病毒描述
“熊貓燒香”蠕蟲病毒可以將自身拷貝至系統目錄,同時修改注冊表將自身設置爲開機啓動項,並遍曆各個驅動器,將自身寫入磁盤根目錄下,增加一個 Autorun.inf文件,使得用戶打開該盤時激活病毒體。隨後病毒體開一個線程進行本地文件感染,同時開另外一個線程連接某網站下載ddos程序進行發動惡意攻擊。
“熊貓燒香”蠕蟲不但可以對用戶系統進行破壞,導致大量應用軟件無法使用,而且還可刪除擴展名爲gho的所有文件,造成用戶的系統備份文件丟失,從而無法進行系統恢複;同時該病毒還能終止大量反病毒軟件進程,大大降低用戶系統的安全性。
中毒症狀
被感染的用戶系統中所有.exe可執行文件全部被改成熊貓舉著三根香的模樣。
除了可執行文件外觀上的變換外,系統藍屏、頻繁重啓、硬盤數據被破壞等等現象均有發生,而且,中毒的機器系統運行異常緩慢,且很多應用軟件無法使用,同時該病毒還能終止大量反病毒軟件進程,大大降低用戶系統的安全性。
病毒行爲
目前常見的“熊貓燒香”病毒有兩種:Virus.Win32.EvilPanda.a.xxx和Flooder.Win32.FloodBots.a.xxx。
Virus.Win32.EvilPanda.a.xxx:
1、病毒體執行後,將自身拷貝到系統目錄:
%SystemRoot%\system32\FuckJacks.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Userinit "C:\WIN2K\system32\SVCH0ST.exe"
2、添加注冊表啓動項目確保自身在系統重啓動後被加載:
鍵路徑:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
鍵名:FuckJacks
鍵值:"C:\WINDOWS\system32\FuckJacks.exe"
鍵路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
鍵名:svohost
鍵值:"C:\WINDOWS\system32\FuckJacks.exe"
3、拷貝自身到所有驅動器根目錄,命名爲Setup.exe,並生成一個autorun.inf使得用戶打開該盤運行病毒,並將這兩個文件屬性設置爲隱藏、只讀、系統。
C:\autorun.inf 1KB RHS
C:\setup.exe 230KB RHS
4、關閉衆多殺毒軟件和安全工具。
5、連接*****.3322.org下載某文件,並根據該文件記錄的地址,去www.****.com下載某ddos程序,下載成功後執行該程序。
6、刷新bbs.qq.com,某QQ秀鏈接。
7、循環遍曆磁盤目錄,感染文件,對關鍵系統文件跳過,不感染Windows媒體播放器、MSN、IE 等程序。
Flooder.Win32.FloodBots.a.xxx :
1、病毒體執行後,將自身拷貝到系統目錄:
%SystemRoot%\SVCH0ST.EXE
%SystemRoot%\system32\SVCH0ST.EXE
2、該病毒後下載運行後,添加注冊表啓動項目確保自身在系統重啓動後被加載:
鍵路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
鍵名:Userinit
鍵值:"C:\WINDOWS\system32\SVCH0ST.exe"
3、連接ddos2.****.com,獲取攻擊地址列表和攻擊配置,並根據配置文件,進行相應的攻擊。
查殺方案
1. 斷開網絡
2. 結束病毒進程
%System%\drivers\spoclsv.exe
3. 刪除病毒文件:
%System%\drivers\spoclsv.exe
4. 右鍵點擊分區盤符,點擊右鍵菜單中的“打開”進入分區根目錄,刪除根目錄下的文件:
X:\setup.exe
X:\autorun.inf
5. 刪除病毒創建的啓動項:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"svcshare"="%System%\drivers\spoclsv.exe"
6. 修改注冊表設置,恢複“顯示所有文件和文件夾”選項功能:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
\Adv
