熊貓燒香病毒介紹

General 更新 2024年12月22日

  熊貓燒香其實是一種蠕蟲病毒的變種,而且是經過多次變種而來的,下面由小編給你做出詳細的!希望對你有幫助!歡迎回訪網站,謝謝!

  :

  由於中毒電腦的可執行檔案會出現“熊貓燒香”圖案,所以也被稱為 “熊貓燒香”病毒。但原病毒只會對EXE圖示進行替換,並不會對系統本身進行破壞。而大多數是中的病毒變種,使用者電腦中毒後可能會出現藍屏、頻繁重啟以及系統硬碟中資料檔案被破壞等現象。同時,該病毒的某些變種可以通過區域網進行傳播,進而感染區域網內所有計算機系統,最終導致企業區域網癱瘓,無法正常使用。[2]

  3中毒症狀編輯

  除了通過網站帶毒感染使用者之外,此病毒還會在區域網中傳播,在極短時間之內就 可以感染幾千臺計算機,嚴重時可以導致網路癱瘓。中毒電腦上會出現“熊貓燒香”圖案,所以也被稱為“熊貓燒香”病毒。中毒電腦會出現藍屏、頻繁重啟以及系統硬碟中資料檔案被破壞等現象。

  4病毒危害編輯

  熊貓燒香病毒會刪除副檔名為gho的檔案,使使用者無法使用ghost軟體恢復作業系統。“熊貓燒香”感染系統的.exe . f.src .html.asp檔案,新增病毒網址,導致使用者一開啟這些網頁檔案,IE就會自動連線到指定的病毒網址中下載病毒。在硬碟各個分割槽下生成檔案autorun.inf和setup.exe,可以通過U盤和行動硬碟等方式進行傳播,並且利用Windows系統的自動播放功能來執行,搜尋硬碟中的.exe可執行檔案並感染,感染後的檔案圖示變成“熊貓燒香”圖案。“熊貓燒香”還可以通過共享資料夾、使用者簡單密碼等多種方式進行傳播。該病毒會在中毒電腦中所有的網頁檔案尾部新增病毒程式碼。一些網站編輯人員的電腦如果被該病毒感染,上傳網頁到網站後,就會導致使用者瀏覽這些網站時也被病毒感染。據悉,多家著名網站已經遭到此類攻擊,而相繼被植入病毒。由於這些網站的瀏覽量非常大,致使“熊貓燒香”病毒的感染範圍非常廣,中毒企業和政府機構已經超過千家,其中不乏金融、稅務、能源等關係到國計民生的重要單位。注:江蘇等地區成為“熊貓燒香”重災區。

  5傳播方法編輯

  金山分析:這是一個感染型的蠕蟲病毒,它能感染系統中exe,com,pif,src,html,asp等檔案,它還能中止大量的反病毒軟體程序

  1拷貝檔案

  病毒執行後,會把自己拷貝到

  C:\WINDOWS\System32\Drivers\spoclsv.exe

  2添加註冊表自啟動

  病毒會新增自啟動項

  svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe

  3病毒行為

  a:每隔1秒

  尋找桌面視窗,並關閉視窗標題中含有以下字元的程式

  QQKav

  QQAV

  防火牆

  程序

  VirusScan

  網鏢

  防毒

  毒霸

  瑞星

  江民

  黃山IE

  超級兔子

  優化大師

  木馬克星

  木馬清道夫

  QQ病毒

  登錄檔編輯器

  系統配置實用程式

  卡巴斯基反病毒

  Symantec AntiVirus

  Duba

  熊貓燒香esteem proces

  綠鷹PC

  密碼防盜

  噬菌體

  木馬輔助查詢器

  System Safety Monitor

  Wrapped gift Killer

  Winsock Expert

  遊戲木馬檢測大師

  msctls_statusbar32

  pjf***ustc***

  IceSword

  並使用的鍵盤對映的方法關閉安全軟體IceSword

  添加註冊表使自己自啟動

  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

  svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe

  並中止系統中以下的程序:

  Mcshield.exe

  VsTskMgr.exe

  naPrdMgr.exe

  UpdaterUI.exe

  TBMon.exe

  scan32.exe

  Ravmond.exe

  CCenter.exe

  RavTask.exe

  Rav.exe

  Ravmon.exe

  RavmonD.exe

  RavStub.exe

  熊貓燒香KVXP.kxp

  kvMonXP.kxp

  KVCenter.kxp

  KVSrvXP.exe

  KRegEx.exe

  UIHost.exe

  TrojDie.kxp

  FrogAgent.exe

  Logo1_.exe

  Logo_1.exe

  Rundl132.exe

  b:每隔18秒

  點選病毒作者指定的網頁,並用命令列檢查系統中是否存在共享

  共享存在的話就執行net share命令關閉admin$共享

  c:每隔10秒

  下載病毒作者指定的檔案,並用命令列檢查系統中是否存在共享

  共享存在的話就執行net share命令關閉admin$共享

  d:每隔6秒

  刪除安全軟體在登錄檔中的鍵值

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  RavTask

  KvMonXP

  kav

  KAVPersonal50

  McAfeeUpdaterUI

  Network Associates Error Reporting Service

  ShStartEXE

  YLive.exe

  yassistse

  並修改以下值不顯示隱藏檔案

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

  CheckedValue -> 0x00

  刪除以下服務:

  navapsvc

  wscsvc

  KPfwSvc

  SNDSrvc

  ccProxy

  ccEvtMgr

  ccSetMgr

  SPBBCSvc

  Symantec Core LC

  NPFMntor

  MskService

  FireSvc

  e:感染檔案

  病毒會感染副檔名為exe,pif,com,src的檔案,把自己附加到檔案的頭部

  並在副檔名為htm,html,asp,php,jsp,aspx的檔案中新增一網址,

  使用者一但打開了該檔案,IE就會不斷的在後臺點選寫入的網址,達到

  增加點選量的目的,但病毒不會感染以下資料夾名中的檔案:

  熊貓燒香WINDOW

  Winnt

  System Volume Information

  Recycled

  Windows NT

  WindowsUpdate

  Windows Media Player

  Outlook Express

  Internet Explorer

  NetMeeting

  Common Files

  ComPlus Applications

  Messenger

  InstallShield Installation Information

  MSN

  Microsoft Frontpage

  Movie Maker

  MSN Gamin Zone

  g:刪除檔案

  病毒會刪除副檔名為gho的檔案,該檔案是一系統備份工具GHOST的備份檔案

  使使用者的系統備份檔案丟失.

  瑞星病毒分析報告:“Nimaya***熊貓燒香***”

  這是一個傳染型的DownLoad 使用Delphi編寫

”人還:

什麼是熊貓燒香病毒
熊貓燒香病毒及禍害
相關知識
熊貓燒香病毒介紹
熊貓燒香病毒介紹大全
熊貓燒香病毒執行
什麼是熊貓燒香病毒
熊貓燒香病毒及禍害
熊貓燒香病毒的解決方法
熊貓燒香病毒懲罰
熊貓燒香病毒怎麼樣的
熊貓燒香病毒怎麼樣
熊貓燒香病毒執行和危害電腦方式