注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

蓝天堂

Venchia's Blog

 
 
 

日志

 
 

熊猫烧香挺毒的  

2006-12-09 13:38:45|  分类: 天堂武馆 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

熊猫烧香专杀工具 v1.3发布(20061130)

   本工具实现检测和清除、修复感染熊猫烧香病毒的文件,对熊猫烧香的未知变种具备侦测和处理能力,可以处理目前所有的熊猫烧香病毒家族和相关变种。

下载:http://killer.9i3g.cn/download/Pandakiller.rar
详见:http://bbs.xsf.com/viewthread.php?tid=1469&extra=page%3D1

 

熊猫烧香病毒分析与解决方案


killer (killer<2>uid0.net)
Date:2006-11-20


一、病毒描述:

    含有病毒体的文件被运行后,病毒将自身拷贝至系统目录,同时修改注册表将自身设置为开机启动项,并遍历各个驱动器,将自身写入磁盘根目录下,增加一个Autorun.inf文件,使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染,同时开另外一个线程连接某网站下载ddos程序进行发动恶意攻击。
   
二、病毒基本情况:

  [文件信息]
 
  病毒名: Virus.Win32.EvilPanda.a.ex$
  大  小: 0xDA00 (55808), (disk) 0xDA00 (55808)
  SHA1  : F0C3DA82E1620701AD2F0C8B531EEBEA0E8AF69D
  壳信息: 未知
  危害级别:高
 
  病毒名: Flooder.Win32.FloodBots.a.ex$
  大  小: 0xE800 (59392), (disk) 0xE800 (59392)
  SHA1  : B71A7EF22A36DBE27E3830888DAFC3B2A7D5DA0D
  壳信息: UPX 0.89.6 - 1.02 / 1.05 - 1.24
  危害级别:高

三、病毒行为:

   Virus.Win32.EvilPanda.a.ex$ :

   1、病毒体执行后,将自身拷贝到系统目录:

      %SystemRoot% system32 FuckJacks.exe
    
   2、添加注册表启动项目确保自身在系统重启动后被加载:

      键路径:HKEY_CURRENT_USER SOFTWARE Microsoft Windows CurrentVersion Run
      键名:FuckJacks
      键值:"C:WINDOWS system32 FuckJacks.exe"
     
      键路径:HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Run
      键名:svohost
      键值:"C:WINDOWS system32 FuckJacks.exe"
     
   3、拷贝自身到所有驱动器根目录,命名为Setup.exe,并生成一个autorun.inf使得用户打开该盘运行病毒,并将这两个文件属性设置为隐藏、只读、系统。

      C:autorun.inf    1KB    RHS
      C:setup.exe    230KB    RHS
     
   4、关闭众多杀毒软件和安全工具。
   5、连接*****.3322.org下载某文件,并根据该文件记录的地址,去www.****.com下载某ddos程序,下载成功后执行该程序。
   6、刷新bbs.qq.com,某QQ秀链接。
   7、循环遍历磁盘目录,感染文件,对关键系统文件跳过,不感染Windows媒体播放器、MSN、IE 等程序。
  
   Flooder.Win32.FloodBots.a.ex$ :
  
   1、病毒体执行后,将自身拷贝到系统目录:

      %SystemRoot% SVCH0ST.EXE
      %SystemRoot% system32 SVCH0ST.EXE

   2、该病毒后下载运行后,添加注册表启动项目确保自身在系统重启动后被加载:
     
      键路径:HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Run
      键名:Userinit
      键值:"C:WINDOWS system32 SVCH0ST.exe"

   3、连接ddos2.****.com,获取攻击地址列表和攻击配置,并根据配置文件,进行相应的攻击。
     
      配置文件如下:
      www.victim.net:3389
      www.victim.net:80
      www.victim.com:80
      www.victim.net:80
      1
      1
      120
      50000
     

四、解决方案:

    1、使用超级巡警可以完全清除此病毒和恢复被感染的文件。
    2、推荐在清除时先使用超级巡警的进程管理工具结束病毒程序,否则系统响应很慢。
    3、中止病毒进程和删除启动项目请看论坛相关图片。

 

◇ 超级巡警 V 2.5 正式发布(20061201):

超级巡警(Anti-Spyware Toolkit) V 2.5 正式发布(20061201):

       超级巡警是一款专门查杀并可辅助查杀各种木马、流氓软件、利用Rootkit技术的各种后门和其它恶意代码(间谍软件、蠕虫病毒)等等。提供了多种专业工 具,提供了全面的系统监测功能,使你对系统的变化了如指掌,配合手动分析可近100%的查杀未知恶意代码! [详细了解...]    [进入下载中心...]
  评论这张
 
阅读(437)| 评论(1)
推荐 转载

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2016