[转帖]熊猫烧香病毒的详细分析

admin

<p /><p>最近还是有很多朋友中了熊猫烧香病毒，而且最近似乎有不少变种出现，本文收集汇总了网上关于熊猫烧香的原理分析及手动删除方法和部分变种的相关知识，希望能对大家有所帮助~</p><p><br />熊猫烧香病毒变种一：病毒进程为“spoclsv&#46;exe”　　这是“熊猫烧香”早期变种之一，特别之处是“杀死杀毒软件”，最恶劣之处在于感染全盘&#46;exe文件和删除&#46;gho文件（Ghost的镜像文件）。<br />　　最有“灵感”的一招莫过于在所有htm/html/asp/php/jsp/aspx文件末尾添加一段代码来调用病毒。<br />目前所有专杀工具及杀毒软件均不会修复此病毒行为。<br />需要手动清除病毒添加的代码，且一定要清除。否则访问了有此代码的网页，又会感染。<br />　　其他老一点的“熊猫烧香”spoclsv变种的病毒行为比此版本少。就不再单独列出。<br />　　病毒描述：<br />　　“武汉男生”，俗称“熊猫烧香”，这是一个感染型的蠕虫病毒，它能感染系统中exe，com，pif，src，html，asp等文件，它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件，（&#46;gho为GHOST的备份文件），使用户的系统备份文件丢失。被感染的用户系统中所有&#46;exe可执行文件全部被改成熊猫举着三根香的模样。 </p><p>以下是熊猫烧香病毒详细行为和解决办法：　　<br />     熊猫烧香病毒详细行为：<br />　　1&#46;复制自身到系统目录下：<br />　　%System%\drivers\spoclsv&#46;exe（“%System%”代表Windows所在目录，比如：C:\Windows）<br />　　不同的spoclsv&#46;exe变种，此目录可不同。比如12月爆发的变种目录是：C:\WINDOWS\System32\Drivers\spoclsv&#46;exe。<br />　　2&#46;创建启动项：<br />　　[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]<br />　　&quot;svcshare&quot;=&quot;%System%\drivers\spoclsv&#46;exe&quot;<br />　　3&#46;在各分区根目录生成病毒副本：<br />　　X:\setup&#46;exe<br />　　X:\autorun&#46;inf<br />　　autorun&#46;inf内容：<br />　　[AutoRun]<br />　　OPEN=setup&#46;exe<br />　　shellexecute=setup&#46;exe<br />　　shell\Auto\command=setup&#46;exe<br />　　4&#46;使用net share命令关闭管理共享：<br />　　cmd&#46;exe /c net share X$ /del /y<br />　　cmd&#46;exe /c net share admin$ /del /y<br />　　5&#46;修改“显示所有文件和文件夹”设置：<br />　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion<br />　　\Explorer\Advanced\Folder\Hidden\SHOWALL]<br />　　&quot;CheckedValue&quot;=dword:00000000<br />　　6&#46;熊猫烧香病毒尝试关闭安全软件相关窗口：<br />　　天网<br />　　防火墙<br />　　进程<br />　　VirusScan<br />　　NOD32<br />　　网镖<br />　　杀毒<br />　　毒霸<br />　　瑞星<br />　　江民<br />　　黄山IE<br />　　超级兔子<br />　　优化大师<br />　　木马清道夫<br />　　木馬清道夫<br />　　QQ病毒<br />　　注册表编辑器<br />　　系统配置实用程序<br />　　卡巴斯基反病毒<br />　　Symantec AntiVirus<br />　　Duba<br />　　Windows 任务管理器<br />　　esteem procs<br />　　绿鹰PC<br />　　密码防盗<br />　　噬菌体<br />　　木马辅助查找器<br />　　System Safety Monitor<br />　　Wrapped gift Killer<br />　　Winsock Expert<br />　　游戏木马检测大师<br />　　超级巡警<br />　　msctls_statusbar32<br />　　pjf(ustc)<br />　　IceSword<br />　　7&#46;尝试结束安全软件相关进程以及Viking病毒（威金病毒）进程：<br />　　Mcshield&#46;exe<br />　　VsTskMgr&#46;exe<br />　　naPrdMgr&#46;exe<br />　　UpdaterUI&#46;exe<br />　　TBMon&#46;exe<br />　　scan32&#46;exe<br />　　Ravmond&#46;exe<br />　　CCenter&#46;exe<br />　　RavTask&#46;exe<br />　　Rav&#46;exe<br />　　Ravmon&#46;exe<br />　　RavmonD&#46;exe<br />　　RavStub&#46;exe<br />　　KVXP&#46;kxp<br />　　KvMonXP&#46;kxp<br />　　KVCenter&#46;kxp<br />　　KVSrvXP&#46;exe<br />　　KRegEx&#46;exe<br />　　UIHost&#46;exe<br />　　TrojDie&#46;kxp<br />　　FrogAgent&#46;exe<br />　　Logo1_&#46;exe<br />　　Logo_1&#46;exe<br />　　Rundl132&#46;exe<br />　　8&#46;禁用安全软件相关服务：<br />　　Schedule<br />　　sharedaccess<br />　　RsCCenter<br />　　RsRavMon<br />　　KVWSC<br />　　KVSrvXP<br />　　kavsvc<br />　　AVP<br />　　McAfeeFramework<br />　　McShield<br />　　McTaskManager<br />　　navapsvc<br />　　wscsvc<br />　　KPfwSvc<br />　　SNDSrvc<br />　　ccProxy<br />　　ccEvtMgr<br />　　ccSetMgr<br />　　SPBBCSvc<br />　　Symantec Core LC<br />　　NPFMntor<br />　　MskService<br />　　FireSvc<br />　　9&#46;删除安全软件相关启动项：<br />　　SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RavTask<br />　　SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KvMonXP<br />　　SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kav<br />　　SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KAVPersonal50<br />　　SOFTWARE\Microsoft\Windows\CurrentVersion\Run\McAfeeUpdaterUI<br />　　SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Network Associates Error Reporting Service<br />　　SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ShStatEXE<br />　　SOFTWARE\Microsoft\Windows\CurrentVersion\Run\YLive&#46;exe<br />　　SOFTWARE\Microsoft\Windows\CurrentVersion\Run\yassistse<br />　　10&#46;遍历目录修改htm/html/asp/php/jsp/aspx等网页文件，在这些文件尾部追加信息：<br />　　 <br />　　但不修改以下目录中的网页文件：<br />　　C:\WINDOWS<br />　　C:\WINNT<br />　　C:\system32<br />　　C:\Documents and Settings<br />　　C:\System Volume Information<br />　　C:\Recycled<br />　　Program Files\Windows NT<br />　　Program Files\WindowsUpdate<br />　　Program Files\Windows Media Player<br />　　Program Files\Outlook Express<br />　　Program Files\Internet Explorer<br />　　Program Files\NetMeeting<br />　　Program Files\Common Files<br />　　Program Files\ComPlus Applications<br />　　Program Files\Messenger<br />　　Program Files\InstallShield Installation Information<br />　　Program Files\MSN<br />　　Program Files\Microsoft Frontpage<br />　　Program Files\Movie Maker<br />　　Program Files\MSN Gamin Zone<br />　　11&#46;在访问过的目录下生成Desktop_&#46;ini文件，内容为当前日期。<br />　　12&#46;此外，病毒还会尝试删除GHO文件。<br />　　病毒还尝试使用弱密码将副本以GameSetup&#46;exe的文件名复制到局域网内其它计算机中：<br />　　password<br />　　harley<br />　　golf<br />　　pussy<br />　　mustang<br />　　shadow<br />　　fish<br />　　qwerty<br />　　baseball<br />　　letmein<br />　　ccc<br />　　admin<br />　　abc<br />　　pass<br />　　passwd<br />　　database<br />　　abcd<br />　　abc123<br />　　sybase<br />　　123qwe<br />　　server<br />　　computer<br />　　super<br />　　123asd<br />　　ihavenopass<br />　　godblessyou<br />　　enable<br />　　alpha<br />　　1234qwer<br />　　123abc<br />　　aaa<br />　　patrick<br />　　pat<br />　　administrator<br />　　root<br />　　sex<br />　　god<br />　　****you<br />　　****<br />　　test<br />　　test123<br />　　temp<br />　　temp123<br />　　win<br />　　asdf<br />　　pwd<br />　　qwer<br />　　yxcv<br />　　zxcv<br />　　home<br />　　xxx<br />　　owner<br />　　login<br />　　Login<br />　　love<br />　　mypc<br />　　mypc123<br />　　admin123<br />　　mypass<br />　　mypass123<br />　　Administrator<br />　　Guest<br />　　admin<br />　　Root<br />　　病毒文件内含有这些信息：<br />　　whboy<br />　　***武*汉*男*生*感*染*下*载*者***<br />解决方案：<br />　　1&#46; 结束病毒进程：<br />　　%System%\drivers\spoclsv&#46;exe<br />　　<br />不同的spoclsv&#46;exe变种，此目录可不同。<br />比如12月爆发的变种目录是：C:\WINDOWS\System32\Drivers\spoclsv&#46;exe。但可用此方法清除。<br />　　“%System%\system32\spoclsv&#46;exe”是系统文件。（目前看来没有出现插入该系统进程的变种，不排除变种的手法变化。）<br />　　查看当前运行spoclsv&#46;exe的路径，可使用超级兔子魔法设置。<br />　　2&#46; 删除病毒文件：<br />　　%System%\drivers\spoclsv&#46;exe<br />　　请注意区分病毒和系统文件。详见步骤1。<br />　　3&#46; 删除病毒启动项：<br />　　[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]<br />　　&quot;svcshare&quot;=&quot;%System%\drivers\spoclsv&#46;exe&quot;<br />　　4&#46; 通过分区盘符右键菜单中的“打开”进入分区根目录，删除根目录下的病毒文件：<br />　　X:\setup&#46;exe<br />　　X:\autorun&#46;inf<br />　　5&#46; 恢复被修改的“显示所有文件和文件夹”设置：<br />　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion<br />　　\Explorer\Advanced\Folder\Hidden\SHOWALL]<br />　　&quot;CheckedValue&quot;=dword:00000001<br />　　6&#46; 修复或重新安装被破坏的安全软件。<br />　　7&#46;修复被感染的程序。可用专杀工具进行修复，收集了几个供读者使用：<br />金山熊猫烧香病毒专杀工具、尼姆雅蠕虫专杀、江民熊猫烧香病毒专杀工具、超级巡警_熊猫烧香病毒专杀、霏凡熊猫烧香专杀工具 V1&#46;07<br />      也可用手动方法（见本文末）。<br />　　8&#46; 恢复被修改的网页文件，可以使用某些编辑网页的工具替换被添加文字为空。机器上有htm/html/asp/php/jsp/aspx等网页文件，一定要删除此段代码。有危险代码的网页一但发布到网页可能会感染其他用户。<br />熊猫烧香病毒变种二：病毒进程为“****Jacks&#46;exe”<br />　　以下是数据安全实验室<br />提供的信息与方法。<br />　　病毒描述：<br />　　含有病毒体的文件被运行后，病毒将自身拷贝至系统目录，同时修改注册表将自身设置为开机启动项，并遍历各个驱动器，将自身写入磁盘根目录下，增加一个Autorun&#46;inf文件，使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染，同时开另外一个线程连接某网站下载ddos程序进行发动恶意攻击。<br />　　病毒基本情况：<br />　　[文件信息]<br />　　病毒名: Virus&#46;Win32&#46;EvilPanda&#46;a&#46;ex$<br />　　大小: 0xDA00 (55808), (disk) 0xDA00 (55808)<br />　　SHA1  : F0C3DA82E1620701AD2F0C8B531EEBEA0E8AF69D<br />　　壳信息: 未知<br />　　危害级别：高<br />　　病毒名: Flooder&#46;Win32&#46;FloodBots&#46;a&#46;ex$<br />　　大  小: 0xE800 (59392), (disk) 0xE800 (59392)<br />　　SHA1  : B71A7EF22A36DBE27E3830888DAFC3B2A7D5DA0D<br />　　壳信息: UPX 0&#46;89&#46;6 - 1&#46;02 / 1&#46;05 - 1&#46;24<br />　　危害级别：高<br />　　病毒行为：<br />　　Virus&#46;Win32&#46;EvilPanda&#46;a&#46;ex$ ：<br />　　1、病毒体执行后，将自身拷贝到系统目录：<br />　　%SystemRoot%\system32\****Jacks&#46;exe　　<br />　　2、添加注册表启动项目确保自身在系统重启动后被加载：<br />　　键路径：HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run<br />　　键名：****Jacks<br />　　键值：&quot;C:WINDOWS\system32\****Jacks&#46;exe&quot;<br />　　键路径：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run<br />　　键名：svohost<br />　　键值：&quot;C:WINDOWS\system32\****Jacks&#46;exe&quot;<br />　　3、拷贝自身到所有驱动器根目录，命名为Setup&#46;exe，并生成一个autorun&#46;inf使得用户打开该盘运行病毒，并将这两个文件属性设置为隐藏、只读、系统。<br />　　C:autorun&#46;inf    1KB    RHS<br />　　C:setup&#46;exe    230KB    RHS<br />　　4、关闭众多杀毒软件和安全工具。<br />　　5、连接*****&#46;3322&#46;org下载某文件，并根据该文件记录的地址，去<a href="http://www&#46;****&#46;com">www&#46;****&#46;com</a>下载某ddos程序，下载成功后执行该程序。<br />　　6、刷新bbs&#46;qq&#46;com，某QQ秀链接。<br />　　7、循环遍历磁盘目录，感染文件，对关键系统文件跳过，不感染Windows媒体播放器、MSN、IE 等程序。<br />　　Flooder&#46;Win32&#46;FloodBots&#46;a&#46;ex$ ：<br />　　1、病毒体执行后，将自身拷贝到系统目录：<br />　　%SystemRoot%\SVCH0ST&#46;EXE（注意文件名中的“0”是数字“零”，不是字母“o”）<br />　　%SystemRoot%\system32\SVCH0ST&#46;EXE（注意文件名中的“0”是数字“零”，不是字母“o”）<br />　　2、该病毒后下载运行后，添加注册表启动项目确保自身在系统重启动后被加载：<br />　　键路径：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run<br />　　键名：Userinit<br />　　键值：&quot;C:WINDOWS\system32\SVCH0ST&#46;exe&quot;<br />　　3、连接ddos2&#46;****&#46;com，获取攻击地址列表和攻击配置，并根据配置文件，进行相应的攻击。<br />　　配置文件如下：<br />　　www。victim&#46;net:3389<br />　　www。victim&#46;net:80<br />　　www。victim&#46;com:80<br />　　www。victim&#46;net:80<br />　　1<br />　　1<br />　　120<br />　　50000</p><p>　　</p><p><br />QUOTE:<br />解决方案：<br />　　1&#46; 断开网络<br />　　2&#46; 结束病毒进程：%System%\****Jacks&#46;exe <br />　　3&#46; 删除病毒文件：%System%\****Jacks&#46;exe <br />　　4&#46; 右键点击分区盘符，点击右键菜单中的“打开”进入分区根目录，删除根目录下的文件： <br />　　X:\autorun&#46;inf <br />　　X:\setup&#46;exe <br />　　5&#46; 删除病毒创建的启动项： <br />　　[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] <br />　　&quot;****Jacks&quot;=&quot;%System%\****Jacks&#46;exe&quot; <br />　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] <br />　　&quot;svohost&quot;=&quot;%System%\****Jacks&#46;exe&quot; <br />　　6&#46; 修复或重新安装反病毒软件<br />　　7&#46; 使用反病毒软件或专杀工具进行全盘扫描，清除恢复被感染的exe文件。也可用以下的手动方法恢复文件。</p><p>　　</p><p><br />QUOTE:<br />手动恢复中毒文件（在虚拟机上通过测试，供参考）<br />　　1&#46;在清除病毒文件的同时不删除%SYSTEM%下面释放****Jacks&#46;exe的这个文件，即执行之前的步骤1、2、4、5。<br />　　2&#46;打开“运行”输入“gpedit&#46;msc”打开组策略－本地计算机策略－windows设置－安全设置－软件限制策略－其它规则。在其它规则上右键选择－新散列规则－打开新散列规则窗口<br />　　3&#46;在文件散列上点击浏览找到%SYSTEM%下面释放****Jacks&#46;exe文件。安全级别选择－不允许的。确定后重启。<br />　　4&#46;重启后可以双击运行已经被熊猫感染的程序。运行程序后该****Jacks&#46;exe文件会在注册表里的Run键下建立启动项（不会有问题的）。<br />　　5&#46;双击运行被感染的程序已经恢复原来样子了。全部回复后，用SREng把****Jacks&#46;exe在注册表里的启动项删除即可！<br />如何防止局域网传播~<br />首先，让我们来了解一下“熊猫烧香”，其别名为“尼姆亚”，最早出现在2006年的11月，到目前为止已经有数十个不同变种 ，除了通过网站带毒感染用户之外，此病毒还会感染优盘，并会在局域网中传播，在极短时间之内就可以感染几千台计算机，严重时可以导致网络瘫痪。中毒电脑上会出现“熊猫烧香”图案，并出现蓝屏、频繁重启，以及系统硬盘中数据文件被破坏等现象，优盘上会出现3个EXE文件，并无法正常打开。<br />发现熊猫烧香的方法：1、你可以拿有写保护功能的优盘，打开写保护，插在被感染电脑上，这时会出现spoclsv&#46;exe(系统文件为“spoolsv&#46;exe”只差一个字母，大家可要看清楚哦)不断写你的优盘。2、打开“我的电脑”→“工具”→“文件夹选项”→“查看”→把“隐藏受保护的操作系统文件”的勾去掉，并选择“显示所有文件和文件夹”→“确定”。这时，用右键打开各本地盘，里面都会出现“setup&#46;exe”文件，图标为一只可爱的熊猫在烧香。3、ctrl+alt+del，在任务管理器里会有系统文件“spoclsv&#46;exe”。<br />防止熊猫烧香病毒感染：（1）优盘传播防止方法，由于熊猫烧香的传播性极大，只要你打开存在熊猫烧香病毒的优盘就会感染，所以防止感染方法只有升级你的杀毒软件到最新版本。（2）网络传播防止方法，熊猫烧香传播时必定会发送一个“gamesetup&#46;exe”文件，图标就是一只可爱的熊猫在烧香，这时不要千万打开它，直接删除。<br />删除熊猫烧香的方法：由于熊猫烧香会感染系统文件，本人建议使用专门的专杀工具杀毒，在杀毒期间拔除网线，并进入安全模式。<br />同时经过测试，其他的熊猫烧香专杀对于变种似乎作用不大。而且无法修复被改变的exe文件，建议大家使用超级巡警2&#46;7&#46;0或者2&#46;7&#46;1中的熊猫烧香专杀1&#46;6可以有效杀灭熊猫变种以及修复被感染的文件~<br />另外再给大家一个民间的变种专杀工具，也可以修复exe文件~<br />第二个为ff出品的专杀工具，版本号更新到1&#46;07，对变种有效~</p>