熊猫烧香是怎样破坏你的电脑的?

熊猫烧香是怎样破坏你的电脑的?现在还有熊猫烧香吗?
2024年11月14日 12:22
有4个网友回答
网友(1):

“熊猫烧香”,又称“武汉男生”,这是一个感染型

的蠕虫病毒,它能感染系统中exe,com,pif,src,html

,asp等文件,它还能中止大量的反病毒软件进程并且会

删除扩展名为gho的文件,该文件是一系统备份工具GHOST

的备份文件,使用户的系统备份文件丢失。

病毒行为:
这是一个感染型的蠕虫病毒,它能感染系统中

exe,com,pif,src,html,asp等文件,
它还能中止大量的反病毒软件进程

1:拷贝文件
病毒运行后,会把自己拷贝到
C:\WINDOWS\System32\Drivers\spoclsv.exe

2:添加注册表自启动
病毒会添加自启动项
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre

ntVersion\Run
svcshare -> C:\WINDOWS\System32

\Drivers\spoclsv.exe

3:病毒行为
a:每隔1秒
寻找桌面窗口,并关闭窗口标题中含有以下字符的程序
QQKav
QQAV
防火墙
进程
VirusScan
网镖
杀毒
毒霸
瑞星
江民
黄山IE
超级兔子
优化大师
木马克星
木马清道夫
QQ病毒
注册表编辑器
系统配置实用程序
卡巴斯基反病毒
Symantec AntiVirus
Duba
esteem proces
绿鹰PC
密码防盗
噬菌体
木马辅助查找器
System Safety Monitor
Wrapped gift Killer
Winsock Expert
游戏木马检测大师
msctls_statusbar32
pjf(ustc)
IceSword
并使用的键盘映射的方法关闭安全软件IceSword

添加注册表使自己自启动
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre

ntVersion\Run
svcshare -> C:\WINDOWS\System32

\Drivers\spoclsv.exe

并中止系统中以下的进程:
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
kvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl132.exe

b:每隔18秒
点击病毒作者指定的网页,并用命令行检查系统中是否存

在共享
共存在的话就运行net share命令关闭admin$共享

c:每隔10秒
下载病毒作者指定的文件,并用命令行检查系统中是否存

在共享
共存在的话就运行net share命令关闭admin$共享

d:每隔6秒
删除安全软件在注册表中的键值

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr

entVersion\Run
RavTask
KvMonXP
kav
KAVPersonal50
McAfeeUpdaterUI
Network Associates Error Reporting Service
ShStartEXE
YLive.exe
yassistse

并修改以下值不显示隐藏文件
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr

entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
CheckedValue -> 0x00

删除以下服务:
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec Core LC
NPFMntor
MskService
FireSvc

e:感染文件
病毒会感染扩展名为exe,pif,com,src的文件,把自己附加

到文件的头部
并在扩展名为htm,html, asp,php,jsp,aspx的文件中添加

一网址,
用户一但打开了该文件,IE就会不断的在后台点击写入的

网址,达到
增加点击量的目的,但病毒不会感染以下文件夹名中的文

件:
WINDOW
Winnt
System Volume Information
Recycled
Windows NT
WindowsUpdate
Windows Media Player
Outlook Express
Internet Explorer
NetMeeting
Common Files
ComPlus Applications
Messenger
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
MSN Gamin Zone

g:删除文件
病毒会删除扩展名为gho的文件,该文件是一系统备份工具

GHOST的备份文件
使用户的系统备份文件丢失.
10.怎样预防熊猫烧香
最近那个熊猫烧香病毒让所有用电脑的人很生气,熊

猫这个国宝似乎不再可爱,而成了人人喊打的过街老鼠。

熊猫变种实在太多,中招后的损失很严重,杀毒软件一直

在救火中。以下几招很简单易行,帮你预防熊猫烧香病毒

,至少能明显减少你中招的几率。

1.立即检查本机administrator组成员口令,一定放

弃简单口令甚至空口令,安全的口令是字母数字特殊字符

的组合,自己记得住,别让病毒猜到就行。修改方法,右

键单击我的电脑,选择管理,浏览到本地用户和组,在右

边的窗格中,选择具备管理员权限的用户名,单击右键,

选择设置密码,输入新密码就行。

2.利用组策略,关闭所有驱动器的自动播放功能。

步骤:单击开始,运行,输入gpedit.msc,打开组策

略编辑器,浏览到计算机配置,管理模板,系统,在右边

的窗格中选择关闭自动播放,该配置缺省是未配置,在下

拉框中选择所有驱动器,再选取已启用,确定后关闭。最

后,在开始,运行中输入gpupdate,确定后,该策略就生

效了。

3.修改文件夹选项,以查看不明文件的真实属性,

避免无意双击骗子程序中毒。

步骤:打开资源管理器(按windows徽标键+E),点

工具菜单下文件夹选项,再点查看,在高级设置中,选择

查看所有文件,取消隐藏受保护的操作系统文件,取消隐

藏文件扩展名。

4.时刻保持操作系统获得最新的安全更新,建议用

毒霸的漏洞扫描功能,汗,很可惜,现在光缆还没修好,

网不通,不好修复。

5.启用windows防火墙保护本地计算机。
2)Logo1_.exe
Logo1_ - Logo1_.exe - 进程信息
进程文件:Logo1_ 或者 Logo1_.exe
进程名称: Worm.Win32.Viking.j

描述:
Logo1_.exe是Worm.Win32.Viking.j木马相关程序,病毒

中文名叫维金。建议立即删除。
相关文件是rundl132.exe,会感染exe文件,杀掉后即使

重装系统点击感染文件也会重生,经常藏在c盘windows目

录下。
被感染的exe文件特征:被更改图标,病毒文件本身也会

改为被感染文件图标。

属于: Worm.Win32.Viking.j

系统进程: 否
后台程序: 否
使用网络: 否
硬件相关: 否
常见错误: 未知N/A
内存使用: 未知N/A

安全等级 (0-5): 2
间谍软件: 否
广告软件: 否
病毒: 是
木马: 是

主要症状:
1、占用大量网速,使机器使用变得极慢。
2、会捆绑所有的exe文件,只要一运用应用程序,在

winnt下的logo1.exe图标就会相应变成应用程序图标。
3、有时还会时而不时地弹出一些程序框,有时候应用程

序一起动就出错,有时候起动了就被强行退出。
4、网吧中只感梁win2k pro版,server版及xp系统都不感

染。
5、能绕过所有的还原软件。
详细技术信息:
病毒运行后,在%windir%生成 logo1_.exe 同时会在

windws根目录生成一个名为virdll.dll的文件。
%windir%virdll.dll
该蠕虫会在系统注册表中生成如下键值:
[hkey_local_machinesoftwaresoftdownloadwww]
auto = 1

盗取密码
病毒试图登陆并盗取被感染计算机中网络游戏传奇2

的密码,将游戏密码发送到该木马病毒的植入者手中。

阻止以下杀毒软件的运行
病毒试图终止包含下列进程的运行,这些多为杀毒软

件的进程。 包括卡八斯基,金山公司的毒霸。瑞星等。

98%的杀毒软件运行。国产软件在中毒后都被病毒杀死,

是病毒杀掉-杀毒软件。如金山,瑞星等。哪些软件可以

认出病毒。但是认出后不久就阵亡了。通过写入文本信息

改变%system%driversetchosts 文件。这就意味着,当受

感染的计算机浏览许多站点时(包括众多反病毒站点),

浏览器就会重定向到66.197.186.149。

病毒感染运行windows操作系统的计算机,并且通过

开放的网络资源传播。一旦安装,蠕虫将会感染受感染计

算机中的.exe文件。该蠕虫是一个大小为82k的windows

pe可执行文件。通过本地网络传播该蠕虫会将自己复制到

下面网络资源:
admin$
ipc$

症状
蠕虫会感染所有.exe的文件。但是,它不会感染路径中包

含下列字符串的文件:
program files
common files
complus applicati
documents and settings
netmeeting
outlook express
recycled
system
system volume information
system32
windows
windows media player
windows nt
windowsupdate
winnt

蠕虫会从内存中删除下面列出的进程:
eghost.exe
iparmor.exe
kavpfw.exe
kwatchui.exe
mailmon.exe
ravmon.exe
z
网吧遭此病毒破坏造成大面积的卡机,瘫痪。危害程

度可以和世界排名前十的爱情后门变种相比。该病毒可以

通过网络传播,传播周期为3分钟。如果是新做的系统处

于中了毒的网络环境内,只要那个机器一上网,3分钟内

必定中招。中招后你安装 rising skynet symantec

mcafee gate rfw.exe ravmon.exe kill nav 等杀
毒软件 都无法补救你的系统,病毒文件 logo1_.exe 为

主体病毒,他自动生成病毒发作所需要的的 sws32.dll
sws.dlll kill.exe 等文件。这些文件一但衍生。他将迅

速感染系统内explore 等系统核心进程 及所以.exe
的可执行文件,外观典型表现症状为 传奇 ,泡泡堂,等

游戏图标变色。 此时系统资源可用率极低,你每重新启

动一次,病毒就会发作一次。
该病毒对于防范意识较弱,还原软件未能及时装到位

的网吧十分致命,其网络传播速度十分快捷有效。旧版的

杀毒软件无法检测,新版的无法彻底根杀。一但网吧内某

台机器中了此病毒,那么该网吧所有未中毒的机器都处于

危险状态。由于病毒发作贮留于内存。且通过

explore.exe 进行传播。因此即使是装了还原精灵,还原

卡的机器也同样会被感染。你重新启动后系统可以还原。

但是你一但开机还是会被感染。病毒发作会生成另外病毒

pwsteal.lemir.gen 和 trojan.psw.lineage 等等。都是

些非常厉害的后门程序。和外挂病毒相似,但是其威力是

外挂病毒的50倍以上。在win98平台下,改病毒威害比较

小。在win2000 /xp/2003平台对于网吧系统是致命的。运

行系统极度卡机。你重新启动后你会发现你所有游戏

的.exe 程序全部都感染了最新杀毒软件杀完后。除了系

统可以勉强运行。其他的你也别想运行了。

病毒清理办法
如果在病毒没有发作情况下杀毒是可以完全搞定的。

如果发作了也不要杀毒了。直接克盘恢复吧。
一、找到注册表中

[hkey_local_machinesoftwaresoftdownloadwww]
auto = 1
删除downloadwww主键
二、找到
[hkey_local_machinesoftwaremicrosoftwindows

ntcurrentversioninifilemappingsystem.iniboot]
winlogo 项
把winlogo 项 后面的c:winntsws32.dll 删掉
接下来把hkey_local_machine]

software/microsoft/windows/currentversi 键中

/runonce/runonceex
两个中其中有个是也是
c:winntsws32.dll
把类似以上的全部删掉 注意不要删除默认的键值(删了

的话后果自负)
如果没有以上键值,则直接跳过此步骤

三 结束进程
按“ctrl+alt+del”键弹出任务管理器,找到logo1_.exe

等进程,结束进程,可以借助绿鹰的进程管理软件处
理更方便。找到expl0rer.exe进程(注意第5个字母是数

字0不是字母o),找到它后选中它并点击“结束进程”
以结束掉(如果expl0rer.exe进程再次运行起来需要重做

这一步)。
四 装杀毒软件
装完后不要重新启动(切记)直接升级病毒库,升级完后

,把c:winnt 目录下所有带毒文件删除。然后运行
杀毒软件开始杀毒。
杀完后。还有几个杀毒软件无法删掉的东西要把名字记下

来。因为不同的系统有不同的名字。所以这里说不清
楚了。自己记下来。,重新启动后再次杀毒。记的把可疑

的进程的结束。否则杀毒软件无法干净杀毒。还有最重
要的一点记的把杀毒软件无法清除的病毒设置为删除文件

。一般要重复杀毒3-5次才能杀干净。
五。看看杀毒后的系统。
缺少的了很多系统文件。系统处于危险状态。如果你

有ghost 备份。这个时候恢复一下。系统可以干净无损。

如果没有请运行 sfc 命令检查文件系统。具体操作为 运

行-输入cmd 命令进入dos 提示符。-输入sfc
/scannow -- 提示放入系统光盘。--放进去吧。然后慢慢

等。看看成果。杀毒效果显著。毒杀干净了。但是杀完毒

后很多游戏都玩不了。忙了一圈都不知道自己在忙什么。

郁闷吧。然后重新做系统吧。谁叫中毒的是网吧的系统杀

毒及重装系统后的防范,有些网友在处理病毒的时候可能

有这样的感觉好不容易清除了,或者没办法重新装了系统

,但是没多长时间有中了同样的病毒,所以说有免疫程序

实最好的了。

网友(2):

1.熊猫烧香病毒:图片就是个熊猫在烧香感觉蛮可爱的!当时并没有很在意!第二天再次打开电脑的时候!几乎电脑所有的EXE文件都成了熊猫烧香图片!这时才有所感觉!

部分EXE文件已经无法正常使用!新加一个AUTORUN.INF的文件!

当初不明白这个文件的作用!在网上查了一些资料表明。才知道。只要用户打开盘符。就会运行这个病毒!用杀毒软件杀毒!没有效果!看来现在的杀毒软件越来越不行了~..

2.想用组合键打开任务管理器!无法打开~失败....想看看注册表有没什么情况。依然失败!奇怪的是:电脑运行正常。也都不卡!难道不是病毒.是系统出了问题?从网上下了第三方工具查看进程!果然看到两个可疑进程!FuckJacks.exe貌似是最可疑的不敢贸然终止!赶快问问白度大叔!

3.大叔告诉我。是熊猫病毒的进程!一切正如我意!懒的装系统了!

4.先结束FuckJacks.exe进程!开始-运行-CMD 输入:ntsd -c q -p 病毒的PID~终于KILL掉了!一切恢复正常了!兴奋ING...赶快打开注册表

突然注册表又关了.看看进程FuckJacks.exe。又出现了~~那应该它还有个守护进程!找找找。无发现....奇怪了。难道他的守护进程插入到系统

进程了?不会吧.....头疼一阵...。

5.算了,去向朋友找个专杀工具。有一个朋友说他写过熊猫的专杀工具!晕~~原来牛人在我身边。我都没发现~赶快想他请教~~才大概的了解了熊猫烧香~ 叫他给了我一个无壳的熊猫自己分析下~(自己动手.丰衣足食嘛~~)

6.用UI32打开熊猫.看到了条用的部分资源!文件执行后。释放到\system32\FuckJacks.exe下。

7.继续象下可以看到熊猫的一些传播过程相当的经典..有扫描同一网段的电脑~自我复制.等等相当强大公能~同时感染所有盘符的EXE文件~却不对一些重要的系统文件和常用文件进行感染!可见并不想早成太大破坏~修改注册表.禁止打开注册表.甚至禁用了部分服务~~

8下面就是重要的时刻了!从后面的代码可以看出!病毒的作者是个非常出色的程序员!有非常好的编程习惯!对病毒的异常运行~进行了很好的定义~都很大段都是作者对病毒运行条件的判断定义~值得注意的一点:在感染EXE文件的同时!感染ASP。HTML文件。会在最后加一段类似挂马的基本代码.~~做到通过第三方尽快传播的办法~(如果被感染者是网站管理人员。后果可想而知了)
病毒程序的运行
在给大家说下病毒的部分运行实现!简单的修改注册表:

有这样一句:WSHELL.REGWIRTE MYREGKEY, MYREGVALUE, MY REGTYPE
第一个是参数的键名:完整路径..

第二个是:键值。。

第三个是:键的类型,

Set wshell=wscript.createobject("wscript.shell")

wshell.regWrite"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\windows NT\CurrentVersion\Winlogin\shell","eseplorer.exe","REG_SZ"

这就是脚本病毒掼用技术~

通用的解决方法

1、就是要关闭自己的默认共享。

首先运行regedit,找到如下组建[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]把

RestrictAnonymous = DWORD的键值改为:00000001。

restrictanonymous REG_DWORD

0x0 缺省

0x1 匿名用户无法列举本机用户列表

0x2 匿名用户无法连接本机IPC

说明:不建议使用2,否则可能会造成你的一些服务无法启动,如SQL Server

2、禁止默认共享

1)察看本地共享资源

运行-cmd-输入net share

2)删除共享(每次输入一个)

net share ipc$ /delete

net share admin$ /delete

net share c$ /delete

net share d$ /delete(如果有e,f,……可以继续删除)

3)修改注册表删除共享

运行-regedit

找到如下主键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]

把AutoShareServer(DWORD)的键值改为0000000。

如果上面所说的主键不存在,就新建(右击-新建-双字节值)一个主健再改键值。??

我们看看这个病毒功能: 瞬间复制整个硬盘、有监视QQ记录的功能、网吧的电脑依然有效!显然有了精灵的转存功能。值得注意的功能:删除GHOST的功能,控制电脑进行集体的DDOS,更出现了KILL掉KV、瑞星和金山的功能!

病毒的特性:网页传播!电脑的弱口令。默认共享传播!在内网的传播速度非常的快!对企业的居于网有很大的杀伤力!病毒瞬间复制整个硬盘。占用内存极小~

熊猫这款病毒虽然不是很新鲜。但是病毒的作者真的很让人佩服~完全的网络高手!超强的优秀程序员!

网友(3):

用香在你的电脑里防了一挂鞭炮,1000头的,把你的电脑炸坏了,哈哈

网友(4):

www.360safe.com www.360safe.com www.360safe.com www.360safe.com www.360safe.com www.360safe.com www.360safe.com www.360safe.com www.360safe.com www.360safe.com www.360safe.com www.360safe.com www.360safe.com www.360safe.com www.360safe.com www.360safe.com www.360safe.com www.360safe.com www.360safe.com www.360safe.com www.360safe.com www.360safe.com www.360safe.com www.360safe.com www.360safe.com