下沙论坛

 找回密码
 注册论坛(EC通行证)

用新浪微博连接

一步搞定

QQ登录

QQ登录

下沙大学生网QQ群8(千人群)
群号:6490324 ,验证:下沙大学生网。
用手机发布本地信息严禁群发,各种宣传贴请发表在下沙信息版块有问必答,欢迎提问 提升会员等级,助你宣传
新会员必读 大学生的论坛下沙新生必读下沙币获得方法及使用
查看: 5362|回复: 15
打印 上一主题 下一主题

最震撼最猛的”熊猫烧香“病毒

[复制链接]

该用户从未签到

跳转到指定楼层
1
发表于 2007-1-15 16:55:00 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
一个名为“熊猫烧香”(Worm.WhBoy.h)的蠕虫病毒,目前正在互联网上疯狂传播,该病毒为“威金”蠕虫病毒新变种。目前该病毒正处于急速变种期,仅11月份至今,变种数量已达十几个,变种速度之快,影响范围之广,与2006年横行于局域网的“维金”不相上下。中毒症状表现为系统蓝屏、频繁重启、硬盘数据被破坏等等。<br/><br/>&nbsp;&nbsp;&nbsp; “熊猫烧香”蠕虫不但可以对用户系统进行破坏,导致大量应用软件无法使用,而且还可删除扩展名为gho的所有文件,造成用户的系统备份文件丢失,从而无法进行系统恢复;同时该病毒还能终止大量反病毒软件进程,大大降低用户系统的安全性。<br/> <br/><h4>熊猫烧香病毒变种一:病毒进程为“spoclsv.exe”</h4><p>  这是“熊猫烧香”早期变种之一,特别之处是“<strong>杀死杀毒软件</strong>”,最恶劣之处在于<strong>感染全盘.exe文件</strong>和<strong>删除.gho文件</strong>(Ghost的镜像文件)。</p><p>  最有“灵感”的一招莫过于<strong>在所有htm/html/asp/php/jsp/aspx文件末尾添加一段代码来调用病毒</strong>。<font color="#ff0000">目前所有专杀工具及杀毒软件均不会修复此病毒行为。</font>需要手动清除病毒添加的代码,且一定要清除。否则访问了有此代码的网页,又会感染。</p><p>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; “武汉男生”,俗称“熊猫烧香”,这是一个感染型的蠕虫病毒,它能感染系统中exe,com,pif,src,html,asp等文件,它还能<strong>中止大量的反病毒软件进程</strong>并且会<strong>删除扩展名为gho的文件,</strong>(.gho为GHOST的备份文件),使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。 </p><p> </p><p><font color="#ff0000"><strong>专杀工具大全请看</strong></font>  |) _: w* l' |' Q$ @; [
                <a href="http://bbs.xiashahot.com/viewthread.php?tid=213074">http://bbs.xiashahot.com/viewthread.php?tid=213074</a></p><p><font color="#ff0000">用不同专杀反复杀,可以清除</font><br/></p>1 |6 }6 F( g% O# e  b+ j
[此贴子已经被煎饼于2007-1-29 15:55:46编辑过]

1 I$ A+ A7 t1 q$ `3 {5 S
分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
收藏收藏 分享分享 顶 踩 转发到微博

该用户从未签到

2
发表于 2007-1-15 17:17:00 | 只看该作者
&nbsp;还没发现。。。
回复 支持 反对

使用道具 举报

该用户从未签到

3
发表于 2007-1-15 18:09:00 | 只看该作者
<p>抱歉楼主,据我所知,熊猫烧香是尼姆亚病毒worm.nimaya.x(x代表各变种),和武汉男生没很大联系吧。而且感染熊猫最明显的症状为硬盘双击无法打开,隐藏文件无法显示,及任务管理器无法打开。熊猫感染系统的.exe文件,并在每个磁盘根目录下生成setup.exe和autorun.inf,同时在各个文件夹下生成系统隐藏保护的desktop_.ini文件(不同于desktop.ini系统配置文件),病毒借助双击磁盘运行,若使用‘右击—打开’或资源管理器打开则不会直接导致其运行。病毒在局域网内传播迅速,可以造成系统资源大量消耗,同时关闭一些敌对程序如大部分的杀毒软件、优化工具及icesword之类的可察看进程的工具。学校机房的江民及寝室里使用最多的瑞星、卡巴等常见的杀毒软件都会被关闭(我的f-secure没被关闭但崩溃过一次)。</p><p>17、18周在学校7号经管楼做课程设计的同学很多都应该经历过熊猫,其猖獗于整个经管内部网,据说很多老师的pc和学校的局域网都感染了,经管楼机房老师在18周周三通过全盘格式化重装系统来解决。</p><p>至于局域网中如何清除熊猫我不清楚,在单机上还是可以清除的(当然如果感染过于严重就不好说了)。超级巡警提供的pandakiller及瑞星提供的尼姆亚专杀都具备清除熊猫的能力,最好在安全模式下进行杀毒,同时避免双击磁盘和可疑的.exe文件,因为熊猫感染.exe文件后经常生成一个.exe文件如winrar.exe.exe,双后缀的坚决不要点击。清除病毒后可以通过下面的代码来修复注册表恢复隐藏文件显示功能。</p><p>Windows Registry Editor Version 5.00</p><p>[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]<br/>"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"<br/>"Text"="@shell32.dll,-30501"<br/>"Type"="radio"<br/>"CheckedValue"=dword:00000002<br/>"ValueName"="Hidden"<br/>"DefaultValue"=dword:00000002<br/>"HKeyRoot"=dword:80000001<br/>"HelpID"="shell.hlp#51104"</p><p>[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]<br/>"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"<br/>"Text"="@shell32.dll,-30500"<br/>"Type"="radio"<br/>"CheckedValue"=dword:00000001<br/>"ValueName"="Hidden"<br/>"DefaultValue"=dword:00000002<br/>"HKeyRoot"=dword:80000001<br/>"HelpID"="shell.hlp#51105"</p><p>[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]<br/>"Type"="checkbox"<br/>"Text"="@shell32.dll,-30508"<br/>"WarningIfNotDefault"="@shell32.dll,-28964"<br/>"HKeyRoot"=dword:80000001<br/>"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"<br/>"ValueName"="ShowSuperHidden"<br/>"CheckedValue"=dword:00000000<br/>"UncheckedValue"=dword:00000001<br/>"DefaultValue"=dword:00000000<br/>"HelpID"="shell.hlp#51103"</p><p>[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy]</p><p>[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]<br/>@=""</p><p>&nbsp;</p><p>通过del X:\desktop_.ini /f/s/q/a 的批处理文件来清理desktop_.ini 。</p><p>这样基本不会有影响。如果受伤太深那就只好放弃这个系统了。<br/></p>
回复 支持 反对

使用道具 举报

该用户从未签到

4
发表于 2007-1-15 18:16:00 | 只看该作者
好可爱的熊猫呀~
回复 支持 反对

使用道具 举报

  • TA的每日心情
    开心
    2023-3-31 09:11
  • 签到天数: 9 天

    [LV.3]偶尔看看II

    5
    发表于 2007-1-15 18:19:00 | 只看该作者
    <p>还米中到过,印象8深`</p><p></p>
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    6
    发表于 2007-1-15 18:52:00 | 只看该作者
    <p>早就听过了,不过自己注意下,别下载不明来历的东西就可以了</p><p></p>
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    7
    发表于 2007-1-15 19:04:00 | 只看该作者
    <p>我同学就中彩了</p><p>不过把文件删了就好了</p><p>应该不是最强的那个呵呵</p>
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    8
    发表于 2007-1-16 17:54:00 | 只看该作者
    <p>好恐怖的样子!!</p><p>我要小心了~~</p><p>&nbsp;</p>
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    9
    发表于 2007-1-16 18:07:00 | 只看该作者
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    10
    发表于 2007-1-16 18:57:00 | 只看该作者
    恶心的病毒啊~~
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    11
    发表于 2007-1-16 19:58:00 | 只看该作者
    <div class="tit_2">病毒排行榜</div><div class="box_2" align="center"><!--Element not supported - Type: 8 Name: #comment--><table width="508" border="0"><tbody></tbody></table><table cellpadding="3" width="95%" border="0" style="WORD-BREAK: break-all;"><tbody><tr align="center"><td><font size="3"><b></b></font></td></tr><tr><!--Element not supported - Type: 8 Name: #comment--></tr><tr><td><div align="center"><span style="COLOR: #666666;"></span></div><div class="f14" style="ADDING-RIGHT: 15px; PADDING-LEFT: 15px; PADDING-BOTTOM: 15px; PADDING-TOP: 15px;">病毒名称:Worm.WhBoy.h <p>病毒中文名:熊猫烧香(武汉男生) </p><p>病毒类型:蠕虫 </p><p>危险级别:★★★★★ </p><p>影响平台:Win 9x/ME,Win 2000/NT,Win XP,Win 2003 </p><p>专杀工具:<a href="http://down.www.kingsoft.com/db/download/othertools/DuBaTool_WhBoy.BAT">金山专杀工具</a>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<a href="http://www.antiy.com/download/KillPP.scr">安天专杀工具</a>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<a href="http://ec.jiangmin.com/test/PandaKiller.rar">江民专杀工具</a>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<a href="http://dl00.x.baidu.com/x/20060915shadu/ahn_dellboy.rar">安博士专杀工具</a>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<a href="http://dl00.x.baidu.com/x/20060915shadu/FixFujacks.exe">赛门铁克专杀工具</a>* K7 K% w/ I/ t$ J& V' q# D
                                                            </p><p>病毒描述: </p><p>“武汉男生”,俗称“熊猫烧香”,这是一个感染型的蠕虫病毒,它能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件,使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。 </p><p><img src="http://img.kingsoft.com/publish/duba/image/news/2006/12/26/001.gif" border="0" alt=""/>
    3 q* i( d1 j( Y6 K2 {5 ]+ U6 R) k                                                        </p><p>1:拷贝文件 </p><p>病毒运行后,会把自己拷贝到C:\WINDOWS\System32\Drivers\spoclsv.exe </p><p>2:添加注册表自启动 </p><p>病毒会添加自启动项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -&gt; C:\WINDOWS\System32\Drivers\spoclsv.exe </p><p>3:病毒行为 </p><p>a:每隔1秒寻找桌面窗口,并关闭窗口标题中含有以下字符的程序: </p><p>QQKav、QQAV、防火墙、进程、VirusScan、网镖、杀毒、毒霸、瑞星、江民、黄山IE、超级兔子、优化大师、木马克星、木马清道夫、QQ病毒、注册表编辑器、系统配置实用程序、卡巴斯基反病毒、Symantec AntiVirus、Duba、esteem proces、绿鹰PC、密码防盗、噬菌体、木马辅助查找器、System Safety Monitor、Wrapped gift Killer、Winsock Expert、游戏木马检测大师、msctls_statusbar32、pjf(ustc)、IceSword </p><p>并使用的键盘映射的方法关闭安全软件IceSword </p><p>添加注册表使自己自启动 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -&gt; C:\WINDOWS\System32\Drivers\spoclsv.exe </p><p>并中止系统中以下的进程: </p><p>Mcshield.exe、VsTskMgr.exe、naPrdMgr.exe、UpdaterUI.exe、TBMon.exe、scan32.exe、Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、RavmonD.exe、RavStub.exe、KVXP.kxp、kvMonXP.kxp、KVCenter.kxp、KVSrvXP.exe、KRegEx.exe、UIHost.exe、TrojDie.kxp、FrogAgent.exe、Logo1_.exe、Logo_1.exe、Rundl132.exe </p><p>b:每隔18秒点击病毒作者指定的网页,并用命令行检查系统中是否存在共享,共存在的话就运行net share命令关闭admin$共享 </p><p>c:每隔10秒下载病毒作者指定的文件,并用命令行检查系统中是否存在共享,共存在的话就运行net share命令关闭admin$共享 </p><p>d:每隔6秒删除安全软件在注册表中的键值 </p><p>并修改以下值不显示隐藏文件 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue -&gt; 0x00 </p><p>删除以下服务: </p><p>navapsvc、wscsvc、KPfwSvc、SNDSrvc、ccProxy、ccEvtMgr、ccSetMgr、SPBBCSvc、Symantec Core LC、NPFMntor MskService、FireSvc </p><p>e:感染文件 </p><p>病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部,并在扩展名为htm,html, asp,php,jsp,aspx的文件中添加一网址,用户一但打开了该文件,IE就会不断的在后台点击写入的网址,达到增加点击量的目的,但病毒不会感染以下文件夹名中的文件: </p><p>WINDOW、Winnt、System Volume Information、Recycled、Windows NT、WindowsUpdate、Windows Media Player、Outlook Express、Internet Explorer、NetMeeting、Common Files、ComPlus Applications、Messenger、InstallShield Installation Information、MSN、Microsoft Frontpage、Movie Maker、MSN Gamin Zone </p><p>g:删除文件 </p><p>病毒会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件使用户的系统备份文件丢失。 </p></div></td></tr></tbody></table></div>
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    12
    发表于 2007-1-16 20:43:00 | 只看该作者
    <p>我中过了,结果老重启,而且硬盘里好多安装软件都被破坏了...</p><p>只好重装..而且还要重新去网上一个一个下那些安装软件..想起来就...噩梦啊!!</p>
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    奋斗
    昨天 10:32
  • 签到天数: 2358 天

    [LV.Master]伴坛终老

    13
    发表于 2007-1-16 20:55:00 | 只看该作者
    好一个厉害的熊猫啊
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2015-6-3 00:29
  • 签到天数: 2 天

    [LV.1]初来乍到

    14
    发表于 2007-1-16 23:26:00 | 只看该作者
    <p><span style="FONT-SIZE: 13.5pt; BACKGROUND: #2bd591; COLOR: #cc3370; FONT-FAMILY: 楷体_GB2312; mso-hansi-font-family: 'Times New Roman'; mso-bidi-font-family: 'Times New Roman'; mso-font-kerning: 1.0pt; mso-ansi-language: EN-US; mso-fareast-language: ZH-CN; mso-bidi-language: AR-SA;"><strong>【深深】<span lang="EN-US">:刚才电话里听到有人中了。.哈哈..</span></strong></span></p><p><span style="FONT-SIZE: 13.5pt; BACKGROUND: #2bd591; COLOR: #cc3370; FONT-FAMILY: 楷体_GB2312; mso-hansi-font-family: &quot;Times New Roman&quot;; mso-bidi-font-family: &quot;Times New Roman&quot;; mso-font-kerning: 1.0pt; mso-ansi-language: EN-US; mso-fareast-language: ZH-CN; mso-bidi-language: AR-SA;"><strong>怎么都那么幸运..数据啊。 </strong></span></p>
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    15
    发表于 2007-1-17 11:08:00 | 只看该作者
    还好很幸运还没碰见它啊
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    16
     楼主| 发表于 2007-1-19 02:47:00 | 只看该作者
    DDDD
    回复 支持 反对

    使用道具 举报

    本版积分规则

    关闭

    下沙大学生网推荐上一条 /1 下一条

    快速回复 返回顶部 返回列表