返回列表 发帖

(25号更新)“熊猫烧香”嫌犯交出杀毒程序

病毒预警:下周提防“威金”病毒变种持续更新



  2007年01月14日14  :43


 
国家计算机病毒应急处理中心14日预报说,15日至21日一周内将要定期发作的计算机病毒都没有大的影响。

  但中心的反病毒专家仍然提醒,要提防“威金”病毒的新变种,一伪装成“熊猫烧香”图案的蠕虫病毒继续在互联网上进行传播,已有很多个人用户和企业局域网遭受该蠕虫的感染。预计该病毒的变种可能持续更新,以后还可能有新的发展,请广大用户及时升级并开启病毒实时监控防范病毒入侵。

[ 本帖最后由 箹錠 于 2007-2-25 16:50 编辑 ]
^.^

选择的路..跪着也要走下去..

杀病毒:实例讲解如何干掉“熊猫烧香”

你中过熊猫烧香么?!看到过熊猫拿着三支香的样子么!?中招后如何处理!?看完本文,你将学会如何从计算机中杀掉“熊猫烧香”。(第三页附专杀工具)

    惊险查杀过程

    1.熊猫烧香病毒:图片就是个熊猫在烧香感觉蛮可爱的!当时并没有很在意!第二天再次打开电脑的时候!几乎电脑所有的EXE文件都成了熊猫烧香图片!这时才有所感觉!

    部分EXE文件已经无法正常使用!新加一个AUTORUN.INF的文件!

    当初不明白这个文件的作用!在网上查了一些资料表明。才知道。只要用户打开盘符。就会运行这个病毒!用杀毒软件杀毒!没有效果!看来现在的杀毒软件越来越不行了~..

    2.想用组合键打开任务管理器!无法打开~失败....想看看注册表有没什么情况。依然失败!奇怪的是:电脑运行正常。也都不卡!难道不是病毒.是系统出了问题?从网上下了第三方工具查看进程!果然看到两个可疑进程!FuckJacks.exe貌似是最可疑的不敢贸然终止!赶快问问白度大叔!

    3.大叔告诉我。是熊猫病毒的进程!一切正如我意!懒的装系统了!

    4.先结束FuckJacks.exe进程!开始-运行-CMD 输入:ntsd -c q -p 病毒的PID~终于KILL掉了!一切恢复正常了!兴奋ING...赶快打开注册表

    突然注册表又关了.看看进程FuckJacks.exe。又出现了~~那应该它还有个守护进程!找找找。无发现....奇怪了。难道他的守护进程插入到系统

    进程了?不会吧.....头疼一阵...。

    5.算了,去向朋友找个专杀工具。有一个朋友说他写过熊猫的专杀工具!晕~~原来牛人在我身边。我都没发现~赶快想他请教~~才大概的了解了熊猫烧香~ 叫他给了我一个无壳的熊猫自己分析下~(自己动手.丰衣足食嘛~~)

    6.用UI32打开熊猫.看到了条用的部分资源!文件执行后。释放到\system32\FuckJacks.exe下。

    7.继续象下可以看到熊猫的一些传播过程相当的经典..有扫描同一网段的电脑~自我复制.等等相当强大公能~同时感染所有盘符的EXE文件~却不对一些重要的系统文件和常用文件进行感染!可见并不想早成太大破坏~修改注册表.禁止打开注册表.甚至禁用了部分服务~~

    8下面就是重要的时刻了!从后面的代码可以看出!病毒的作者是个非常出色的程序员!有非常好的编程习惯!对病毒的异常运行~进行了很好的定义~都很大段都是作者对病毒运行条件的判断定义~值得注意的一点:在感染EXE文件的同时!感染ASP。HTML文件。会在最后加一段类似挂马的基本代码.~~做到通过第三方尽快传播的办法~(如果被感染者是网站管理人员。后果可想而知了)

    病毒程序的运行

    在给大家说下病毒的部分运行实现!简单的修改注册表:

    有这样一句:WSHELL.REGWIRTE  MYREGKEY, MYREGVALUE, MY REGTYPE  

    第一个是参数的键名:完整路径..

    第二个是:键值。。

    第三个是:键的类型,

Set wshell=wscript.createobject("wscript.shell")

wshell.regWrite"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\windows NT\CurrentVersion\Winlogin\shell","eseplorer.exe","REG_SZ"

    这就是脚本病毒掼用技术~
^.^

选择的路..跪着也要走下去..

TOP

接 ::

通用的解决方法

    1、就是要关闭自己的默认共享。

    首先运行regedit,找到如下组建[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]把

RestrictAnonymous = DWORD的键值改为:00000001。

restrictanonymous REG_DWORD

0x0 缺省

0x1 匿名用户无法列举本机用户列表

0x2 匿名用户无法连接本机IPC

说明:不建议使用2,否则可能会造成你的一些服务无法启动,如SQL Server

    2、禁止默认共享

    1)察看本地共享资源

    运行-cmd-输入net share

    2)删除共享(每次输入一个)

net share ipc$ /delete

net share admin$ /delete

net share c$ /delete

net share d$ /delete(如果有e,f,……可以继续删除)

    3)修改注册表删除共享

    运行-regedit

    找到如下主键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]

    把AutoShareServer(DWORD)的键值改为0000000。

    如果上面所说的主键不存在,就新建(右击-新建-双字节值)一个主健再改键值。  

    我门再看看这个病毒功能是多么的强大: 瞬间复制整个硬盘、有监视QQ记录的功能、网吧的电脑依然有效!显然有了精灵的转存功能。值得注意的功能:删除GHOST的功能,控制电脑进行集体的DDOS,更出现了KILL掉KV、瑞星和金山的功能!

    再看看病毒的特型:网页传播!电脑的弱口令。默认共享传播!在内网的传播速度非常的快!对企业的居于网有很大的杀伤力!病毒瞬间复制整个硬盘。占用内存极小~

    熊猫这款病毒虽然不是很新鲜。但是病毒的作者真的很让人佩服~完全的网络高手!超强的优秀程序员!

    忘说了:网络巡警的熊猫专杀工具。就可以杀最新的变种!
^.^

选择的路..跪着也要走下去..

TOP

接::

附专杀熊猫烧香工具:下载:熊猫烧香(武汉男生)安博士专杀工具

      熊猫烧香(武汉男生) 金山专杀工具

      熊猫烧香(武汉男生)安天专杀工具

      熊猫烧香(武汉男生)江民专杀工具
^.^

选择的路..跪着也要走下去..

TOP

日来,“熊猫烧香”已给个人和企业造成了严重的困扰,今天,这个病毒又出现了新的变种,用户需要及时升级杀毒软件,如果不幸中招,可以从金山毒霸或者瑞星反病毒官方网上下载专杀工具解决问题。不过今天除了“熊猫”这个老朋友,病毒家族中又出现了“宽带大盗”这个新的成员,2006年曾经出现过类似的病毒,也有不少用户因此遭受了经济上的损失,还请用户们今天上网时万分小心,在登录ADSL界面时如果出现密码错误等提示,请立即联系网通或者电信客服。下面将播报今天的病毒预警。

    北京信息安全测评中心、金山毒霸联合发布2007年01月17日热门病毒:

    今日提醒用户特别注意以下病毒:“宽带大盗变种f”(Troj.ADSL.f)和“Braban变种e”(Worm.Braban.e) 。

    “宽带大盗变种f”(Troj.ADSL.f)木马病毒,骗取用户输入账户、密码后将其相应信息发送给木马种植者。

    “Braban变种e”(Worm.Braban.e)蠕虫病毒,通过MSN传播,还将下载其他病毒。

    另外,据瑞星反病毒监测网报道,“尼姆亚变种BC(Worm.Nimaya.bc)”病毒(又名“熊猫烧香”)。该病毒通过局域网共享、优盘、感染可执行文件、软件漏洞等多种方式传播,可造成用户文件被损坏,无法运行。

    金山毒霸“熊猫烧香”病毒专杀工具下载地址:http://www.xiongmaoshaoxiang.com

    瑞星“熊猫烧香”病毒专杀工具下载地址:http://it.rising.com.cn/Channels ... 3505486d38734.shtml[page]

金山今日热门病毒:

    一、“宽带大盗变种f”(Troj.ADSL.f)  威胁级别:★★

    据金山毒霸反病毒工程师介绍,这是一个盗取北京宽带网账户的木马。该木马运行时弹出北京宽带网秘密修改图片,提示用户绑定电话号码和密码才能上网的信息,骗取用户输入账户和密码,并将其重要信息发送给木马种植者。

    二、“Braban变种e”(Worm.Braban.e)   威胁级别:★★

    据金山毒霸反病毒工程师介绍,这是一个通过MSN传播的蠕虫病毒。该病毒在受感染系统中生成以下病毒文件:%PROGRAM FILES%\MSN Messenger\msnmsgr.exe,修改原来的msnmsgr.exe为msnm.exe;该后台链接特定网站并下载其他病毒;同时,该病毒还将查找MSN聊天窗口,发送诱惑性语言将其自身发送出去。
^.^

选择的路..跪着也要走下去..

TOP

“熊猫烧香”烧到首府

元月14日,家住团结路的左小姐告诉记者,她的电脑中毒了,桌面上的图标被换成一只熊猫在烧香的图片。

  记者从业内人士处了解到,本周“Worm.Nimaya.w”病毒要特别注意防范。该病毒通过感染文件传播,可造成用户文件损坏,无法运行。被感染文件图标会变为一只举着三炷香的熊猫,因此该病毒又被业内称为“熊猫烧香”。

  瑞星史工程师告诉记者,“熊猫烧香”是一个蠕虫病毒。该病毒采用“熊猫烧香”头像作为图标,诱使用户运行。该变种会感染用户计算机,导致感染后的文件图标变成一只烧香的熊猫。同时,受感染的计算机还会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。该病毒可通过局域网进行传播,进而感染局域网内所有计算机系统,最终导致整个局域网瘫痪,无法正常使用。

  史工程师建议:安装专业的杀毒软件,升级到最新版本,并打开实时监控程序;安装个人防火墙软件,防止互联网上其它的病毒多重中毒:对于没有安装杀毒软件的用户可以登录杀毒软件官方网站进行免费在线杀毒。
^.^

选择的路..跪着也要走下去..

TOP

SOPHOS称:“熊猫烧香”病毒并非全国性的

来自Sophos病毒、间谍软件和垃圾邮件研究中心的全球网络——SophosLabs(tm)的专家们劝告Windows的用户们因关于声称已经在忠国大范围内感染了数百万用户的“五星级计算机”病毒的报道而产生恐慌。这款病毒已经可以被识别出来,因为它会把受感染!的程序的图标变成一个熊猫烧香的图片。 包括《上海日报》在内的一些忠国媒体报道都转述了上海信息技术服务中心成员的“顶级”威胁报告,因为它已经被公布于一些政付的机构和企业中了。至少有一家北京的安全公司被报道估计有上百万人的PC可能受到了该蠕虫的感染。

然而,Sophos却只收到少量的关于该恶意软件在外流窜的报告。 为人所知的Fujacks-I和Fujacks-J(在一些媒体报道中也被叫做whboy蠕虫)的病毒已经被Sophos的行为特征技术Mal/Packer前瞻性的监测到。 尽管《上海日报》的报道称到目前为止所有的感染都被发现在Windows的中文版上,然而Fujacks并不局限于此。这款病毒亦会在Windows的英文版上横行和传播。事实上,Fujacks因其寄生性质而得以在已受感染的PC中迅速传播,它通过现有的EXE文件作为宿主进行传播。这意味着单一一个PC上最终就会积攒几百个病毒。 另外,Fujacks也会在一些例如USB、音乐播放器和相机之类的移动设备上共享和感染传播。它会在移动设备上创建一个隐藏的OUTORUN文件,从而希望在受感染的设备被连接到其它PC的时候可以自动传播其病毒。

“不论它LAN的爬网能力有多强,Fujacks都不会悄无声息的传播,所以它似乎不会大规模流行。此款病毒会把EXE文件的图标变成一个熊猫烧香的图片。” Sophos的高级技术顾问Graham Cluley解释道,“另外,被此病毒感染的文件将不能正常工作,而被它感染的电脑在病毒被清除前似乎是不能使用的。这就使得感染行为更加显而易见。我们已经收到一两篇关于亚洲地区被感染PC的报告,但是并没有证据显示会有任何形式的‘毁灭破坏’爆发,至少商业用户不必恐慌,就像之前建议的。” Sophos反病毒产品的用户已经被保护免受Fujacks的危害。Sophos仍旧建议用户它们在电脑上运行的程序要谨慎。不要用管理员账号来进行日常的工作,将包含企业应用程序的网络共享写保护,并且运行最新的安全防护软件。

^.^

选择的路..跪着也要走下去..

TOP

熊猫烧香病毒攻击千家网站 作者留名武汉男孩

核心提示:在两个多月的时间里,“熊猫烧香”病毒迅速化身数百种,不断入侵个人电脑,感染门户网站和近千家大型企业。病毒作者留名“武汉男孩”,他对病毒的更新使反毒人士不断加班通宵熬夜。目前,业内人士对“武汉男孩”的身份存在3种猜测。

“熊猫烧香”考问网络安全

京华时报1月26日报道 这是一波电脑病毒蔓延的狂潮。在两个多月的时间里,数百万电脑用户被卷将进去,那只憨态可掬、颔首敬香的“熊猫”除而不尽,成为人们噩梦般的记忆。

反病毒工程师们将它命名为“尼姆亚”。它还有一个更通俗的名字———“熊猫烧香”。它迅速化身数百种,不断入侵个人电脑,感染门户网站,击溃企业数据系统……它的蔓延考问着网络的公共安全,同时引发了一场虚拟世界里“道”与“魔”的较量。

反病毒工程师和民间反病毒人士纷纷投身其中。

1月19日,一个最新的“熊猫烧香”变种病毒出现。病毒作者宣称,这将是“熊猫烧香”最后一次更新。

这场历时两个多月的较量结束了吗?
^.^

选择的路..跪着也要走下去..

TOP

“熊猫”到处乱“烧香” 专家:春节很有可能偷袭

2007年01月29日8时19分



近期,一个叫“熊猫烧香”的电脑病毒疯狂蔓延,南宁的一些个人电脑用户和部分单位的计算机已经遭受重创,致使计算机数据丢失,系统崩溃。1月26日,广西计算机病毒应急处理中心专家提醒广大计算机用户,“熊猫烧香”病毒变种频繁,要继续高度提防。

    电脑用户频中招

    “那个‘熊猫烧香’快把我害死了。起初我在电脑上看到一个熊猫在烧香的图标,感觉还蛮可爱的,当时并没有太在意。第二天再次打开电脑的时候,几乎所有的EXE文件都成了熊猫举着3根香的图片!随后,电脑系统不断地重启!”南宁市民陈先生说,他一连下载了好几个专杀软件也没能彻底杀净,头天晚上刚刚用专杀软件杀一次,第二天早晨又都冒出来了。最后他只能重新安装系统,删除机器中所有的程序文件。

    记者近日浏览南宁的各大BBS,看到很多中招的网民都在BBS上发出求助帖子,询问如何干掉“熊猫烧香”。

    记者了解到,几日前,广西区直某单位的局域网也遭到了“熊猫烧香”的重创。当天一上班,该单位网络中心的电话就响作一团,数十名职工都在要求清理电脑中的“熊猫烧香”。几名技术人员东奔西跑,楼上楼下地忙了一整天。

    广西计算机病毒应急处理中心的信息安全工程师周天闻告诉记者,这段时间以来,他们中心经常接到电脑用户的咨询求助电话,既有个人用户,也有单位用户,该中心的技术专家还亲自上门为用户查杀了好几起“熊猫烧香”。

    传播途径广泛

    广西信息网络安全协会的信息安全专家介绍说,“熊猫烧香”是一个感染型的蠕虫病毒,其实是“尼姆亚”病毒的新变种,最早出现在2006年的11月。被感染的用户系统中所有exe可执行文件全部被改成熊猫举着三根香的模样。“熊猫烧香”能感染系统中exe、com、pif、src、html、asp等文件,它还能终止大量的反病毒软件进程并且会删除扩展名为gho的文件,使用户的系统备份文件丢失,从而无法进行系统恢复;同时,它还大大降低用户系统的安全性。中毒电脑会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。

    据悉,“熊猫烧香”和以往的病毒不同,它采用了一种新的传播手段。传统的蠕虫病毒是通过一台中毒电脑传至局域网内其他电脑,而“熊猫烧香”除整合了所有可利用的传播漏洞之外,还可以通过网站传播。该病毒会在中毒电脑中所有的网页文件尾部添加病毒代码,因此,一旦一些网站编辑人员的电脑被该病毒感染,网站编辑在上传网页到网站后,就会导致所有浏览该网页的计算机用户也被感染上该病毒。

    春节有可能爆发

    据介绍,近段时间“熊猫烧香”病毒正处于一个急速变种期,仅去年12月至今,变种数量已超过30种,各杀毒软件厂商曾多次提醒用户,并及时推出各种专杀工具,但仍有大量企业以及个人用户感染该病毒。国家计算机病毒应急处理中心也于1月22日再次发出警报,在全国范围内通缉“熊猫烧香”。

    金山毒霸反病毒专家戴光剑认为,“熊猫烧香”蠕虫变种速度之快,影响范围之广,与2006年横行于局域网的“维金”不相上下,而这一危害目前还在加剧。“熊猫病毒可能会利用春节假期进行偷袭,让很多用户在春节上班第一天没法使用电脑。”

    “由于‘熊猫烧香’变种多,传播速度快,一旦用户没能及时升级杀毒软件或专杀工具,查杀效果将大打折扣。”广西计算机病毒应急处理中心的反病毒专家指出,用户目前还是要高度警惕,对所有计算机进行检查,及时升级杀毒软件和防火墙,同时要打好系统补丁。另外,不要打开不明电子邮件,并做好对U盘进行安全设置等防范措施。

    专家建议:第一,安装杀毒软件,并在上网时打开网页实时监控。由于现在海底光缆中断,很多国外杀毒软件难以升级,用户可以到金山(http://tool.duba.net/zhuansha/253.shtml)、瑞星(http://it.rising.com.cn/Channels/Service/index.shtml)、江民(http://www.jiangmin.com/download/zhuansha04.htm)等国内网站免费下载“熊猫烧香”专杀软件。

    第二,网站管理员应该更改机器密码,以防止病毒通过局域网传播。

    第三,QQ、UC的漏洞已经被该病毒利用,用户应该去他们的官方网站打好最新补丁。

    第四,该病毒会利用IE浏览器的漏洞进行攻击,因此用户应该给IE打好所有的补丁。如果必要的话,用户可以暂时换用Firefox、Opera等比较安全的浏览器。
^.^

选择的路..跪着也要走下去..

TOP

“熊猫烧香”肆虐 《菊花台》填新词诉苦

“熊猫烧香”版《菊花台》
你的泪光,柔弱中带伤,
满屏的熊猫香,删除过往,
熊猫猖狂,点上三根香,是谁在电脑前冰冷的绝望
猫慢慢拜,暗黄色的香,
我瘫坐椅子上,精神错乱,
路在何方,谁为我思量,冷风吹乱憔悴模样。
熊猫拜,三根香,你的笑容已泛黄,
重装又重装,我心里在发慌。
江民杀,瑞星除,你的影子剪不断,
徒留我在机旁神伤。
爱机已死两忙忙,不思量,自难忘。
熊猫烧香,无处话凄凉。
纵使相逢应不识,恨满面,屏如霜。
夜来恶梦忽还乡,小熊猫,正烧香。
相顾无言,唯有泪千行。
料得重装爱机日,熊猫来,还烧香
^.^

选择的路..跪着也要走下去..

TOP

返回列表