熊猫烧香

武汉男生”,俗称“熊猫烧香”,这是一个感染型的蠕虫病毒,它能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件,(.gho为GHOST的备份文件),使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。
    熊猫烧香病毒
详细行为

  1.复制自身到系统目录下:
  %System%/drivers/spoclsv.exe(“%System%”代表Windows所在目录,比如:C:/Windows)
  不同的spoclsv.exe变种,此目录可不同。比如12月爆发的变种目录是:C:/WINDOWS/System32/Drivers/spoclsv.exe。
  2.创建启动项:
  [HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run]
  "svcshare"="%System%/drivers/spoclsv.exe"
  3.在各分区根目录生成病毒副本:
  X:/setup.exe
  X:/autorun.inf
  autorun.inf内容:
  [AutoRun]
  OPEN=setup.exe
  shellexecute=setup.exe
  shell/Auto/command=setup.exe
  4.使用net share命令关闭管理共享:
  cmd.exe /c net share X$ /del /y
  cmd.exe /c net share admin$ /del /y
  5.修改“显示所有文件和文件夹”设置:
  [HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion
  /Explorer/Advanced/Folder/Hidden/SHOWALL]
  "CheckedValue"=dword:00000000
  6.熊猫烧香病毒尝试关闭安全软件相关窗口
解决方案:
  1. 结束病毒进程:
  %System%/drivers/spoclsv.exe
  不同的spoclsv.exe变种,此目录可不同。比如12月爆发的变种目录是:C:/WINDOWS/System32/Drivers/spoclsv.exe。但可用此方法清除。
  “%System%/system32/spoclsv.exe”是系统文件。(目前看来没有出现插入该系统进程的变种,不排除变种的手法变化。)
  查看当前运行spoclsv.exe的路径,可使用超级兔子魔法设置。
  2. 删除病毒文件:
  %System%/drivers/spoclsv.exe
  请注意区分病毒和系统文件。详见步骤1。
  3. 删除病毒启动项:
  [HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run]
  "svcshare"="%System%/drivers/spoclsv.exe"
  4. 通过分区盘符右键菜单中的“打开”进入分区根目录,删除根目录下的病毒文件:
  X:/setup.exe
  X:/autorun.inf
  5. 恢复被修改的“显示所有文件和文件夹”设置:
  [HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion
  /Explorer/Advanced/Folder/Hidden/SHOWALL]
  "CheckedValue"=dword:00000001
  6. 修复或重新安装被破坏的安全软件。
  7.修复被感染的程序。可用专杀工具进行修复,收集了四个供读者使用。[url=http://down.
www.kingsoft.com/db/download/othertools/DuBaTool_WhBoy.BAT]金山熊猫烧香病毒专杀工具[/url]、安天熊猫烧香病毒专杀工具、江民熊猫烧香病毒专杀工具和瑞星熊猫烧香病毒专杀工具。也可用手动方法(见本文末)。
  8. 恢复被修改的网页文件,可以使用某些编辑网页的工具替换被添加文字为空。机器上有htm/html/asp/php/jsp/aspx等网页文件,一定要删除此段代码。有危险代码的网页一但发布到网页可能会感染其他用户。

解决方案:
  1. 断开网络
  2. 结束病毒进程:%System%/FuckJacks.exe
  3. 删除病毒文件:%System%/FuckJacks.exe
  4. 右键点击分区盘符,点击右键菜单中的“打开”进入分区根目录,删除根目录下的文件:
  X:/autorun.inf
  X:/setup.exe
  5. 删除病毒创建的启动项:
  [HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run]
  "FuckJacks"="%System%/FuckJacks.exe"
  [HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
  "svohost"="%System%/FuckJacks.exe"
  6. 修复或重新安装反病毒软件
  7. 使用反病毒软件或专杀工具进行全盘扫描,清除恢复被感染的exe文件。也可用以下的手动方法恢复文件。
  手动恢复中毒文件(在虚拟机上通过测试,供参考)
  1.在清除病毒文件的同时不删除%SYSTEM%下面释放FuckJacks.exe的这个文件,即执行之前的步骤1、2、4、5。
  2.打开“运行”输入“gpedit.msc”打开组策略-本地计算机策略-windows设置-安全设置-软件限制策略-其它规则。在其它规则上右键选择-新散列规则-打开新散列规则窗口
  3.在文件散列上点击浏览找到%SYSTEM%下面释放FuckJacks.exe文件。安全级别选择-不允许的。确定后重启。
  4.重启后可以双击运行已经被熊猫感染的程序。运行程序后该FuckJacks.exe文件会在注册表里的Run键下建立启动项(不会有问题的)。
  5.双击运行被感染的程序已经恢复原来样子了。全部回复后,用SREng把FuckJacks.exe在注册表里的启动项删除即可!
中此病毒后不可双击盘符(C:  D: E:等等)否则病毒会散播到各个盘,到时候只能格式化所有盘,重装系统了。各大软件给的专杀工具都不能完全清除病毒。
预防第一!熊猫烧香病毒的预防方法
“熊猫烧香”病毒不但可以对用户系统进行破坏,导致大量应用软件无法使用,而且还可删除扩展名为gho的所有文件,造成用户的系统备份文件丢失,从而无法进行系统恢复;同时该病毒还能终止大量反病毒软件进程,大大降低用户系统的安全性。   这几天“熊猫烧香”的变种更是表象异常活跃,近半数的网民深受其害。对于已经感染“熊猫烧香”病毒的用户,建议参考《熊猫烧香病毒专杀及手动修复方案》,下载其中的专钉工具进行查杀,也可手动查杀。技术专家还总结了以下预防措施,帮你远离“熊猫烧香”病毒的骚扰。
  1、立即检查本机administrator组成员口令,一定放弃简单口令甚至空口令,安全的口令是字母数字特殊字符的组合,自己记得住,别让病毒猜到就行。
  修改方法:右键单击“我的电脑”,选择管理,浏览到本地用户和组,在右边的窗中,选择具备管理员权限的用户名,单击右键,选择设置密码,输入新密码就行。  



图1 修改Administrator密码 熊猫烧香_第1张图片

  2.、利用组策略,关闭所有驱动器的自动播放功能。
  步骤:单击开始,运行,输入gpedit.msc,打开组策略编辑器,浏览到计算机配置,管理模板,系统,在右边的窗格中选择关闭自动播放,该配置缺省是未配置,在下拉框中选择所有驱动器,再选取已启用,确定后关闭。最后,在开始,运行中输入gpupdate,确定后,该策略就生效了。  



图2 关闭所有驱动器的自动播放功能 熊猫烧香_第2张图片




图3 关闭所有驱动器的自动播放功能 熊猫烧香_第3张图片

  3、修改文件夹选项,以查看不明文件的真实属性,避免无意双击骗子程序中毒。
  步骤:打开资源管理器(按windows徽标键+E),点工具菜单下文件夹选项,再点查看,在高级设置中,选择查看所有文件,取消隐藏受保护的操作系统文件,取消隐藏文件扩展名。  



图4 修改文件夹属性 熊猫烧香_第4张图片

  4、时刻保持操作系统获得最新的安全更新,建议用毒霸的漏洞扫描功能。  
  5、启用windows防火墙保护本地计算机。  
  对于已经感染“熊猫烧香”病毒的用户,建议参考《熊猫烧香病毒专杀及手动修复方案》,下载其中的专钉工具进行查杀,也可手动查杀。
  对于未感染的用户,专家建议,不要登陆不良网站,及时下载微软公布的最新补丁,来避免病毒利用漏洞袭击用户的电脑,同时上网时应采用“杀毒软件+防火墙”的立体防御体系。 

你可能感兴趣的:(system,工具,windows,防火墙,扩展,exe)