熊猫烧香病毒防治！！（附病毒样本，解压密码txwm,不要贪玩）

2007/1/18镜像同步3 回复

熊猫烧香（FuckJacks.exe）专杀工具及其分析 2006-12-19 02:56 =====专杀工具=== 瑞星专杀1.1 http://download.rising.com.cn/zsgj/NimayaKiller.scr 超级巡警1.4 http://killer.9i3g.cn/download/Pandakiller.rar ================= 先看看专业分析： CISRT2006078FuckJacks.exe setup.exe 熊猫烧香尼姆亚解决方案档案编号：CISRT2006078 病毒名称：Trojan-PSW.Win32.QQRob.ec（Kaspersky）病毒别名：Worm.Nimaya.a[尼姆亚]（瑞星）病毒大小：30,465 字节加壳方式：FSG 样本MD5：2a6ad4fb015a3bfc4acc4ef234609383 样本SHA1：bd2499c1bcddc5a55c87510730e6e826f7dac9bc 发现时间：2006.11 更新时间：2006.11 关联病毒：传播方式：通过恶意网页传播，其它木马下载，可通过局域网、移动存储设备等传播技术分析 ========== exe主程序使用白底熊猫烧香图标，运行后复制自身到系统目录： %System%FuckJacks.exe 创建自启动项： [HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun] "FuckJacks"="%System%FuckJacks.exe" [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun] "svohost"="%System%FuckJacks.exe" 在各分区根目录创建副本： X:autorun.inf X:setup.exe autorun.inf内容： [AutoRun] OPEN=setup.exe shellexecute=setup.exe shellAutocommand=setup.exe 尝试删除隐藏管理共享： net share X$ /del /y net share admin$ /del /y net share IPC$ /del /y 尝试结束进程： Mcshield.exe VsTskMgr.exe naPrdMgr.exe UpdaterUI.exe TBMon.exe scan32.exe Ravmond.exe CCenter.exe RavTask.exe Rav.exe Ravmon.exe RavmonD.exe RavStub.exe KVXP.kxp KvMonXP.kxp KVCenter.kxp KVSrvXP.exe KRegEx.exe UIHost.exe TrojDie.kxp FrogAgent.exe Logo1_.exe Logo_1.exe Rundl123.exe 关闭窗口： QQKav QQAV VirusScan Symantec AntiVirus iDuba esteem procs Wrapped gift Killer Winsock Expert msctls_statusbar32 pjf(ustc) IceSword 删除启动项： RavTask KvMonXP kav KAVPersonal50 McAfeeUpdaterUI Network Associates Error Reporting Service ShStatEXE YLive.exe yassistse 禁用服务： Schedule sharedaccess RsCCenter RsRavMon RsCCenter KVWSC KVSrvXP kavsvc AVP McAfeeFramework McShield McTaskManager navapsvc wscsvc KPfwSvc SNDSrvc ccProxy ccEvtMgr ccSetMgr SPBBCSvc Symantec Core LC NPFMntor MskService FireSvc 遍历目录，感染除系统目录外其它目录中的exe文件，将自身捆绑在exe文件前端，并在尾部添加标记信息： QUOTE:WhBoy{原文件名}.exe.{原文件大小}. 被感染exe运行后释放前端病毒文件到%System%FuckJacks.exe，并使用bat批处理将后边原始exe文件“还原”，bat批处理内容： :try1 del "file.exe" if exist "file.exe" goto try1 ren "file.exe.exe" "file.exe" if exist "file.exe.exe" goto try2 "file.exe" :try2 del %0 这个环节和Viking类似。病毒还尝试使用弱密码访问局域网内其它计算机： password harley golf pussy mustang shadow fish qwerty baseball letmein ccc admin abc pass passwd database abcd abc123 sybase 123qwe server computer super 123asd ihavenopass godblessyou enable alpha 1234qwer 123abc aaa patrick pat administrator root ~ god foobar secret test test123 temp temp123 win asdf pwd qwer yxcv zxcv home xxx owner login Login love mypc mypc123 admin123 mypass mypass123 Administrator Guest admin Root 病毒体内包含文字： xXx_WhBoy_Worm xXx_WhBoy 清除步骤 ========== 1. 断开网络 2. 结束病毒进程 %System%FuckJacks.exe 3. 删除病毒文件： %System%FuckJacks.exe 4. 右键点击分区盘符，点击右键菜单中的“打开”进入分区根目录，删除根目录下的文件： X:autorun.inf X:setup.exe 5. 删除病毒创建的启动项： [HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun] "FuckJacks"="%System%FuckJacks.exe" [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun] "svohost"="%System%FuckJacks.exe" 6. 修复或重新安装反病毒软件 7. 使用反病毒软件或专杀工具进行全盘扫描，清除恢复被感染的exe文件专杀工具网盘下载：http://boatsun.ys168.com/

订阅后，新回复会通过你的通知中心匿名送达。

3 条回复

li987128机器人#1 · 2007/1/18

【在 li987128 的大作中提到: 】 : 熊猫烧香（FuckJacks.exe）专杀工具及其分析 : 2006-12-19 02:56 : =====专杀工具=== : ................... 附件(28.3KB)

TossgirL机器人#2 · 2007/1/19

样本我今天杀全盘时不小心干掉了,可以说说比如原文里说有setup.exe,新得版本是gamesetup.exe,那个所为的FuckJacks.exe我就从来没有看到过老版的熊猫会有一个spoclsv.exe,新版的是spcolsv.exe 新版熊猫还会像威金一样生成desktop_.ini文件别得忘了,我回去找找样本吧

CarrotHOO机器人#3 · 2007/1/20

Worm.WhBoy.h 我要评论病毒别名：处理时间：2006-12-25 威胁级别：★★ 中文名称：熊猫烧香(武汉男生) 病毒类型：蠕虫影响系统：Win 9x/ME,Win 2000/NT,Win XP,Win 2003 病毒行为: 这是一个感染型的蠕虫病毒,它能感染系统中exe,com,pif,src,html,asp等文件, 它还能中止大量的反病毒软件进程 1:拷贝文件病毒运行后,会把自己拷贝到 C:\WINDOWS\System32\Drivers\spoclsv.exe 2:添加注册表自启动病毒会添加自启动项 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe 3:病毒行为 a:每隔1秒寻找桌面窗口,并关闭窗口标题中含有以下字符的程序 QQKav QQAV 防火墙进程 VirusScan 网镖杀毒毒霸瑞星江民黄山IE 超级兔子优化大师木马克星木马清道夫 QQ病毒注册表编辑器系统配置实用程序卡巴斯基反病毒 Symantec AntiVirus Duba esteem proces 绿鹰PC 密码防盗噬菌体木马辅助查找器 System Safety Monitor Wrapped gift Killer Winsock Expert 游戏木马检测大师 msctls_statusbar32 pjf(ustc) IceSword 并使用的键盘映射的方法关闭安全软件IceSword 添加注册表使自己自启动 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe 并中止系统中以下的进程: Mcshield.exe VsTskMgr.exe naPrdMgr.exe UpdaterUI.exe TBMon.exe scan32.exe Ravmond.exe CCenter.exe RavTask.exe Rav.exe Ravmon.exe RavmonD.exe RavStub.exe KVXP.kxp kvMonXP.kxp KVCenter.kxp KVSrvXP.exe KRegEx.exe UIHost.exe TrojDie.kxp FrogAgent.exe Logo1_.exe Logo_1.exe Rundl132.exe b:每隔18秒点击病毒作者指定的网页,并用命令行检查系统中是否存在共享共存在的话就运行net share命令关闭admin$共享 c:每隔10秒下载病毒作者指定的文件,并用命令行检查系统中是否存在共享共存在的话就运行net share命令关闭admin$共享 d:每隔6秒删除安全软件在注册表中的键值 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run RavTask KvMonXP kav KAVPersonal50 McAfeeUpdaterUI Network Associates Error Reporting Service ShStartEXE YLive.exe yassistse 并修改以下值不显示隐藏文件 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue -> 0x00 删除以下服务: navapsvc wscsvc KPfwSvc SNDSrvc ccProxy ccEvtMgr ccSetMgr SPBBCSvc Symantec Core LC NPFMntor MskService FireSvc e:感染文件病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部并在扩展名为htm,html, asp,php,jsp,aspx的文件中添加一网址, 用户一但打开了该文件,IE就会不断的在后台点击写入的网址,达到增加点击量的目的,但病毒不会感染以下文件夹名中的文件: WINDOW Winnt System Volume Information Recycled Windows NT WindowsUpdate Windows Media Player Outlook Express Internet Explorer NetMeeting Common Files ComPlus Applications Messenger InstallShield Installation Information MSN Microsoft Frontpage Movie Maker MSN Gamin Zone g:删除文件病毒会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件使用户的系统备份文件丢失.