" id="b1img" alt="米课”N+1“思维建站-非官方免费技术支持,Wordpress/Zencart/Opencart建站、SEO" title="米课”N+1“思维建站-非官方免费技术支持,Wordpress/Zencart/Opencart建站、SEO">
  • " alt="米课”N+1“思维建站-非官方免费技术支持,Wordpress/Zencart/Opencart建站、SEO" title="米课”N+1“思维建站-非官方免费技术支持,Wordpress/Zencart/Opencart建站、SEO" />
  • " alt="Windows/Linux服务器运维技术支持 环境搭建、应用发布、服务器管理、虚拟化、云计算" title="Windows/Linux服务器运维技术支持 环境搭建、应用发布、服务器管理、虚拟化、云计算" />
  • " alt="高校/小型企业网络运维与建设免费技术支持,网络规划、网络优化、故障排除、网络管理" title="高校/小型企业网络运维与建设免费技术支持,网络规划、网络优化、故障排除、网络管理" />

"熊猫烧香"病毒导致打不开C盘D盘…

系统运维2006-12-28 itlogger阅读(619) 评论(1)

又一个打不开C盘D盘的病毒,越发厉害!

症状:右击盘符出现一个auto(自动播放),盘下面有个隐藏的autorun.inf和熊猫点三支香的setup.exe

两个文件都被设置成只读和隐藏属性。杀毒软件被关,运行注册表,任务管理器什么的,马上就被关闭,有时还不能上网。

熊猫烧香”FuckJacks.exe的变种,和之前的变种一样使用白底熊猫烧香图标,病毒运行后复制自身到系统目 录下:

%System%driversspoclsv.exe

创建启动项:

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]

"svcshare"="%System%driversspoclsv.exe"

修改注册表信息干扰“显示所有文件和文件夹”设置: [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL]

. "CheckedValue"=dword:00000000

在各分区根目录生成副本:

X:setup.exe

X:autorun.inf

autorun.inf内容:

[AutoRun]

OPEN=setup.exe

shellexecute=setup.exe

shellAutocommand=setup.exe

使用net share命令删除管理共享:net share X$ /del /y

net share admin$ /del /y

net share IPC$ /del /y

遍历目录,感染除以下系统目录外其它目录中的exe、com、scr、pif文件:

X:WINDOWS

X:Winnt

X:System Volume Information

X:Recycled

%ProgramFiles%Windows NT

%ProgramFiles%WindowsUpdate

%ProgramFiles%Windows Media Player

%ProgramFiles%Outlook Express

%ProgramFiles%Internet Explorer

%ProgramFiles%NetMeeting

%ProgramFiles%Common Files

%ProgramFiles%ComPlus Applications

%ProgramFiles%Messenger

%ProgramFiles%InstallShield Installation Information

%ProgramFiles%MSN

%ProgramFiles%Microsoft Frontpage

%ProgramFiles%Movie Maker

%ProgramFiles%MSN Gamin Zone

将自身捆绑在被感染文件前端,并在尾部添加标记信息:

QUOTE:.WhBoy{原文件名}.exe.{原文件大小}.

与之前变种不同的是,这个病毒体虽然是22886字节,但是捆绑在文件前段的只有22838字节,被感染文件运行后会出错,而不会像之前变种那样释放出{原文件名}.exe的原始正常文件。

另外还发现病毒会覆盖少量exe,删除.gho文件。

病毒还尝试使用弱密码访问局域网内其它计算机

========================================================

解决方法:

1. 断开网络

2. 结束病毒进程(有些查看进程的软件可能被杀掉,我试了用360安全卫士可以)

%System%driversspoclsv.exe

3. 删除病毒文件:

%System%driversspoclsv.exe

4. 右键点击分区盘符,点击右键菜单中的“打开”进入分区根目录,删除根目录下的文件:

X:setup.exe

X:autorun.inf

5. 删除病毒创建的启动项:

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]

"svcshare"="%System%driversspoclsv.exe"

==================================

如果你有办法安装360的话,以上步骤都可以在360里实现

==================================

6. 修改注册表设置,恢复“显示所有文件和文件夹”选项功能:

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL]

"CheckedValue"=dword:00000001

7. 使用专杀工具查毒

熊猫烧香病毒专杀下载(运行请先确保前面步骤已完成,否则可以无法运行专杀工具)

http://killer.9i3g.cn/download/Pandakiller.rar

==================================

这只是其中的一个变种,解决方法基本类似,更多参见网络

==================================

附:熊猫烧香【CISRT2006078】FuckJacks.exe setup.exe 尼姆亚

病毒名称:Trojan-PSW.Win32.QQRob.ec(Kaspersky)

病毒别名:Worm.Nimaya.a[尼姆亚](瑞星)

exe主程序使用白底熊猫烧香图标,运行后复制自身到系统目录:

%System%FuckJacks.exe

创建自启动项:

"FuckJacks"="%System%FuckJacks.exe"

"svohost"="%System%FuckJacks.exe"

在各分区根目录创建副本:

X:autorun.inf

X:setup.exe

原文来至:http://ifairy.cn/blog/article.asp?id=314

转载请注明 :IT樵客
文章地址:http://www.itlogger.com/system/375.html
标签:
相关文章

One thought on “"熊猫烧香"病毒导致打不开C盘D盘…

  1. 2896

发表评论

电子邮件地址不会被公开。 必填项已用*标注