★阿翠★ 发表于 2007-1-12 12:59

“熊猫烧香”病毒及专杀工具

揭秘“熊猫烧香”肆虐内幕 千余家企业网络遭攻击

       1月12号,瑞星全球反病毒监测网向企业局域网发布警告,目前“尼姆亚(也称熊猫烧香)”病毒的攻击重点正在转向企业局域网和网站,广大企业和网站应提高警惕紧密防范。瑞星反病毒专家介绍说,该病毒会在中毒电脑中所有的网页文件尾部添加病毒代码,如果这些文件被上传到网站,则用户浏览后会中毒。
       据悉,目前多家著名网站已经遭到此类攻击,而相继被植入病毒。由于这些网站的浏览量非常大,致使此次“熊猫烧香”病毒的感染范围非常广,中毒企业和政府机构已经超过千家,其中不乏金融、税务、能源等关系到国计民生的重要单位。
       瑞星反病毒专家介绍说,“熊猫烧香”其实是“尼姆亚”病毒的新变种,最早出现在2006年的11月,到目前为止已经有数十个不同变种,在此期间瑞星已经发布针对该病毒的专杀工具。
       除了通过网站带毒感染用户之外,此病毒还会在局域网中传播,在极短时间之内就可以感染几千台计算机,严重时可以导致网络瘫痪。中毒电脑上会出现“熊猫烧香”图案,所以也被称为“熊猫烧香”病毒。中毒电脑会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。

    那么,用户应该如何防范“熊猫烧香”病毒的攻击?专家建议:

    第一,安装杀毒软件和瑞星卡卡3.1,并在上网时打开网页实时监控。由于现在海底光缆中断,很多国外杀毒软件难以升级,瑞星杀毒软件免费为用户提供一个月服务,可以登陆:http://www.rising.com.cn 免费下载并使用。用户还可以通过瑞星在线专家门诊:http://help.rising.com.cn取得帮助。

   第二,网站管理员应该更改机器密码,以防止病毒通过局域网传播。

第三,QQ、UC的漏洞已经被该病毒利用,用户应该去他们的官方网站打好最新补丁。

    第四,该病毒会利用IE浏览器的漏洞进行攻击,因此用户应该给IE打好所有的补丁。如果必要的话,用户可以暂时换用Firefox、Opera等比较安全的浏览器。

★阿翠★ 发表于 2007-1-12 13:00

Worm.Nimaya (熊猫烧香)专用清除工具

工具名称:Worm.Nimaya (熊猫烧香)专用清除工具
软件版本:1.3
软件大小:370KB
应用平台:Windows
更新时间:2007-01-12
发布时间:2006-11-14
发布公司:北京瑞星科技股份有限公司

软件说明

    “尼姆亚(Worm.Nimaya)”病毒:警惕程度★★★☆,蠕虫病毒,通过感染文件传播,依赖系统:WIN 9X/NT/2000/XP。

    该病毒采用熊猫头像作为图标,诱使用户运行。病毒运行后,会自动查找Windows格式的EXE可执行文件,并进行感染。由于该病毒编写存在问题,用户的一些软件可能会被其损坏,无法运行。

下载地址:http://it.rising.com.cn/Channels/Service/2006-11/1163505486d38734.shtml

★阿翠★ 发表于 2007-1-12 13:10

从网上搜到的病毒的相关资料,手法跟之前的橙色八月有些类似。建议在安全模式下用专杀工具杀毒,实在不行只能重装系统。

=====================================================================

样本分析:
setup.exe
File size:22886 bytes
SHA-160: 5D3222D8AB6FC11F899EFF32C2C8D3CD50CBD755
MD5 : 9749216A37D57CF4B2E528C027252062
CRC-32 : DE81BD8A
加壳方式:UPack
编写语言:Borland Delphi 6.0 - 7.0
感染方式:恶意网页传播,其它木马下载,局域网传播,感染移动存储设备

尝试关闭窗口(各种软件无一幸免)
QQKav
QQAV
天网防火墙进程
VirusScan
网镖杀毒
毒霸
瑞星
江民
黄山IE
超级兔子
优化大师
木马克星
木马清道夫
木馬清道夫
QQ病毒注册表编辑器
系统配置实用程序
卡巴斯基反病毒
Symantec AntiVirus
Duba
Windows 任务管理器
esteem procs
绿鹰PC
密码防盗
噬菌体
木马辅助查找器
System Safety Monitor
Wrapped gift Killer
Winsock Expert
游戏木马检测大师
小沈Q盗杀手
pjf(ustc)
IceSword

尝试关闭进程
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
KvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl132.exe

删除以下启动项
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RavTask
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KvMonXP
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kav
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KAVPersonal50
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\McAfeeUpdaterUI
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Network Associates Error Reporting

ServiceSOFTWARE\Microsoft\Windows\CurrentVersion\Run\ShStatEXE
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\YLive.exe
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\yassistse

禁用以下服务
kavsvc
AVP
AVPkavsvc
McAfeeFramework
McShield
McTaskManager
McAfeeFramework McShield
McTaskManager
navapsvc
KVWSC
KVSrvXP
KVWSC
KVSrvXP
Schedule
sharedaccess
RsCCenter
RsRavMon
RsCCenter
RsRavMon
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec
Core LC
NPFMntor
MskService
FireSvc

搜索感染除以下目录外的所有.EXE/.SCR/.PIF/.COM文件,并记有标记
WINDOWS
Winnt
System Volume Information
Recycled
Windows NT
Windows Update
Windows Media Player
Outlook Express
Internet Explorer
NetMeeting
Common Files
ComPlus
Applications
Messenger
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
MSN Gamin Zone

删除.GHO文件(真是令人发指~~~)

添加以下启动位置
\Documents and Settings\All Users\Start Menu\Programs\Startup\
\Documents and Settings\All Users\「开始」菜单\程序\启动\
\WINDOWS\Start Menu\Programs\Startup\
\WINNT\Profiles\All Users\Start Menu\Programs\Startup\

监视记录QQ和访问局域网文件记录:c:\test.txt,试图QQ消息传送

试图用以下口令访问感染局域网文件(GameSetup.exe)
1234
password
6969
harley
123456
golf
pussy
mustang
1111
shadow
1313
fish
5150
7777
qwerty
baseball
2112
letmein
12345678
12345
ccc
admin
5201314
qq520
1
12
123
1234567
123456789
654321
54321
111
000000
abc
pw
11111111
88888888
pass
passwd
database
abcd
abc123
sybase
123qwe
server
computer
520
super
123asd
0
ihavenopass
godblessyou
enable
xp
2002
2003
2600
alpha
110
111111
121212
123123
1234qwer
123abc
007
aaaa
patrick
pat
administrator
root
sex
god
foobar
secrettest
test123
temp
temp123
win
pc
asdf
pwd
qwer yxcv
zxcv
home
xxx
owner
login
Login
pw123
love
mypc
mypc123
admin123
mypass
mypass123
901100
Administrator
Guest
admin
Root

所有根目录及移动存储生成 (也就是说,会导致重装系统盘之后依然中毒的情况~~!!)
X:\setup.exe
X:\autorun.inf

OPEN=setup.exe
shellexecute=setup.exe
shell\Auto\command=setup.exe

删除隐藏共享
cmd.exe /c net share $ /del /y
cmd.exe /c net share admin$ /del /y
cmd.exe /c net share IPC$ /del /y

创建启动项:
Software\Microsoft\Windows\CurrentVersion\Run
svcshare=指向\%system32%\drivers\spoclsv.exe

禁用文件夹隐藏选项
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue

这个图片用来做头像不错,恩~~~


[ 本帖最后由 ★阿翠★ 于 2007-1-12 13:23 编辑 ]

venture 发表于 2007-1-12 13:51

我中了

vibanalyst 发表于 2007-1-13 19:32

好可怕,提防为妙!

lxq 发表于 2007-1-13 23:16

好狠啊!~~

天网防火墙进程
VirusScan
网镖杀毒
毒霸
瑞星
江民
黄山IE
超级兔子
优化大师
木马克星
木马清道夫
木馬清道夫
QQ病毒注册表编辑器
系统配置实用程序
卡巴斯基反病毒

这些都无济于事吗???

FtpAdmin 发表于 2007-1-14 01:24

原帖由 lxq 于 2007-1-13 23:16 发表
好狠啊!~~

天网防火墙进程
VirusScan
网镖杀毒
毒霸
瑞星
江民
黄山IE
超级兔子
优化大师
木马克星
木马清道夫
木馬清道夫
QQ病毒注册表编辑器
系统配置实用程序
卡巴斯基反病毒

这些都无 ...

保持最新的更新应该没问题

mriook 发表于 2007-1-14 11:37

上礼拜我们公司中了好几台。

RechardX 发表于 2007-1-17 10:30

我重装了两次系统,才查到原因,卡巴升级并配合超级巡警,足以搞定,呵呵

mriook 发表于 2007-1-17 21:13

我的机子也崩溃了,现在还不知道是病毒还是硬盘坏了,没见到熊猫,呵呵.
用咔吧,熊猫专杀,东方卫士都杀过.

vibanalyst 发表于 2007-1-18 19:44

我们单位今天也有好几台中了,真是防不胜防,局域网内最好不要共享资料这样很容易传播。

心灯 发表于 2007-1-18 20:12

我没有感染过该病毒,也没有见识过,这里转载一下我的好友 lefantome@newsmth对这个病毒的总结的帖子,或许能有些帮助。

---------------------------------------------------------------------------------------------------------------------------
发信人: lefantome (乐翻天·当勤精进,但念无常), 信区: Virus
标题: 熊猫烧香症状、专杀、预防
发信站: 水木社区 (Wed Jan 17 02:07:13 2007), 站内

//前面可以参考的挺多但比较分散,这个大概是个个人版的总结归纳贴而已。同时发布在我
的BLOG里。

熊猫烧香病毒

最近出现的一个很恶毒的病毒。病毒进程是spoclsv.exe,通过网页、文件下载、U盘等传播
,变种多多,目前我所知道的中毒症状如下:

  出现spoclsv.exe进程;
  双击无法打开磁盘,只能右键打开;
  系统响应慢,硬盘读写异常频繁;
  其他可执行程序损坏,无法运行,或提示找不到对应的exe文件;
  程序的.exe文件图标变成烧香的熊猫;
  突然间屏幕出来小熊猫烧香;
  各个分区根目录出现autorun.ini以及不明*.exe文件;
  系统中保存的*.GHO(Ghost备份文件)被该病毒删除;
  系统中的html类文件被修改;
    各个根目录下出现Desktop_.ini文件;
    任务管理器无法启动。

专杀工具下载如下(请下载后在安全模式下运行;专杀工具后缀名是com/bat/scr都是正常
的,因为*.exe可能刚刚下载就被熊猫干掉了):

  Anti-Virus Tools (民间版 魏滔序)这个更新比较快,推荐:
   http://www.chenoe.com/AntiVirus/
  瑞星:
   http://it.rising.com.cn/Channels ... 3505486d38734.shtml
  江民:
   http://www.jiangmin.com/download/zhuansha04.htm
  金山:
   http://tool.duba.net/zhuansha/253.shtml

预防该病毒,首先请安装杀毒软件,每天升级病毒定义,开启其自动防护功能;然后请不要
浏览不良网页以及来源不明的不可靠文件;请

  1.立即检查本机administrator组成员口令,一定放弃简单口令甚至空口令,安全的口
令是字母数字特殊字符的组合,自己记得住,别让病毒猜到就行。修改方法,右键单击我的
电脑,选择管理,浏览到本地用户和组,在右边的窗格中,选择具备管理员权限的用户名,
单击右键,选择设置密码,输入新密码就行。

  2.利用组策略,关闭所有驱动器的自动播放功能。

  步骤:单击开始,运行,输入gpedit.msc,打开组策略编辑器,浏览到计算机配置,管
理模板,系统,在右边的窗格中选择关闭自动播放,该配置缺省是未配置,在下拉框中选择
所有驱动器,再选取已启用,确定后关闭。最后,在开始,运行中输入gpupdate,确定后,
该策略就生效了。

  3.修改文件夹选项,以查看不明文件的真实属性,避免无意双击骗子程序中毒。

  步骤:打开资源管理器(按windows徽标键+E),点工具菜单下文件夹选项,再点查看
,在高级设置中,选择查看所有文件,取消隐藏受保护的操作系统文件,取消隐藏文件扩展
名。

  4.时刻保持操作系统获得最新的安全更新,建议用毒霸的漏洞扫描功能,汗,很可惜
,现在光缆还没修好,网不通,不好修复。

  5.启用windows防火墙保护本地计算机。

    此外,有ghost系统备份的,建议暂时把文件后缀改一下,比如改成*.GHO.bak.
附加:
  瑞星的技术分析:
http://it.rising.com.cn/Channels ... 8575524d39892.shtml
  来自看雪论坛(原贴地址:http://bbs.pediy.com/showthread.php?threadid=37901)的
loveboom的病毒分析文件下载(rar压缩保存的
--


我以为要是唱的用心良苦你总会对我多点在乎我以为虽然爱情已成往事千言万语
说出来可以互相安抚   期待你感动真实的?
谁曾经感动分手的关头才懂得离开排行榜更铭心刻骨我已经相信有些人我永远不
必等所以我明白在灯火阑   ◤◢▄▄▄▄?
给我明天有多幸福只想你    ◆哥欠 之 王明白    我心甘情愿爱爱爱爱到要吐
那是醉生梦死才能熬成的苦   ◣◥▅▅▅▅▅▅ 爱如潮水我忘了我是谁至少还有
你哭我想唱一首歌给我们祝福唱完了我会一个人住我愿意试着了解从此以后拥挤
的房间一个人的心有多孤独让我断了气铁
成为了无情的K歌之王麦克风都让我征服想不到你若无其事的说这样滥情何苦
我想来一个吻别作为结束想不到你只说我不


※ 修改:·lefantome 于 Jan 17 11:54:07 修改本文·
※ 修改:·iwltws 于 Jan 18 14:37:17 修改本文·
※ 来源:·水木社区 newsmth.net·

--
系統未用 Debian GNU/Linux,就稱駭客也枉然


※ 来源:·水木社区 newsmth.net·

附图: 001.gif (15 KB) 链接:
http://www.newsmth.net/att.php?s.99.1019394.3771.gif
附件: Anti-Virus_Tools.rar (502 KB) 链接:
http://www.newsmth.net/att.php?p.99.1019394.19915.rar
附件: 江民专杀.rar (92 KB) 链接:
http://www.newsmth.net/att.php?p.99.1019394.534606.rar
附件: 金山专杀.rar (127 KB) 链接:
http://www.newsmth.net/att.php?p.99.1019394.629835.rar
附件: 瑞星专杀.rar (129 KB) 链接:
http://www.newsmth.net/att.php?p.99.1019394.760234.rar
全文链接:http://www.newsmth.net/bbscon.php?bid=99&id=1019394

[ 本帖最后由 心灯 于 2007-1-18 20:15 编辑 ]

mjhzhjg 发表于 2007-1-31 17:16

前天我的计算机也中了熊猫烧香,不过好象马上被瑞星发现了,还好,计算机没有任何影响
页: [1]
查看完整版本: “熊猫烧香”病毒及专杀工具