今天小编在这给大家整理了上千家企业感染熊猫烧香病毒,本文共10篇,我们一起来阅读吧!
篇1:上千家企业感染熊猫烧香病毒
瑞星全球反病毒监测网向企业局域网发布警告称,目前“尼姆亚(也称熊猫烧香)”病毒的攻击重点正在转向企业局域网和网站,广大企业和网站应提高警惕紧密防范,
瑞星反病毒专家介绍说,该病毒会在中毒电脑中所有的网页文件尾部添加病毒代码,
一些网站编辑人员的电脑如果被该病毒感染,上传网页到网站后,就会导致用户浏览这些网站时也被病毒感染。目前中毒的企业已经超过千家。
专家建议:网站管理员应该更改机器密码,以防止病毒通过局域网传播;QQ、UC的漏洞已经被该病毒利用,用户应该去 打好最新补丁;用户还应该给IE打好所有的补丁。
篇2:如何成功清除“熊猫烧香”病毒
最近,一个叫“熊猫烧香”的病毒把电脑用户折腾得苦不堪言,在人们心目中,“熊猫”这个国宝似乎不再可爱,而成了人人喊打的过街老鼠,
“熊猫烧香”蠕虫不但可以对用户系统进行破坏,导致大量应用软件无法使用,而且还可删除扩展名为gho的所有文件,造成用户的系统备份文件丢失,从而无法进行系统恢复;同时该病毒还能终止大量反病毒软件进程,大大降低用户系统的安全性。
这几天“熊猫烧香”的变种更是表象异常活跃,近半数的网民深受其害。用户除了可以从tool.duba.net/zhuansha/253.shtml下载金山毒霸的“熊猫烧香”专杀来对付该病毒外,金山毒霸技术专家还总结的以下预防措施,帮你远离“熊猫烧香”病毒的骚扰。
木马名称:setup.exe
木马大小:91,648字节
所在位置:由C至Z盘的根目录下
附带文件:autorun.inf
文件内容:
[AutoRun]
PEN=setup.exe
shellexecute=setup.exe
shell\Auto\command=setup.exe
所在位置:由C至Z盘的根目录下
木马名称:spoclsv.exe
木马大小:91,648字节
所在位置:C:\windows\system32\drivers\
木马特征:该木马病毒利用微软IE漏洞(IE7.0也未被幸免)通过网站传播,中了此木马的电脑,会有以下特征:
1、在任务管理器里有spoclsv.exe文件进程。
热门推荐:教你几招判断系统是否被流氓侵犯多窗口浏览器Opera 9.0新版怒放
点击阅读更多学院相关文章>>
分享到 2、在每个盘符的根目录下面生成以上的setup.exe和autorun.inf两个文件,当用户打开电脑的任意一个盘,即执行该木马病毒。
3、该木马会强制关闭用户打开的“任务管理器”。
4、该木马会强制关闭用户打开的“注册表编辑器(regedit)”、“系统配置实用程序(msconfig)”、IceSword等程序文件。
5、该木马会强制关闭用户电脑上安装的防病毒及网络监控软件,其中包括Symantec的norton企业版。
6、该木马修改注册表文件,在[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]下生成“svcshare=C:\WINDOWS\system32\drivers\spoclsv.exe”的字符串值,修改[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
”CheckedValue“=dword:00000000。
7、该木马会删除电脑默认的共享目录。
另外该木马还会删除并感染.com、.pif、.scr、.exe文件,并生成一个以原文件名.exe.exe文件或.exe的烧香熊猫图标文件,并会寻找并删除.gho备份文件。
解决办法:
1、拔掉网线断开网络,打开Windows任务管理器,迅速找到spoclsv.exe,结束进程,找到explorer.exe,结束进程,再点击文件,新建任务,输入c:\WINDOWS\explorer.exe,确定。
2、点击开始,运行,输入cmd回车,输入以下命令:
del c:\setup.exe /f /q
del c:\autorun.inf /f /q
热门推荐:教你几招判断系统是否被流氓侵犯多窗口浏览器Opera 9.0新版怒放
点击阅读更多学院相关文章>>
分享到 如果你的硬盘有多个分区,请逐次将c:改为你实际拥有的盘符(C盘-->Z盘)。上述两个木马文件为只读隐藏,会修改Windows属性,使用户无法通过设置文件夹选项显示所有文件及文件夹的功能看到。
3、进入注册表,删除HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run下svcshare值。
4、删除C:\windows\system32\drivers\spoclsv.exe
5、修复或重新安装防病毒软件并升级病毒库,彻底全面杀毒,清除恢复被感染的.exe文件。
6、屏蔽熊猫烧香病毒网站pkdown.3322.org和ddos2.sz45.com,具体方法如下:
打开C:\WINDOWS\system32\drivers\etc\host文件,添加修改如下格式:
# Copyright (c) 1993- Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
热门推荐:教你几招判断系统是否被流氓侵犯多窗口浏览器Opera 9.0新版怒放
点击阅读更多学院相关文章>>
分享到 # Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host
127.0.0.1 localhost
127.0.0.1 *.3322.org
127.0.0.1 *.sz45.com
7、修复文件夹选项的“显示所有文件及文件夹”的方法:
A、找到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL分支,在右边的窗口中双击CheckedValue键值项,该键值应为1.如果值不为1,改为1即可,
如果你设置仍起不了作用,那么接下来看。
有些木马把自己的属性设置成隐藏、系统属性,并且把注册表中“文件夹选项中的隐藏受保护的操作系统文件”项和“显示所有文件和文件夹”选项删除,致使通过procexp可以在进程中看到,但去文件所在目录又找不到源文件,无法进行删除。(正常如图,被修复后看不见图中标注的项)
针对这种情况可以把下面内容存储成ShowALl.reg文件,双击该文件导入注册表即可
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
热门推荐:教你几招判断系统是否被流氓侵犯多窗口浏览器Opera 9.0新版怒放
点击阅读更多学院相关文章>>
分享到 ”RegPath“=”Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced“
”Text“=”@shell32.dll,-30501“
”Type“=”radio“
”CheckedValue“=dword:00000002
”ValueName“=”Hidden“
”DefaultValue“=dword:00000002
”HKeyRoot“=dword:80000001
”HelpID“=”shell.hlp#51104“
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
”RegPath“=”Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced“
”Text“=”@shell32.dll,-30500“
”Type“=”radio“
”CheckedValue“=dword:00000001
”ValueName“=”Hidden“
”DefaultValue“=dword:00000002
”HKeyRoot“=dword:80000001
”HelpID“=”shell.hlp#51105“
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]
热门推荐:教你几招判断系统是否被流氓侵犯多窗口浏览器Opera 9.0新版怒放
点击阅读更多学院相关文章>>
分享到 ”Type“=”checkbox“
”Text“=”@shell32.dll,-30508“
”WarningIfNotDefault“=”@shell32.dll,-28964“
”HKeyRoot“=dword:80000001
”RegPath“=”Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced“
”ValueName“=”ShowSuperHidden“
”CheckedValue“=dword:00000000
”UncheckedValue“=dword:00000001
”DefaultValue“=dword:00000000
”HelpID“=”shell.hlp#51103“
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=”“
具体操作方法:
1)通过记事本新建一个文件
2)将以上内容复制到新建的记事本文件中
3)通过记事本文件菜单另存为show.reg
4)双击存储的showall.reg文件,点击弹出的对话框是按钮即可。
注意:以上方法对win和XP有效
热门推荐:教你几招判断系统是否被流氓侵犯多窗口浏览器Opera 9.0新版怒放
点击阅读更多学院相关文章>>
分享到 B、HKEY_LOCAL_MACHINE Software Microsoft windows CurrentVersion explorer Advanced Folder Hidden SHOWALL,将CheckedValue键值修改为1
但可能依然没有用,隐藏文件还是没有显示,这是因为病毒在修改注册表达到隐藏文件目的之后,把本来有效的DWORD值CheckedValue删除掉,新建了一个无效的字符串值CheckedValue,并且把键值改为0!
方法:删除此CheckedValue键值,单击右键 新建Dword值,命名为CheckedValue,然后修改它的键值为1,这样就可以选择“显示所有隐藏文件”和“显示系统文件”。
【专家总结】
1、立即检查本机administrator组成员口令,一定放弃简单口令甚至空口令,安全的口令是字母数字特殊字符的组合,自己记得住,别让病毒猜到就行。
修改方法:右键单击我的电脑,选择管理,浏览到本地用户和组,在右边的窗中,选择具备管理员权限的用户名,单击右键,选择设置密码,输入新密码就行。
2、利用组策略,关闭所有驱动器的自动播放功能。
步骤:单击开始,运行,输入gpedit.msc,打开组策略编辑器,浏览到计算机配置,管理模板,系统,在右边的窗格中选择关闭自动播放,该配置缺省是未配置,在下拉框中选择所有驱动器,再选取已启用,确定后关闭。最后,在开始,运行中输入gpupdate,确定后,该策略就生效了。
3、修改文件夹选项,以查看不明文件的真实属性,避免无意双击骗子程序中毒。
步骤:打开资源管理器(按windows徽标键+E),点工具菜单下文件夹选项,再点查看,在高级设置中,选择查看所有文件,取消隐藏受保护的操作系统文件,取消隐藏文件扩展名。
4、时刻保持操作系统获得最新的安全更新,建议用毒霸的漏洞扫描功能。
5、启用windows防火墙保护本地计算机。
对于未感染的用户,专家建议,不要登陆不良网站,及时下载微软公布的最新补丁,来避免病毒利用漏洞袭击用户的电脑,同时上网时应采用“杀毒软件+防火墙”的立体防御体系。
热门推荐:教你几招判断系统是否被流氓侵犯多窗口浏览器Opera 9.0新版怒放
上一页 123456 7
点击阅读更多学院相关文章>>
分享到
篇3:“熊猫烧香”病毒的病毒描述和发作行为
“武汉男生”,俗称“熊猫烧香”,这是一个感染型的蠕虫病毒,它能感染系统中,exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件,使用户的系统备份文件丢失,被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。
1:拷贝文件
病毒运行后,会把自己拷贝到C:\WINDOWS\System32\Drivers\spoclsv.exe
2:添加注册表自启动
病毒会添加自启动项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare - C:\WINDOWS\System32\Drivers\spoclsv.exe
3:病毒行为
a:每隔1秒寻找桌面窗口,并关闭窗口标题中含有以下字符的程序:
QQKav、QQAV、防火墙、进程、VirusScan、网镖、杀毒、毒霸、瑞星、江民、黄山IE、超级兔子、优化大师、木马克星、木马清道夫、QQ病毒、注册表编辑器、系统配置实用程序、卡巴斯基反病毒、Symantec AntiVirus、Duba、esteem proces、绿鹰PC、密码防盗、噬菌体、木马辅助查找器、System Safety Monitor、Wrapped gift Killer、Winsock Expert、游戏木马检测大师、msctls_statusbar32、pjf(ustc)、IceSword
并使用的键盘映射的方法关闭安全软件IceSword
添加注册表使自己自启动 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare - C:\WINDOWS\System32\Drivers\spoclsv.exe
并中止系统中以下的进程:
Mcshield.exe、VsTskMgr.exe、naPrdMgr.exe、UpdaterUI.exe、TBMon.exe、scan32.exe、Ravmond.exe、Ccenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、RavmonD.exe、RavStub.exe、KVXP.kxp、kvMonXP.kxp、KVCenter.kxp、KVSrvXP.exe、KRegEx.exe、UIHost.exe、TrojDie.kxp、FrogAgent.exe、Logo1_.exe、Logo_1.exe、Rundl132.exe
b:每隔18秒点击病毒作者指定的网页,并用命令行检查系统中是否存在共享,共存在的话就运行net share命令关闭admin$共享
c:每隔10秒下载病毒作者指定的文件,并用命令行检查系统中是否存在共享,共存在的话就运行net share命令关闭admin$共享
d:每隔6秒删除安全软件在注册表中的键值
并修改以下值不显示隐藏文件 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue - 0x00
删除以下服务:
navapsvc、wscsvc、KPfwSvc、SNDSrvc、ccProxy、ccEvtMgr、ccSetMgr、SPBBCSvc、Symantec Core LC、NPFMntor MskService、FireSvc
e:感染文件
病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部,并在扩展名为htm,html, asp,php,jsp,aspx的文件中添加一网址,用户一但打开了该文件,IE就会不断的在后台点击写入的网址,达到增加点击量的目的,但病毒不会感染以下文件夹名中的文件:
WINDOW、Winnt、System Volume Information、Recycled、Windows NT、WindowsUpdate、Windows Media Player、Outlook Express、Internet Explorer、NetMeeting、Common Files、ComPlus Applications、Messenger、InstallShield Installation Information、MSN、Microsoft Frontpage、Movie Maker、MSN Gamin Zone
g:删除文件
病毒会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件使用户的系统备份文件丢失,
-
篇4:熊猫烧香病毒nvscv32.exe变种清除方案
1.拔网线;
2.重新进入winxp安全模式,熊猫烧香病毒进程没有加载,可使用任务管理器!(提示:开机后按住F8)
3.删除病毒文件:%SystemRoot%\system32\drivers\nvscv32.exe,
4.开始菜单=>运行,运行msconfig命令。在系统配置实用程序中,取消与nvscv32.exe相关的进程。也可使用超级兔子魔法设置、HijackThis等,删除nvscv32.exe的注册表启动项。
取消熊猫烧香病毒进程的启动
5.下载并使用江民专杀工具,修复被感染的exe文件。并及时打上Windows补丁。
6.清除html/asp/php等,所有网页文件中如下代码:(为防止传播代码有三处修改,请将。换为.)
批量清除恶意代码的方法: 可使用Dreamweaver的批量替换。
Dreamweaver批理替换的使用方法 可下载使用BatchTextReplacer批量替换。 部署了SymantecAntiVirus的企业,升级到最新病毒库扫描全盘文件,即可清除被添加的恶意代码和清除病毒文件。
7.用安装杀毒软件,并升级病毒库,扫描整个硬盘,清除其他病毒文件。推荐PConline多次推荐的免费卡巴斯基mdash;mdash;ActiveVirusSheild。(xxxxxxxxxxxxx)(注:步骤7不能与步骤5调换,以免可修复的带毒文件被删除!)
8.删除每个盘根目录下的autorun.inf文件,利用搜索功能,将Desktop_.ini全部删除。
二、互联安全网提供的解决方法(后文的病毒描述、中毒现象和技术分析均来自互联安全网)
1:关闭网络共享,断开网络。
2:使用IceSword结束掉nvscv32.exe进程(速度要快,抢在病毒感染IceSword前)
3:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\Folder\Hidden\SHOWALLCheckedValue的数值改为1
4:删除注册表启动项
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\]
nvscv32:”C:\WINDOWS\system32\drivers\nvscv32.exe“
5:删除C:\WINDOWS\system32\drivers\nvscv32.exe
6:删除每个盘根目录下的autorun.inf文件和setup.exe文件,利用搜索功能,将Desktop_.ini全部删除。
7:如果电脑上有脚本文件,将病毒代码全部删除。
8:关闭系统的自动播放功能。
这样就基本上将病毒清除了。
三、病毒描述
含有病毒体的文件被运行后,病毒将自身拷贝至系统目录,同时修改注册表将自身设置为开机启动项,并遍历各个驱动器,将自身写入磁盘根目录下,增加一个Autorun.inf文件,使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染,并对局域网其他电脑进行扫描,同时开另外一个线程连接某网站下载木马程序进行发动恶意攻击。
文件名称:nvscv32.exe
病毒名称:目前各杀毒软件无法查杀(已经将病毒样本上报各杀毒厂商)
中文名称:(尼姆亚,熊猫烧香)
病毒大小:68,570字节
编写语言:BorlandDelphi6.0-7.0
加壳方式:FSG2.0->bart/xt
发现时间:.1.16
危害等级:高
四、中毒现象
1:在系统每个分区根目录下存在setup.exe和autorun.inf文件(A和B盘不感染)。
2:无法手工修改文件夹选项将隐藏文件显示出来。
3:在每个感染后的文件夹中可见Desktop_ini的隐藏文件,内容为感染日期如:2007-1-16
4:电脑上的所有脚本文件中加入以下代码:
5:中毒后的机器上常见的反病毒软件及防火墙无法正常开启及运行。
6:不能正常使用任务管理器,SREng.exe等工具。
7:无故的向外发包,连接局域网中其他机器。
五、技术分析
1:病毒文件运行后,将自身复制到%SystemRoot%\system32\drivers\nvscv32.exe
建立注册表自启动项:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\]
nvscv32:”C:\WINDOWS\system32\drivers\nvscv32.exe“
2:查找反病毒窗体病毒结束相关进程: 天网防火墙 virusscan symantecantivirus systemsafetymonitor systemrepairengineer wrappedgiftkiller 游戏木马检测大师 超级巡警
3:结束以下进程 mcshield.exe vstskmgr.exe naprdmgr.exe updaterui.exe tbmon.exe scan32.exe ravmond.exe ccenter.exe ravtask.exe rav.exe ravmon.exe ravmond.exe ravstub.exe kvxp.kxp kvmonxp.kxp kvcenter.kxp kvsrvxp.exe kregex.exe uihost.exe trojdie.kxp frogagent.exe kvxp.kxp kvmonxp.kxp kvcenter.kxp kvsrvxp.exe kregex.exe uihost.exe trojdie.kxp frogagent.exe logo1_.exe logo_1.exe rundl132.exe taskmgr.exe msconfig.exe regedit.exe sreng.exe
4:禁用下列服务 schedule sharedaccess rsccenter rsravmon rsccenter kvwsc kvsrvxp kvwsc kvsrvxp kavsvc avp avp kavsvc mcafeeframework mcshield mctaskmanager mcafeeframework mcshield mctaskmanager navapsvc wscsvc kpfwsvc sndsrvc ccproxy ccevtmgr ccsetmgr spbbcsvc symanteccorelc npfmntor mskservice firesvc
5:删除下列注册表项: software\microsoft\windows\currentversion\run\ravtask software\microsoft\windows\currentversion\run\kvmonxp software\microsoft\windows\currentversion\run\kav software\microsoft\windows\currentversion\run\kavpersonal50 software\microsoft\windows\currentversion\run\mcafeeupdaterui software\microsoft\windows\currentversion\run\networkassociateserrorreportingservice software\microsoft\windows\currentversion\run\shstatexe software\microsoft\windows\currentversion\run\ylive.exe software\microsoft\windows\currentversion\run\yassistse
6:感染所有可执行文件,并将图标改成(这次不是熊猫烧香那个图标了)
7:跳过下列目录:
windows winnt systemvolumeinformation recycled windowsnt windowsupdate windowsmediaplayer outlookexpress netmeeting commonfiles complusapplications commonfiles messenger installshieldinstallationinformation msn microsoftfrontpage moviemaker msngaminzone
8:删除*.gho备份文件,
9:在所有驱动器根目录建立自身文件副本setup.exe,建立autorun.inf文件使病毒自动运行,设置文件属性为隐藏、只读、系统。
autorun.inf内容:
[AutoRun]
PEN=setup.exe
shellexecute=setup.exe
shell\Auto\command=setup.exe
10:删除共享:cmd.exe/cnetshareadmin$/del/y
11:在机器上所有脚本文件中加入,此代码地址是一个利用MS-06014漏洞攻击的网页木马,一旦用户浏览中此病毒的服务器上的网页,如果系统没有打补丁,就会下载执行此病毒。
12:扫描局域网机器,一旦发现漏洞,就迅速传播。
13:在后台访问http://www。whboy。net/update/wormcn。txt,根据下载列表下载其他病毒。
到此病毒行为分析完毕。
篇5:熊猫烧香的病毒之我看
熊猫烧香这个词目前是火热之火热,很多不幸的人啊,被感染了,重装了,又被感染了,格式化了,依然被感染-------其中专杀和病毒软件用了无数,
熊猫烧香很强,强在他破坏很多正常的关闭或删除病毒的用户习惯。
初级用户来说,只要病毒软件在就很安全。--------可惜,一上来就被关闭了。
中级用户来说,只要能对系统的注册表/msconfig等操作。------同样,被病毒默认关闭了。
系统管理员用户,只要恢复备份文件即可。-----------震惊,居然删除gho,局域网自动传播。
专家用户来说,就是那些会懂得调试程序的人。Softice无法运行。
总的来说,病毒基本覆盖了那些日常人的使用习惯,这个病毒只要稍微再进行下功能升级,恐怕能防他的就更少了,
比如,随机产生进程,学习CIC,7的流氓文件驱动等等。更加有甚的是有人传闻,杀病毒的厂商会做一些病毒估计放出来。这些方法都是官方的流氓行为,恐怕那些做病毒的人,现在也理直气壮。只许州官放火,不许百姓点灯?
想象一下,我们只能痛苦的学习计算机知识,知道注册表中那个才能关闭病毒的自动启动,但是病毒启动了就自动锁了注册表。我们的杀病毒软件此时无能为力。如此来说,最大的罪魁祸首就是微软了,提供强大的系统功能后,也给那些病毒作者无限的发挥余地。
由此可见,杀病毒软件的道路真是任重道远,那些专杀工具的出现也只是解决眼前。同样的呼吁国家对信息安全的强烈态度,比如立法及严重刑罚,同时要禁止那些大互联网公司的流氓行为,建设和谐网络社会,才能让老百姓不会深受其害。
说的不对的,让大家谅解。还是做点实际事情,推荐大家用写好的专杀及防御工具。
:www.pcbaobiao.com
华军下载:www.onlinedown.net/soft/559.htm
篇6:“U盘寄生虫”病毒高发“熊猫烧香”卷土重来
江民反病毒中心监测到,一种通过U盘传播的新病毒“U盘寄生虫”(Checker/Autorun)正在加速传播,短短一周时间,该病毒已经感染5565台计算机,位列江民每日病毒排行榜首位,此外,“熊猫烧香”病毒变种疫情也呈上升趋势,位居病毒排行第三。
反病毒专家介绍,“U盘寄生虫”是一个利用U盘等移动设备进行传播,并利用autorun.inf自动播放文件触发的蠕虫病毒。autorun.inf文件一般存在于U盘、MP3、移动硬盘和硬盘各个分区的根目录下,当用户双击U盘等设备的时候,该文件就会利用Windows系统的自动播放功能,优先执行所要加载的病毒程序,从而破坏用户计算机,使用户计算机遭受损失。
而名列病毒排行榜第三的则是大名鼎鼎的“熊猫烧香”变种ahj(Worm/Viking.ahj),该病毒能终止大量的反病毒软件和防火墙软件进程。病毒运行后,在系统目录下创建病毒文件。修改注册表,实现开机自启。在每个文件夹下生成desktop_.ini文件,文件里标记着病毒发作日期,
删除扩展名为gho的文件,使用户无法使用ghost软件恢复操作系统。感染系统的*.exe、*.com、*.pif、*.src、*.html、*.asp文件,添加病毒网址,导致用户一打开这些网页文件,IE就会自动连接到指定的病毒网址中下载病毒。在硬盘各个分区下生成文件autorun.inf和setup.exe,以此通过U盘和移动硬盘等方式进行传播,并且利用Windows系统的自动播放功能来运行。
另据江民反病毒中心监测统计,上周该中心共截获病毒17931种,全国共有465790台计算机感染了病毒,较此前有明显上升趋势。其中,后门以及漏洞攻击类病毒居多,占总数的12.36%,蠕虫病毒亦呈多发趋势,占病毒总数的5.02%,而在病毒疫情的地域分布上,则以江苏、山东、北京感染情况最为严重。
反病毒专家建议,电脑用户应及时升级杀毒软件,开启杀毒软件“实时监控”和“系统监测”功能,防范已知和未知病毒。针对越来越多的病毒通过U盘传播特征,专家建议用户在使用U盘前,务必先使用杀毒软件进行扫描,确认无毒后再打开。此外,用户应养成良好的安全习惯,不随意点击不明链接和运行不明文件,及时为操作系统打好补丁,关闭系统共享以及为系统设置复杂的口令,都可有效减少病毒侵害。
篇7:熊猫烧香变种spoclsv.exe病毒的查杀方法
1.断开网络(必要)
2.结束病毒进程
%System%\drivers\spoclsv.exe
本步骤要本着2大原则:眼疾手快、愚公移山,有了这2大精神,那么本步骤也就不难完成了,不过运气好的哥们儿,可能会一下搞定,运气不好的.......
3.删除病毒文件:
c:\windows\system32\drivers\spoclsv.exe
注意:打开C盘要右键-开打,负责仁兄就要功亏一篑,重复2的步骤鸟,伤心吧!
4.修改注册表设置,恢复显示所有文件和文件夹选项功能:
[Copytoclipboard]CODE:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
”CheckedValue“=dword:00000001
本步骤针对病毒将显示隐藏文件禁用的情况
5.右键点击分区盘符,点击右键菜单中的打开进入分区根目录,删除根目录下的文件:
X:\setup.exe
X:\autorun.inf
6.删除病毒创建的启动项:
[Copytoclipboard]CODE:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
”svcshare“=”%System%\drivers\spoclsv.exe“
7.使用专杀工具进行全盘扫描,清除恢复被感染的exe文件
下载地址:/html/virus/zhuanshagongju/0125/923.html
估计现在已经大功告成,如还是没搞定,那就要你动动脑筋,具体情况具体对待咯!
篇8:共享成果:杀熊猫烧香100%成功绝招病毒防范
瑞星1月14号以后的病毒库都能杀,而且很灵,但瑞星的程序会被熊猫关掉。
杀毒具体方法(100%成功)。注意!一定要看完完整的一步再进行,因为一旦断开,整步都要重做!
1、右键点击托盘里的瑞星防火墙图标,选择“系统状态”,然后马上用右键点击任务栏中的防火墙窗口按钮,弹出窗口控制菜单,这样就可以锁住窗口,使其不被关闭。找出“熊猫”的进程,记下程序名。现在可以把菜单点掉了,你会发现瑞星的窗口马上被关了。没事,现在不管它。
2、打开“任务管理器”(Ctrl+Alt+Del),
在窗口出来时马上点任务栏锁住它,然后打开“进程”标签(如果已经打开就跳过这一步)。然后按住标题栏锁住它。准备一下,迅速松开标题栏,按下刚才找到的“熊猫”的首字母,再按住标题栏。重复数次,直到选中“熊猫”。松开标题栏,马上按键盘上的“右键快捷键(右Ctrl左边的那个画着菜单的键)”、然后按“T”、“Y”,结束“熊猫”的进程树!
3、至此,已经成功90%了,你可以稍稍放松一下。打开瑞星杀毒软件和防火墙,升级到最新版本后(可能要重启,重启后只能重复1、2了,但如果你是1月14号以后的病毒库就不用升级了),打开防火墙主程序的“启动选项”,显示所有启动项(什么应用程序劫持项、驱动程序的),删掉熊猫的键值。然后开着防火墙、监控中心进行整机杀毒!(包括引导区、内存、邮件。可以不断网,因为病毒已经进不来了)。
4、杀完毒,看一看是不是几百个“Worm.Nimaya.W”全在网页里面?怪不得一开网际快车就重新中毒呢。重启电脑,再来一遍开机扫描,确定无毒,电脑也就无毒了。
篇9:继“熊猫烧香”后又一厉害病毒清除方法病毒防范
近日,本人因CISCO实验需要,考虑到卡巴耗费资源,特意将其卸载……没想到就短短两天的时间里,在我机器无任何防护措施的情况下,中了病毒,
病毒名为:Trojan-Dropper.Win32.Agent.bct
大家小心防范,该病毒会自动感染所有的盘,和前几个月的那个rose病毒有点相似
当时,我并没意识到中了毒,只是这两天上网,觉得没有个保护措施不行,就好象裸奔一样……
今天早上我把360装上了,然后顺手又骗了个卡巴的序列号,装上了KAV6
升级、重启……接下来我的机器,不,是卡巴,跟驴叫似的……还不是一头驴叫,是千驴万马在叫啊!
那真是相当的壮观!我傻眼了……这么多?才两天而已???
再一看,是木马啊?!没事……就随手设置成,发现病毒不询问直接清理。
等我过一会儿回来看看收成……果然是多收了三五斗啊!――我顶你个肺!
卡巴它是把病毒找出来了,病毒感染的文件,卡巴连着一起删除啊!!
E盘和F盘两个盘近25G的资料啊,软件啊……只要是exe结尾的……全给卡啦!
我慌了,赶紧上线求助……一看,晕,没有专杀!目前都是手工删除……于是找了找他们的清理办法,贴上来
大家共同预防,以我为戒!!!千万不要以为,你的机器可以在internet上裸奔!!千万要给机器穿件儿衣服……推荐卡巴或NOD32。
下面是方法:
在系统根目录生成并运行_.de,生成_.de.bat,自杀
生成x:\windows\system\internat.exe(若先前有同名目录,则把那个文件夹改名为internat.exe.tmp)
各盘下生成autorun.inf和setup.exe
运行命令cmd.exe /c dir 系统盘以外的盘:\*.exe /s /b >>C:\WINDOWS\win.log
根据win.log里的文件来感染EXE
文件感染后增大26890字节
查杀方法:
1、用命令管理器结束internat.exe这个进程;
2、删除X:\windows\system\internat.exe;
3、用右键进入各盘,删除下面的autorun.inf和setup.exe;
4、在系统盘根目录创建一个名为_.de的文件夹;
5、用杀毒软件彻底扫描全部硬盘,被感染不能修复的删不删除都可,
这样,被感染的EXE虽然还没修复,但毒是不会复发了的。你可以运行它,慢慢等到杀软可以杀它的时候吧。
第二方法:
或把以下内容保存为jy.reg,再双击导入
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\internat.exe]
”Debugger“=”internat.exe“
这样,internat.exe就不会运行了
另外,如果已经不幸感染了的,而且被卡巴不分良恶给删除文件的朋友,请节哀……如果觉得手工清理后还是不保险的话,等专杀出来吧。只有这样了,手工清理的话exe结尾的文件仍然是被感染的……
篇10:比熊猫烧香更可怕:光标漏洞病毒惊现!病毒防范
2007年3月31日,江民公司反病毒中心监测到,一只新的蠕虫病毒“光标漏洞”(I-Worm/MyInfect)正利用微软Windows系统ANI文件处理漏洞疯狂传播,反病毒中心已监测到多个网站正在传播该病毒,
江民反病毒专家介绍,“光标漏洞”蠕虫自我传播能力很强。与“熊猫烧香”和威金蠕虫类似,该蠕虫会感染正常的可执行文件和本地网页文件,下载大量木马程序。除此之外,该蠕虫还能够利用自带的SMTP引擎通过电子邮件传播。最令人担心的是,目前病毒利用的微软ANI文件处理漏洞尚无官方补丁,江民反病毒专家担心一场比“熊猫烧香”更可怕的疫情可能会随时发生。
3月30日,江民反病毒中心发布紧急安全警报,一些恶意网站正在通过Windows操作系统一个新的安全漏洞(ANI漏洞)传播木马病毒。Windows在处理动态图标文件时存在严重隐患,利用此漏洞, 可以通过制作特殊的ANI文件进行远程攻击。可能的攻击方式包括编写恶意网页或发送恶意电子邮件,用户一旦浏览即可执行 指定的任意代码。
微软公司于当地时间3月29日确认了这个新漏洞并开始调查工作。目前没有针对该漏洞的补丁程序。在报告发布后的第二天,利用该漏洞的蠕虫病毒“光标漏洞”(I-Worm/MyInfect)即出现在互联网上。
江民反病毒专家分析,“光标漏洞”蠕虫的大小为13K左右,病毒运行后,会复制自身到下面目录:%SysDir%\sysload3.exe
并添加注册表键值:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
”System Boot Check“=”%SysDir%\sysload3.exe"
这样,病毒就可以随Windows系统启动自动运行,
病毒会感染本地磁盘和网络共享目录的正常可执行程序。并感染本地磁盘和网络共享目录的多种类型(.HTML .ASPX .HTM .PHP .JSP .ASP)网页文件,植入利用ANI文件处理漏洞的恶意代码。
“光标漏洞”病毒除了具备“熊猫烧香”所有的传播特征外,还可以通过电子邮件传播,病毒邮件特征如下:
发件人: i_love_cq@sohu.com
主题:你和谁视频的时候被拍下的?给你笑死了!
正文:
看你那小样!我看你是出名了!
你看这个地址!你的脸拍的那么清楚!你变明星了!
macr.microfsot.com/
病毒还会复制自身到各逻辑磁盘盘根目录下,并创建autorun.inf自动播放配置文件。双击盘符即可激活病毒,造成再次感染。这点与“熊猫烧香”通过U盘激活自身从而“死灰复燃”的特征如出一辙。
“光标漏洞”还会修改系统hosts文件,屏蔽多个网址。这些网址大多是以前用来传播其他病毒的站点。
江民反病毒专家介绍,目前“光标漏洞”蠕虫已经产生了4个变种,针对该病毒及其变种,江民杀毒软件已经紧急升级了病毒库。江民KV系列用户请立即升级到4月2日病毒库,即可有效查杀所有变种。此外,专家再次提醒,用户上网时务必开启“系统监测”和“网页监控”功能,以免遭病毒侵害。
文档为doc格式