“熊猫烧香”(Worm.WhBoy.h)
恶意代码
网马就是通过利用IE游览器0day 来将木马和html进行结合。如用 户去访问这个html地址,就会在后台自动下载,安装,运行等等 网马最常见的为html网马,JPG网马等等。
特征 控制和恶意盗取信息。
恶意代码概述
Webshell讲解 定义 Web 就是网站服务,shell就是权限。Webshell就是一种恶意的后门 程序。 功能
案例1- 熊猫烧香病毒
重启以后我们要仔细的检查下是否有有感染和隐藏的文件 我们进入cmd 在任意盘符下面输入:dir /ah
案例1- 熊猫烧香病毒
会发现还有隐藏的 病毒文件,那么我就要去手工清除这些隐藏的病毒 进程文件。 我们在cmd 下运行:
attrib -r -h -s autorun.inf attrib -r -h -s setup.exe
恶意代码
课程简介
本课程主要讲解了恶意代码几种类型的原理模式 恶意代码的原理和查杀,以及对系统的影响危害。 通过几个案例可以手工判断和查杀恶意代码。 恶意代码的常见状况与防御。
课程目录
恶意代码概述 恶意代码案例 恶意代码防御
恶意代码概述
病毒的危害解析 定义 计算机病毒是一个具有破坏性,感染性的一种恶意程序。 功能 中毒后会对计算机大量的同类型文件进行破坏,感染 常见的病毒有:熊猫,小浩,维金蠕虫病毒等。
案例3- 网马原理和免杀解析
挂马技术
挂马就是黑客利用各种手段获得网站权限后,通过网页后门修改 网站页面的内容,向页面中加入恶意转向代码,当我们访问被加 入多恶意代码多页面时候,就会自动的访问被转向的地址或者下 载木马病毒恶意程序等等。
案例3- 网马原理和免杀解析
Iframe挂马法:
熊猫烧香
国家计算机病毒应急处理中心通过对互联网的监测发现,一伪装成“熊猫烧香”图案的蠕虫正在互联网上进行传播,已有数百万个人计算机用户和企业局域网遭受感染。
国家计算机病毒应急处理中心分析发现,该蠕虫为“威金”蠕虫的一个新变种。
该变种感染计算机系统后,可使系统中所有.exe文件都变成了一种奇怪的图案,该图案显示为“熊猫烧香”国家计算机病毒应急处理中心通过对互联网的监测发现,一伪装成“熊猫烧香”图案的蠕虫正在互联网上进行传播,已有数百万个人计算机用户和企业局域网遭受感染。
国家计算机病毒应急处理中心分析发现,该蠕虫为“威金”蠕虫的一个新变种。
该变种感染计算机系统后,可使系统中所有.exe文件都变成了一种奇怪的图案,该图案显示为“熊猫烧香”,同时受感染的计算机系统会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。
变种可以通过局域网进行传播,进而感染局域网内所有计算机系统,最终导致整个局域网瘫痪,无法正常使用。
该蠕虫先后出现很多变种,再出现后的短时期内迅速传播,遭受感染的用户难于彻底清除,给其工作带来诸多不便。
蠕虫情况分析如下:病毒名称:Worm_Viking中文名:“熊猫烧香”其他名称:Worm/Viking(江民)Worm.WhBoy.h (金山)PE_FUJACKS (趋势)Worm.Nimaya (瑞星)W32/Fujacks (McAfee)病毒类型:蠕虫感染系统:Windows 9X/ Windows ME/ Windows NT/ Windows 2000/Windows XP/ Windows 2003病毒特性:“熊猫烧香”是蠕虫“威金”的一个变种,是一个由Delphi 工具编写的蠕虫,它会感染计算机系统中后缀名为exe、com、pif、src、html、asp等文件,它还会终止一些计算机系统中安装的防病毒软件和防火墙的进程。
1、生成病毒文件蠕虫运行后在%System%目录下生成文件spoclsv.exe,并且在每个文件夹下面生成desktop_.ini 文件,里面标记着病毒发作日期。
熊猫烧香PPT课件
熊猫烧香病毒的传播途径多样,包括局域网、下载软件、电子邮件等, 防范措施需要从多个方面入手,包括及时更新系统补丁、安装杀毒软件 、定期备份重要数据等。
对未来网络安全防护的展望
随着互联网技术的不断发展, 网络安全问题将越来越突出, 需要不断加强网络安全防护措
施。
未来网络安全防护将更加注重 预防措施,包括加强用户教育 、推广加密技术和虚拟专用网 等,以提高网络安全防护意识
避免因病毒感染导致数据丢失。
不随意打开未知来源的邮件和链 接
避免点击不明链接或下载未知来源的文件 。
定期检查系统安全漏洞
及时修补系统漏洞,提高系统安全性。
应对熊猫烧香的方法
发现感染迹象后立即断网:避免病毒 进一步传播。
手动删除病毒文件:如无法清除病毒 ,可手动删除感染病毒的文件,并恢 复系统配置。
和能力。
网络安全防护技术将不断创新 和发展,包括人工智能、大数 据分析等新技术的应用,将为 网络安全防护提供更加全面和 高效的支持。
国际合作将成为未来网络安全 防护的重要方向,各国政府和 组织需要加强合作,共同应对 网络安全威胁,维护全球网络 安全。
THANKS FOR WATCHING
感谢您的观看
熊猫烧香ppt课件
目录
• 熊猫烧香简介 • 熊猫烧香的技术分析 • 熊猫烧香的防范与应对 • 熊猫烧香案例分析 • 总结与展望
CHAPTER 01
熊猫烧香简介
熊猫烧香的起源
01
熊猫烧香是一种计算机病毒,起 源于2007年,由李俊编写。
02
该病毒通过感染计算机系统中的 可执行文件、网页文件等,进行 传播和破坏活动。
使用安全模式进行杀毒:在安全模式 下启动电脑,并进行全盘扫描和杀毒 。
全球十大病毒
全球十大病毒no.1 “cih病毒”爆发年限:年6月cih病毒(年)是一位名叫陈盈豪的台湾大学生所编写的,从中国台湾传入大陆地区的。
cih的载体是一个名为“icq中文ch_at模块”的工具,并以热门盗版光盘游戏如“古墓奇兵”或windows95/98为媒介,经互联网各网站互相转载,使其迅速传播。
cih病毒属于文件型病毒,其别称存有win95.cih、spacefiller、win32.cih、pe_cih,它主要病毒感染windows95/98下的可执行文件(pe格式,portable executable format),目前的版本不病毒感染dos以及win 3.x(ne格式,windows and os/2 windows 3.1 execution file format)下的可执行文件,并且在win nt中违宪。
其发展过程经历了v1.0,v1.1、v1.2、v1.3、v1.4总共5个版本。
损失估计:全球约5亿美元no.2 “梅利莎(melissa)”发动年限:年3月梅利莎(年)是通过微软的outlook电子邮件软件,向用户通讯簿名单中的50位联系人发送邮件来传播自身。
该邮件包含以下这句话:“这就是你请求的文档,不要给别人看”,此外夹带一个word文档附件。
而单击这个文件,就会使病毒感染主机并且重复自我复制。
年3月26日,星期五,w97m/梅利莎荣登了全球各地报纸的头版。
估算数字表明,这个word宏脚本病毒感染了全球15%~20%的商用pc。
病毒传播速度之慢而令英特尔公司(intel)、微软公司(microsoft,以下简称谷歌)、以及其他许多采用outlook软件的公司措手不及,避免侵害,他们被迫停用整个电子邮件系统。
损失估计:全球约3亿——6亿美元no.3 “爱虫(iloveyou)”发动年限:年爱虫(年)是通过outlook电子邮件系统传播,邮件主题为“i love you”,包含附件“love-letter-for-you.txt.vbs”。
“熊猫烧香”病毒取证鉴定技术研究
连接 到指定 的病毒 网址中下载病毒。在
硬盘各个分 区下生成 文件 a t u . f uo ni 和 r n
进 行联 接 ( 测被 攻击端 的密码 ) 猜 。当 成 功地联 接上以后将 自己复制并利用计 划任务启动激活病毒 ;修改操作系统 的 启动关联 ; 下载文件启动 ;与杀 毒软件
对抗 。
X 、Wi 0 3;病 毒具 体 描述 :熊 猫 P n2 0 烧香是 一种蠕虫病 毒 ,而且多 次变种。
无法使用 g ot h s 软件恢复操作系统。熊
猫烧香感染系统的 ee o 、pf r、 x、c r i c n 、s
hml s t 、a p文件 ,添加 病 毒 网址 ,导 致
用户一打开这些网页文件,I E就会 自动
32生 成 a trnif . uou . n
病 毒建 立一个 计 时器 以 06秒为周 .
图案,被感 染 的用户系统 中所有 e e x 可 执行文 件全 部 被改 成 熊猫举 着三根 香 的模样,因此被称为 “ 熊猫烧香”病毒 。
内容包括 :鉴定检材中是否存在制作传 播病毒 的证据 ; 鉴定病毒编写的相关 时 间信息及病毒制作方式 ;提取病毒样本
及与案件相关的其他证据。
D ME SO 55 ) 高速硬 盘复制机 、 I N I N 10 、 四 合一只读读卡器 、取证硬盘 、各 类接口
stpee eu . ,可以通过 U盘和移动硬 盘等 x 方 式 进行 传 播,并且 利用 Wid w 系 nos 统的自动播放功能来 运行,搜 索硬 盘中 的 ee x 可执行文件并感染 ,感 染后的文
熊猫烧香案件的法律启示(3篇)
第1篇一、引言2009年,我国发生了一起名为“熊猫烧香”的计算机病毒案件,该病毒迅速传播,对广大网民和计算机用户造成了严重的损失。
此案件引起了社会各界的广泛关注,同时也给我国网络安全法律体系带来了深刻的启示。
本文将从熊猫烧香案件的法律启示出发,探讨我国网络安全法律的完善与发展。
二、熊猫烧香案件的法律背景1. 犯罪主体熊猫烧香案件的主要犯罪主体为被告人张某、李某、王某等人。
他们通过编写、传播计算机病毒,非法获取他人计算机信息系统数据,给社会造成了极大的危害。
2. 犯罪手段被告人通过编写名为“熊猫烧香”的计算机病毒,在网络上大量传播。
该病毒能够入侵他人计算机系统,篡改用户数据,甚至控制他人计算机,造成严重后果。
3. 犯罪后果熊猫烧香案件造成了大量网民的计算机系统瘫痪,给企业和个人带来了巨大的经济损失。
同时,该案件还暴露出我国网络安全法律体系的不完善,使得犯罪分子得以逍遥法外。
三、熊猫烧香案件的法律启示1. 完善网络安全法律体系熊猫烧香案件暴露出我国网络安全法律体系的不完善。
为了更好地维护网络安全,我国应加快网络安全法律的立法进程,提高法律体系的科学性和可操作性。
具体包括:(1)制定专门的网络安全法,明确网络安全的基本原则、法律地位和监管职责;(2)完善网络安全管理制度,加强对网络信息内容的监管,确保网络空间的清朗;(3)加大对网络犯罪的打击力度,提高犯罪成本,使犯罪分子付出应有的代价。
2. 加强网络安全执法力度熊猫烧香案件的发生,暴露出我国网络安全执法力度不足的问题。
为了更好地维护网络安全,我国应加强网络安全执法,具体措施如下:(1)建立健全网络安全执法机构,提高执法队伍的专业化水平;(2)加强执法协作,形成跨部门、跨区域的联合执法机制;(3)加大对网络犯罪的惩处力度,提高犯罪分子的法律风险。
3. 提高网络安全意识熊猫烧香案件的发生,提醒我们要提高网络安全意识。
具体措施如下:(1)加强网络安全教育,提高全民网络安全素养;(2)引导网民合理使用网络,自觉抵制网络病毒和不良信息;(3)鼓励企业和个人加强网络安全防护,提高计算机系统的安全性。
史上十大电脑病毒
史上十大电脑病毒NO.1 “CIH病毒”爆发年限:1998年6月CIH病毒(1998年)是一位名叫陈盈豪的台湾大学生所编写的,从中国台湾传入大陆地区的。
CIH的载体是一个名为“ICQ中文Ch_at模块”的工具,并以热门盗版光盘游戏如“古墓奇兵”或Windows95/98为媒介,经互联网各网站互相转载,使其迅速传播。
CIH病毒属文件型病毒,其别名有Win95.CIH、Spacefiller、Win32.CIH、PE_CIH,它主要感染Windows95/98下的可执行文件(PE格式,Portable Executable Format),目前的版本不感染DOS以及WIN 3.X(NE格式,Windows and OS/2 Windows 3.1 execution File Format)下的可执行文件,并且在Win NT中无效。
其发展过程经历了v1.0,v1.1、v1.2、v1.3、v1.4总共5个版本。
损失估计:全球约5亿美元NO.2 “梅利莎(Melissa)”爆发年限:1999年3月梅利莎(1999年)是通过微软的Outlook电子邮件软件,向用户通讯簿名单中的50位联系人发送邮件来传播自身。
该邮件包含以下这句话:“这就是你请求的文档,不要给别人看”,此外夹带一个Word文档附件。
而单击这个文件,就会使病毒感染主机并且重复自我复制。
1999年3月26日,星期五,W97M/梅利莎登上了全球各地报纸的头版。
估计数字显示,这个Word宏脚本病毒感染了全球15%~20%的商用PC。
病毒传播速度之快令英特尔公司(Intel)、微软公司(Microsoft,下称微软)、以及其他许多使用Outlook软件的公司措手不及,防止损害,他们被迫关闭整个电子邮件系统。
“梅利莎”病毒的编写者大卫·史密斯后被判处在联邦监狱服刑20个月,也算获得一点惩戒损失估计:全球约3亿——6亿美元NO.3 “爱虫(Iloveyou)”爆发年限:2000年爱虫(2000年)是通过Outlook电子邮件系统传播,邮件主题为“I Love You”,包含附件“Love-Letter-for-you.txt.vbs”。
世界十大恐怖电脑病毒
世界十大恐怖电脑病毒对于很多人来说,电脑中毒就是一场噩梦,硬盘数据被清空,重要资料都没了,如果你的电脑没有中过病毒,也许会认为这不值得大惊小怪,但是,有报告显示,,仅2008年,电脑病毒在全球造成的经济损失就已高达85亿美元之多。
电脑病毒可以说是网络世界最严重的的危害。
下面,就让小编带你回顾世界上十大恐怖电脑病毒。
1、CIH病毒:CIH病毒(1998年)是一位名叫陈盈豪的台湾大学生所编写的,从中国台湾传入大陆地区的。
CIH的载体是一个名为“ICQ中文Ch_at模块”的工具,并以热门盗版光盘游戏如“古墓奇兵”或Windows95/98为媒介,经互联网各网站互相转载,使其迅速传播。
CIH病毒属文件型病毒,其别名有Win95.CIH、Spacefiller、Win32.CIH、PE_CIH,它主要感染Windows95/98下的可执行文件(PE格式,Portable Executable Format),目前的版本不感染DOS以及WIN 3.X(NE格式,Windows and OS/2 Windows 3.1 execution File Format)下的可执行文件,并且在Win NT中无效。
其发展过程经历了v1.0,v1.1、v1.2、v1.3、v1.4总共5个版本。
损失估计:全球约5亿美元2、梅丽莎病毒:梅利莎(1999年)是通过微软的Outlook电子邮件软件,向用户通讯簿名单中的50位联系人发送邮件来传播自身。
该邮件包含以下这句话:“这就是你请求的文档,不要给别人看”,此外夹带一个Word 文档附件。
而单击这个文件,就会使病毒感染主机并且重复自我复制。
1999年3月26日,星期五,W97M/梅利莎登上了全球各地报纸的头版。
估计数字显示,这个Word宏脚本病毒感染了全球15%~20%的商用PC。
病毒传播速度之快令英特尔公司(Intel)、微软公司(Microsoft,下称微软)、以及其他许多使用Outlook软件的公司措手不及,防止损害,他们被迫关闭整个电子邮件系统。
电脑病毒整理作业(朱瑞芳)
电脑病毒1.冲击波病毒冲击波蠕虫(Worm.Blaster或Lovesan,也有译为“疾风病毒”)是一种散播于Microsoft操作系统,Windows XP与Windows 2000的蠕虫病毒,爆发于2003年8月。
本蠕虫第一次被注意并如燎原火般散布,是在2003年的8月11日。
它不断繁植并感染,在8月13日达到高峰,之后借助ISP与网络上散布的治疗方法阻止了此蠕虫的散布。
在2003年8月29日,一个来自美国明尼苏达州的18岁年轻人Jeffrey Lee Parson由于创造了Blaster.B变种而被逮捕;他在2005年被判处十八个月的有期徒刑。
感染征兆虽然此蠕虫只能在Windows 2000与XP上传播,但是它也可让执行RPC的操作系统如Windows NT、Windows XP(64 bit)与Windows Server 2003造成不稳。
一但此蠕虫在网络上侦测到连线(不论拨接或宽带),它将会造成此系统的不稳定并显示一道讯息以及在一分钟之内重新开机:“Windows must now restart because the Remote Procedure Call (RPC) Serviceterminated unexpectedly。
”解决方法Windows的错误讯息以及重开机状况可借由更改重开机服务的设定而避免,使得使用者有足够时间移除Blaster病毒以及安装漏洞的修补程式。
相关变种—— 1.冲击波V 2.冲击波Ⅵ2.熊猫烧香熊猫烧香是一种经过多次变种的蠕虫病毒变种,2006年10月16日由25岁的中国湖北武汉新洲区人李俊编写,2007年1月初肆虐网络,它主要通过下载的档案传染。
对计算机程序、系统破坏严重。
病毒名称:熊猫烧香,Worm.WhBoy.(金山称),Worm.Nimaya.(瑞星称)病毒别名:尼姆亚,武汉男生,后又化身为“金猪报喜”,国外称“熊猫烧香”危险级别:★★★★★病毒类型:蠕虫病毒,能够终止大量的反病毒软件和防火墙软件进程。
熊猫烧香病毒介绍
熊猫烧香病毒介绍【基本信息】病毒名称:熊猫烧香,Worm.WhBoy.(金山称),Worm.Nimaya.(瑞星称)病毒别名:尼姆亚,武汉男生,后又化身为“金猪报喜”,国外称“熊猫烧香”危险级别:★★★★★病毒类型:蠕虫病毒,能够终止大量的反病毒软件和防火墙软件进程。
影响系统:Win 9x/ME、Win 2000/NT、Win XP、Win 2003 、Win Vista “熊猫烧香”的制造者熊猫烧香病毒的制造者-李俊一个水泥厂技校毕业的中专生,一个从未接受过专业训练的电脑爱好者,一个被杀毒软件公司拒之门外的年轻人,查毒了小半个中国互联网。
如果不是地震引发海底光缆故障,那只颔首敬香的“熊猫”,还将“迁徙”到更远的地方。
家人眼中的李俊:李俊的父母一直在家乡一水泥厂上班,几前年双双下岗,他妈妈做了个小推车在街上卖早点,他爸爸则到了一家私人瓦厂打工。
52岁的李俊妈妈陈女士说,李俊很小的时候就喜欢玩电脑,没事就到网吧去玩,因为怕他在外面学坏,家里就给他买了台电脑。
没想到到头来儿子却是因为“玩电脑”被警察抓走,陈女士感到悔恨不已。
李俊的父亲则说,四五岁时,李俊爱上了玩积木及拆卸家中的小机械,那时候,李俊将家中的收音机、闹钟、手电筒等凡是能拆开的物品,都拆成一个个零部件,歪着脑袋观察每个零部件后,又将零部件重新组装起来,恢复原样。
如果闹钟再次走动或收音机能发出声音时,李俊往往会拍手大笑,自顾自庆祝半天。
李俊的弟弟李明比他小三岁,西南民族大学音乐教育专业学生,今年放寒假回家,他偶尔和哥哥提起最近他和同学都中过的“熊猫烧香”电脑病毒。
哥哥听说后却一改以往的内向和谦卑,不屑一故地笑说:“这病毒没什么大不了。
”当时李明并没有想到,他的哥哥就是“熊猫烧香”的始作俑者。
李明告诉记者,哥哥在上学时数学和英语非常优秀,尽管如此,哥哥还是没能考上高中,而是进了水泥厂里自办的一所技校(现已改名为“娲石职业技术学校”),后于2 000年到武汉一家电脑城打工后,自己有了收入,但他很少给家人钱花。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
“熊猫烧香”(Worm.WhBoy.h)“熊猫烧香”(Worm.WhBoy.h)近段时间,“熊猫烧香”(Worm.WhBoy.h) 蠕虫正处于急速变种期,仅11月份至今,变种数量已达10几个,变种速度之快,影响范围之广,与06年横行于局域网的“维金”不相上下。
现在小编提供一个手动清除此病毒的方法:清除步骤==========1. 断开网络2. 结束病毒进程%System%\FuckJacks.exe3. 删除病毒文件:%System%\FuckJacks.exe4. 右键点击分区盘符,点击右键菜单中的“打开”进入分区根目录,删除根目录下的文件X:\autorun.infX:\setup.exe5. 删除病毒创建的启动项:[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]"FuckJacks"="%System%\FuckJacks.exe[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"svohost"="%System%\FuckJacks.exe"6. 修复或重新安装反病毒软件7. 使用反病毒软件或专杀工具进行全盘扫描,清除恢复被感染的exe文件中毒文件的恢复(仅个人观点,只在自己的虚拟机上测试正常)首先在清除病毒文件的同时不要删除%SYSTEM%下面释放FuckJacks.exe的这个文件,(注册表里要清除干净)打开运行输入gpedit.msc打开组策略-本地计算机策略-windows 设置-安全设置-软件限制策略-其它规则在其它规则上右键选择-新散列规则=打开新散列规则窗口在文件散列上点击浏览找到-%SYSTEM%下面释放FuckJacks.exe 文件.......安全级别选择-不允许的确定后重启(一定重启)重启后可以双击运行已经被熊猫感染的程序-运行程序后该FuckJacks.exe文件会在注册表里的Run键下建立启动项(不会有问题的)双击运行被感染的程序已经恢复原来样子了,全部回复后用SRENG2把FuckJacks.exe 在注册表里的启动项删除即可!杀病毒:实例讲解如何干掉“熊猫烧香”你中过熊猫烧香么?!看到过熊猫拿着三支香的样子么!?中招后如何处理!?看完本文,你将学会如何从计算机中杀掉“熊猫烧香”。
惊险查杀过程1.熊猫烧香病毒:图片就是个熊猫在烧香感觉蛮可爱的!当时并没有很在意!第二天再次打开电脑的时候!几乎电脑所有的EXE文件都成了熊猫烧香图片!这时才有所感觉!部分EXE文件已经无法正常使用!新加一个AUTORUN.INF的文件!当初不明白这个文件的作用!在网上查了一些资料表明。
才知道。
只要用户打开盘符。
就会运行这个病毒!用杀毒软件杀毒!没有效果!看来现在的杀毒软件越来越不行了~..2.想用组合键打开任务管理器!无法打开~失败....想看看注册表有没什么情况。
依然失败!奇怪的是:电脑运行正常。
也都不卡!难道不是病毒.是系统出了问题?从网上下了第三方工具查看进程!果然看到两个可疑进程!FuckJacks.exe貌似是最可疑的不敢贸然终止!赶快问问白度大叔!3.大叔告诉我。
是熊猫病毒的进程!一切正如我意!懒的装系统了!4.先结束FuckJacks.exe进程!开始-运行-CMD 输入:ntsd -c q -p 病毒的PID~终于KILL掉了!一切恢复正常了!兴奋ING...赶快打开注册表突然注册表又关了.看看进程FuckJacks.exe。
又出现了~~那应该它还有个守护进程!找找找。
无发现....奇怪了。
难道他的守护进程插入到系统进程了?不会吧.....头疼一阵...。
5.算了,去向朋友找个专杀工具。
有一个朋友说他写过熊猫的专杀工具!晕~~原来牛人在我身边。
我都没发现~赶快想他请教~~才大概的了解了熊猫烧香~ 叫他给了我一个无壳的熊猫自己分析下~(自己动手.丰衣足食嘛~~)6.用UI32打开熊猫.看到了条用的部分资源!文件执行后。
释放到\system32\FuckJacks.exe下。
7.继续象下可以看到熊猫的一些传播过程相当的经典..有扫描同一网段的电脑~自我复制.等等相当强大公能~同时感染所有盘符的EXE文件~却不对一些重要的系统文件和常用文件进行感染!可见并不想早成太大破坏~修改注册表.禁止打开注册表.甚至禁用了部分服务~~8下面就是重要的时刻了!从后面的代码可以看出!病毒的作者是个非常出色的程序员!有非常好的编程习惯!对病毒的异常运行~进行了很好的定义~都很大段都是作者对病毒运行条件的判断定义~值得注意的一点:在感染EXE文件的同时!感染ASP。
HTML文件。
会在最后加一段类似挂马的基本代码.~~做到通过第三方尽快传播的办法~(如果被感染者是网站管理人员。
后果可想而知了)病毒程序的运行在给大家说下病毒的部分运行实现!简单的修改注册表:有这样一句:WSHELL.REGWIRTE MYREGKEY, MYREGVALUE,MY REGTYPE第一个是参数的键名:完整路径..第二个是:键值。
第三个是:键的类型,Set wshell=wscript.createobject("wscript.shell")wshell.regWrite"HKEY_LOCAL_MACHINE\SOFTWARE\Micros oft\windowsNT\CurrentVersion\Winlogin\shell","eseplorer.exe","REG_SZ"这就是脚本病毒掼用技术~通用的解决方法1、就是要关闭自己的默认共享。
首先运行regedit,找到如下组建[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contr ol\LSA]把RestrictAnonymous = DWORD的键值改为:00000001。
restrictanonymous REG_DWORD0x0 缺省0x1 匿名用户无法列举本机用户列表0x2 匿名用户无法连接本机IPC说明:不建议使用2,否则可能会造成你的一些服务无法启动,如SQL Server2、禁止默认共享1)察看本地共享资源运行-cmd-输入net share2)删除共享(每次输入一个)net share ipc$ /deletenet share admin$ /deletenet share c$ /deletenet share d$ /delete(如果有e,f,……可以继续删除)3)修改注册表删除共享运行-regedit找到如下主键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\LanmanServer\Parameters]把AutoShareServer(DWORD)的键值改为0000000。
如果上面所说的主键不存在,就新建(右击-新建-双字节值)一个主健再改键值。
我门再看看这个病毒功能是多么的强大:瞬间复制整个硬盘、有监视QQ记录的功能、网吧的电脑依然有效!显然有了精灵的转存功能。
值得注意的功能:删除GHOST的功能,控制电脑进行集体的DDOS,更出现了KILL掉KV、瑞星和金山的功能!再看看病毒的特型:网页传播!电脑的弱口令。
默认共享传播!在内网的传播速度非常的快!对企业的居于网有很大的杀伤力!病毒瞬间复制整个硬盘。
占用内存极小~熊猫这款病毒虽然不是很新鲜。
但是病毒的作者真的很让人佩服~完全的网络高手!超强的优秀程序员!忘说了:网络巡警的熊猫专杀工具。
就可以杀最新的变种!“熊猫烧香”病毒的清除方法最近单位的电脑中了一个可恶的病毒“熊猫烧香”,一查居然是2007 年第一周排行榜第一的病毒。
这次我们讲利用打补丁及手工来解决。
最近单位的电脑中了一个可恶的病毒“熊猫烧香”,一查居然是2007 年第一周排行榜第一的病毒。
这个病毒对 Windows 和常用的系统组件,如 IE、Messenger 等的运行倒没有多大影响,但是它会自行搜索硬盘上扩展名为 .EXE、.HTM、.ASP、.CHM 等几种类型的文件,把这些文件当作宿主,寄生在这些文件里。
一旦这几种类型的文件被感染,文件的图标就会变成一个很恶心的烧香熊猫的样子,同时文件大小变大(病毒已经寄生在其中),只要试图运行这些中毒的文件,病毒就会进一步地疯狂扩散。
受病毒的影响,几乎所有的应用软件基本上都不能正常运行了(哪个软件的执行文件不是 .EXE 文件呢)。
而且病毒还具有自行关闭防火墙和杀毒软件的能力,电脑上的瑞星防火墙便被强制禁用,病毒监控虽然可以运行,但也被取消了随系统启动一同加载的权利;同时连 Windows 安全中心也未能幸免,Security Center 服务被整个删除;另外在文件夹选项中也无法查看隐藏的文件夹和文件了,这是一个常见问题,在文件夹选项中设置“显示所有文件夹和文件”后无法保存设置。
和这个病毒纠缠了两天,过程就不说了,说说怎么清理它吧。
由于瑞星已经“泥菩萨过河、自身难保”,所以不得不手动清除。
1.在任务管理器的进程列表中关闭 SPCOLSV.EXE 病毒进程。
这个SPCOLSV.EXE 明显是在模仿系统进程 SPOOLSV.EXE。
2.删除位于%SystemRoot%system32Drivers 文件夹中的SPCOLSV.EXE 文件。
%SystemRoot%system32Drivers 文件夹中不应该存在 .EXE 文件,所以很好找。
3.按照KB555640 提供的方法,恢复资源管理器不能显示隐含文件的问题:4.每个硬盘分区的根目录都有两个隐含的文件AUTORUN.INF 和SETUP.EXE,将这些垃圾全部删除。
5.在注册表HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun 中把病毒的启动项 svcshare 删除。
如果存在多个用户帐户,每个用户帐户的HKEY_CURRENT_USER 都要清理。
6.恢复杀毒软件随系统启动的加载项,以瑞星为例,在注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurre ntVersionRun 中加上一个RavTask,设置命令为"C:RiSingRavRavTask.exe" -system 即可,其中 C:RisingRAV 是瑞星的默认安装位置。