关于财务分析论文:熊猫烧香病毒原理、清除/删除方法及解决方案

熊猫烧香病毒原理、清除/删除方法及解决方案

大 | 中 | 小 [ 2006/12/31 08:59 | by leftleg ]    　近日，江民科技发布紧急病毒警报，一伪装成“熊猫烧香”图案的病毒正在疯狂作案，已有数十家企业局域网遭受重创。来自我国不同地区的企业向江民反病毒中心举报，他们公司正在遭受不明病毒攻击，电脑中所有可执行的.exe文件都变成了一种怪异的图案，该图案显示为“熊猫烧香”，

中毒症状表现为系统蓝屏、频繁重启、硬盘数据被破坏等等，严重的整个公司局域网内所有电脑全部中毒，公司业务几乎陷入停顿。广东、上海等地区也出现了类似病毒疫情，江民大客户技术服务部电话响个不停。迹象表明，“熊猫烧香”病毒有集中爆发可能。


   
   下载最新专杀工具：
   (老版

http://www.699sky.com/domain/ad/soft/killxiongmao.rar
   （新版

http://www.699sky.com/domain/ad/soft/PandaKiller.rar
   使用熊猫烧香病毒专杀 后恢复正常
   

   　　江民反病毒工程师分析，该病毒为“威金”蠕虫病毒新变种，自从去年被截获以来，已经感染了超过30万台电脑，几乎每天都有新变种出现。该病毒可以通过局域网传播，病毒发作严重时可导致局域网瘫痪。而值得关注的是，感染该病毒的多数是没有安装网络版杀毒软件的小型企业用户。
   
   　　小企业局域网成重灾区
   
   　　苏州经济园区的某企业高女士说，他们公司是一家金属制品的中小型公司，这两天公司的网络服务器突然出现频繁重启现象，经检查后发现，电脑中出现了五个不明文件，所有可执行文案都被改成一个奇怪的熊猫烧香图案，由于服务器故障，导致整个局域网全部瘫痪。北京某工程公司也出现了类似现象，更糟糕的是他们公司遭受病毒攻击的是财务部，整个财务部8台电脑频频出现蓝屏、死机现象，电脑中同样出现了“熊猫烧香”的图案，公司对外财务结算完全停顿，总经理为此大为光火。
   
   　　资料显示，我国目前有小企业1000万家以上，而近年来盛行的SOHO型家庭式创业型小公司更是不计其数，这些企业由于处于创业初期，往往在网络安全方面没有设防，多数企业仅靠安装一套单机版杀毒软件来防范病毒，由于单机版杀毒软件无法对威金此类通过局域网传播的病毒进行统一防杀，最终导致局域网内病毒屡杀不绝，病毒在通过网络在电脑间来回流窜，许多小企业局域网甚至长期“养”着一种以上的网络病毒。
   
   　　江民反病毒工程师介绍，在他们接到的求助企业中，多数企业由于感染病毒导致业务不能正常开展，少则一两小时，多则一两天无法正常工作，产生的直接和间接损失远远超过购买一套网络版杀毒软件的价格。
   
   　　单机版及病毒专杀无法杀尽局域网病毒
   
   　　据调查，超过70%的中小企业并不愿意选购网络版级的杀毒软件，而更倾向于单机版杀毒软件，而其中价格无疑是阻碍小企业应用网络版的最大障碍。网络版杀毒软件由于长期应用在高端企业市场，在普通用户心目中属于一种“奢侈”的产品，以拥有25台电脑的小企业局域网计算，国内主流的相同配置的网络版杀毒软件价格在10000到17000元之间，面对高高在上的价格，那些为了创业省吃俭用的SOHO一族需要下多大的决心才能购买！而更多的小企业主则在遭到病毒攻击时，被动地购买一套单机版杀毒软件应急。
   
   　　尽管单机版杀毒软件甚至免费的专杀工具也能杀掉病毒，但在互联互通的局域里，这些杀毒软件和专杀工具却往往顾此失彼，通常是这台机器病毒杀掉了，却又感染给了另一台机器，来回反复，让网管员疲于应付。如果仅仅是几台电脑还可能用断开网线的方式逐台杀毒，而如果是数十台上百台电脑，对于网管员的来讲无疑是一场噩梦。
   
   　　江民反病毒专家介绍，由于单机版并不具备网络版杀毒软件的统一杀毒、统一监控、统一设置、统一升级、远程控制等功能，因此在对付局域网病毒上存在先天缺陷，对付通过局域网传播的网络病毒，只能利用网络版杀毒软件进行全网统一查杀。
   熊猫烧香病毒专杀解决方案
   
    第一步打补丁：下载Firefox，12月份新的带Google上网工具的Firefox浏览器已经集成了熊猫烧香病毒的补丁，如果你是电脑高手更应该了解，针对IE7的漏洞，最新Firefox已经修补了这些补丁。没有此补丁，杀了病毒还会有，下载后安装并运行一次，自动安装此病毒补丁。官方网站 点击进入 点右边的立即免费的下载按钮下载。
   第二步：下载超级巡警熊猫烧香病毒专杀工具。
   下载地址：
   (老版

http://www.699sky.com/domain/ad/soft/killxiongmao.rar
   （新版

http://www.699sky.com/domain/ad/soft/PandaKiller.rar
    熊猫烧香病毒11月快速蔓延，至今已经出现了十几个变种。可见其破坏范围之广！
   含有病毒体的文件被运行后，病毒将自身拷贝至系统目录，同时修改注册表将自身设置为开机启动项，并遍历各个驱动器，将自身写入磁盘根目录下，增加一个Autorun.inf文件，使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染，同时开另外一个线程连接某网站下载ddos程序进行发动恶意攻击。
    超级巡警熊猫烧香专杀工具是目前唯一一款可以查杀所有熊猫烧香变种病毒的工具，实现检测和清除、修复感染熊猫烧香病毒的文件，对熊猫烧香的未知变种具备侦测和处理能力，可以处理目前所有的熊猫烧香病毒家族和相关变种。
   Killer (killeruid0.net)
   Date:2006-11-20
   
   
   一、病毒描述：
   
   含有病毒体的文件被运行后，病毒将自身拷贝至系统目录，同时修改注册表将自身设置为开机启动项，并遍历各个驱动器，将自身写入磁盘根目录下，增加一个Autorun.inf文件，使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染，同时开另外一个线程连接某网站下载ddos程序进行发动恶意攻击。
   
   二、病毒基本情况：
   
   [文件信息]
   
   病毒名: Virus.Win32.EvilPanda.a.ex$
   大 小: 0xDA00 (55808), (disk) 0xDA00 (55808)
   SHA1 : F0C3DA82E1620701AD2F0C8B531EEBEA0E8AF69D
   壳信息: 未知
   危害级别：高
   
   病毒名: Flooder.Win32.FloodBots.a.ex$
   大 小: 0xE800 (59392), (disk) 0xE800 (59392)
   SHA1 : B71A7EF22A36DBE27E3830888DAFC3B2A7D5DA0D
   壳信息: UPX 0.89.6 - 1.02 / 1.05 - 1.24
   危害级别：高
   
   三、病毒行为：
   
   Virus.Win32.EvilPanda.a.ex$ ：
   
   1、病毒体执行后，将自身拷贝到系统目录：
   
   %SystemRoot%\system32\FuckJacks.exe
   
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Userinit "C:\WIN2K\system32\SVCH0ST.exe"
   2、添加注册表启动项目确保自身在系统重启动后被加载：
   
   键路径：HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   键名：FuckJacks
   键值："C:\WINDOWS\system32\FuckJacks.exe"
   
   键路径：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   键名：svohost
   键值："C:\WINDOWS\system32\FuckJacks.exe"
   
   3、拷贝自身到所有驱动器根目录，命名为Setup.exe，并生成一个autorun.inf使得用户打开该盘运行病毒，并将这两个文件属性设置为隐藏、只读、系统。
   
   C:\autorun.inf 1KB RHS
   C:\setup.exe 230KB RHS
   
   4、关闭众多杀毒软件和安全工具。
   5、连接*****.3322.org下载某文件，并根据该文件记录的地址，去www.****.com下载某ddos程序，下载成功后执行该程序。
   6、刷新bbs.qq.com，某QQ秀链接。
   7、循环遍历磁盘目录，感染文件，对关键系统文件跳过，不感染Windows媒体播放器、MSN、IE 等程序。
   
   Flooder.Win32.FloodBots.a.ex$ ：
   
   1、病毒体执行后，将自身拷贝到系统目录：
   
   %SystemRoot%\SVCH0ST.EXE
   %SystemRoot%\system32\SVCH0ST.EXE
   
   2、该病毒后下载运行后，添加注册表启动项目确保自身在系统重启动后被加载：
   
   键路径：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   键名：Userinit
   键值："C:\WINDOWS\system32\SVCH0ST.exe"
   
   3、连接ddos2.****.com，获取攻击地址列表和攻击配置，并根据配置文件，进行相应的攻击。
   
   配置文件如下：
   www.victim.net:3389
   www.victim.net:80
   www.victim.com:80
   www.victim.net:80
   1
   1
   120
   50000
   
   
   四、解决方案：
   
   1、使用超级巡警可以完全清除此病毒和恢复被感染的文件。
   2、推荐在清除时先使用超级巡警的进程管理工具结束病毒程序，否则系统响应很慢。
   3、中止病毒进程和删除启动项目请看论坛相关图片。
   下载地址：
   (老版

http://www.699sky.com/domain/ad/soft/killxiongmao.rar
   
   （新版）

http://www.699sky.com/domain/ad/soft/PandaKiller.rarTags: 熊猫烧香 , 查杀 , 专杀