【01-21】“熊猫烧香”病毒专题
熊猫烧香是近期流传的一个相当厉害的病毒,属于威金的一个最新变种蠕虫病毒。很多朋友中了以后用杀毒软件根本杀不死,只能忍痛割爱删除硬盘里所有的程序文件。这个病毒严格的说是去年12月份开始流行的,按说杀毒软件应该已经升级解决了,但由于熊猫烧香的生命力惊人,经过这样长的一段时间仍然没有死绝。病毒特征:
1、这个病毒关闭众多杀毒软件和安全工具
2、循环遍历磁盘目录,感染文件,对关键系统文件跳过
3、感染所有EXE、SCR、PIF、COM文件,并更改图标为烧香熊猫
4、感染所有.htm/.html/.asp/.php/.jsp/.aspx文件,添加木马恶意代码
5、自动删除*.gho 熊猫烧香的中毒特征是:
■1,这个病毒关闭众多杀毒软件和安全工具
■2,循环遍历磁盘目录,感染文件,对关键系统文件跳过
■3,感染所有EXE、SCR、PIF、COM文件,并更改图标为烧香熊猫
■4,感染所有.htm/.html/.asp/.php/.jsp/.aspx文件,添加木马恶意代码
■5,自动删除*.gho文件
网友哭诉
我上网查了n多如何防御的资料
终于找到一种防范的方法
不过可能对以后安装游戏之类的增添一点麻烦
方法如下:
第一步:制作免疫补丁(批处理内容)
echo > c:\windows\Logo1.exe
echo > c:\windows\Logo_1.exe
echo > c:\windows\Logo1_1.exe
echo > c:\windows\Logo1_.exe
echo > c:\windows\0Sy.exe
echo > c:\windows\1Sy.exe
echo > c:\windows\2Sy.exe
echo > c:\windows\3Sy.exe
echo > c:\windows\4Sy.exe
echo > c:\windows\5Sy.exe
echo > c:\windows\6Sy.exe
echo > c:\windows\7Sy.exe
echo > c:\windows\8Sy.exe
echo > c:\windows\9Sy.exe
echo > c:\windows\1.com
echo > c:\windows\rundll32.exe
echo > c:\windows\rundl132.exe
echo > c:\windows\vDll.dll
echo > c:\windows\exerouter.exe
echo > c:\windows\EXP10RER.com
echo > c:\windows\finders.com
echo > c:\windows\Shell.sys
echo > c:\windows\smss.exe
echo > c:\windows\kill.exe
echo > c:\windows\sws.dll
echo > c:\windows\sws32.dll
echo > c:\windows\tool.exe
echo > c:\windows\tool2005.exe
echo > c:\windows\tool2006.exe
echo > c:\windows\tools.exe
echo > c:\windows\finders.exe
attrib c:\windows\Logo1.exe +s +r +h
attrib c:\windows\Logo_1.exe +s +r +h
attrib c:\windows\Logo1_1.exe +s +r +h
attrib c:\windows\Logo1_.exe +s +r +h
attrib c:\windows\0Sy.exe +s +r +h
attrib c:\windows\1Sy.exe +s +r +h
attrib c:\windows\2Sy.exe +s +r +h
attrib c:\windows\3Sy.exe +s +r +h
attrib c:\windows\4Sy.exe +s +r +h
attrib c:\windows\5Sy.exe +s +r +h
attrib c:\windows\6Sy.exe +s +r +h
attrib c:\windows\7Sy.exe +s +r +h
attrib c:\windows\8Sy.exe +s +r +h
attrib c:\windows\9Sy.exe +s +r +h
attrib c:\windows\1.com +s +r +h
attrib c:\windows\rundl132.exe +s +r +h
attrib c:\windows\rundll32.exe +s +r +h
attrib c:\windows\vDll.dll +s +r +h
attrib c:\windows\exerouter.exe +s +r +h
attrib c:\windows\EXP10RER.com +s +r +h
attrib c:\windows\finders.com +s +r +h
attrib c:\windows\Shell.sys +s +r +h
attrib c:\windows\smss.exe +s +r +h
attrib c:\windows\kill.exe +s +r +h
attrib c:\windows\sws.dll +s +r +h
attrib c:\windows\sws32.dll +s +r +h
attrib c:\windows\tool.exe +s +r +h
attrib c:\windows\tool2005.exe +s +r +h
attrib c:\windows\tool2006.exe +s +r +h
attrib c:\windows\tools.exe +s +r +h
attrib c:\windows\finders.exe +s +r +h
==================================================================
第二步:巩固免疫补丁,禁止免疫补丁运行。(注册表内容)
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\本地
User\Software\Microsoft\Windows\CurrentVersion\Policies\ Explorer\DisallowRun]
"**delvals."=" "
"1"="Logo1.exe"
"2"="Logo_1.exe"
"3"="Logo1_1.exe"
"4"="Logo1_.exe"
"5"="0Sy.exe"
"6"="1Sy.exe"
"7"="2Sy.exe"
"8"="3Sy.exe"
"9"="4Sy.exe"
"10"="5Sy.exe"
"11"="6Sy.exe"
"12"="7Sy.exe"
"13"="8Sy.exe"
"14"="9Sy.exe"
"15"="1.com"
"16"="rundll32.exe"
"17"="rundl132.exe"
"18"="vDll.dll"
"19"="exerouter.exe"
"20"="EXP10RER.com"
"21"="finders.com"
"22"="Shell.sys"
"23"="smss.exe"
"24"="kill.exe"
"25"="sws.dll"
"26"="sws32.dll"
"27"="tool.exe"
"28"="tool2005.exe"
"29"="tool2006.exe"
"30"="tools.exe"
"31"="finders.exe"
===============================================
第三步,加强系统自身安全性(P处理内容)
@echo off
echo 程序运行中......
echo y|cacls e:\ /p everyone:r
echo y|cacls f:\ /p everyone:r
(P处理内容说明:禁止在E盘,F盘跟目录下创建任何文件及文件夹)
===========================================================
第四步:增强文件权限安全,防止病毒感染(P处理内容)
e:
cd e:\netgames
cacls *.exe /t /e /g /everyone:r
cacls *.exe /t /e /p /everyone:r
cacls *.dll /t /e /g /everyone:r
cacls *.dll /t /e /p /everyone:r
(P处理内容说明:该批处理会把e:\netgames文件夹下所有的exe和dll文件属性设为只读,同步更新软件会复制文件的只读属性,文件在只读状态下无法修改和保存,但不影响更新和删除(服务器上也必须做这一步)
附:有人问了,用了第三步,那管理员要在其盘符下创建文件夹怎么办?不用着急,运行下面的P处理就解决了。
@echo off
echo 程序运行中......
echo y|cacls e:\ /g everyone:f
echo y|cacls f:\ /g everyone:f
===============================完====================================
第3步修正:网络游戏及QQ等一些东西~必须在盘符下建2级目录。如:e:\net+game\netgame,所有游戏都放在里面,
执行P处理,批处理内容为:
echo y|cacls e:\ /p everyone:r
echo y|cacls e:\net+game /p everyone:n
参数R是只读,N是取消一切权限,切记,一定要建二级目录,在二级目录下的一切操作不受任何限制,当你运行了P处理后,可以看看net+game的属性,大小都0,而LOG1这类感染EXE文件的病毒,他必须先搜索其文件,但他根本搜索不到无权限的文件夹里面的东西,所以他也无法感染,如果只做一级目录,直接将E盘设为无权限的话,那么会导致无法更新游戏,热血江湖玩不了。这一步骤修正了,那么我们就可以省略了第四步了~如果QQ游戏等在线游戏类的,也可以放在E盘,其方法是一样的,举一反三是基本的学习能力。那么,现在处理下载盘的问题,方法一样,直接将下载目录的快捷方式拖到桌面就可以了~大家多多实验吧~!总之,系统没有绝对的安全,制作病毒的人都是寻找系统弱点来做的,系统的安全性能只能靠平时的经验了~以上P处理的解除:echo y|cacls e:\net+game /g everyone:f ,赋予其所有权限~!
■熊猫烧香靠啥传播? 熊猫烧香基本上可以肯定是靠网页恶意代码,木马,软件夹带等途径传播的,因此我们上网一定要注意安装防火墙软件,并且保持杀毒软件的更新。
有人问下载BT电影为何会感染病毒?是不是只有看AV电影才会感染病毒?
这个问题其实和AV电影关系不大,根据小编的分析很可能是依靠其中夹带的木马或RMVB恶意事件来完成的。
“事件”可以在RMVB文件中加入进去,属于官方提供的功能之一。其作用是可以在用户播放文件中,弹出广告窗口或进行其他操作。另外,事件本身也有可能具备防盗链功能。其实,在视频文件中加入广告连接并不是啥大不了的问题,毕竟你白用人家的东西看视频,捎带脚看看广告业无所谓。但是,现在某些人利用这个功能加入了“恶意事件”,用户在播放视频的时候,不断的弹出窗口,直到死机为止。
一般查杀方法:
现在小编提供一个手动清除此病毒的方法:
清除步骤
==========
1. 断开网络
2. 结束病毒进程
%System%\FuckJacks.exe
3. 删除病毒文件:
%System%\FuckJacks.exe
4. 右键点击分区盘符,点击右键菜单中的“打开”进入分区根目录,删除根目录下的文件
X:\autorun.inf
X:\setup.exe
5. 删除病毒创建的启动项:
"FuckJacks"="%System%\FuckJacks.exe
"svohost"="%System%\FuckJacks.exe"
6. 修复或重新安装反病毒软件
7. 使用反病毒软件或专杀工具进行全盘扫描,清除恢复被感染的exe文件
中毒文件的恢复(仅个人观点,只在自己的虚拟机上测试正常)
首先在清除病毒文件的同时不要删除%SYSTEM%下面释放FuckJacks.exe的这个文件,(注册表里要清除干净)
打开运行输入gpedit.msc打开组策略-本地计算机策略-windows设置-安全设置-软件限制策略-其它规则
在其它规则上右键选择-新散列规则=打开新散列规则窗口
在文件散列上点击浏览找到-%SYSTEM%下面释放FuckJacks.exe文件.......安全级别选择-不允许的 确定后重启(一定重启)
重启后可以双击运行已经被熊猫感染的程序-运行程序后该FuckJacks.exe文件会在注册表里的Run键下建立启动项(不会有问题的)
双击运行被感染的程序已经恢复原来样子了,全部回复后用SRENG2把FuckJacks.exe在注册表里的启动项删除即可! 这个病毒实在恐怖! 看不懂...我只知道..中熊猫..图标会变得超级可爱 :L 。。。是呀!满可爱的!你要不要中呀? 不要................................................
我不要哇....................................................... 大家如果中了实在怕麻烦就去下个江民的专杀工具在安全模式下查杀,在修复杀软就OK 了
页:
[1]