有关 “熊猫烧香” 的问题!!!!急急急急!~~~~~
熊猫烧香病毒样本
http://ishare.sina.com.cn/cgi-bin/fileid.cgi?fileid=1238770
请小心使用
病毒名:
中文:熊猫烧香病毒(又称武汉男生)
英文:Worm.WhBoy
目前发现的变种数已超过50个
典型表现:
感染病毒后发现较多的.EXE文件图标变成点着香的熊猫,这也是该病毒命名的由来。现在发现的部分变种已经不再使用这个广为人知的图标了。部分变种可以直接通过互联网更新版本,部分变种可以感染htm、html、asp、php、jsp、aspx等网页格式文件。一段web服务器被感染,将意味着所有浏览这些网页的计算机可能会自动下载并感染上熊猫烧香病毒。
该系列变种会释放以下几个典型文件
分区根目录下:setup.exe、autorun.inf、%System%\Fuckjacks.exe、%System%\Drivers\
spoclsv.exe
局域网环境下:GameSetup.exe
病毒行为:
1、删除常用杀毒软件在注册表中的启动项或服务,终止杀毒软件的进程,几乎涉及目前所有杀毒软件
2、终止部分安全辅助工具的进程,如IceSword,任务管理器taskmon。
3、终止维金的相关进程Logo1_.exe、Logo_1.exe、Rundl123.exe。
4、弱口令破解局域网其他电脑的Administror帐号,并用GameSetup.exe进行复制传播。
5、修改注册表键值,导致不能查看隐藏文件和系统文件。
6、除C盘如下目录外,病毒会尝试破坏其它分区下的部分.exe、.com、.gho、.pif、.scr文件,病毒不会去感染以下目录中的文件(给我们解决此病毒留下机会了,请看下文中的有关描述)。
WINDOW,Winnt,System Volume Information,Recycled, Windows NT,Windows Update,Windows MediaP,Outlook Express,Internet Explorer,NetMeeting,Common Files,ComPlus Applications,Messenger, InstallShield Installation Information,MSN,Microsoft Frontpage, MovieMaker,MSN GaminZone
7、病毒会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件,使用户的系统备份文件丢失。
解决办法:
1、首选专杀工具
专杀工具是效能最好的方案,能处理已知变种,缺点是有新变种后,专杀也需要更新。推荐去www.xiongmaoshaoxiang.com下载专杀。
2、在线杀毒
因为熊猫烧香病毒的特殊性,杀毒软件本身可能会被感染,病毒还会尝试结束杀毒软件进程和服务,但病毒不感染IE浏览器,用浏览器加载在线杀毒控件来清除病毒可以收到奇效。已经中招的,可以去shadu.duba.net试试。
3、重启系统到带网络连接的安全模式,升级杀毒软件后杀毒。可单击开始,运行,输入msconfig,打开系统配置实用程序,点击BOOT.INI标签,作如图修改,重启即可进入带网络连接的安全模式。
4、手工清除
因为熊猫烧香病毒是感染型的病毒,手工清除相当麻烦,网友公布的手工清除方案只能手工结束病毒进程,一段运行了感染过熊猫烧香病毒的程序,还会再中招。以下简单介绍手工结束病毒进程,修复注册表项的步骤:
a.断开网络,禁用网卡或拔掉网线就行;
b.结束病毒进程,因为任务管理器、IcdSword已无法运行,已感染病毒的机器上很难实现。建议去http://www.microsoft.com/technet/sysinternals/ProcessesAndThreads/
ProcessExplorer.mspx下载一个Process Explorer备用,郁闷的是光缆没修好,官网下载速度巨慢。可以百度一下,到新浪、华军、天空去下载。如果在进程中发现FuckJacks.exe、setup.exe、spoclsv.exe(注意和正常的打印服务就差一个字母,打印服务文件名为spoolsv.exe),就用这个工具结束掉。
c.在本地计算机上搜索并删除以下病毒执行文件:
分区根目录下:setup.exe、autorun.inf(这个本身不是病毒,但它的存在是为了双击磁盘自动调用病毒程序,建议删了吧)
%System%\Fuckjacks.exe;%System% \Drivers\spoclsv.exe
局域网环境下:GameSetup.exe
d. 开始-->运行—>输入regedit,确定后,打开注册表编辑器,删除病毒创建的启动项:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "FuckJacks"="%System%\FuckJacks.exe [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "svohost"="%System%\FuckJacks.exe"
浏览到
[HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\ Folder\Hidden\SHOWALL]
,单击右键,点新建——Dword值——命名为CheckedValue(如果已经有,可以删除后重建),修改它的键值为1,为十六进制,按确定后,退出注册表编辑器。以恢复文件夹选项中的“显示所有隐藏文件”和“显示系统文件”
e.修复或重新安装反病毒软件,以恢复被病毒删除的注册键值,恢复杀毒软件的功能。
f.最后,还是要更新反病毒软件全盘扫描,把感染的EXE程序、网页格式的文件修复。特别提醒网页编辑,一定要保护好自己编辑的Web文档,保护好自己的Web服务器,如果发现网站上传文件带毒,应该及时删除,重新上传。
有关该病毒的预防,请参考www.xiongmaoshaoxiang.com上介绍的方法,或者看这里http://www.duba.net/zt/panda/ 。特别提示一下,今天更新的金山毒霸已经集成了针对熊猫烧香病毒的免疫功能,对预防熊猫烧香病毒会起到遏制作用。
参考资料:http://pfw.sky.net.cn/article/3784.html
熊猫烧香专杀:
http://so.xunlei.com/search?search=%E7%86%8A%E7%8C%AB%E7%83%A7%E9%A6%99&id=3
http://wap.chinaz.com/x/AST/ast_setup.exe
中文名:熊猫烧香病毒(又称武汉男生),英文名(Worm.WhBoy),目前发现的变种数已超过50个。
病毒典型恶劣表现:
1.感染病毒后发现较多的EXE文件图标变成点着香的熊猫,这也是该病毒命名的由来,现在发现的部分变种已经不再使用这个广为人知的图标了。
2.部分变种可以直接通过互联网更新版本,部分变种感染除.exe文件外,还可以感染htm,html,asp,php,jsp,aspx等网页格式文件。
3.一旦web服务器被感染,将意味着所有浏览这些网页的计算机可能会自动下载并感染上熊猫烧香病毒。
4.该系列变种会释放以下几个典型文件
分区根目录下: code:setup.exe、autorun.inf、%System%Fuckjacks.exe;%System%Driversspoclsv.exe
局域网环境下:GameSetup.exe
病毒行为:
1.删除常用杀毒软件在注册表中的启动项或服务,终止杀毒软件的进程,几乎涉及目前所有杀毒软件
2.终止部分安全辅助工具的进程,如IceSword,任务管理器taskmon。
3.终止维金的相关进程Logo1_.exe、Logo_1.exe、Rundl123.exe。
4.弱口令破解局域网其他电脑的Administror帐号,并用GameSetup.exe进行复制传播。
5.修改注册表键值,导致不能查看隐藏文件和系统文件。
6.除C盘如下目录外,病毒会尝试破坏其它分区下的部分.exe、.com、.gho、.pif、.scr文件,病毒不会去感染以下目录中的文件(给我们解决此病毒留下机会了,请看下文中的有关描述)。
code:
WINDOW,Winnt,System Volume Information,Recycled,Windows NT,
Windows Update,Windows MediaPlayer,Outlook Express,Internet Explorer,
NetMeeting,Common Files,ComPlus Applications,Messenger,InstallShield
Installation Information,MSN,Microsoft Frontpage,MovieMaker,MSN GaminZone。
7.病毒会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件,使用户的系统备份文件丢失。
熊猫烧香病毒分析与解决方案
一、病毒描述:
含有病毒体的文件被运行后,病毒将自身拷贝至系统目录,同时修改注册表将自身设置为开机启动项,并遍历各个驱动器,将自身写入磁盘根目录下,增加一个Autorun.inf文件,使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染,同时开另外一个线程连接某网站下载ddos程序进行发动恶意攻击。
二、病毒基本情况:
[文件信息]
病毒名: Virus.Win32.EvilPanda.a.ex$
大 小: 0xDA00 (55808), (disk) 0xDA00 (55808)
SHA1 : F0C3DA82E1620701AD2F0C8B531EEBEA0E8AF69D
壳信息: 未知
危害级别:高
病毒名: Flooder.Win32.FloodBots.a.ex$
大 小: 0xE800 (59392), (disk) 0xE800 (59392)
SHA1 : B71A7EF22A36DBE27E3830888DAFC3B2A7D5DA0D
壳信息: UPX 0.89.6 - 1.02 / 1.05 - 1.24
危害级别:高
三、病毒行为:
Virus.Win32.EvilPanda.a.ex$ :
1、病毒体执行后,将自身拷贝到系统目录:
%SystemRoot%\system32\FuckJacks.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Userinit "C:\WIN2K\system32\SVCH0ST.exe"
2、添加注册表启动项目确保自身在系统重启动后被加载:
键路径:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键名:FuckJacks
键值:"C:\WINDOWS\system32\FuckJacks.exe"
键路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键名:svohost
键值:"C:\WINDOWS\system32\FuckJacks.exe"
3、拷贝自身到所有驱动器根目录,命名为Setup.exe,并生成一个autorun.inf使得用户打开该盘运行病毒,并将这两个文件属性设置为隐藏、只读、系统。
C:\autorun.inf 1KB RHS
C:\setup.exe 230KB RHS
4、关闭众多杀毒软件和安全工具。
5、连接*****.3322.org下载某文件,并根据该文件记录的地址,去www.****.com下载某ddos程序,下载成功后执行该程序。
6、刷新bbs.qq.com,某QQ秀链接。
7、循环遍历磁盘目录,感染文件,对关键系统文件跳过,不感染Windows媒体播放器、MSN、IE 等程序。
Flooder.Win32.FloodBots.a.ex$ :
1、病毒体执行后,将自身拷贝到系统目录:
%SystemRoot%\SVCH0ST.EXE
%SystemRoot%\system32\SVCH0ST.EXE
2、该病毒后下载运行后,添加注册表启动项目确保自身在系统重启动后被加载:
键路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键名:Userinit
键值:"C:\WINDOWS\system32\SVCH0ST.exe"
3、连接ddos2.****.com,获取攻击地址列表和攻击配置,并根据配置文件,进行相应的攻击。
配置文件如下:
www.victim.net:3389
www.victim.net:80
www.victim.com:80
www.victim.net:80
1
1
120
50000
四、解决方案:
1、使用超级巡警可以完全清除此病毒和恢复被感染的文件。
2、推荐在清除时先使用超级巡警的进程管理工具结束病毒程序,否则系统响应很慢。
3、中止病毒进程和删除启动项目请看论坛相关图片
加Q 2 4 0 6 4 6 8 2
“熊猫烧香”病毒疯狂肆虐 专家教你如何进行防范目前,“尼姆亚(也称熊猫烧香)”病毒正在互联网上肆虐。该病毒采用“熊猫烧香”头像作为图标,诱使用户运行。该变种会感染用户计算机上的EXE可执行文件,被病毒感染的文件图标均变为“熊猫烧香”。
该病毒针对企业网络的攻势愈加剧烈,甚至出现了企业用户求助超过个人用户的状况。这意味着,单从感染计算机台数来看,该病毒感染的企业局域网内电脑数量已经比个人电脑多了数十倍。国外杀毒软件升级困难,使得这些企业用户面对“熊猫烧香”的疯狂攻击而束手无策。
防范该病毒并不复杂,只需简单几步就可以使您的计算机远离“熊猫烧香”病毒。
第一,安装杀毒软件及个人防火墙升级到最新版本,并打开实时监控程序。
由于现在海底光缆中断,很多国外杀毒软件难以升级,瑞星杀毒软件及个人防火墙免费为用户提供三个月服务,所有用户均可登陆:http://www.rising.com.cn/free/index.htm 免费下载并使用。
瑞星个人防火墙已经升级了内置规则,只需启用“家长保护”即可阻止病毒从互联网上下载其它的病毒或进行自我升级。
第二,给管理员帐号设置较为复杂的密码。
1、在“我的电脑”图标上单击鼠标右键,选择“管理”-〉“本地用户和组”-〉“用户”。
2、在右边的窗格中找到具有管理员权限的帐号,用鼠标右键点击该名称,选择“设置密码”,输入新的密码。
3、新的密码应尽量的复杂,采用字母加数字混合,并且长度在8位以上。
第三,关闭系统“自动运行”功能
1、点击“开始”-〉“运行”,输入“gpedit.msc”,确定,打开组策略编辑器。
2、点击“计算机配置”-〉“管理模板”-〉“系统”,在右边的窗格中找到“关闭自动播放”一项。
“熊猫烧香”病毒疯狂肆虐 专家教你如何彻底清除
近一段时间,一个名为“熊猫烧香”(Worm.Nimaya)的病毒在互联网上疯狂肆虐。
该病毒采用“熊猫烧香”头像作为图标,诱使用户运行。该变种会感染用户计算机上的EXE可执行文件,被病毒感染的文件图标均变为“熊猫烧香”。同时,受感染的计算机还会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。该病毒会在中毒电脑中所有的网页文件尾部添加病毒代码。一些网站编辑人员的电脑如果被该病毒感染,上传网页到网站后,就会导致用户浏览这些网站时也被病毒感染。目前多家著名网站已经遭到此类攻击,而相继被植入病毒。
一、使用瑞星杀毒软件清除
由于现在海底光缆中断,很多国外杀毒软件难以升级,瑞星杀毒软件免费为用户提供三个月服务,任何用户均可登陆:
http://www.rising.com.cn/free/index.htm 免费下载并使用。
免费版本的瑞星杀毒软件与正式版本功能没有区别,安装时不需要输入序列号即可使用。
安装后,请立即点击“升级”按钮,升级杀毒软件到最新版本,进行全盘杀毒。
二、使用专杀工具清除
针对该病毒,瑞星已经推出了专杀工具。没有安装杀毒软件的用户可登陆瑞星网站http://it.rising.com.cn/Channels/Service/
2006-11/1163505486d38734.shtml免费下载使用。
专杀工具采用瑞星独创的未知病毒查杀技术,可有效清除“熊猫烧香”病毒及其未知变种。
中了,不过有可能是威金!
以下是手动清除的方法:
熊猫烧香病毒删除方法
电脑里面出现了一个熊猫烧香图标,显示为可执行文件.删除后还是有
清除步骤
==========
1. 断开网络
2. 结束病毒进程
%System%\FuckJacks.exe
3. 删除病毒文件:
%System%\FuckJacks.exe
4. 右键点击分区盘符,点击右键菜单中的“打开”进入分区根目录,删除根目录下的文件:
X:\autorun.inf
X:\setup.exe
5. 删除病毒创建的启动项:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"FuckJacks"="%System%\FuckJacks.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"svohost"="%System%\FuckJacks.exe"
6. 修复或重新安装反病毒软件
7. 使用反病毒软件或专杀工具进行全盘扫描,清除恢复被感染的exe文件
中毒文件的恢复(仅个人观点,只在自己的虚拟机上测试正常)
首先在清除病毒文件的同时不要删除%SYSTEM%下面释放FuckJacks.exe的这个文件,(注册表里要清除干净)
打开运行输入gpedit.msc打开组策略-本地计算机策略-windows设置-安全设置-软件限制策略-其它规则
在其它规则上右键选择-新散列规则=打开新散列规则窗口
在文件散列上点击浏览找到-%SYSTEM%下面释放FuckJacks.exe文件.......安全级别选择-不允许的 确定后重启(一定重启)
重启后可以双击运行已经被熊猫感染的程序-运行程序后该FuckJacks.exe文件会在注册表里的Run键下建立启动项(不会有问题的)
双击运行被感染的程序已经恢复原来样子了,全部回复后用SRENG2把FuckJacks.exe在注册表里的启动项删除即可
进安全模式,搜索*.exe 在中毒那一段时间的奇怪的文件全删,下载多个版本的专杀,杀吧!
最简易的方法:格了重装系统,不过 要是之格c驱就安的话还不行,要把其他分区的感染.exe文件删除才行。
本人是小孩儿一个,也中过这种病毒,只不过是熊猫烧香的老爹“viking(威金) ”。good luck.........
在C盘/windows/system32/drives/可以把它删掉,它会修改注册表使你隐藏的文件夹不能显示,运行regedit,进入注册表,找到下面的地方
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explore\Advanced\Folder\Hidden\SHOWALL\ 只需再把“CheckedValue”的键值改为“1”即可
恭喜你,你看到的图标就是熊猫烧香
冷项养胃: 这一病毒通过感染文件传播,可造成文件 损坏.由于被该病毒感染的文件,图标会变为一只举着三炷香的熊猫,因此该病毒又被称作“ 熊猫烧香”. 病毒采用熊猫头像作为图标,诱使用户运行.病毒运行后,会自动查找Windows格式的EXE可执行文件,并进行感染.由于该病毒编写存在问题,用户的一些软件可能会被其损坏,无法运行.
工农区18936744618: 熊猫烧香的危害 - ?
冷项养胃: 这是一波电脑病毒蔓延的狂潮.在两个多月的时间里,数百万电脑用户被卷将进去,那只憨态可掬、颔首敬香的“熊猫”除而不尽.反病毒工程师们将它命名为“尼姆亚”.它还有一个更通俗的名字—“熊猫烧香”. 病毒会删除扩展名为gho的...
工农区18936744618: 熊猫烧香究竟是个什么样的病毒啊?? - ?
冷项养胃: 图案http://img2.pconline.com.cn/pconline/0701/13/942893_2.jpg 熊猫烧香”其实是一种蠕虫病毒的变种,而且是经过多次变种而来的.尼姆亚变种W(Worm.Nimaya.w),由于中毒电脑的可执行文件会出现“熊猫烧香”图案,所以也被称为“熊猫...
工农区18936744618: 谁知道熊猫烧香病毒的传播途径啊!告诉一下下撒! - ?
冷项养胃: “熊猫烧香”除了通过网站带毒感染用户之外,此病毒还会通过QQ最新漏洞传播自身,通过网络文件共享、默认共享、系统弱口令、U盘及移动硬盘等多种途径传播.而局域网中只要有一台机器感染,就可以瞬间传遍整个网络,甚至在极短时间...
工农区18936744618: 熊猫烧香是什么病毒?用什么可以杀? - ?
冷项养胃: 熊猫烧香其实是一种蠕虫病毒的变种,而且是经过多次变种而来的.尼姆亚变种W(Worm.Nimaya.w),由于中毒电脑的可执行文件会出现“熊猫烧香”图案,所以也被称为“熊猫烧香”病毒.用户电脑中毒后可能会出现蓝屏、频繁重启以及系统...
工农区18936744618: 谁能给我些关于“熊猫烧香”病毒的信息?
冷项养胃:其实是一种蠕虫病毒的变种,而且是经过多次变种而来的.尼姆亚变种W(Worm.Nimaya.w),由于中毒电脑的可执行文件会出现“熊猫烧香”图案,所以也被称为 “熊猫烧香”病毒.但原病毒只会对EXE图标进行替换,并不会对系统本身进行...
工农区18936744618: 熊猫烧香究竟有多厉害? - ?
冷项养胃: 继CIH之后危害中国最严重病毒之一熊猫烧香 《3C周刊》上期出版了在台湾地震后,微软Windows系统安全补丁更新缓慢,导致“熊猫烧香”病毒泛滥的报道之后,许多读者纷纷向记者反映,其实“熊猫烧香”病毒的危害远不止于此.本期我...
工农区18936744618: 关于熊猫烧香,我的一点怀疑. - ?
冷项养胃: 谁制造了“熊猫烧香”?他意欲何为?在“熊猫烧香”肆虐期间,关于作者身份的种种猜测流传于互联网上.在百度“熊猫烧香”贴吧中,数百名深受“熊猫”所害的网民发帖“通缉”病毒制造者,更有网民声称开出10万美元的悬赏花红. 昨...
工农区18936744618: 熊猫烧香问题.?
冷项养胃: 开机就是一个熊猫在膜拜烧香,电脑不受控制,通过下载档案传染,对计算机程序系统,破坏严重, ,金猪报喜就是熊猫烧香.
工农区18936744618: 有关熊猫烧香病毒的问题现在用WindousMediaPlayer ?
冷项养胃: 您好: 打上这个补丁就不会中了,在共享资料里. 相关介绍: 此病毒主要就是通过 ... 什么是熊猫烧香病毒? “熊猫烧香”其实是一种蠕虫病毒的变种,而且是经过多次变...
