1. 首页
  2. 电子数码
  3. 熊猫烧香病毒是什么

熊猫烧香病毒是什么

简介:关于熊猫烧香病毒是什么的相关疑问,相信很多朋友对此并不是非常清楚,为了帮助大家了解相关知识要点,小编为大家整理出如下讲解内容,希望下面的内容对大家有帮助!
如果有更好的建议或者想看更多关于电子数码技术大全及相关资讯,可以多多关注茶馆百科网。

熊猫烧香是蠕虫病毒的一种变种,它经历了许多变种。这是中国湖北省武汉市新洲区25岁的李军于2006年10月16日写的。它于2007年1月初在互联网上传播,主要通过下载文件传播。严重损坏计算机程序和系统。

基本信息

病毒名称:熊猫香,蠕虫。whboy .(金山),蠕虫。nimaya。(新星)

病毒别名:尼米亚,武汉一名男生,后来摇身一变成为“喜讯来自金猪”,在国外被称为“烧香熊猫”。

危险等级:

病毒类型:一种能够阻止大量防病毒和防火墙软件进程的蠕虫病毒。

受影响的系统:Win 9x/ME、Win 2000/NT、Win XP、Win 2003、Win Vista和Win 7

发现日期:2006年10月16日

产地:中国武汉东湖高新技术开发区关山

病毒描述

其实它是蠕虫病毒的一种变种,而且经过几次变异后,由于被感染计算机的可执行文件会出现“熊猫烧香”的图案,所以又被称为“熊猫烧香”病毒。但原来的病毒只会替换EXE图标,不会破坏系统本身。大多数是病毒的变种,会导致蓝屏、频繁重启和损坏系统硬盘上的数据文件。同时,一些变异的病毒可以通过局域网传播,然后感染局域网中所有电脑系统,并最终导致企业局域网瘫痪,无法正常使用,它可以感染系统exe, com,论坛,src, html、asp和其他文件,也杀死了大量的杀毒软件流程和删除扩展gho的文件,这是一个鬼魂的备份文件系统备份工具,导致用户失去他们的系统备份文件。受感染用户系统上的所有.exe可执行文件都被更改为看起来像一只拿着三根香的熊猫。

中毒症状

除了通过网站感染用户外,该病毒还可以在局域网内传播,在很短的时间内可以感染数千台计算机,严重时可导致网络崩溃。该病毒也被称为“熊猫烧香”病毒,因为该图像会出现在被感染的电脑上。中毒的电脑可能会出现蓝屏、频繁重启和系统硬盘上的数据文件损坏的情况。

病毒的危害

该病毒删除带有gho扩展名的文件,使用户无法使用幽灵软件恢复操作系统。“熊猫烧香”感染系统的s.exe.com.f.rc.html.asp文件,添加病毒URL,导致用户在打开这些web文件时,IE会自动连接到指定的病毒URL下载病毒。在硬盘的各个分区中生成“inf”和“setup.exe”文件,可通过u盘和移动硬盘进行传播,使用Windows系统的自动播放功能运行。在硬盘中搜索可执行文件并感染,被感染的文件图标变成“熊猫烧香”图案。“熊猫烧香”还可以通过共享文件夹、弱密码等方式传播。该病毒将病毒代码添加到受感染计算机上所有web文件的末尾。该病毒感染了一些网站编辑的计算机,并在用户访问这些网站时感染了病毒。据了解,已有多家知名网站遭到此类攻击,并相继植入病毒。由于这些网站浏览量大,病毒感染的企业和政府机构范围广,受病毒影响的企业和政府机构达千余家,包括金融、税务、能源等关系国计民生的重要单位。注:江苏等地区是此次熊猫烧香事件的重灾区。

0

“熊猫烧香”还可以通过共享文件夹、弱密码等方式传播。

金山分析:这是一种感染型蠕虫病毒,它可以感染系统中的exe、com、pif、src、html、asp等文件,它还可以暂停大量杀毒软件进程

1文件复制

当病毒运行时,它会将自己复制到

C:\WINDOWS\System32\Drivers\spoclsv.exe

2添加要自动启动的注册表

病毒增加了一个启动器

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

svcshare - C:\WINDOWS\System32\Drivers\spoclsv.exe

3病毒行为

a:每一秒钟

寻找一个桌面窗口,并关闭在窗口标题中包含以下字符的程序

QQKav

QQAV

防火墙

0

VirusScan

净飞镖

反病毒

药物欺负

不断上升的

蒋敏

即黄山

超级兔子

优化大师

马的克星

马清道夫

QQ病毒

注册表编辑器

系统配置实用工具

卡巴斯基反病毒

Symantec AntiVirus

Duba

esteem proces

绿鹰PC

密码防盗

噬菌体

特洛伊辅助探测仪

System Safety Monitor

Wrapped gift Killer

Winsock Expert

游戏木马检测大师

msctls_statusbar32

pjf(ustc)

IceSword

并使用键盘映射的方法关闭安全软件IceSword

添加注册表来引导自己

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

svcshare - C:\WINDOWS\System32\Drivers\spoclsv.exe

并中止系统中的以下进程:

Mcshield.exe

VsTskMgr.exe

naPrdMgr.exe

UpdaterUI.exe

TBMon.exe

scan32.exe

Ravmond.exe

CCenter.exe

RavTask.exe

Rav.exe

Ravmon.exe

RavmonD.exe

RavStub.exe

KVXP.kxp

kvMonXP.kxp

KVCenter.kxp

KVSrvXP.exe

KRegEx.exe

UIHost.exe

TrojDie.kxp

FrogAgent.exe

Logo1_.exe

Logo_1.exe

Rundl132.exe

b:每18秒一次

单击病毒作者指定的网页,使用命令行检查系统上是否存在共享

如果存在“admin$share”,使用net share命令关闭“admin$ sharing”

c:每10秒一次

下载病毒作者指定的文件,并使用命令行检查系统上是否有共享

如果存在“admin$share”,使用net share命令关闭“admin$ sharing”

d:每六秒一次

删除注册表中安全软件的key值

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

RavTask

KvMonXP

kav

KAVPersonal50

McAfeeUpdaterUI

Network Associates Error Reporting Service

ShStartEXE

YLive.exe

yassistse

并修改以下值以不显示隐藏文件

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

CheckedValue -0x00

删除以下服务:

navapsvc

wscsvc

KPfwSvc

SNDSrvc

ccProxy

ccEvtMgr

ccSetMgr

SPBBCSvc

Symantec Core LC

NPFMntor

MskService

FireSvc

e:文件被感染

病毒感染带有扩展名exe,pif,com,src的文件,并将自己附加到文件的头

并在文件中添加一个URL,扩展名为htm,html, asp,php,jsp,aspx,

一旦用户打开了文件,IE会在后台继续点击写好的URL,到达

增加此目的的点击次数,但病毒不会感染以下文件夹名称中的文件:

WINDOW

Winnt

System Volume Information

Recycled

Windows NT

WindowsUpdate

Windows Media Player

Outlook Express

Internet Explorer

NetMeeting

Common Files

ComPlus Applications

Messenger

InstallShield Installation Information

MSN

Microsoft Frontpage

Movie Maker

MSN Gamin Zone

g:删除文件

该病毒删除扩展名为gho的文件,该文件是系统备份工具GHOST的备份文件

用户的系统备份文件丢失。

瑞星最新病毒分析报告:“尼玛亚(熊猫香)”

这是用Delphi编写的传染性下载程序

传播对象并运行过程

本地磁盘感染

病毒通过文件遍历的方式感染系统中除驱动器号A和驱动器号B以外的驱动器号DRIVE_REMOTE和DRIVE_FIXED的所有磁盘

注意:不感染大于10485760字节的文件。

(病毒不会感染以下目录中的文件):

Microsoft Frontpage

Movie Maker

MSN Gamin Zone

Common Files

Windows NT

Recycled

System Volume Information

Documents and Settings

(病毒不会感染以下文件名的文件):

setup.exe

病毒通过两种感染方式感染后缀不同的文件名

1)二进制可执行文件(后缀:EXE、SCR、PIF、COM):将被感染的目标文件与病毒合并为一个文件(被感染的文件附在病毒文件尾部),完成感染。

2)脚本类(后缀称为:HTM、HTML、asp、PHP、JSP、aspx):在脚本文件的末尾加上以下链接(页面底部存在安全漏洞):

这些磁盘上的后缀在被感染时被删除。GHO

生成自动播放文件

病毒会创建一个计时器,生成自动运行的setup.exe(病毒本身)。每隔6秒在磁盘的根目录下运行一次inf,并使用AutoRun Open关联使病毒在用户单击受感染的磁盘时自动运行。

局域网通信

病毒生成随机LAN传播线程,以实现以下传播模式:

当病毒发现它可以成功连接到目标的139或445端口时,它使用内置的用户列表和密码字典进行连接。(猜测受攻击方的密码)在成功连接后复制自身,并使用计划任务启动激活病毒。

修改操作系统启动关联

下载文件开始

打杀毒软件

反病毒的方法

各种熊猫烧香

瑞兴金山河人

超级巡警李军

虽然用户及时更新杀毒软件的病毒库,并下载杀毒软件公司提供的专用工具来杀灭“熊猫烧香”病毒,但如果能做到防范也未必更好。

0

[1]立即检查本地管理员组成员密码,一定不要放弃简单密码甚至空命令,安全密码是字母数字的特殊字符组合,记住,不要让病毒猜出。

修改方法

右键单击我的电脑,选择管理,浏览到本地用户和组,在右边的窗格中,选择具备管理员权限的用户名,单击右键,选择设置密码,输入新密码就行。

【2】 利用组策略,关闭所有驱动器的自动播放功能。

步骤1

单击开始,运行,输入gpedit.msc,打开组策略编辑器,浏览到计算机配置,管理模板,系统,在右边的窗格中选择关闭自动播放,该配置缺省是未配置,在下拉框中选择所有驱动器,再选取已启用,确定后关闭。最后,在开始,运行中输入gpupdate,确定后,该策略就生效了。

【3】 修改文件夹选项,以查看不明文件的真实属性,避免无意双击骗子程序中毒。

步骤2

打开资源管理器(按windows徽标键+E),点工具菜单下文件夹选项,再点查看,在高级设置中,选择查看所有文件,取消隐藏受保护的操作系统文件,取消隐藏文件扩展名。

【4】 时刻保持操作系统获得最新的安全更新,不要随意访问来源不明的网站,特别是微软的MS06-014漏洞,应立即打好该漏洞补丁。

同时,QQ、UC的漏洞也可以被该病毒利用,因此,用户应该去他们的官方网站打好最新补丁。此外,由于该病毒会利用IE浏览器的漏洞进行攻击,因此用户还应该给IE打好所有的补丁。如果必要的话,用户可以暂时换用Firefox、Opera等比较安全的浏览器。

【5】 启用Windows防火墙保护本地计算机。同时,局域网用户尽量避免创建可写的共享目录,已经创建共享目录的应立即停止共享。

此外,对于未感染的用户,病毒专家建议,不要登录不良网站,及时下载微软公布的最新补丁,来避免病毒利用漏洞袭击用户的电脑,同时上网时应采用“杀毒软件+防火墙”的立体防御体系。

本文主要介绍了关于熊猫烧香病毒是什么的相关养殖或种植技术,电子数码栏目还介绍了该行业生产经营方式及经营管理,关注电子数码发展动向,注重系统性、科学性、实用性和先进性,内容全面新颖、重点突出、通俗易懂,全面给您讲解电子数码技术怎么管理的要点,是您电子数码致富的点金石。
以上文章来自互联网,不代表本人立场,如需删除,请注明该网址:http://23.234.50.4:8411/article/2514068.html