手工查杀“熊猫烧香”新病毒
近日,一个名为“熊猫烧香”(Worm.WhBoy.h)的蠕虫病毒正在互联网上疯狂传播,该病毒为“威金”蠕虫病毒新变种,自从去年被截获以来,已经感染了超过30万台电脑,众多网民相继受到其危害。
目前该病毒正处于急速变种期,仅11月份至今,变种数量已达10几个,变种速度之快,影响范围之广,与06年横行于局域网的“维金”不相上下。
病毒描述
“熊猫烧香”蠕虫病毒可以将自身拷贝至系统目录,同时修改注册表将自身设置为开机启动项,并遍历各个驱动器,将自身写入磁盘根目录下,增加一个Autorun.inf文件,使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染,同时开另外一个线程连接某网站下载ddos程序进行发动恶意攻击。
“熊猫烧香”蠕虫不但可以对用户系统进行破坏,导致大量应用软件无法使用,而且还可删除扩展名为gho的所有文件,造成用户的系统备份文件丢失,从而无法进行系统恢复;同时该病毒还能终止大量反病毒软件进程,大大降低用户系统的安全性。
中毒症状
被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。
除了可执行文件外观上的变换外,系统蓝屏、频繁重启、硬盘数据被破坏等等现象均有发生,而且,中毒的机器系统运行异常缓慢,且很多应用软件无法使用,同时该病毒还能终止大量反病毒软件进程,大大降低用户系统的安全性。
病毒行为
目前常见的“熊猫烧香”病毒有两种:Virus.Win32.EvilPanda.a.ex$和Flooder.Win32.FloodBots.a.ex$。
Virus.Win32.EvilPanda.a.ex$:
1、病毒体执行后,将自身拷贝到系统目录:
%SystemRoot%/system32/FuckJacks.exe
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Userinit "C:/WIN2K/system32/SVCH0ST.exe"
2、添加注册表启动项目确保自身在系统重启动后被加载:
键路径:HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
键名:FuckJacks
键值:"C:/WINDOWS/system32/FuckJacks.exe"
键路径:HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
键名:svohost
键值:"C:/WINDOWS/system32/FuckJacks.exe"
3、拷贝自身到所有驱动器根目录,命名为Setup.exe,并生成一个autorun.inf使得用户打开该盘运行病毒,并将这两个文件属性设置为隐藏、只读、系统。
C:/autorun.inf 1KB RHS
C:/setup.exe 230KB RHS
4、关闭众多杀毒软件和安全工具。
5、连接*****.3322.org下载某文件,并根据该文件记录的地址,去www.****.com下载某ddos程序,下载成功后执行该程序。
6、刷新bbs.qq.com,某QQ秀链接。
7、循环遍历磁盘目录,感染文件,对关键系统文件跳过,不感染Windows媒体播放器、MSN、IE 等程序。
Flooder.Win32.FloodBots.a.ex$ :
1、病毒体执行后,将自身拷贝到系统目录:
%SystemRoot%/SVCH0ST.EXE
%SystemRoot%/system32/SVCH0ST.EXE
2、该病毒后下载运行后,添加注册表启动项目确保自身在系统重启动后被加载:
键路径:HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
键名:Userinit
键值:"C:/WINDOWS/system32/SVCH0ST.exe"
3、连接ddos2.****.com,获取攻击地址列表和攻击配置,并根据配置文件,进行相应的攻击。
查杀方案
1. 断开网络
2. 结束病毒进程
%System%/drivers/spoclsv.exe
3. 删除病毒文件:
%System%/drivers/spoclsv.exe
4. 右键点击分区盘符,点击右键菜单中的“打开”进入分区根目录,删除根目录下的文件:
X:/setup.exe
X:/autorun.inf
5. 删除病毒创建的启动项:
[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run]
"svcshare"="%System%/drivers/spoclsv.exe"
6. 修改注册表设置,恢复“显示所有文件和文件夹”选项功能:
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer
/Advanced/Folder/Hidden/SHOWALL]
"CheckedValue"=dword:00000001
7. 修复或重新安装反病毒软件
8. 使用反病毒软件或专杀工具进行全盘扫描,清除恢复被感染的exe文件
在这里提醒广大网民及时安装系统补丁,及时升级杀毒软件病毒库,以避免因各种病毒攻击而给工作和生活带来损失
相关视频
相关阅读 dnf6.17熊猫位置在哪 dnf6月17日熊猫位置分享dnf6月18号熊猫在哪里 dnf6.18熊猫位置分享dnf6月17号熊猫在哪里 dnf6.17熊猫位置分享dnf6.15熊猫位置在哪 dnf6月15日熊猫位置分享dnf6月16日熊猫位置介绍 dnf6.16熊猫在哪dnf6月15日熊猫在哪里 dnf6.15熊猫位置dnf6月13日熊猫位置介绍 dnf6.13熊猫在哪dnf6月14日熊猫在哪里 dnf6.14熊猫位置
热门文章 360免费wifi电脑版怎么有道云笔记怎么保存网有道云笔记内容丢失怎360免费wifi一直显示正
最新文章
微博热搜宝盒是什么 微最新微信编辑器哪个好
百度网盘安全吗?百度网盘信息泄露怎么回事乐视云盘关闭怎么办 乐视云盘关闭怎么转移文百度云盘下载速度慢解决方法2017 百度云盘下百度网盘怎么用迅雷下载2017 百度网盘怎么用
人气排行 无线网络密码破解WPA/WPA2教程(包教包会)微信编辑器哪个好 3种实用微信编辑器推荐foxmail邮件存储位置在哪 foxmail7.2邮件存p2p种子搜索器用不了解决办法360免费wifi没有无线网卡怎么办百度云网盘中怎么添加好友 百度云网盘添加微信电脑版聊天记录保存在哪 微信电脑版文件360云盘上传速度慢怎么办 360云盘上传速度慢
查看所有0条评论>>