熊猫烧香'病毒专题:多少变种,怎么破坏,如何查杀?

wcfang

这个幽默又具有破坏力的病毒恐怕最近中招的不少,来看看这篇技术分析:
一、熊猫烧香有几个变种？
   到目前为止,从大体上分,目前主要有四大变种,变种A我们已经分析,见本版,变种B的就是大家常说的spoclsv.exe进程,它藏的全路径是:%SystemRoot%/Driversspoclsv.exe,其它部分与变种A基本一致.

变种C主要的改动是对抗杀毒软件，尤其是超级巡警的专杀，该专杀旧版本被360安全卫士内置到工具列表中。变种C通过查找窗口标题有超级巡警字样，即关闭该窗口，即使在桌面新建一个名为超级巡警的文本文件，用记事本打开也会被关闭。因此许多网友下载了旧版的专杀，抱怨打开就被关闭。

同时熊猫烧香病毒还会关闭其它一些常见的进程管理的，比如常用的Windows任务管理器。对付这种变种的方法就是使用一个不被关闭的进程管理的，推荐使用X-PS，下载地址和使用说明：http://www.unnoo.com/html/research/2006/0718/29.html，关闭掉名为spoclsv.exe的进程。然后在使用巡警的专杀，当然也可以下载最新的超级巡警使用里面的专杀来查杀。
    变种D是最近才出现的一个变种，该变种感染文件后图标不在是熊猫模样，当感染该变种会在临时目录发现100个图标文件。还有其它一些变种，基本都是为了躲避查杀进行修改和下载不同的后门的版本。

二、对系统的破坏：

    熊猫烧香在感染的系统上，会关闭杀毒软件进程，删除杀毒软件的注册表项目，禁用杀毒软件的服务，修改资源管理器不显示隐藏文件等。
   
    还会调用如下命令来删除共享：
    cmd.exe /c net share C$ /del /y
    cmd.exe /c net share D$ /del /y
    cmd.exe /c net share admin$ /del /y
    ....
   
    旧变种会全面感染系统文件，新变种会感染除系统目录外的文件，即尽量不感染微软操作系统自身的文件。
   
    新旧变种都会删除.gho，一般人会在安装完成系统后，使用Norton Ghost进行备份，熊猫会恶意删除这个备份文件。
   
    其中一个变种还会在感染目录生成desktop_.ini。
   
    最大的破坏是，熊猫烧香本身就是一种下载者，会在指定的网站下载后门、木马、各种盗号程序，甚至DDoS程序。
   
三、为什么无法清除干净，如何彻底查杀：

   有人使用了超级巡警和巡警之熊猫专杀后，将一个机子杀干净了，但不久又发现感染了，这是因为，熊猫烧香在感染了一个系统后，开启一个单独的线程进行C类网络扫描感染，访问同网段的139/445端口，进行IPC$密码猜解和查找共享，并感染共享中的文件。这样只要网络内有一个机子还有存活的熊猫烧香病毒，就依然存在再次感染全网的可能。

    许多朋友网络内都是有文件共享服务器，电影服务器，而许多网友的网络内的人都为了方便系统登录口令都是空口令，或者是123这样的简单口令。

    局域网中有个IE没有打病毒，浏览挂了熊猫烧香病毒的网站，并不知情。
   
    查杀的办法是：
   
    1、断开网络，使用超级巡警之熊猫烧香专杀，每个机子全面杀毒。
    2、修改口令，取消本地共享目录。
    3、查杀完成后使用超级巡警的补丁检查检查系统没有打的补丁，及时打上补丁，尤其是IE补丁。
   
    最新版巡警已经内置了最新专杀，请到官方网站http://dswlab.com中推荐的下载地址去下载!

shaka47

很麻烦的说啊~
谢谢楼主~

ly250094040

LZ强人啊

才刚刚一个月就知名人士了，，，，

rayman_yf

上次看见一个朋友的电脑上出现一个熊猫，我还以为是什么新软件，现在一看好像中招了

周杰伦

这个早看过了

worker321

最好还是做好防护啊，不要中毒了才知道杀！！

流光飞舞

按照楼主的地址找来了专杀巡警,但运行后迅速消失 ?why ......?

bidianyang

最近我们单位这个病毒肆虐的很

carter0531

这个病毒很麻烦

tracydk

原帖由 ly250094040 于 2007-1-3 07:34 发表
LZ强人啊

才刚刚一个月就知名人士了，，，，

这样的人在卡饭多着呢