實例講解如何干掉“熊貓燒香”

　　你中過熊貓燒香麼?!看到過熊貓拿著三支香的樣子麼!?中招後如何處理!?看完本文，你將學會如何從計算機中殺掉“熊貓燒香”。

　　驚險查殺過程

　　1.熊貓燒香病毒：圖片就是個熊貓在燒香感覺蠻可愛的!當時並沒有很在意!第二天再次打開電腦的時候!幾乎電腦所有的EXE文件都成了熊貓燒香圖片!這時才有所感覺!

　　部分EXE文件已經無法正常使用!新加一個AUTORUN.INF的文件!

　　當初不明白這個文件的作用!在網上查了一些資料表明。才知道。只要用戶打開盤符。就會運行這個病毒!用殺毒軟件殺毒!沒有效果!看來現在的殺毒軟件越來越不行了~..

　　2.想用組合鍵打開任務管理器!無法打開~失敗....想看看注冊表有沒什麼情況。依然失敗!奇怪的是：電腦運行正常。也都不卡!難道不是病毒.是系統出了問題?從網上下了第三方工具查看進程!果然看到兩個可疑進程!FuckJacks.exe貌似是最可疑的不敢貿然終止!趕快問問白度大叔!

　　3.大叔告訴我。是熊貓病毒的進程!一切正如我意!懶的裝系統了!

　　4.先結束FuckJacks.exe進程!開始-運行-CMD 輸入：ntsd -c q -p 病毒的PID~終於KILL掉了!一切恢復正常了!興奮ING...趕快打開注冊表

　　突然注冊表又關了.看看進程FuckJacks.exe。又出現了~~那應該它還有個守護進程!找找找。無發現....奇怪了。難道他的守護進程插入到系統

　　進程了?不會吧.....頭疼一陣...。

　　5.算了，去向朋友找個專殺工具。有一個朋友說他寫過熊貓的專殺工具!暈~~原來牛人在我身邊。我都沒發現~趕快想他請教~~才大概的了解了熊貓燒香~ 叫他給了我一個無殼的熊貓自己分析下~(自己動手.豐衣足食嘛~~)

　　6.用UI32打開熊貓.看到了條用的部分資源!文件執行後。釋放到system32FuckJacks.exe下。

　　7.繼續象下可以看到熊貓的一些傳播過程相當的經典..有掃描同一網段的電腦~自我復制.等等相當強大公能~同時感染所有盤符的EXE文件~卻不對一些重要的系統文件和常用文件進行感染!可見並不想早成太大破壞~修改注冊表.禁止打開注冊表.甚至禁用了部分服務~~

　　8下面就是重要的時刻了!從後面的代碼可以看出!病毒的作者是個非常出色的程序員!有非常好的編程習慣!對病毒的異常運行~進行了很好的定義~都很大段都是作者對病毒運行條件的判斷定義~值得注意的一點：在感染EXE文件的同時!感染ASP。HTML文件。會在最後加一段類似掛馬的基本代碼.~~做到通過第三方盡快傳播的辦法~(如果被感染者是網站管理人員。後果可想而知了)

　　病毒程序的運行

　　在給大家說下病毒的部分運行實現!簡單的修改注冊表：

　　有這樣一句：WSHELL.REGWIRTE MYREGKEY， MYREGVALUE， MY REGTYPE

　　第一個是參數的鍵名：完整路徑..

　　第二個是：鍵值。。

　　第三個是：鍵的類型，

　　Set wshell=wscript.createobject("wscript.shell")

　　wshell.regWrite"HKEY_LOCAL_MACHINESOFTWAREMicrosoftwindows NTCurrentVersionWinloginshell","eseplorer.exe","REG_SZ"

　　這就是腳本病毒掼用技術~

　　通用的解決方法

　　1、就是要關閉自己的默認共享。

　　首先運行regedit，找到如下組建[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSA]把

　　RestrictAnonymous = DWORD的鍵值改為：00000001。

　　restrictanonymous REG_DWORD

　　0x0 缺省

　　0x1 匿名用戶無法列舉本機用戶列表

　　0x2 匿名用戶無法連接本機IPC

　　說明:不建議使用2，否則可能會造成你的一些服務無法啟動，如SQL Server

　　2、禁止默認共享

　　1)察看本地共享資源

　　運行-cmd-輸入net share

　　2)刪除共享(每次輸入一個)

　　net share ipc$ /delete

　　net share admin$ /delete

　　net share c$ /delete

　　net share d$ /delete(如果有e,f,……可以繼續刪除)

　　3)修改注冊表刪除共享

　　運行-regedit

　　找到如下主鍵[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters]

　　把AutoShareServer(DWORD)的鍵值改為0000000。

　　如果上面所說的主鍵不存在，就新建(右擊-新建-雙字節值)一個主健再改鍵值。

　　我們看看這個病毒功能： 瞬間復制整個硬盤、有監視QQ記錄的功能、網吧的電腦依然有效!顯然有了精靈的轉存功能。值得注意的功能：刪除GHOST的功能，控制電腦進行集體的DDOS，更出現了KILL掉KV、瑞星和金山的功能!

　　病毒的特性：網頁傳播!電腦的弱口令。默認共享傳播!在內網的傳播速度非常的快!對企業的居於網有很大的殺傷力!病毒瞬間復制整個硬盤。占用內存極小~

　　熊貓這款病毒雖然不是很新鮮。但是病毒的作者真的很讓人佩服~完全的網絡高手!超強的優秀程序員!

　　忘說了：網絡巡警的熊貓專殺工具。就可以殺最新的變種!