骏景花园业主论坛

标题: “熊猫烧香”!!! [打印本页]
作者: 丹霞隐士    时间: 2007-1-22 20:16
标题: “熊猫烧香”!!!
今早上班,同事说电脑卡机,我以为只是运行应用程序太多的缘故,随手帮他关掉几个进程,可是并没有太大的改善,没多久还死机了。重启后,我再次打开进程,看到有两上陌生的进程,不认识,干脆关掉,可一关就死机。正当我思考问题所在的时候,那位同事开始复制硬盘里的资料,他以为要重装。突然他笑嘻嘻地告诉我,F盘里有一只可爱迷人的国宝大熊猫,两手握着三柱香,顶礼膜拜,样子很虔诚。我伸头去看,突然想起了2007 年第一周排行榜第一位的病毒,莫非……这就是传说中的“熊猫烧香”?

想到这里脚有点软了,据说它最喜欢漫游局域网,只要进入其中一台电脑,很快就会游遍整个局域网,已经有数十家企业的局域网因此瘫痪。于是我不敢多想,第一时间冲进机房断掉了网络,然后仔细检查了所有的电脑。还算幸运,只有两台电脑中招。折腾了一整天,终于把其中一台电脑的熊猫干掉,另一台因为没有重要数据,干脆把硬盘格掉重装,还好它没有参观我们的服务器,否则后果不堪设想。

现在想起来仍然心有余悸,因为我曾经看过关于它的传说。“熊猫烧香”对 Windows 和常用的系统组件,如 IE、Messenger 等的运行没有多大影响,所以一般并不引人注意。如果不是那位同事的电脑死机,或许今天根本不会发现它。“熊猫烧香”会自行搜索硬盘上扩展名为 .EXE、.HTM、.ASP、.CHM 等几种类型的文件,把这些文件当作宿主,寄生在这些文件里。一旦这几种类型的文件被感染,文件的图标就会变成一只烧香熊猫的样子,同时文件变大(病毒已经寄生在其中),如果运行这些中毒的文件,病毒就会疯狂扩散。不但可以对用户系统进行破坏,导致大量应用软件无法使用,而且还可删除扩展名为gho的所有文件,造成用户的系统备份文件丢失,从而无法进行系统恢复。同时该病毒还能终止大量反病毒软件的进程,具有自行关闭防火墙和杀毒软件的能力,电脑上的瑞星防火墙便被强制禁用,病毒监控虽然可以运行,但也被取消了随系统启动一同加载的权利。连 Windows 安全中心也不能幸免,Security Center 服务被整个删除,另外在文件夹选项中也无法查看隐藏的文件夹和文件,在文件夹选项中设置“显示所有文件夹和文件”后无法保存设置。

“熊猫烧香”属于“威金”的一个最新变种蠕虫病毒,自从去年被截获以来,已经感染了超过30万台电脑,几乎每天都有新变种出现。它的生命力惊人,变种速度快,影响范围广,与06年横行于局域网的“威金”不相上下。近段时间,“熊猫烧香”(Worm.WhBoy.h) 蠕虫正处于急速变种期,仅11月份至今,变种数量已达十几个,尼姆亚变种W(Worm.Nimaya.w)就是其中之一。用户电脑中毒后可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。同时,该病毒的某些变种可以通过局域网进行传播,进而感染局域网内所有计算机系统,最终导致企业局域网瘫痪,无法正常使用。

“熊猫烧香”有几大变种,变种A就是大家常说的spoclsv.exe进程,它藏身的全路径是:% SystemRoot%Driversspoclsv.exe。变种B主要的改动是对抗杀毒软件,尤其是超级巡警的专杀,该专杀旧版本被360安全卫士内置到工具列表中,变种B通过查找窗口标题有超级巡警字样,即关闭该窗口,即使在桌面新建一个名为超级巡警的文本文件,用记事本打开也会被关闭,同时还会关闭其它一些常见的进程管理,比如常用的Windows任务管理器。变种C是最近才出现的一个变种,该变种感染文件后图标不再是熊猫模样,当感染该变种会在临时目录发现100个图标文件。还有其它一些变种,基本都是为了躲避查杀进行修改和下载不同的后门的版本。

“熊猫烧香”在感染的系统上,会关闭杀毒软件进程,删除杀毒软件的注册表项目,禁用杀毒软件的服务,修改资源管理器不显示隐藏文件等。还会调用如下命令来删除共享:
cmd.exe /c net share C$ /del /y
cmd.exe /c net share D$ /del /y
cmd.exe /c net share admin$ /del /y

旧变种会全面感染系统文件,新变种会感染除系统目录外的文件,即尽量不感染微软操作系统自身的文件。新旧变种都会删除.gho,一般人会在安装完成系统后,使用Norton Ghost进行备份,熊猫会恶意删除这个备份文件。其中一个变种还会在感染目录生成desktop_.ini。最大的破坏是,熊猫烧香本身就是一个下载者,会在指定的网站下载后门、木马、各种盗号程序,甚至DDoS程序。

有人使用了超级巡警和巡警之熊猫专杀后,将一个机子杀干净了,但不久又发现感染了,这是因为,熊猫烧香在感染了一个系统后,开启一个单独的线程进行C类网络扫描感染,访问同网段的139/445端口,进行IPC$密码猜解和查找共享,并感染共享中的文件。这样只要网络内有一个机子还有存活的“熊猫烧香”病毒,就依然存在再次感染全网的可能。

我在网上遍寻良方,最后选用了手动查杀的方法,整个过程如下:

1、 在任务管理器的进程列表中关闭 SPCOLSV.EXE 病毒进程。这个SPCOLSV.EXE 明显是在模仿系统进程 SPOOLSV.EXE。
2、 删除位于%SystemRoot%system32Drivers 文件夹中的SPCOLSV.EXE 文件。%SystemRoot%system32Drivers 文件夹中不应该存在 .EXE 文件,所以很好找。
3、 每个硬盘分区的根目录都有两个隐含的文件 AUTORUN.INF 和 SETUP.EXE,将这些垃圾全部删除。
4、 在注册表 HKEY_CURRENT_USER/Software/Microsoft/Windows/Current Version/Run 中把病毒的启动项 svcshare 删除。
5、 恢复杀毒软件随系统启动的加载项,在注册表 HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/Current Version/Run 中加上一个 RavTask,设置命令为 "C:RiSingRavRavTask.exe" -system 即可,其中 C:RisingRAV 是瑞星的默认安装位置。
6、 在另一台“安全中心”服务正常的电脑上打开注册表,将 HKEY_LOCAL_MACHINE/SYSTEM/Current/Control/Set/Serviceswscsvc 的全部内容导出为 .REG 文件,复制到故障电脑上导入注册表,然后重新启动 Windows,恢复被病毒删除的“安全中心”服务。

到这个地步,病毒的主要文件基本上就被清理干净了。但是还剩下那些已经变成了熊猫嘴脸的 .EXE 文件,一开始不知道如何恢复。试过瑞星、江民和金山提供的熊猫烧香病毒专杀工具,但它们都只能清理上面提到的 AUTORUN.INF 和 SETUP.EXE,对于已经被寄生的 .EXE 文件无法自动恢复。后来在反间谍软件“超级巡警”里找到了一个熊猫烧香病毒专杀工具1.6,名为 KillPanda.BAT,这个工具总算没有让人失望,经过扫描后,被寄生的 .EXE、.HTM 等类型的文件都恢复了默认图标,而且文件大小也恢复正常了,可以正常运行,总算避免了需要全部重新安装的厄运。不过所有被寄生过的文件,文件的生成时间、修改时间和访问时间就都保不住了,最后还是留下了一点“后遗症”。查杀完成后使用超级巡警的补丁检查检查系统没有打的补丁,及时打上补丁,尤其是IE补丁。然后修改口令(这点很重要,因为熊猫病毒会自动破解密码进入计算机,空密码或是简单的密码都很危险),取消本地共享目录。
作者: 舞动的猪    时间: 2007-1-22 20:37
标题: Re: “熊猫烧香”!!!
厉害! [M29]
作者: sun20060126    时间: 2007-1-22 20:41
标题: Re: “熊猫烧香”!!!
比较有同感!!

最近的熊猫病毒比较嚣张!!普通的手动删除比较棘手!通常对待病毒我都是手动删除的,而对待熊猫好象效果不佳......
作者: starkyoyo    时间: 2007-1-23 01:37
标题: Re: “熊猫烧香”!!!
[M14] 俺还没见识过,只听很多朋友同学说起,还有原来的同事说单位的机子全都中啦, [M01] [M01] [M01] ~~~
作者: 邪明少    时间: 2007-1-23 08:57
标题: Re: “熊猫烧香”!!!
宝典啊! [M29] [M29]
已经收藏 [M14] [M14]

请问LZ:是原创不? [M05]
作者: 小王子    时间: 2007-1-23 09:02
标题: Re: “熊猫烧香”!!!
上周我们公司的好几台电脑都中招了,然后大家围着嚷嚷要看那可爱的小熊猫~

好多文件的图标都变成了一个憨厚的小熊猫毕恭毕敬的举着三支香 [M04]
表现为:双击打不开文件,非要按右键点击“打开”

后来不知道他们怎么杀掉的,反正我幸免于难了~ [M24]
作者: 邪明少    时间: 2007-1-23 09:04
标题: Re: “熊猫烧香”!!!
俺前两天帮一个阿姨解决这个问题,最终用了重装系统这个万能招! [M01] [M01]
作者: 小王子    时间: 2007-1-23 09:09
标题: Re: “熊猫烧香”!!!
引用作者 邪明少 于 2007-1-23发表的原文
俺前两天帮一个阿姨解决这个问题,最终用了重装系统这个万能招! [M01] [M01]


唉~看来电脑盲也要去学学如何重装系统了 [M13]
不过还有一招:一键恢复! [M04]
作者: 丹霞隐士    时间: 2007-1-23 09:10
标题: Re: “熊猫烧香”!!!
引用作者 sun20060126 于 2007-1-22发表的原文
比较有同感!!

最近的熊猫病毒比较嚣张!!普通的手动删除比较棘手!通常对待病毒我都是手动删除的,而对待熊猫好象效果不佳......

这玩意是比较麻烦,手动删除也会有手尾,重装是最好的办法。只是有些电脑中毒以后根本无法操作,而里面又有重要数据。所以只能耐心地手动删除。
作者: 丹霞隐士    时间: 2007-1-23 09:12
标题: Re: “熊猫烧香”!!!
引用作者 邪明少 于 2007-1-23发表的原文
宝典啊! [M29] [M29]
已经收藏 [M14] [M14]

请问LZ:是原创不? [M05]

一半一半吧,因为有几招是在网上搜索到的,在操作中遇到了不同的情况,我又用自己的方法解决了一部分,最后总结出这一套杀毒方法。 [M05]
作者: seafeeling    时间: 2007-1-23 09:13
标题: Re: “熊猫烧香”!!!
预防的招数在哪?

是否:
1)安装防火墙;
2)升级WIN系统;
3)更新杀毒软件。
4)没事拔掉网线?
作者: 小王子    时间: 2007-1-23 09:16
标题: Re: “熊猫烧香”!!!


...看看中毒后的文件图标~
作者: 小王子    时间: 2007-1-23 09:17
标题: Re: “熊猫烧香”!!!


这个可爱吧~ [M24]就是左上角那个~
[本帖由小王子修改于2007-01-23 09:17:38]
作者: GIGI    时间: 2007-1-23 09:47
标题: Re: “熊猫烧香”!!!
偶单位上个星期因为这个"熊猫烧香",局域网瘫痪了两天 [M13]
作者: aaaznh    时间: 2007-1-23 09:48
标题: Re: “熊猫烧香”!!!
我也中招了,也是手动删除的,特别要注意的是可以通过USB盘传染!记得把USB盘也清一清.
作者: wwy    时间: 2007-1-23 09:51
标题: Re: “熊猫烧香”!!!
最近不少同事中 招 [M04]
作者: 枚梅    时间: 2007-1-23 11:05
标题: Re: “熊猫烧香”!!!
说的原来是这么一回事 [M04]
作者: 小淘气    时间: 2007-1-23 11:11
标题: Re: “熊猫烧香”!!!
我们公司没中过这么病毒
作者: 丹霞隐士    时间: 2007-1-24 09:17
标题: Re: “熊猫烧香”!!!
引用作者 seafeeling 于 2007-1-23发表的原文
预防的招数在哪?

是否:
1)安装防火墙;
2)升级WIN系统;
3)更新杀毒软件。
4)没事拔掉网线?

“熊猫烧香”是通过破解电脑密码而侵入电脑的,所以最重要的一步就是设置高难度的开机密码,不要怕麻烦。其次,它很多时候是随QQ软件侵入的,所以应更新QQ版本(QQ有自动更新提示,但因为现在的QQ版本太多,有些根本无法自动更新),如果更新不了,建议到腾迅网站上去下载补丁(腾迅公司已经发布了最新补丁)。还有就是系统更新,有些人怕自动更新会影响电脑运行速度,所以关闭了自动更新功能,所以应该经常到微软网站去搜索、下载最新补丁,也可以用“超级巡警”检查、安装最新补丁。 [M05]
作者: 丹霞隐士    时间: 2007-1-24 09:22
标题: Re: “熊猫烧香”!!!
引用作者 aaaznh 于 2007-1-23发表的原文
我也中招了,也是手动删除的,特别要注意的是可以通过USB盘传染!记得把USB盘也清一清.

它是寄居在硬盘里的,不论是电脑硬盘还是移动盘,都有可能成为它的寄居地,一旦系统访问该盘,它就会疯狂侵蚀系统。
作者: romantic    时间: 2007-1-24 09:37
标题: Re: “熊猫烧香”!!!
[M13] [M13] [M13] 好可怕.

我的电脑已经中毒身芒了.但不知道是不是中了这个毒? [M13]
作者: 幸运水晶    时间: 2007-1-24 10:01
标题: Re: “熊猫烧香”!!!
最近:"熊猫烧香"很火呀~~~我好多客户都有遇到这种情况,

不过好在都解决了~~不过刚开始的用了很久才解决,现在有了一点小办法.

嘻嘻,哪位同学还没得到解决的,也可以联系我呀! [M03]
作者: 丹霞隐士    时间: 2007-1-24 19:56
标题: Re: “熊猫烧香”!!!
引用作者 幸运水晶 于 2007-1-24发表的原文
最近:"熊猫烧香"很火呀~~~我好多客户都有遇到这种情况,

不过好在都解决了~~不过刚开始的用了很久才解决,现在有了一点小办法.

嘻嘻,哪位同学还没得到解决的,也可以联系我呀! [M03]

经验是慢慢积累滴 [M02]
作者: roger    时间: 2007-1-24 20:34
标题: Re: “熊猫烧香”!!!
公司局域网内的很多计算机都感染了熊猫烧香,瑞星、360等专杀工具都没用,只好都重装了。 [M07]
作者: 丹霞隐士    时间: 2007-1-24 20:38
标题: Re: “熊猫烧香”!!!
引用作者 roger 于 2007-1-24发表的原文
公司局域网内的很多计算机都感染了熊猫烧香,瑞星、360等专杀工具都没用,只好都重装了。 [M07]

重要资料咋办呢?如果只格C盘,熊猫还可能会再生,因为它寄生于任何硬盘,包括移动盘。所以用移动盘拷贝资料然后全格也是不安全的,当你将移动盘的资料放回硬盘时,又把熊猫放回去了,还可能是变种以后的。 [M15]
作者: roger    时间: 2007-1-24 20:45
标题: Re: “熊猫烧香”!!!
引用作者 丹霞隐士 于 2007-1-24发表的原文
[quote]引用作者 roger 于 2007-1-24发表的原文
公司局域网内的很多计算机都感染了熊猫烧香,瑞星、360等专杀工具都没用,只好都重装了。 [M07]

重要资料咋办呢?如果只格C盘,熊猫还可能会再生,因为它寄生于任何硬盘,包括移动盘。所以用移动盘拷贝资料然后全格也是不安全的,当你将移动盘的资料放回硬盘时,又把熊猫放回去了,还可能是变种以后的。 [M15][/quote]
是啊!尽管格式化了,又拿多种专杀工具杀了,但还是不放心啊!
作者: 天文数字    时间: 2007-1-24 21:56
标题: Re: “熊猫烧香”!!!
我在办公室的电脑今天中招了 [M06] [M06] [M06]
作者: yes168    时间: 2007-1-25 09:56
标题: Re: “熊猫烧香”!!!
前两天去某学校上课,那里的电脑也中了这个病毒!折腾了一番,算是对这个病毒很了深刻的印象!
作者: 幸运水晶    时间: 2007-1-25 10:11
标题: Re: “熊猫烧香”!!!
最气人的是中了这种毒资料基本上就不用想了~~~没了.

哎,想请问各位高人,有一种情况他虽然不出现熊猫烧香的图像出来,可是莫名的超级慢,会不会也是这种病毒呢?

或者说会不会是曾中过熊猫烧香后,杀过毒之后的那些,尾巴呢? [M11]
作者: fei    时间: 2007-1-25 10:48
标题: Re: “熊猫烧香”!!!
呵呵!

+1的同事超级搞笑 [M04]

有天加班后去宵夜,喝了两杯小酒后开始“发傻”,要求给他们拍熊猫烧香的PP。 [M04] [M04]

模仿熊猫烧香的样子举三支筷子,一人拍三张(举在头顶、脸前、胸前)做成GIF.

有个胖胖的同事拍起来超级像。昨天在+1手机上看了后笑翻我了。 [M01]
作者: fei    时间: 2007-1-25 10:49
标题: Re: “熊猫烧香”!!!
引用作者 天文数字 于 2007-1-24发表的原文
我在办公室的电脑今天中招了 [M06] [M06] [M06]

慰问 [M29] [M29]
作者: 天文数字    时间: 2007-1-25 11:38
标题: Re: “熊猫烧香”!!!
引用作者 fei 于 2007-1-25发表的原文
呵呵!

+1的同事超级搞笑 [M04]

有天加班后去宵夜,喝了两杯小酒后开始“发傻”,要求给他们拍熊猫烧香的PP。 [M04] [M04]

模仿熊猫烧香的样子举三支筷子,一人拍三张(举在头顶、脸前、胸前)做成GIF.

有个胖胖的同事拍起来超级像。昨天在+1手机上看了后笑翻我了。 [M01]


我也笑爆.
作者: 天文数字    时间: 2007-1-25 11:40
标题: Re: “熊猫烧香”!!!
昨天我们单位技术部的同事下来在我的电脑上狂杀了快1个小时,似乎是解决了,因为之后上网速度比以前快好多啊(估计在我的电脑里潜伏了一段时间 [M13] ).
可是,因为占用了俺一个小时的工作时间,昨天差点迟签版(偶们迟签版的罚款标准是10元/分钟),害得我在工作间鸡飞那个狗跳啊 [M13] [M13] [M13] [M08] [M08]
作者: cute    时间: 2007-1-25 12:07
标题: Re: “熊猫烧香”!!!
我的电脑也中招了! [M10]
但是杀了熊猫好像还有别的
E盘放软件,显示资源不足,机器很慢,根本没有办法做东西 [M06]

norton查出来是:infostealer.gamania

我怀疑是中了木马,哪位有好办法?



欢迎光临 骏景花园业主论坛 (http://120.76.133.63/forum/) Powered by Discuz! X3.2