熊猫烧香档案

熊猫烧香病毒最近在网络中非常流行，赶上JAY了哈。。。首先，由于病毒在感染的盘符生成具有熊猫烧香图标的setup.exe文件和AUTORUN.INF

看上图 有熊猫造型的就是了。。。所以你的电脑是不准藏国宝的如果有你就完蛋了赶快把它赶走啦。。。

打开 AUTORUN。INF文件发现其命令行为：

[autorun]

OPEN=SETUP.EXE

sellexecute=setup.exe

双击盘符时就等于运行了SETUP.EXE病毒程序，它在网络和电脑中的传播速度很快，感染病毒后，大多数的.exe文件的图标被替换熊猫。。。就是说你藏的国宝越来越多你自己想想后果怎样吧。

狡猾的家伙

打开进程管理器会发现很多为iexplore.exe的可疑进程和IEXP10RE。EXE进程（这个进程是迷惑性的）0

熊猫烧香病毒是通过给进程注入病毒DLL文件作乱的，是典型的DLL病毒。这类病毒插入系统进程运行，系统进程通常无法终止，病毒文件也就无法删除，因此杀毒软件并不能很好的清楚该类病毒。

  DLL病毒一般可以使用冰刃等安全工具来解决问题不过，熊猫烧香病毒内置了自动关闭知名安全工具（包括冰刃，瑞星等）进程的命令。因此很多杀软发挥不了。。。只能呆在家里看国宝怎样搞破坏。在这里要说的两个系统分析的利器。。。HIJACKFREE和巴西经常介绍的一款杀软，超级巡警，说一下中了橙色八月病毒后杀软是打不开的。。。不过超级巡警可以逃过。。。所以这款软件偶也推荐以备不时之需

通过上面的工具我们可以结束进程 IEXP10RE.EXE   SPOCLSV.EXE   SYSTEMM.EXE   CONIME.EXE （这里要提一下这个CONIME.EXE 如果你的系统发现它出现了 那就有很大的可疑你的电脑中马了，一般CONIME。EXE只有在打开CMD窗口时才调用到，不相信大家可以试一下）然后删除相关的文件。IEXPLORE.EXE会插入 C:\windows\winsxs\x86_microsoft.vc80.crt_1fc8b3b9ale18e3b_8.050727.163_x-ww_68le29fb\msvcm80.dll(还有同目录的msvcp80.dll msvcr80.dll)等三个文件运行，显然病毒调用IE下载了更新。接着尝试终止所有的IEXPLORE。EXE进程。

妈妈说国宝是不可以藏的

终止IEXPLORE.EXE之后 发现很快病毒就重新启动了IEXPLORE。EXE进程，由此看来该病毒插入了系统进程来守护运行。那打开巡警，利用巡警进程工具找到RUNDLL32.EXE找到c:\programfiles\internet explorer\use6.dll和c:\programfiles\commonfiles\microsoft shared\msinfo\icc7f616.dll。重新启动到DOS环境删除，同样在SHELL进程中也发现了可以进程EXPLOER。EXE进程调用 C：\WINDOWS\SYSTEM32\WINDHCP.DLL

用HIJACKFREE的自动运行选项的注册表项找到MICRO MYMH2 SVCSHARE等病毒启动项目，删除就OK

最后到DOS环境删除纪录的文件以及每个盘符的AUTORUN.INF 和SETUP.EXE 大功告成

好东西哦！！！
跟新真快啊！！

挖哈哈哈~~~59.5的经验来的~~(偶的老弟之一)

忘了注明~文章里提到的巴西是我们技术群里的人~还有~文章转自Computer技术

哎，我們這裡有幾台機子就中了這個病毒

就说别收藏国宝罗~嘿~要不我找个专杀过来~

我的電腦（公司這臺）也中了此病毒，電腦部的人員使用了以上操作可還是沒有用﹔現在電腦已處于癱患狀態。
咋辦？？？
求助！

好的謝謝，發個專殺過來.

樓主請快點把專殺發過來，我們用了幾個殺毒軟件殺都殺不到

你加我QQ~~说来正巧~~我同事今天中了个熊宝宝的变种了~~难搞的很~~

你先用这个看看~~(我今天换了个新版本的,如果有更好的~我会更新的)

[ 本帖最后由 yoyizz 于 2007-1-9 10:24 编辑 ]

要在安全模式下上面的方法才有效！

其实在360安全卫士那里可以下个专杀的~~你也可以下来看看~~360在本版内我有发下载的~~可以看看去~~

http://www.colorbird.com/bbs/thread-113269-1-1.html

[ 本帖最后由 yoyizz 于 2007-1-9 08:59 编辑 ]

防这种病毒最好就是把硬件自动播放(Shell Hardware Detection)这个服务禁止,这样就不会在双击打开本地磁盘或者插入U盘后自动运行根目录下autorun.inf指定的程序了

最新熊猫变种D病毒专杀工具


木马名称：Trojan-Dropper.Win32.Delf.or（熊猫烧香病毒变种D）

症状如下：
1.几乎所有的软件的快捷方式变成同一个图标（类似一个绿色地球的图案）
2.任务管理器不能用
3.杀毒软件不能启动
4.原来ghost的系统备份竟然也被它删除了，找不到了，连重装都困难了。
5.用U盘考了几个程序，插上以后，一会里面的程序就没有了。

判断：开始-运行-cmd,回车进入命令提示附，之后在命令提示附中输入：tasklist，看有没有名为spoclsv.exe的进程，有的话就确认了！

****解决办法：下载超级巡警专杀工具，断开网络查杀！

[ 本帖最后由 yoyizz 于 2007-1-10 09:20 编辑 ]

超级巡警-------熊猫烧香病毒分析与解决方案(以下内容转自--XPower::桌面应用与安全软件开发)

killer (killer<2>uid0.net)
Date:2006-11-20


一、病毒描述：

    含有病毒体的文件被运行后，病毒将自身拷贝至系统目录，同时修改注册表将自身设置为开机启动项，并遍历各个驱动器，将自身写入磁盘根目录下，增加一个Autorun.inf文件，使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染，同时开另外一个线程连接某网站下载ddos程序进行发动恶意攻击。
   
二、病毒基本情况：

  [文件信息]
  
  病毒名: Virus.Win32.EvilPanda.a.ex$
  大  小: 0xDA00 (55808), (disk) 0xDA00 (55808)
  SHA1  : F0C3DA82E1620701AD2F0C8B531EEBEA0E8AF69D
  壳信息: 未知
  危害级别：高
  
  病毒名: Flooder.Win32.FloodBots.a.ex$
  大  小: 0xE800 (59392), (disk) 0xE800 (59392)
  SHA1  : B71A7EF22A36DBE27E3830888DAFC3B2A7D5DA0D
  壳信息: UPX 0.89.6 - 1.02 / 1.05 - 1.24
  危害级别：高

三、病毒行为：

   Virus.Win32.EvilPanda.a.ex$ ：

   1、病毒体执行后，将自身拷贝到系统目录：

      %SystemRoot%\system32\FuckJacks.exe
      
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run        Userinit        "C:\WIN2K\system32\SVCH0ST.exe"
   2、添加注册表启动项目确保自身在系统重启动后被加载：

      键路径：HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
      键名：FuckJacks
      键值："C:\WINDOWS\system32\FuckJacks.exe"
      
      键路径：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
      键名：svohost
      键值："C:\WINDOWS\system32\FuckJacks.exe"
      
   3、拷贝自身到所有驱动器根目录，命名为Setup.exe，并生成一个autorun.inf使得用户打开该盘运行病毒，并将这两个文件属性设置为隐藏、只读、系统。

      C:\autorun.inf        1KB        RHS
      C:\setup.exe        230KB        RHS
      
   4、关闭众多杀毒软件和安全工具。
   5、连接*****.3322.org下载某文件，并根据该文件记录的地址，去www.****.com下载某ddos程序，下载成功后执行该程序。
   6、刷新bbs.qq.com，某QQ秀链接。
   7、循环遍历磁盘目录，感染文件，对关键系统文件跳过，不感染Windows媒体播放器、MSN、IE 等程序。
   
   Flooder.Win32.FloodBots.a.ex$ ：
   
   1、病毒体执行后，将自身拷贝到系统目录：

      %SystemRoot%\SVCH0ST.EXE
      %SystemRoot%\system32\SVCH0ST.EXE

   2、该病毒后下载运行后，添加注册表启动项目确保自身在系统重启动后被加载：
      
      键路径：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
      键名：Userinit
      键值："C:\WINDOWS\system32\SVCH0ST.exe"

   3、连接ddos2.****.com，获取攻击地址列表和攻击配置，并根据配置文件，进行相应的攻击。
      
      配置文件如下：
      www.victim.net: 3389
      www.victim.net: 80
      www.victim.com: 80
      www.victim.net: 80
      1
      1
      120
      50000
      

四、解决方案：

    1、使用超级巡警可以完全清除此病毒和恢复被感染的文件。
    2、推荐在清除时先使用超级巡警的进程管理工具结束病毒程序，否则系统响应很慢。
    3、中止病毒进程和删除启动项目请看论坛相关图片。
               

[版权所有：数据安全实验室
http://www.dswlab.com
http://www.unnoo.com/
Copyright(c) DSW Lab All rights reserved]



20070101增加的内容：

熊猫烧香病毒专题

转载请保留本站链接!

一、熊猫烧香有几个变种？

    到目前为止，从大体上分，目前主要有四大变种，变种A我们已经分析，见本版，变种B的就是大家常说的spoclsv.exe进程，它藏的全路径是：% SystemRoot%\Drivers\spoclsv.exe，其它部分与变种A基本一致。变种C主要的改动是对抗杀毒软件，尤其是超级巡警的专杀，该专杀旧版本被360安全卫士内置到工具列表中。变种C通过查找窗口标题有超级巡警字样，即关闭该窗口，即使在桌面新建一个名为超级巡警的文本文件，用记事本打开也会被关闭。因此许多网友下载了旧版的专杀，抱怨打开就被关闭，同时熊猫烧香病毒还会关闭其它一些常见的进程管理的，比如常用的Windows任务管理器。对付这种变种的方法就是使用一个不被关闭的进程管理的，推荐使用X-PS，下载地址和使用说明：http://www.unnoo.com/html/research/2006/0718/29.html，关闭掉名为spoclsv.exe的进程。然后在使用巡警的专杀，当然也可以下载最新的超级巡警使用里面的专杀来查杀。

    变种D是最近才出现的一个变种，该变种感染文件后图标不在是熊猫模样，当感染该变种会在临时目录发现100个图标文件。还有其它一些变种，基本都是为了躲避查杀进行修改和下载不同的后门的版本。

二、对系统的破坏：

    熊猫烧香在感染的系统上，会关闭杀毒软件进程，删除杀毒软件的注册表项目，禁用杀毒软件的服务，修改资源管理器不显示隐藏文件等。
   
    还会调用如下命令来删除共享：
    cmd.exe /c net share C$ /del /y
    cmd.exe /c net share D$ /del /y
    cmd.exe /c net share admin$ /del /y
    ....
   
    旧变种会全面感染系统文件，新变种会感染除系统目录外的文件，即尽量不感染微软操作系统自身的文件。
   
    新旧变种都会删除.gho，一般人会在安装完成系统后，使用Norton Ghost进行备份，熊猫会恶意删除这个备份文件。
   
    其中一个变种还会在感染目录生成desktop_.ini。
   
    最大的破坏是，熊猫烧香本身就是一种下载者，会在指定的网站下载后门、木马、各种盗号程序，甚至DDoS程序。
   
三、为什么无法清除干净，如何彻底查杀：

    有人使用了超级巡警和巡警之熊猫专杀后，将一个机子杀干净了，但不久又发现感染了，这是因为，熊猫烧香在感染了一个系统后，开启一个单独的线程进行C类网络扫描感染，访问同网段的139/445端口，进行IPC$密码猜解和查找共享，并感染共享中的文件。这样只要网络内有一个机子还有存活的熊猫烧香病毒，就依然存在再次感染全网的可能。

    许多朋友网络内都是有文件共享服务器，电影服务器，而许多网友的网络内的人都为了方便系统登录口令都是空口令，或者是123这样的简单口令。

    局域网中有用户IE没有打补丁，浏览挂了熊猫烧香病毒的网站，在自己不知情的情况下感染。
   
    查杀的办法是：
   
    1、断开网络，使用超级巡警之熊猫烧香专杀，每个机子全面杀毒。
    2、修改口令，取消本地共享目录。
    3、查杀完成后使用超级巡警的补丁检查检查系统没有打的补丁，及时打上补丁，尤其是IE补丁。

謝謝樓主~~~~~~~~~~~~~~~~~

霏凡熊猫烧香专杀工具 V1.05
(转载Computer技术论坛)

目前可以查杀7种熊猫病毒包括最新的变种，由于没有得到以前病毒的感染文件无法分析，所以以前感染的文件无法恢复，但是最新变种感染的文件可以完全恢复，并且恢复和和原文件一模一样

1。01：
修改了进程实施监视中不能删除文件问题，修正个别长文件会误报的问题

1.02:
修正了按"退出"按钮不能退出的情况(我自己在测试时用的发布时忘记去掉了其实功能什么都是一样的)

1.03:
一位网友传给了我最新的熊猫变种，现在已经更新可以查杀该变种而且可以恢复感染的文件。希望大家下载备用。(瑞星没能查杀此病毒，卡巴能杀不能恢复感染文件)

1.04
又弄到5中病毒样本，现在又可以查杀5中熊猫病毒。如果大家有病毒样本可以发给我，最好带一个感染文件和正常没感染的文件。

1.05
增加查杀病毒感染自己的可能性。今天接到网友传来的病毒样本经过我分析是病毒感染了自己。这样以前我的程序会识别在一般感染文件。虽然这样病毒不能运行了但是看着熊猫拿着三支香就不舒服。这个版本主要是更新这种病毒感染自己的查杀。

[ 本帖最后由 yoyizz 于 2007-1-24 17:31 编辑 ]

汗~~~~那个不是设计师来的~~米看新闻了~!!!