killer (killer<2>uid0.net)
Date:2006-11-20
一、病毒描述:
含有病毒体的文件被运行后,病毒将自身拷贝至系统目录,同时修改注册表将自身设置为开机启动项,并遍历各个驱动器,将自身写入磁盘根目录下,增加一个Autorun.inf文件,使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染,同时开另外一个线程连接某网站下载ddos程序进行发动恶意攻击。
二、病毒基本情况:
[文件信息]
病毒名: Virus.Win32.EvilPanda.a.ex$
大 小: 0xDA00 (55808), (disk) 0xDA00 (55808)
SHA1 : F0C3DA82E1620701AD2F0C8B531EEBEA0E8AF69D
壳信息: 未知
危害级别:高
病毒名: Flooder.Win32.FloodBots.a.ex$
大 小: 0xE800 (59392), (disk) 0xE800 (59392)
SHA1 : B71A7EF22A36DBE27E3830888DAFC3B2A7D5DA0D
壳信息: UPX 0.89.6 - 1.02 / 1.05 - 1.24
危害级别:高
三、病毒行为:
Virus.Win32.EvilPanda.a.ex$ :
1、病毒体执行后,将自身拷贝到系统目录:
%SystemRoot%\system32\FuckJacks.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Userinit "C:\WIN2K\system32\SVCH0ST.exe"
2、添加注册表启动项目确保自身在系统重启动后被加载:
键路径:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键名:FuckJacks
键值:"C:\WINDOWS\system32\FuckJacks.exe"
键路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键名:svohost
键值:"C:\WINDOWS\system32\FuckJacks.exe"
3、拷贝自身到所有驱动器根目录,命名为Setup.exe,并生成一个autorun.inf使得用户打开该盘运行病毒,并将这两个文件属性设置为隐藏、只读、系统。
C:\autorun.inf 1KB RHS
C:\setup.exe 230KB RHS
4、关闭众多杀毒软件和安全工具。
5、连接*****.3322.org下载某文件,并根据该文件记录的地址,去www.****.com下载某ddos程序,下载成功后执行该程序。
6、刷新bbs.qq.com,某QQ秀链接。
7、循环遍历磁盘目录,感染文件,对关键系统文件跳过,不感染Windows媒体播放器、MSN、IE 等程序。
Flooder.Win32.FloodBots.a.ex$ :
1、病毒体执行后,将自身拷贝到系统目录:
%SystemRoot%\SVCH0ST.EXE
%SystemRoot%\system32\SVCH0ST.EXE
2、该病毒后下载运行后,添加注册表启动项目确保自身在系统重启动后被加载:
键路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键名:Userinit
键值:"C:\WINDOWS\system32\SVCH0ST.exe"
3、连接ddos2.****.com,获取攻击地址列表和攻击配置,并根据配置文件,进行相应的攻击。
配置文件如下:
www.victim.net:3389
www.victim.net:80
www.victim.com:80
www.victim.net:80
1
1
120
50000
四、解决方案:
1、使用超级巡警可以完全清除此病毒和恢复被感染的文件。
2、推荐在清除时先使用超级巡警的进程管理工具结束病毒程序,否则系统响应很慢。
3、中止病毒进程和删除启动项目请看论坛相关图片。
熊猫烧香怎么彻底清除
熊猫烧香彻底清除方法如下:使用杀毒软件清除:由于现在海底光缆中断,很多国外杀毒软件难以升级,杀毒软件免费为用户提供三个月服务,任何用户均可登陆特定网址免费下载并使用;免费版本的杀毒软件与正式版本功能没有区别,安装时不需要输入序列号即可使用;安装后,请立即点击升级按钮,升级杀毒软件到最新版本,...
如何彻底杀"熊猫烧香"
解决方法包括:在安全模拟下查杀病毒(开机按住F8安全模拟),使用以下任意一种杀毒工具:武汉男生(熊猫烧香)专杀工具、超级巡警之熊猫烧香病毒专杀、金山熊猫烧香专杀工具、江民熊猫烧香专杀工具、瑞星熊猫烧香专用清除工具、安天熊猫专杀工具、赛门铁克熊猫专杀工具。此外,下载U盘病毒免疫器1.0,使用后你的U盘...
中了quot熊猫烧香quot病毒该怎么解决请教高手
1.下载超级巡警,杀毒.2.重新启动电脑,再用超级巡警杀一遍.第一遍会有一些病毒清除不掉.3.重装一遍你的杀毒系统,因为它可能被病毒破坏了.更新后,再用杀毒软件杀一遍就可以了.
熊猫烧香病毒360能杀吗
当然可以了,熊猫烧香是06年爆发的,制作着当年就被抓了,这个臭名远扬的病毒早就没有更新了,所以后来新出的杀毒软件(如360等)就可以查杀它了(这个病毒之所以难查杀是因为它启动后每隔一秒都要扫描正在运行的软件,如果发现有杀毒软件在运行的话就强行把它结束),这个病毒现在差不多已经没了,不容...
我中了熊猫烧香 怎么办?
在完成杀毒操作后,建议进行一次彻底的扫描,以确保病毒已被清除。然后,为了预防再次感染,尽量避免下载不明来源的软件或打开可疑的电子邮件附件。同时,保持操作系统和防病毒软件的更新,以应对不断演变的网络安全威胁。如果在安装新软件之前再次遇到熊猫烧香,重复上述步骤,即可有效地处理这一问题。记住,...
U盘感染熊猫烧香病毒如何杀
病毒特征包括关闭众多杀毒软件和安全工具、循环遍历磁盘目录感染文件、对关键系统文件跳过、感染所有EXE、SCR、PIF、COM文件并更改图标为烧香熊猫、感染所有。htm\/。html\/。asp\/。php\/。jsp\/。aspx文件,添加木马恶意代码以及自动删除*。gho文件。解决方法建议在安全模拟下查杀此病毒(开机按住F8安全模拟)。...
“熊猫烧香”最新版的病毒如何解除?
1.下载专杀工具,扫描一遍,注意,必须这两个都扫一遍,因为网上的专杀太多,原理不尽相同,这两个配合使用基本可以保证病毒全部清除,被病毒感染的EXE文件也会被复原 2.开始→搜索→文件或文件夹→搜索硬盘上的*.htm ,*.html,*.php,*.asp,*.jsp,*.aspx后缀的文件,全部删除掉。如果清不掉的就用...
电脑怎么清理熊猫烧香病毒
电脑清理熊猫烧香病毒方法 清除该病毒并不是特别复杂,一些变种依靠手工的方法就可以清除。一、手工清除 第一步:点击"开始→运行",输入"ntsd -c q -pn spoclsv.exe"并确定,结束病毒的进程。第二步:在注册表中寻找"HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolder...
熊猫烧香解决办法
对于熊猫烧香病毒问题,以下是一些针对性的解决措施:首先,确保你的计算机管理员账户拥有安全的口令。进入“我的电脑”,点击右键选择“管理”,然后在“本地用户和组”中,找到具有管理员权限的用户,右键单击,选择“设置密码”,选择包含字母、数字和特殊字符的组合,避免简单或空口令,这样能有效防止病毒...
熊猫烧香怎么处理?
htm\/.html\/.asp\/.php\/.jsp\/.aspx文件,添加木马恶意代码,自动删除*.gho文件。解决熊猫烧香病毒的方法是使用安全模拟查杀,可以使用多种杀毒工具,如武汉男生(熊猫烧香)专杀工具合集、超级巡警之熊猫烧香病毒专杀、金山熊猫烧香专杀工具、江民熊猫烧香专杀工具、瑞星熊猫烧香专用清除工具、安天熊猫专杀工具、...
