添加病毒網(wǎng)址,導(dǎo)致用戶一打開這些網(wǎng)頁(yè)文件,IE就會(huì)自動(dòng)連接到指定的病毒網(wǎng)址中下載病毒。在硬盤各個(gè)分區(qū)下生成文件autorun.inf和setup.exe,可以通過U盤和移動(dòng)硬盤等方式進(jìn)行傳播,并且利用Windows系統(tǒng)的自動(dòng)播放功能來運(yùn)行,搜索硬盤中的.exe可執(zhí)行文件并感染,感染后的文件圖標(biāo)變成“熊貓燒香”圖案。“熊貓燒香”還可以通過共享文件夾、用戶簡(jiǎn)單密碼等多種方式進(jìn)行傳播。該病毒會(huì)在中毒電腦中所有的網(wǎng)頁(yè)文件尾部添加病毒代碼。一些網(wǎng)站編輯人員的電腦如果被該病毒感染,上傳網(wǎng)頁(yè)到網(wǎng)站后,就會(huì)導(dǎo)致用戶瀏覽這些網(wǎng)站時(shí)也被病毒感染。據(jù)悉,多家著名網(wǎng)站已經(jīng)遭到此類攻擊,而相繼被植入病毒。由于這些網(wǎng)站的瀏覽量非常大,致使“熊貓燒香”病毒的感染范圍非常廣,中毒企業(yè)和政府機(jī)構(gòu)已經(jīng)超過千家,其中不乏金融、稅務(wù)、能源等關(guān)系到國(guó)計(jì)民生的重要單位。注:江蘇等地區(qū)成為“熊貓燒香”重災(zāi)區(qū)。
5傳播方法編輯
金山分析:這是一個(gè)感染型的蠕蟲病毒,它能感染系統(tǒng)中exe,com,pif,src,html,asp等文件,它還能中止大量的反病毒軟件進(jìn)程
1拷貝文件
病毒運(yùn)行后,會(huì)把自己拷貝到
C:\WINDOWS\System32\Drivers\spoclsv.exe
2添加注冊(cè)表自啟動(dòng)
病毒會(huì)添加自啟動(dòng)項(xiàng)
svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe
3病毒行為
a:每隔1秒
尋找桌面窗口,并關(guān)閉窗口標(biāo)題中含有以下字符的程序
QQKav
QQAV
防火墻
進(jìn)程
VirusScan
網(wǎng)鏢
殺毒
毒霸
瑞星
江民
黃山IE
超級(jí)兔子
優(yōu)化大師
木馬克星
木馬清道夫
QQ病毒
注冊(cè)表編輯器
系統(tǒng)配置實(shí)用程序
卡巴斯基反病毒
Symantec AntiVirus
Duba
熊貓燒香esteem proces
綠鷹PC
密碼防盜
噬菌體
木馬輔助查找器
System Safety Monitor
Wrapped gift Killer
Winsock Expert
游戲木馬檢測(cè)大師
msctls_statusbar32
pjf(ustc)
IceSword
并使用的鍵盤映射的方法關(guān)閉安全軟件IceSword
添加注冊(cè)表使自己自啟動(dòng)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe
并中止系統(tǒng)中以下的進(jìn)程:
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
熊貓燒香KVXP.kxp
kvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl132.exe
b:每隔18秒
點(diǎn)擊病毒作者指定的網(wǎng)頁(yè),并用命令行檢查系統(tǒng)中是否存在共享
共享存在的話就運(yùn)行net share命令關(guān)閉admin$共享
c:每隔10秒
下載病毒作者指定的文件,并用命令行檢查系統(tǒng)中是否存在共享
共享存在的話就運(yùn)行net share命令關(guān)閉admin$共享
d:每隔6秒
刪除安全軟件在注冊(cè)表中的鍵值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
RavTask
KvMonXP
kav
KAVPersonal50
McAfeeUpdaterUI
Network Associates Error Reporting Service
ShStartEXE
YLive.exe
yassistse
并修改以下值不顯示隱藏文件
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
CheckedValue -> 0x00
刪除以下服務(wù):
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec Core LC
NPFMntor
MskService
FireSvc
e:感染文件
病毒會(huì)感染擴(kuò)展名為exe,pif,com,src的文件,把自己附加到文件的頭部
并在擴(kuò)展名為htm,html,asp,php,jsp,aspx的文件中添加一網(wǎng)址,
用戶一但打開了該文件,IE就會(huì)不斷的在后臺(tái)點(diǎn)擊寫入的網(wǎng)址,達(dá)到
增加點(diǎn)擊量的目的,但病毒不會(huì)感染以下文件夾名中的文件:
熊貓燒香WINDOW
Winnt
System Volume Information
Recycled
Windows NT
WindowsUpdate
Windows Media Player
Outlook Express
Internet Explorer
NetMeeting
Common Files
ComPlus Applications
Messenger
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
MSN Gamin Zone
g:刪除文件
病毒會(huì)刪除擴(kuò)展名為gho的文件,該文件是一系統(tǒng)備份工具GHOST的備份文件
使用戶的系統(tǒng)備份文件丟失.
瑞星病毒分析報(bào)告:“Nimaya(熊貓燒香)”
這是一個(gè)傳染型的DownLoad 使用Delphi編寫
看過“熊貓燒香病毒介紹 ”人還看了: