熊猫烧香病毒是什么
熊猫烧香是一种经过多次变种的蠕虫病毒变种,2006年10月16日由25岁的中国湖北武汉新洲区人李俊编写,2007年1月初肆虐网络,它主要通过下载的档案传染。对计算机程序、系统破坏严重。基本信息
病毒名称:熊猫烧香,Worm.WhBoy.(金山称),Worm.Nimaya. (瑞星称)
病毒别名:尼姆亚,武汉男生,后又化身为“金猪报喜”,国外称“熊猫烧香”
危险级别:★★★★★
病毒类型:蠕虫病毒,能够终止大量的反病毒软件和防火墙软件进程。
影响系统:Win 9x/ME、Win 2000/NT、Win XP、Win 2003 、Win Vista、WIN 7
发现时间:2006年10月16日
来源地:中国武汉东湖高新技术开发区关山
病毒描述
其实是一种蠕虫病毒的变种,而且是经过多次变种而来的,由于中毒电脑的可执行文件会出现“熊猫烧香”图案,所以也被称为 “熊猫烧香”病毒。但原病毒只会对EXE图标进行替换,并不会对系统本身进行破坏。而大多数 是中的病毒变种,用户电脑中毒后可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。同时,该病毒的某些变种可以通过局域网进行传播,进而感染局域网内所有计算机系统,最终导致企业局域网瘫痪,无法正常使用,它能感染系统中exe,com,pif,src,html,asp等文件,它还能终止大量的反病毒软件进程并且会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件,使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。
中毒症状
除了通过网站带毒感染用户之外,此病毒还会在局域网中传播,在极短时间之内就 可以感染几千台计算机,严重时可以导致网络瘫痪。中毒电脑上会出现“熊猫烧香”图案,所以也被称为“熊猫烧香”病毒。中毒电脑会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。
病毒危害
病毒会删除扩展名为gho的文件,使用户无法使用ghost软件恢复操作系统。“熊猫烧香”感染系统的.exe .com. f.src .html.asp文件,添加病毒网址,导致用户一打开这些网页文件,IE就会自动连接到指定的病毒网址中下载病毒。在硬盘各个分区下生成文件autorun.inf和setup.exe,可以通过U盘和移动硬盘等方式进行传播,并且利用Windows系统的自动播放功能来运行,搜索硬盘中的.exe可执行文件并感染,感染后的文件图标变成“熊猫烧香”图案。“熊猫烧香”还可以通过共享文件夹、系统弱口令等多种方式进行传播。该病毒会在中毒电脑中所有的网页文件尾部添加病毒代码。一些网站编辑人员的电脑如果被该病毒感染,上传网页到网站后,就会导致用户浏览这些网站时也被病毒感染。 据悉,多家著名网站已经遭到此类攻击,而相继被植入病毒。由于这些网站的浏览量非常大,致使“熊猫烧香”病毒的感染范围非常广,中毒企业和政府机构已经超过千家,其中不乏金融、税务、能源等关系到国计民生的重要单位。注:江苏等地区成为“熊猫烧香”重灾区。
传播方法
“熊猫烧香”还可以通过共享文件夹、系统弱口令等多种方式进行传播。
金山分析:这是一个感染型的蠕虫病毒,它能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程
1 拷贝文件
病毒运行后,会把自己拷贝到
C:WINDOWSSystem32Driversspoclsv.exe
2 添加注册表自启动
病毒会添加自启动项
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
svcshare - C:WINDOWSSystem32Driversspoclsv.exe
3 病毒行为
a:每隔1秒
寻找桌面窗口,并关闭窗口标题中含有以下字符的程序
QQKav
QQAV
防火墙
进程
VirusScan
网镖
杀毒
毒霸
瑞星
江民
黄山IE
超级兔子
优化大师
木马克星
木马清道夫
QQ病毒
注册表编辑器
系统配置实用程序
卡巴斯基反病毒
Symantec AntiVirus
Duba
esteem proces
绿鹰PC
密码防盗
噬菌体
木马辅助查找器
System Safety Monitor
Wrapped gift Killer
Winsock Expert
游戏木马检测大师
msctls_statusbar32
pjf(ustc)
IceSword
并使用的键盘映射的方法关闭安全软件IceSword
添加注册表使自己自启动
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
svcshare - C:WINDOWSSystem32Driversspoclsv.exe
并中止系统中以下的进程:
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
kvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl132.exe
b:每隔18秒
点击病毒作者指定的网页,并用命令行检查系统中是否存在共享
共存在的话就运行net share命令关闭admin$共享
c:每隔10秒
下载病毒作者指定的文件,并用命令行检查系统中是否存在共享
共存在的话就运行net share命令关闭admin$共享
d:每隔6秒
删除安全软件在注册表中的键值
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
RavTask
KvMonXP
kav
KAVPersonal50
McAfeeUpdaterUI
Network Associates Error Reporting Service
ShStartEXE
YLive.exe
yassistse
并修改以下值不显示隐藏文件
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL
CheckedValue - 0x00
删除以下服务:
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec Core LC
NPFMntor
MskService
FireSvc
e:感染文件
病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部
并在扩展名为htm,html, asp,php,jsp,aspx的文件中添加一网址,
用户一但打开了该文件,IE就会不断的在后台点击写入的网址,达到
增加点击量的目的,但病毒不会感染以下文件夹名中的文件:
WINDOW
Winnt
System Volume Information
Recycled
Windows NT
WindowsUpdate
Windows Media Player
Outlook Express
Internet Explorer
NetMeeting
Common Files
ComPlus Applications
Messenger
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
MSN Gamin Zone
g:删除文件
病毒会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件
使用户的系统备份文件丢失.
瑞星最新病毒分析报告:“Nimaya(熊猫烧香)”
这是一个传染型的DownLoad 使用Delphi编写
传播对象和运行过程
本地磁盘感染
病毒对系统中所有除了盘符为A,B的磁盘类型为DRIVE_REMOTE,DRIVE_FIXED的磁盘进行文件遍历感染
注:不感染文件大小超过10485760字节以上的.
(病毒将不感染如下目录的文件):
Microsoft Frontpage
Movie Maker
MSN Gamin Zone
Common Files
Windows NT
Recycled
System Volume Information
Documents and Settings
……
(病毒将不感染文件名如下的文件):
setup.exe
病毒将使用两类感染方式应对不同后缀的文件名进行感染
1)二进制可执行文件(后缀名为:EXE,SCR,PIF,COM): 将感染目标文件和病毒溶合成一个文件(被感染文件贴在病毒文件尾部)完成感染.
2)脚本类(后缀名为:htm,html,asp,php,jsp,aspx): 在这些脚本文件尾加上如下链接(下边的页面存在安全漏洞):
在感染时会删除这些磁盘上的后缀名为.GHO
生成autorun.inf
病毒建立一个计时器以,6秒为周期在磁盘的根目录下生成setup.exe(病毒本身) autorun.inf 并利用AutoRun Open关联使病毒在用户点击被感染磁盘时能被自动运行。
局域网传播
病毒生成随机个局域网传播线程实现如下的传播方式:
当病毒发现能成功联接攻击目标的139或445端口后,将使用内置的一个用户列表及密码字典进行联接。(猜测被攻击端的密码)当成功的联接上以后将自己复制过去并利用计划任务启动激活病毒。
修改操作系统的启动关联
下载文件启动
与杀毒软件对抗
杀毒方法
各种版本的熊猫烧香专杀
瑞星 金山 江民
超级巡警 李俊
虽然用户及时更新杀毒软件病毒库,并下载各杀毒软件公司提供的专杀工具,即可对“熊猫烧香”病毒进行查杀,但是如果能做到防患于未然岂不更好。
解决办法
【1】 立即检查本机administrator组成员口令,一定要放弃简单口令甚至空口令,安全的口令是字母数字特殊字符的组合,自己记得住,别让病毒猜到就行。
修改方法
右键单击我的电脑,选择管理,浏览到本地用户和组,在右边的窗格中,选择具备管理员权限的用户名,单击右键,选择设置密码,输入新密码就行。
【2】 利用组策略,关闭所有驱动器的自动播放功能。
步骤1
单击开始,运行,输入gpedit.msc,打开组策略编辑器,浏览到计算机配置,管理模板,系统,在右边的窗格中选择关闭自动播放,该配置缺省是未配置,在下拉框中选择所有驱动器,再选取已启用,确定后关闭。最后,在开始,运行中输入gpupdate,确定后,该策略就生效了。
【3】 修改文件夹选项,以查看不明文件的真实属性,避免无意双击骗子程序中毒。
步骤2
打开资源管理器(按windows徽标键+E),点工具菜单下文件夹选项,再点查看,在高级设置中,选择查看所有文件,取消隐藏受保护的操作系统文件,取消隐藏文件扩展名。
【4】 时刻保持操作系统获得最新的安全更新,不要随意访问来源不明的网站,特别是微软的MS06-014漏洞,应立即打好该漏洞补丁。
同时,QQ、UC的漏洞也可以被该病毒利用,因此,用户应该去他们的官方网站打好最新补丁。此外,由于该病毒会利用IE浏览器的漏洞进行攻击,因此用户还应该给IE打好所有的补丁。如果必要的话,用户可以暂时换用Firefox、Opera等比较安全的浏览器。
【5】 启用Windows防火墙保护本地计算机。同时,局域网用户尽量避免创建可写的共享目录,已经创建共享目录的应立即停止共享。
此外,对于未感染的用户,病毒专家建议,不要登录不良网站,及时下载微软公布的最新补丁,来避免病毒利用漏洞袭击用户的电脑,同时上网时应采用“杀毒软件+防火墙”的立体防御体系。
绛旓細锠曡櫕绱叧浜庤爼铏梾姣锛氬埄鐢ㄧ綉缁溿佺郴缁熸紡娲炶繀閫熶紶鎾殑鐥呮瘨绋嬪簭锛屼竴鑸笉闇瑕佸瘎鐢熷湪鍏跺畠鍙墽琛岀▼搴忓唴锛屽叿鏈夎緝寮虹殑鑷垜澶嶅埗鍜屼紶鎾殑鑳藉姏銆傜梾姣掑悕涓父鏈墂orm锛宔mail绛夊叧閿瓧銆
绛旓細鐔婄尗鐑ч鏄爼铏梾姣锛岃兘澶熺粓姝㈠ぇ閲忕殑鍙嶇梾姣掕蒋浠跺拰闃茬伀澧欒蒋浠惰繘绋嬨瀹冩槸灏煎浜氬彉绉峎(Worm.Nimaya.w)锛岀敱浜庝腑姣掔數鑴戠殑鍙墽琛屾枃浠朵細鍑虹幇鈥滅唺鐚儳棣欌濆浘妗堬紝鎵浠ヤ篃琚О涓衡滅唺鐚儳棣欌濈梾姣掋備腑姣掑悗鍙兘浼氬嚭鐜拌摑灞忋侀绻侀噸鍚互鍙婄郴缁熺‖鐩樹腑鏁版嵁鏂囦欢琚牬鍧忕瓑鐜拌薄銆傚悓鏃讹紝璇ョ梾姣掔殑鏌愪簺鍙樼鍙互閫氳繃灞鍩熺綉杩涜浼犳挱锛岃繘鑰...
绛旓細鈥滅唺鐚儳棣欌濇槸鐢―elphi璇█宸ュ叿缂栧啓鐨勪竴绉嶈爼铏梾姣掔殑鍙樼銆傛槸涓涓獁in32鐥呮瘨銆傚畠閫氳繃鎰熸煋鐢ㄦ埛鐢佃剳涓婄殑.exe鏂囦欢鐢ㄦ埛鐢佃剳涓瘨锛屼腑姣掑悗鍙兘浼氬嚭鐜拌摑灞忋侀绻侀噸鍚互鍙婄郴缁熺‖鐩樹腑鏁版嵁鏂囦欢琚牬鍧忕瓑鐜拌薄銆傚悓鏃讹紝璇ョ梾姣掑彲浠ラ氳繃灞鍩熺綉杩涜浼犳挱锛岃繘鑰屾劅鏌撳眬鍩熺綉鍐呮墍鏈夎绠楁満绯荤粺锛屾渶缁堝鑷翠紒涓氬眬鍩熺綉鐦棯銆鑴氭湰绫荤梾姣,鍜...
绛旓細鐔婄尗鐑ч鏄竴绉嶇粡杩囧娆″彉绉嶇殑锠曡櫕鐥呮瘨鍙樼锛2006骞10鏈16鏃ョ敱25宀佺殑涓浗婀栧寳姝︽眽鏂版床鍖轰汉鏉庝繆缂栧啓锛2007骞1鏈堝垵鑲嗚檺缃戠粶锛屽畠涓昏閫忚繃涓嬭浇鐨勬。妗堜紶鏌撱 鐥呮瘨鍚嶇О:鐔婄尗鐑ч 锛學orm.WhBoy.锛堥噾灞辩О锛夛紝Worm.Nimaya. 锛堢憺鏄熺О锛夌梾姣掑埆鍚嶏細灏煎浜氾紝姝︽眽鐢风敓锛屽悗鍙堝寲韬负鈥滈噾鐚姤鍠溾濓紝鍥藉绉扳滅唺鐚儳棣欌濆嵄闄...
绛旓細鈥滄姹夌敺鐢熲濓紝淇楃О鈥滅唺鐚儳棣欌濓紝杩欐槸涓涓劅鏌撳瀷鐨勮爼铏梾姣锛屽畠鑳芥劅鏌撶郴缁熶腑exe锛宑om锛宲if锛宻rc锛宧tml锛宎sp绛夋枃浠讹紝瀹冭繕鑳戒腑姝㈠ぇ閲忕殑鍙嶇梾姣掕蒋浠惰繘绋嬪苟涓斾細鍒犻櫎鎵╁睍鍚嶄负gho鐨勬枃浠讹紝璇ユ枃浠舵槸涓绯荤粺澶囦唤宸ュ叿GHOST鐨勫浠芥枃浠讹紝浣跨敤鎴风殑绯荤粺澶囦唤鏂囦欢涓㈠け銆傝鎰熸煋鐨勭敤鎴风郴缁熶腑鎵鏈.exe鍙墽琛屾枃浠跺叏閮ㄨ鏀规垚鐔婄尗...
绛旓細閲戠尓鐥呮瘨
绛旓細鐥呮瘨绫诲瀷锛氭槸涓绉锠曡櫕鐥呮瘨鐨勫彉绉 涓瘨鐥囩姸锛氫腑姣掔數鑴戠殑鍙墽琛屾枃浠朵細鍑虹幇鈥滅唺鐚儳棣欌濆浘妗堬紝浣嗗師鐥呮瘨鍙細瀵笶XE鍥炬爣杩涜鏇挎崲锛屽苟涓嶄細瀵圭郴缁熸湰韬繘琛岀牬鍧忋傝屽ぇ澶氭暟鏄腑鐨勭梾姣掑彉绉嶏紝鐢ㄦ埛鐢佃剳涓瘨鍚庡彲鑳戒細鍑虹幇钃濆睆銆侀绻侀噸鍚互鍙婄郴缁熺‖鐩樹腑鏁版嵁鏂囦欢琚牬鍧忕瓑鐜拌薄銆傚悓鏃讹紝璇ョ梾姣掔殑鏌愪簺鍙樼鍙互閫氳繃灞鍩熺綉杩涜浼犳挱锛...
绛旓細鐥呮瘨鍚嶏細涓枃锛鐔婄尗鐑ч鐥呮瘨锛堝張绉版姹夌敺鐢燂級鑻辨枃锛歐orm.WhBoy 鐩墠鍙戠幇鐨勫彉绉嶆暟宸茶秴杩50涓 鍏稿瀷琛ㄧ幇锛氭劅鏌撶梾姣掑悗鍙戠幇杈冨鐨.EXE鏂囦欢鍥炬爣鍙樻垚鐐圭潃棣欑殑鐔婄尗锛岃繖涔熸槸璇ョ梾姣掑懡鍚嶇殑鐢辨潵銆傜幇鍦ㄥ彂鐜扮殑閮ㄥ垎鍙樼宸茬粡涓嶅啀浣跨敤杩欎釜骞夸负浜虹煡鐨勫浘鏍囦簡銆傞儴鍒嗗彉绉嶅彲浠ョ洿鎺ラ氳繃浜掕仈缃戞洿鏂扮増鏈紝閮ㄥ垎鍙樼鍙互鎰熸煋htm銆乭tml銆...
绛旓細鐔婄尗鐑ч鏄竴娆炬嫢鏈夎嚜鍔ㄤ紶鎾佽嚜鍔ㄦ劅鏌撶‖鐩樿兘鍔涘拰寮哄ぇ鐨勭牬鍧忚兘鍔涚殑鐥呮瘨銆傗滅唺鐚儳棣欌2006骞11鏈堝氨寮濮嬪嚭鐜板湪浜掕仈缃戜笂銆傝绠楁満鍙嶇梾姣掍笓瀹剁О姝ょ梾姣掓槸璁$畻鏈锠曡櫕鐥呮瘨鐨勪竴绉嶅彉绉嶏紝鐢变簬涓瘨鐢佃剳鐨勫彲鎵ц鏂囦欢浼氬彉鎴愪竴鍙彲鐖辩殑鐔婄尗锛屽弻鎵嬪悎鍗佹嬁鐫涓夋牴棣欙紝鎵浠ヤ篃琚О涓衡滅唺鐚儳棣欌濈梾姣掋傜憺鏄熷弽鐥呮瘨涓撳浠嬬粛锛氣溾...
绛旓細鐢佃剳鐥呮瘨锛锠曡櫕鐥呮瘨銆傜唺鐚儳棣欐槸涓绉嶈爼铏梾姣掔殑鍙樼锛岀粡杩囧娆″彉绉嶈屾潵锛岀敱浜庝腑姣掔數鑴戠殑鍙墽琛屾枃浠朵細鍑虹幇鈥滅唺鐚儳棣欌濆浘妗堬紝鎵浠ヤ篃琚О涓衡滅唺鐚儳棣欌濈梾姣掋備絾鍘熺梾姣掑彧浼氬exe鏂囦欢鐨勫浘鏍囪繘琛屾浛鎹紝骞朵笉浼氬绯荤粺鏈韩杩涜鐮村潖銆傝繖鏄敱鏉庝繆鍒朵綔骞惰倖铏愮綉缁滅殑涓娆剧數鑴戠梾姣掞紝鐔婄尗鐑ч璺熺伆楦藉瓙涓嶅悓锛屾槸涓娆炬嫢鏈夎嚜鍔...
