最近,一名为”熊猫烧香”(Worm.WhBoy.h)的蠕虫病毒正在利用互联网进行疯狂作案,被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。”熊猫烧香”蠕虫不但可以对用户系统进行破坏,导致大量应用软件无法使用,而且还可删除扩展名为gho的所有文件,造成用户的系统备份文件丢失,从而无法进行系统恢复;同时该病毒还能终止大量反病毒软件进程,大大降低用户系统的安全性,而且内网传播速度极快!!下面是一些这个病毒的网友解决方案:

一、专杀工具
超级巡警是一款用来自动解决如今泛滥的利用ROOTKIT的隐藏进程,隐藏文件,隐藏端口的各种HACKDEF、 NTRootKit、灰鸽子、 PCSHARE、FU RootKit、AFX RootKit之类的木马,解决基于各种启动方式:SVCHOST宿主加载,进程感染, SPI链挂接的各种后门,对抗各种加壳变形以及版权伪装的后门,对抗越来越猖獗的流氓软件。它弥补传统杀毒软件的不足,提供非常有效的文件监控和注册表监控,使得你对系统的变化了如指掌。提供了多种专业级的工具,使得你可以自己手动分析,100%的查杀未知木马,亲自体验斩杀木马的快感!
主要功能:启发预警,启动管理,IE插件管理,SPI链自动检测与修复,服务管理,隐藏服务检测,过滤微软默认服务,服务增加删除,SSDT(服务描述表)恢复,检测隐藏端口,断开连接,定位远程IP,WHOIS 查询,关闭端口,进程管理,DLL模块强制卸载,全面扫描,内存扫描,目录扫描,信任列表,实时监控,智能升级
下载地址:
1.超级巡警http://www.crsky.com/soft/8874.html
2.超级巡警官方网站:http://dswlab.com/
二、手动清除
1. 断开网络
2. 结束病毒进程:%System%\drivers\spoclsv.exe
3. 删除病毒文件:%System%\drivers\spoclsv.exe
4. 右键点击分区盘符,点击右键菜单中的”打开”进入分区根目录,删除根目录下的文件:
X:\setup.exe X:\autorun.inf
5. 删除病毒创建的启动项:[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] “svcshare”=”%System%\drivers\spoclsv.exe”
6. 修改注册表设置,恢复”显示所有文件和文件夹”选项功能:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
“CheckedValue”=dword:00000001
7. 修复或重新安装反病毒软件。
8. 使用反病毒软件或专杀工具进行全盘扫描,清除恢复被感染的exe文件。

如何对感染了病毒的EXE文件进行修复
网上的最直接的杀毒方法就是把该文件在系统中删除,然后在注册表等位置中删除,最后就是把感染了的EXE文件给删除。这种方法的代价实在太大了,一个区区用Borland Delphi 6.0 – 7.0语言编写的病毒能有这样的威力吗?答案是否定的,但是给我们造成带来麻烦是肯定的(感染的 EXE文件我暂时还不知道有什么软件可以自动修复)。但是看到网上就有一个手动修复感染EXE文件的方法,就是用UE打开,然后。。。这种方法可能是可以的,但是未必谁都可以做得到,而且比较麻烦(现在做什么事都在讲效益吗^_^)遇到上百个感染了病毒的文件的话,就光修复就要搞很久。

其实有最直接的办法,就是直接双击这些感染了病毒的EXE文件,然后刷新,这样吸附在这些感染了病毒的EXE文件上的病毒就恶意代码就消失了。但是还有一个最最重要的问题,就是在在双击了一个感染了病毒的EXE文件后,系统又会自动生成一个恶意病毒的进程(Spoclsv.exe),那刚刚修复的系统盘中的方法预示着要重新做一次了。难道就是没有办法修复吗?那当然不是了,我在这里的建议就是感染了此类病毒的人,最好的办法就是马上把系统重装一次,然后装上一个叫PowerShadow的软件,进入其单一影子模式。然后再打开其他盘(当然不要双击进去啦),双击感染了病毒的EXE文件,然后刷新。这个EXE文件中的病毒就消失了,预示着这个EXE文件就此修复了。但是这个病毒又会在系统中生成一个Spoclsv.exe的进程,从而再不断感染系统中的文件。这个时候,你会发现打开任务栏管理器把这个进程进行关闭的时候,任务栏管理器一打开就马上就关闭了,打开什么进程杀手之类的都不行,这个时候就要利用到Dos了(我觉得Dos是最厉害的武器)。在命令行中输入taskkill,就可以清楚地看到Spoclsv这个进程的存在,我们就输入 tskill Spoclsv那这个进程就给关闭了,如此的反复直到把感染了病毒的EXE文件修复。在这里我们可以把这些命令做成一个批处理文件,那又方便很多了。

打开一个记事本在里面输入tskill spoclsv,然后保存为名字任意的(。bat)文件就可以了,每运行一个感染的EXE文件之后,就双击一次这个批处理文件。

最后把这个感染的EXE文件全部双击之后,到除了系统盘之外的每个盘中的根目录下,把那个setup.exe文件给删除和还有一大概叫 Desktop.ini的文件给删除就可以了。还有这个Desktop.ini文件在每个文件夹中都有一个,用搜索功能把其搜索出来给删除,那个大功告成了。最后不要忘记了把系统重新启动一次,把写入了系统盘的所有病毒给全部自动去除。

到此,所有的修复感染EXE文件的病毒的方法就全部结束了。

三、熊猫病毒相关知识

近段时间,”熊猫烧香”(Worm.WhBoy.h) 蠕虫正处于急速变种期,仅11月份至今,变种数量已达10几个,变种速度之快,影响范围之广,与06年横行于局域网的”维金”不相上下。

12月27日,我国知名计算机反病毒厂商江民科技发布紧急病毒警报,一伪装成”熊猫烧香”图案的病毒正在疯狂作案,已有数十家企业局域网遭受重创。来自我国不同地区的企业向江民反病毒中心举报,他们公司正在遭受不明病毒攻击,电脑中所有可执行的.exe文件都变成了一种怪异的图案,该图案显示为”熊猫烧香”,中毒症状表现为系统蓝屏、频繁重启、硬盘数据被破坏等等,严重的整个公司局域网内所有电脑全部中毒,公司业务几乎陷入停顿。广东、上海等地区也出现了类似病毒疫情,江民大客户技术服务部电话响个不停。迹象表明,”熊猫烧香”病毒有集中爆发可能。

江民反病毒工程师分析,该病毒为”威金”蠕虫病毒新变种,自从去年被截获以来,已经感染了超过30万台电脑,几乎每天都有新变种出现。该病毒可以通过局域网传播,病毒发作严重时可导致局域网瘫痪。而值得关注的是,感染该病毒的多数是没有安装网络版杀毒软件的小型企业用户。

小企业局域网成重灾区

苏州经济园区的某企业高女士说,他们公司是一家金属制品的中小型公司,这两天公司的网络服务器突然出现频繁重启现象,经检查后发现,电脑中出现了五个不明文件,所有可执行文案都被改成一个奇怪的熊猫烧香图案,由于服务器故障,导致整个局域网全部瘫痪。北京某工程公司也出现了类似现象,更糟糕的是他们公司遭受病毒攻击的是财务部,整个财务部8台电脑频频出现蓝屏、死机现象,电脑中同样出现了”熊猫烧香”的图案,公司对外财务结算完全停顿,总经理为此大为光火。

资料显示,我国目前有小企业1000万家以上,而近年来盛行的SOHO型家庭式创业型小公司更是不计其数,这些企业由于处于创业初期,往往在网络安全方面没有设防,多数企业仅靠安装一套单机版杀毒软件来防范病毒,由于单机版杀毒软件无法对威金此类通过局域网传播的病毒进行统一防杀,最终导致局域网内病毒屡杀不绝,病毒在通过网络在电脑间来回流窜,许多小企业局域网甚至长期”养”着一种以上的网络病毒。

江民反病毒工程师介绍,在他们接到的求助企业中,多数企业由于感染病毒导致业务不能正常开展,少则一两小时,多则一两天无法正常工作,产生的直接和间接损失远远超过购买一套网络版杀毒软件的价格。

单机版及病毒专杀无法杀尽局域网病毒

据调查,超过70%的中小企业并不愿意选购网络版级的杀毒软件,而更倾向于单机版杀毒软件,而其中价格无疑是阻碍小企业应用网络版的最大障碍。网络版杀毒软件由于长期应用在高端企业市场,在普通用户心目中属于一种”奢侈”的产品,以拥有25台电脑的小企业局域网计算,国内主流的相同配置的网络版杀毒软件价格在10000到17000元之间,面对高高在上的价格,那些为了创业省吃俭用的SOHO一族需要下多大的决心才能购买!而更多的小企业主则在遭到病毒攻击时,被动地购买一套单机版杀毒软件应急。

尽管单机版杀毒软件甚至免费的专杀工具也能杀掉病毒,但在互联互通的局域里,这些杀毒软件和专杀工具却往往顾此失彼,通常是这台机器病毒杀掉了,却又感染给了另一台机器,来回反复,让网管员疲于应付。如果仅仅是几台电脑还可能用断开网线的方式逐台杀毒,而如果是数十台上百台电脑,对于网管员的来讲无疑是一场噩梦。

江民反病毒专家介绍,由于单机版并不具备网络版杀毒软件的统一杀毒、统一监控、统一设置、统一升级、远程控制等功能,因此在对付局域网病毒上存在先天缺陷,对付通过局域网传播的网络病毒,只能利用网络版杀毒软件进行全网统一查杀。

档案编号:CISRT2006081
病毒名称:Worm.Win32.Delf.bf(Kaspersky)
病毒别名:Worm.Nimaya.d(瑞星)
      Win32.Trojan.QQRobber.nw.22835(毒霸)
病毒大小:22,886 字节
加壳方式:UPack
样本MD5:9749216a37d57cf4b2e528c027252062
样本SHA1:5d3222d8ab6fc11f899eff32c2c8d3cd50cbd755
发现时间:2006.11
更新时间:2006.11
关联病毒:
传播方式:通过恶意网页传播,其它木马下载,可通过局域网、移动存储设备等传播

技术分析
==========

又是”熊猫烧香”FuckJacks.exe的变种,和之前的变种一样使用白底熊猫烧香图标,病毒运行后复制自身到系统目录下:
%System%\drivers\spoclsv.exe

创建启动项:

[Copy to clipboard]CODE:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
“svcshare”=”%System%\drivers\spoclsv.exe”

修改注册表信息干扰”显示所有文件和文件夹”设置:

[Copy to clipboard]CODE:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
“CheckedValue”=dword:00000000

在各分区根目录生成副本:
X:\setup.exe
X:\autorun.inf

autorun.inf内容:

[Copy to clipboard]CODE:
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\Auto\command=setup.exe

尝试关闭下列窗口:
QQKav
QQAV
VirusScan
Symantec AntiVirus
Duba
Windows
esteem procs
System Safety Monitor
Wrapped gift Killer
Winsock Expert
msctls_statusbar32
pjf(ustc)
IceSword

结束一些对头的进程:
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
KvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl132.exe

禁用一系列服务:
Schedule
sharedaccess
RsCCenter
RsRavMon
RsCCenter
RsRavMon
KVWSC
KVSrvXP
kavsvc
AVP
McAfeeFramework
McShield
McTaskManager
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec Core LC
NPFMntor
MskService
FireSvc

删除若干安全软件启动项信息:
RavTask
KvMonXP
kav
KAVPersonal50
McAfeeUpdaterUI
Network Associates Error Reporting Service
ShStatEXE
YLive.exe
yassistse

使用net share命令删除管理共享:

[Copy to clipboard]CODE:
net share X$ /del /y
net share admin$ /del /y
net share IPC$ /del /y

遍历目录,感染除以下系统目录外其它目录中的exe、com、scr、pif文件:
X:\WINDOWS
X:\Winnt
X:\System Volume Information
X:\Recycled
%ProgramFiles%\Windows NT
%ProgramFiles%\WindowsUpdate
%ProgramFiles%\Windows Media Player
%ProgramFiles%\Outlook Express
%ProgramFiles%\Internet Explorer
%ProgramFiles%\NetMeeting
%ProgramFiles%\Common Files
%ProgramFiles%\ComPlus Applications
%ProgramFiles%\Messenger
%ProgramFiles%\InstallShield Installation Information
%ProgramFiles%\MSN
%ProgramFiles%\Microsoft Frontpage
%ProgramFiles%\Movie Maker
%ProgramFiles%\MSN Gamin Zone

将自身捆绑在被感染文件前端,并在尾部添加标记信息:

.WhBoy{原文件名}.exe.{原文件大小}.

与之前变种不同的是,这个病毒体虽然是22886字节,但是捆绑在文件前段的只有22838字节,被感染文件运行后会出错,而不会像之前变种那样释放出{原文件名}.exe的原始正常文件。

另外还发现病毒会覆盖少量exe,删除.gho文件。

病毒还尝试使用弱密码访问局域网内其它计算机:
password
harley
golf
pussy
mustang
shadow
fish
qwerty
baseball
letmein
ccc
admin
abc
pass
passwd
database
abcd
abc123
sybase
123qwe
server
computer
super
123asd
ihavenopass
godblessyou
enable
alpha
1234qwer
123abc
aaa
patrick
pat
administrator
root
sex
god
foobar
secret
test
test123
temp
temp123
win
asdf
pwd
qwer
yxcv
zxcv
home
xxx
owner
login
Login
love
mypc
mypc123
admin123
mypass
mypass123
Administrator
Guest
admin
Root

http://blog.dngz.net/144.htm

我想发表对此文的评论 ...(没有弹出错误信息则说明评论成功,需要等待审核.)