萬盛學電腦網

 萬盛學電腦網 >> 系統工具 >> 熊貓燒香病毒是什麼

熊貓燒香病毒是什麼

   熊貓燒香是一種經過多次變種的蠕蟲病毒變種,2006年10月16日由25歲的中國湖北武漢新洲區人李俊編寫,2007年1月初肆虐網絡,它主要通過下載的檔案傳染。對計算機程序、系統破壞嚴重。

熊貓燒香病毒是什麼 三聯

  基本信息

  病毒名稱:熊貓燒香,Worm.WhBoy.(金山稱),Worm.Nimaya. (瑞星稱)

  病毒別名:尼姆亞,武漢男生,後又化身為“金豬報喜”,國外稱“熊貓燒香”

  危險級別:★★★★★

  病毒類型:蠕蟲病毒,能夠終止大量的反病毒軟件和防火牆軟件進程。

  影響系統:Win 9x/ME、Win 2000/NT、Win XP、Win 2003 、Win Vista、WIN 7

  發現時間:2006年10月16日

  來源地:中國武漢東湖高新技術開發區關山

  病毒描述

  其實是一種蠕蟲病毒的變種,而且是經過多次變種而來的,由於中毒電腦的可執行文件會出現“熊貓燒香”圖案,所以也被稱為 “熊貓燒香”病毒。但原病毒只會對EXE圖標進行替換,並不會對系統本身進行破壞。而大多數 是中的病毒變種,用戶電腦中毒後可能會出現藍屏、頻繁重啟以及系統硬盤中數據文件被破壞等現象。同時,該病毒的某些變種可以通過局域網進行傳播,進而感染局域網內所有計算機系統,最終導致企業局域網癱瘓,無法正常使用,它能感染系統中exe,com,pif,src,html,asp等文件,它還能終止大量的反病毒軟件進程並且會刪除擴展名為gho的文件,該文件是一系統備份工具GHOST的備份文件,使用戶的系統備份文件丟失。被感染的用戶系統中所有.exe可執行文件全部被改成熊貓舉著三根香的模樣。

  中毒症狀

  除了通過網站帶毒感染用戶之外,此病毒還會在局域網中傳播,在極短時間之內就 可以感染幾千台計算機,嚴重時可以導致網絡癱瘓。中毒電腦上會出現“熊貓燒香”圖案,所以也被稱為“熊貓燒香”病毒。中毒電腦會出現藍屏、頻繁重啟以及系統硬盤中數據文件被破壞等現象。

  病毒危害

  病毒會刪除擴展名為gho的文件,使用戶無法使用ghost軟件恢復操作系統。“熊貓燒香”感染系統的.exe .com. f.src .html.asp文件,添加病毒網址,導致用戶一打開這些網頁文件,IE就會自動連接到指定的病毒網址中下載病毒。在硬盤各個分區下生成文件autorun.inf和setup.exe,可以通過U盤和移動硬盤等方式進行傳播,並且利用Windows系統的自動播放功能來運行,搜索硬盤中的.exe可執行文件並感染,感染後的文件圖標變成“熊貓燒香”圖案。“熊貓燒香”還可以通過共享文件夾、系統弱口令等多種方式進行傳播。該病毒會在中毒電腦中所有的網頁文件尾部添加病毒代碼。一些網站編輯人員的電腦如果被該病毒感染,上傳網頁到網站後,就會導致用戶浏覽這些網站時也被病毒感染。 據悉,多家著名網站已經遭到此類攻擊,而相繼被植入病毒。由於這些網站的浏覽量非常大,致使“熊貓燒香”病毒的感染范圍非常廣,中毒企業和政府機構已經超過千家,其中不乏金融、稅務、能源等關系到國計民生的重要單位。注:江蘇等地區成為“熊貓燒香”重災區。

  傳播方法

  “熊貓燒香”還可以通過共享文件夾、系統弱口令等多種方式進行傳播。

  金山分析:這是一個感染型的蠕蟲病毒,它能感染系統中exe,com,pif,src,html,asp等文件,它還能中止大量的反病毒軟件進程

  1 拷貝文件

  病毒運行後,會把自己拷貝到

  C:WINDOWSSystem32Driversspoclsv.exe

  2 添加注冊表自啟動

  病毒會添加自啟動項

  HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun

  svcshare -> C:WINDOWSSystem32Driversspoclsv.exe

  3 病毒行為

  a:每隔1秒

  尋找桌面窗口,並關閉窗口標題中含有以下字符的程序

  QQKav

  QQAV

  防火牆

  進程

  VirusScan

  網镖

  殺毒

  毒霸

  瑞星

  江民

  黃山IE

  超級兔子

  優化大師

  木馬克星

  木馬清道夫

  QQ病毒

  注冊表編輯器

  系統配置實用程序

  卡巴斯基反病毒

  Symantec AntiVirus

  Duba

  esteem proces

  綠鷹PC

  密碼防盜

  噬菌體

  木馬輔助查找器

  System Safety Monitor

  Wrapped gift Killer

  Winsock Expert

  游戲木馬檢測大師

  msctls_statusbar32

  pjf(ustc)

  IceSword

  並使用的鍵盤映射的方法關閉安全軟件IceSword

  添加注冊表使自己自啟動

  HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun

  svcshare -> C:WINDOWSSystem32Driversspoclsv.exe

  並中止系統中以下的進程:

  Mcshield.exe

  VsTskMgr.exe

  naPrdMgr.exe

  UpdaterUI.exe

  TBMon.exe

  scan32.exe

  Ravmond.exe

  CCenter.exe

  RavTask.exe

  Rav.exe

  Ravmon.exe

  RavmonD.exe

  RavStub.exe

  KVXP.kxp

  kvMonXP.kxp

  KVCenter.kxp

  KVSrvXP.exe

  KRegEx.exe

  UIHost.exe

  TrojDie.kxp

  FrogAgent.exe

  Logo1_.exe

  Logo_1.exe

  Rundl132.exe

  b:每隔18秒

  點擊病毒作者指定的網頁,並用命令行檢查系統中是否存在共享

  共存在的話就運行net share命令關閉admin$共享

  c:每隔10秒

  下載病毒作者指定的文件,並用命令行檢查系統中是否存在共享

  共存在的話就運行net share命令關閉admin$共享

  d:每隔6秒

  刪除安全軟件在注冊表中的鍵值

  HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

  RavTask

  KvMonXP

  kav

  KAVPersonal50

  McAfeeUpdaterUI

  Network Associates Error Reporting Service

  ShStartEXE

  YLive.exe

  yassistse

  並修改以下值不顯示隱藏文件

  HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL

  CheckedValue -> 0x00

  刪除以下服務:

  navapsvc

  wscsvc

  KPfwSvc

  SNDSrvc

  ccProxy

  ccEvtMgr

  ccSetMgr

  SPBBCSvc

  Symantec Core LC

  NPFMntor

  MskService

  FireSvc

  e:感染文件

  病毒會感染擴展名為exe,pif,com,src的文件,把自己附加到文件的頭部

  並在擴展名為htm,html, asp,php,jsp,aspx的文件中添加一網址,

  用戶一但打開了該文件,IE就會不斷的在後台點擊寫入的網址,達到

  增加點擊量的目的,但病毒不會感染以下文件夾名中的文件:

  WINDOW

  Winnt

  System Volume Information

  Recycled

  Windows NT

  WindowsUpdate

  Windows Media Player

  Outlook Express

  Internet Explorer

  NetMeeting

  Common Files

  ComPlus Applications

  Messenger

  InstallShield Installation Information

  MSN

  Microsoft Frontpage

  Movie Maker

  MSN Gamin Zone

  g:刪除文件

  病毒會刪除擴展名為gho的文件,該文件是一系統備份工具GHOST的備份文件

  使用戶的系統備份文件丟失.

  瑞星最新病毒分析報告:“Nimaya(熊貓燒香)”

  這是一個傳染型的DownLoad 使用Delphi編寫

  傳播對象和運行過程

  本地磁盤感染

  病毒對系統中所有除了盤符為A,B的磁盤類型為DRIVE_REMOTE,DRIVE_FIXED的磁盤進行文件遍歷感染

  注:不感染文件大小超過10485760字節以上的.

  (病毒將不感染如下目錄的文件):

  Microsoft Frontpage

  Movie Maker

  MSN Gamin Zone

  Common Files

  Windows NT

  Recycled

  System Volume Information

  Documents and Settings

  ……

  (病毒將不感染文件名如下的文件):

  setup.exe

  病毒將使用兩類感染方式應對不同後綴的文件名進行感染

  1)二進制可執行文件(後綴名為:EXE,SCR,PIF,COM): 將感染目標文件和病毒溶合成一個文件(被感染文件貼在病毒文件尾部)完成感染.

  2)腳本類(後綴名為:htm,html,asp,php,jsp,aspx): 在這些腳本文件尾加上如下鏈

copyright © 萬盛學電腦網 all rights reserved