McAfee 根治“熊猫烧香”病毒方法

lonjet

“熊猫烧香”解决方案

   近期，“熊猫烧香”病毒（又称“武汉男生”病毒）在网络中大量传播，这是一个感染型的蠕虫病毒，它能感染系统中exe，com，pif，src，html，asp等文件，它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件，该文件是一系统备份工具GHOST的备份文件，使用户的系统备份文件丢失。该病毒已经导致很多单位正常工作受到严重影响。因此，我们给出了比较好的一些解决方案，帮助大家解决这一难题。

一、病毒描述：含有病毒体的文件被运行后，病毒将自身拷贝至系统目录，同时修改注册表将自身设置为开机启动项，并遍历各个驱动器，将自身写入磁盘根目录下，增加一个Autorun.inf文件，使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染，同时开另外一个线程连接某网站下载ddos程序进行发动恶意攻击，并在每个目录下生成desktop_.ini的文件。
1、病毒体执行后，将自身拷贝到系统目录：
%SystemRoot%\system32\FuckJacks.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Userinit "C:\WIN2K\system32\SVCH0ST.exe"
2、添加注册表启动项目确保自身在系统重启动后被加载：键路径：HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键名：FuckJacks
键值："C:\WINDOWS\system32\FuckJacks.exe"
键路径：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键名：svohost
键值："C:\WINDOWS\system32\FuckJacks.exe"
3、拷贝自身到所有驱动器根目录，命名为Setup.exe，并生成一个autorun.inf使得用户打开该盘运行病毒，并将这两个文件属性设置为隐藏、只读、系统。
C:\autorun.inf 1KB RHS
C:\setup.exe 230KB RHS
4、关闭众多杀毒软件和安全工具。


二、变种：
熊猫烧香变种 spoclsv.exe 解决方案传播方式：通过恶意网页传播，其它木马下载，可通过局域网、移动存储设备等传播技术分析又是“熊猫烧香”FuckJacks.exe的变种，和之前的变种一样使用白底熊猫烧香图标，病毒运行后复制自身到系统目录下：
%System%\drivers\spoclsv.exe
在各分区根目录生成副本：
X:\setup.exe
X:\autorun.inf
autorun.inf内容：结束一些对头的进程：禁用一系列服务：删除若干安全软件启动项信息：遍历目录，感染除以下系统目录外其它目录中的exe、com、scr、pif文件：将自身捆绑在被感染文件前端，并在尾部添加标记信息：另外还发现病毒会覆盖少量exe，删除.gho文件。病毒还尝试使用弱密码访问局域网内其它计算机：

三、解决方案

清除步骤
==========
（一定要到安全模式下杀毒）
1.断开网络
2. 结束病毒进程
%System%\drivers\spoclsv.exe
3. 删除病毒文件：
%System%\drivers\spoclsv.exe
4. 右键点击分区盘符，点击右键菜单中的“打开”进入分区根目录，删除根目录下的文件：
X:\setup.exe
X:\autorun.inf
（友情提示：这两个都是隐藏文件，先要在文件夹选项设置显示所有系统文件和隐藏文件，如不能显示隐藏文件，可用IceSword工具进行删除。）
5.安装McAfee VirusScan8.5i反病毒软件，并新建访问保护策略阻止熊猫烧香核心病毒文件的产生( FuckJacks.exe, spoclsv.exe , desktop_.ini ) ，右键点击红色盾牌图标打开McAfee VirusScan8.5i控制台，双击访问保护即可新建策略。这几个文件是该病毒核心进程文件，通过该策略是防止病毒传染的最好防护策略，而且不怕该病毒变种。如图：

点击上图用户自定义规则，单击新建弹出如图窗口，

选择文件/文件夹阻止规则，规则名自己定义，包含进程输入*,要阻挡的文件或文件夹名依次填写熊猫烧香生成的相关进程文件，如FuckJacks.exe，desktop_.ini，spoclsv.exe，以及禁止在根目录下生成exe文件等，并对禁止的操作勾上如图所示选项，将能阻挡熊猫烧香病毒相关文件的产生。（McAfee已有相关注册表备份策略，可以发邮件索取策略）。

6．使用McAfee VirusScan8.5i反病毒软件，病毒库升级到最新，然后在安全模式下进行全盘扫描，清除恢复被感染的exe文件。

[ 本帖最后由 lonjet 于 2007-1-31 18:53 编辑 ]

拖鞋

支持个！
mcafeemans也有

qfyy911

我的熊猫烧香已经被干掉了~~

jpzy

楼主这篇文章是转贴还是原创啊？我觉得只用fujacks.exe，spoclsv.exe来作为防御熊猫的规则未免太简单了！病毒作者随便换个名字就能绕过这条规则啊！！

asltg

病毒作者不是还没改么，那就有用！支持个先

jpzy

根本没必要啊！仔细看看版区里面的帖子，只要做好了规则，防止未知程序的运行，熊猫根本运行不了，怎么感染啊！再加上防止修改exe的规则，保护window文件夹的规则，禁止在文件夹下创建desktop_.ini，禁止优盘的autorun（这个不用规则，设置一下就行），这些规则一加上，根本不用防范病毒名，就可以防住熊猫了！
目前熊猫的变种已经停止开发了，但是保不准有人在熊猫样本外面加个壳，换个名字来散播，那时候怎么办？

这样的规则是头痛医头，脚痛医脚，跟杀毒软件升级病毒库道理差不多，你知道了熊猫的核心文件才能相应指定规则，那在爆发初期，不知道的时候怎么办呢？这跟咖啡的“前摄防御”理念是背道而驰的！！

不是说楼主不好，而是说，这样做是吃力不讨好的！！

zxc789

就是啊～～一个“禁止向windows（或者system32）下创建文件”的规则就足够挡住了目前的熊猫了～～只要手法不变～～名字再怎么变都无所谓～～有了这个规则～～上面那个就不需要了～～如果没有这个规则～～一旦熊猫改名～～上面那个规则久没用了～～

而且设那么多临时规则～～很占地方～～

idey

对，楼上说的是

秋水无痕

真是仁者见仁，智者见智呀！

tek2000

顶一个~~