查看: 3944|回复: 10
收起左侧

[江民] 江民反病毒工程师剿杀“熊猫烧香”病毒全程实录

[复制链接]
周杰伦
发表于 2007-1-31 08:16:50 | 显示全部楼层 |阅读模式
“熊猫烧香”疯狂发作

   2007年1月15日上午,中关村数码大厦32 层,江民科技反病毒中心。
最近一段时间,江民科技的几部反病毒热线始终没有停下来过,有很多用户打电话询问同一种病毒的查杀方法,这种病毒有一个最显著的特点-中毒电脑的可执行程序图标都会变成一只熊猫举着三炷香的样子,也就是最近正在互联网大范围流窜的蠕虫病毒-“熊猫烧香” 。此病毒最早现身于2006年10月,最近正处于急速变种期,再加上这个病毒利用多种漏洞和途径大肆传播,因此中毒用户也急速增加。对于用户打来的每一个电话,江民科技的工程师都会详细耐心的给出解决方案,指导用户如何彻底查杀此病毒。

  “铃,铃,铃。。。。。。” 刚刚放下的电话又响了起来,江民科技的工程师立即接取电话询问:“你好!这里是江民科技,请问有什么需要服务的吗?”

   “啊!你好!是江民公司吧?我这边中毒了!网都瘫痪了,你们快来帮帮我吧!”对方的声音显得很焦急。

   “您先别着急,请说一下你那边的情况,有什么异常的现象吗?”江民科技的工程师耐心的询问着。

   “是这样,今天一早上,我就发现我们服务器的文件都不能运行了,图标都变成一个熊猫的样子,接着网速就很慢,现在基本上局域网都瘫痪了!”

   “哦,那你们中的可能是最近流行的‘熊猫烧香’蠕虫病毒,请问你们用的是那款杀毒软件和病毒库的日期?”江民科技的工程师进一步了解用户的情况。

   “哎呀!我们公司刚刚组建完网络,还没装杀毒软件呢!这不就中了嘛!你们能派工程师来我们这里处理一下吗?十分感谢!”

   “哦,那好,请您留下联系方式,我们会立即派人去部署一下杀毒软件,彻底清除您们网络中的病毒。” 江民科技的工程师记下了对方的地址,立即启程,又一次的展开了紧迫的反病毒任务。

    全网尽烧熊猫香  

   江民科技的工程师立刻就赶到用户那里,在一台服务器上发现里面的工具软件都已经被“熊猫烧香”蠕虫病毒感染了,如图1:

   图1 被“熊猫烧香”病毒感染之后的文件


   在进程中出现一个名为 spoclsv.exe 的可疑进程,如图2:

图2.jpg  “熊猫烧香”病毒进程
   在注册表中,有一个名为svcshare 的可疑启动项,如图3:

图3 “熊猫烧香”病毒启动项

   此外,还在硬盘跟目录下面发现了两个隐藏属性的可疑文件:

图4  “熊猫烧香”病毒还可以通过U盘传播

   显然,这样当用户双点打开E盘时,病毒文件就会激活运行。
还有,在一些文件夹里面出现了名为Desktop_.ini 的文件,里面有一个时间戳:如2007-1-15,这是标记着病毒的发作日期。如图5

图5
   从这些迹象可以看出,用户中的是典型的“熊猫烧香”蠕虫病毒,此时用户也在旁边询问:“怎么办?请帮忙一定把病毒杀干净!”江民科技的工程师坚定地回答说:“请放心!你的电脑是由于没有装杀毒软件,这才给病毒留下空隙的,我现在给你安装一套KV 杀毒软件,很容易就能将病毒杀干净!而且你这里是一个局域网环境,就部署一下KV网络版吧!”
于是江民科技的工程师采用KV杀毒软件网络版独有的WEB方式安装,不出一小会,几十个节点的网络版杀毒软件便部署完毕,并且在进行了全网病毒库统一升级之后,下达了全网同时杀毒指令,如图6,立刻,这台服务器的病毒就彻底清除完毕了,如图7:

图6  KV网络版主控中心


图7  KV网络版客户端杀毒界面




   杀毒之后,文件被很好的还原,病毒被彻底的清除。如图8

图8  KV杀毒之后,文件被还原

   看见文件被还原,“熊猫”不见了,这位用户终于放下心来,接着江民科技的工程师说:“对于‘熊猫烧香’这样的恶性蠕重,我们江民科技在第一时间就发布了免费专杀工具,http://download.jiangmin.info/jmsoft/VikingKiller.exe ,可以随时下载使用,可以很好的清除被熊猫烧香病毒感染的文件。”如图9

图9  江民科技“熊猫烧香”病毒专杀工具

   杀毒防毒选KV  安全建议很重要

   接着江民科技的工程师说:你看,你们的服务器连密码都没有设置,补丁也没有打上,这样的电脑是很容易感染病毒的,出次之外,还应该注意以下几点:

1, 局域网用户尽量避免创建可写的共享目录,已经创建共享目录的应立即停止共享。
2, 如无必要,Windows 2000/XP用户应尽量关闭IPC$共享,并给具有管理员权限的帐号设置强健的密码。
3, 及时安装微软的安全更新,不要随意访问来源不明的网站。特别是微软的MS06-014漏洞,应立即打好该漏洞补丁。
   补丁下载地址:http://www.microsoft.com/china/technet/security/bulletin/ms06-014.mspx
4, 安装杀毒软件,并及时升级病毒库
5, QQ用户请下载安装最新版本的QQ软件,已发现多起恶意网站利用QQ漏洞传播熊猫蠕虫的现象。
6, 使用U盘等移动设备交换文件时,要开启杀毒软件的实时监控,或先用杀毒软件扫描,并关闭自动播放功能。

   另外,多浏览江民科技反病毒资讯http://www.jiangmin.com,上面的文章也是一个很好的参考。

   就这样,一场没有硝烟的反病毒之战就结束了,这仅仅是江民科技众多反病毒案例中的一个缩影,江民科技用着一个个先进的反病毒解决方案,捍卫着网络安全的长城,正印证了一句话:网络安全,选择江民。
my6kies
发表于 2007-1-31 08:19:02 | 显示全部楼层
图片看不了
周杰伦
 楼主| 发表于 2007-1-31 08:39:34 | 显示全部楼层
奇怪了,刚刚还可以看了,现在怎么看不了了
长翅膀的狼
发表于 2007-1-31 11:12:15 | 显示全部楼层
没有图片
专家
发表于 2007-1-31 12:08:54 | 显示全部楼层
lz,图片看不到啊,
29159011
发表于 2007-1-31 13:19:30 | 显示全部楼层
我可以看到图片啊
fbac
头像被屏蔽
发表于 2007-1-31 13:35:33 | 显示全部楼层
图片看不到
shuishui
发表于 2007-1-31 13:41:05 | 显示全部楼层
我这也看不到图片...
kaspfans
发表于 2007-1-31 20:42:01 | 显示全部楼层
看不到图片
hp88
发表于 2007-1-31 20:55:29 | 显示全部楼层
只用卡巴
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-27 01:59 , Processed in 0.129399 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表