“熊猫烧香”病毒简介及特征
“熊猫烧香”病毒简介及特征
“武汉男生”,俗称“熊猫烧香”,这是一个感染型的蠕虫病毒,它能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件,使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。
1:拷贝文件
病毒运行后,会把自己拷贝到C:WINDOWSSystem32Driversspoclsv.exe
2:添加注册表自启动
病毒会添加自启动项HKEY_CURRENT_USERSoftwareMicrosoftWindows
CurrentVersionRun svcshare -> C:WINDOWSSystem32Driversspoclsv.exe
3:病毒行为
a:每隔1秒寻找桌面窗口,并关闭窗口标题中含有以下字符的程序:
QQKav、QQAV、防火墙、进程、VirusScan、网镖、杀毒、毒霸、瑞星、江民、黄山IE、超级兔子、优化大师、木马克星、木马清道夫、QQ病毒、注册表编辑器、系统配置实用程序、卡巴斯基反病毒、Symantec AntiVirus、Duba、esteem proces、绿鹰PC、密码防盗、噬菌体、木马辅助查找器、System Safety Monitor、Wrapped gift Killer、Winsock Expert、游戏木马检测大师、msctls_statusbar32、pjf(ustc)、IceSword
并使用的键盘映射的方法关闭安全软件IceSword
添加注册表使自己自启动 HKEY_CURRENT_USERSoftwareMicrosoftWindows
CurrentVersionRun svcshare -> C:WINDOWSSystem32Driversspoclsv.exe
并中止系统中以下的进程:
Mcshield.exe、VsTskMgr.exe、naPrdMgr.exe、UpdaterUI.exe、TBMon.exe、scan32.exe、Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、RavmonD.exe、RavStub.exe、KVXP.kxp、kvMonXP.kxp、KVCenter.kxp、KVSrvXP.exe、KRegEx.exe、UIHost.exe、TrojDie.kxp、FrogAgent.exe、Logo1_.exe、Logo_1.exe、Rundl132.exe
b:每隔18秒点击病毒作者指定的网页,并用命令行检查系统中是否存在共享,共存在的话就运行net share命令关闭admin$共享
c:每隔10秒下载病毒作者指定的文件,并用命令行检查系统中是否存在共享,共存在的话就运行net share命令关闭admin$共享
d:每隔6秒删除安全软件在注册表中的键值
并修改以下值不显示隐藏文件 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
ExplorerAdvancedFolderHiddenSHOWALL CheckedValue -> 0x00
删除以下服务:
navapsvc、wscsvc、KPfwSvc、SNDSrvc、ccProxy、ccEvtMgr、ccSetMgr、SPBBCSvc、Symantec Core LC、NPFMntor MskService、FireSvc
e:感染文件
病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部,并在扩展名为htm,html, asp,php,jsp,aspx的文件中添加一网址,用户一但打开了该文件,IE就会不断的在后台点击写入的网址,达到增加点击量的目的,但病毒不会感染以下文件夹名中的文件:
WINDOW、Winnt、System Volume Information、Recycled、Windows NT、WindowsUpdate、Windows Media Player、Outlook Express、Internet Explorer、NetMeeting、Common Files、ComPlus Applications、Messenger、InstallShield Installation Information、MSN、Microsoft Frontpage、Movie Maker、MSN Gamin Zone
g:删除文件
病毒会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件使用户的系统备份文件丢失。
“熊猫烧香”病毒简介及特征相关推荐
- 熊猫烧香病毒技术分析及应急解决方案
熊猫烧香病毒技术分析及应急解决方案 BY Delphiscn(http://blog.csdn.net/delphiscn)cnBlaster#hotmail.com 目录 A.简介 B.样本分析 C ...
- 熊猫烧香病毒背后的***社会
通过"江湖传言"得知,在一个庞大的犯罪链条中,处于利润最丰厚环节的"老板"远在上海,他可能通过比"熊猫烧香"隐蔽得多的病毒,或者是其他不为外 ...
- 熊猫烧香病毒背后,网络高手对决一个月
这是一波电脑病毒蔓延的狂潮.在两个多月的时间里,数百万电脑用户被卷将进去,那只憨态可掬.颔首敬香的"熊猫"除而不尽,成为人们噩梦般的记忆. 反病毒工程师们将它命名为"尼姆 ...
- 熊猫烧香病毒幕后黑手曝光 网络世界高手对决一个月
这是一波电脑病毒蔓延的狂潮.在两个多月的时间里,数百万电脑用户被卷将进去,那只憨态可掬.颔首敬香的"熊猫"除而不尽,成为人们噩梦般的记忆. 反病毒工程师们将它命名为"尼姆 ...
- 熊猫烧香病毒企业局域网网完整解决方案
继维金后的熊猫烧香病毒一度蔓延开来. .我们可能会因为工作繁忙忘记给金山毒霸客户端升级导致系统中该病毒.网上有各种针对该病毒的解决办法.我们也不去讨论其良莠了,在这里,主要面向各位负责金山毒霸企业版( ...
- 有人说是金山造了熊猫烧香病毒
在百度贴吧看到篇文章,作者臆断熊猫是金山出的,想到白天还跟珠海研发讨论过抓熊猫作者的事情.已经有了一些线索,可惜咱们这个国家对病毒制作者.传播者的打击力度...实在是差点儿意思. 原贴在[url]ht ...
- 熊猫烧香病毒完整解决方案
这个方案也广为传播,传播组真是好样的 熊猫烧香病毒无疑成了近期互联网最热门的关键字了,网上也能找到很多个有关熊猫烧香病毒的解决办法,这些方法不尽完美,再加上熊猫的变种很多,很多方法已经失效.这里提供一 ...
- 【逆向】Delphi程序逆向之熊猫烧香病毒分析
1.前言 本文主要用于记录Delphi程序逆向的一些方法和技巧,以及熊猫烧香病毒的分析过程. 2.分析技巧 2.1 使用IDR或DEDE加载Delphi程序,导出Map文件,将Map文件导入OD. 2 ...
- 熊猫烧香病毒文化(图:熊猫烧香QQ表情,网友PS图片)
网友痛恨"熊猫烧香"病毒 出10万美金通缉(图) 吸引我的不是这10万美金通缉令,而是其中的 熊猫烧香QQ表情图片.哈哈,熊猫烧香病毒流行的都快流行出一种文化了.第一个由计算机病毒 ...
最新文章
- VTK修炼之道55:图形基本操作进阶_表面重建技术(等值面提取)
- 【MSDN文摘】使用自定义验证组件库扩展 Windows 窗体: Form Scope
- C# 静态方法和属性 图书管理
- windows下编译firefox
- python label background设置成透明_纯Python绘制满满艺术感的山脊地图
- Gamma 分布与 Beta 分布及共轭的含义
- 因程序问题引起的服务器CPU负荷一直保持在90%以上
- bsvadvaanjalvsc
- 如何用Python快速计算股票的Beta系数并排序存入Excel表中
- 在线版和离线版电路仿真以及开源电子硬件设计介绍
- 浮点运算方法和浮点运算器
- 计算机内存条能装几个,电脑能装几个内存条_一般电脑插几个内存条
- android x86 uc,UC浏览器X86版下载|UC浏览器X86版老版 V10.8.5 安卓版 下载_当下软件园_软件下载...
- python语言发展历史
- 关于泰泽-泰泽官网介绍
- QT QGraphicsItem 消除重影 移动重影
- Hexo博客主题Next添加动态线条背景canvas_nest
- Ubuntu安装Matlab其Simulink没有菜单栏的解决方案(转载可用)
- 非常详细的flash游戏开发教程.
- 央视各种直播失误集锦
热门文章
- SQL查询------模糊查询
- 机器学习中训练集、验证集和测试集的作用
- cv2.matchTemplate模板匹配和cv2.minMaxLoc()函数
- 激光雷达标定(坐标系转换)
- Linux 系统设置 : modprobe 命令详解
- 蓝的成长记——追逐DBA(20):何故缘起,建库护航 (二次发布-练习使用markdown编辑)
- matlab将矩阵数据归一化到[0,255]
- 学海灯塔新增课程文件点赞、下载、排序功能
- 基于区块链的大数据交易模式研究与探索
- linux复制操作 cp: -r not specified; omitting directory XXX 错误