熊猫烧香会感染哪些类型的文件？

熊猫烧香

熊猫烧香变种 spoclsv.exe 解决方案2006年12月21日 星期四 14:07【CISRT2006081】熊猫烧香变种 spoclsv.exe 解决方案

档案编号：CISRT2006081

病毒名称：Worm.Win32.Delf.bf（Kaspersky）

病毒别名：Worm.Nimaya.d（瑞星）

Win32.Trojan.QQRobber.nw.22835（毒霸）

病毒大小：22,886 字节

加壳方式：UPack

样本MD5：9749216a37d57cf4b2e528c027252062

样本SHA1：5d3222d8ab6fc11f899eff32c2c8d3cd50cbd755

发现时间：2006.11

更新时间：2006.11

关联病毒：

传播方式：通过恶意网页传播，其它木马下载，可通过局域网、移动存储设备等传播

补充资料：

病毒特征：

“武汉男生”，俗称“熊猫烧香”，这是一个感染型的蠕虫病毒，它能感染系统中exe,com,pif,src,html,asp等文件，它能中止大量的反病毒软件进程，并且会删除扩展为gho的文件，该文件是一系统备份工具GHOST的备份文件使用户的系统文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。

技术分析

==========

又是“熊猫烧香”FuckJacks.exe的变种，和之前的变种一样使用白底熊猫烧香图标，病毒运行后复制自身到系统目录下：

%System%\drivers\spoclsv.exe

创建启动项：

[Copy to clipboard]CODE:[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

"svcshare"="%System%\drivers\spoclsv.exe"

修改注册表信息干扰“显示所有文件和文件夹”设置：

[Copy to clipboard]CODE:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]

"CheckedValue"=dword:00000000

在各分区根目录生成副本：

X:\setup.exe

X:\autorun.inf

autorun.inf内容：

[Copy to clipboard]CODE:[AutoRun]

OPEN=setup.exe

shellexecute=setup.exe

shell\Auto\command=setup.exe

尝试关闭下列窗口：

QQKav

QQAV

VirusScan

Symantec AntiVirus

Duba

Windows

esteem procs

System Safety Monitor

Wrapped gift Killer

Winsock Expert

msctls_statusbar32

pjf(ustc)

IceSword

结束一些对头的进程：

Mcshield.exe

VsTskMgr.exe

naPrdMgr.exe

UpdaterUI.exe

TBMon.exe

scan32.exe

Ravmond.exe

CCenter.exe

RavTask.exe

Rav.exe

Ravmon.exe

RavmonD.exe

RavStub.exe

KVXP.kxp

KvMonXP.kxp

KVCenter.kxp

KVSrvXP.exe

KRegEx.exe

UIHost.exe

TrojDie.kxp

FrogAgent.exe

Logo1_.exe

Logo_1.exe

Rundl132.exe

禁用一系列服务：

Schedule

sharedaccess

RsCCenter

RsRavMon

RsCCenter

RsRavMon

KVWSC

KVSrvXP

kavsvc

AVP

McAfeeFramework

McShield

McTaskManager

navapsvc

wscsvc

KPfwSvc

SNDSrvc

ccProxy

ccEvtMgr

ccSetMgr

SPBBCSvc

Symantec Core LC

NPFMntor

MskService

FireSvc

删除若干安全软件启动项信息：

RavTask

KvMonXP

kav

KAVPersonal50

McAfeeUpdaterUI

Network Associates Error Reporting Service

ShStatEXE

YLive.exe

yassistse

使用net share命令删除管理共享：

[Copy to clipboard]CODE:net share X$ /del /y

net share admin$ /del /y

net share IPC$ /del /y

遍历目录，感染除以下系统目录外其它目录中的exe、com、scr、pif文件：

X:\WINDOWS

X:\Winnt

X:\System Volume Information

X:\Recycled

%ProgramFiles%\Windows NT

%ProgramFiles%\WindowsUpdate

%ProgramFiles%\Windows Media Player

%ProgramFiles%\Outlook Express

%ProgramFiles%\Internet Explorer

%ProgramFiles%\NetMeeting

%ProgramFiles%\Common Files

%ProgramFiles%\ComPlus Applications

%ProgramFiles%\Messenger

%ProgramFiles%\InstallShield Installation Information

%ProgramFiles%\MSN

%ProgramFiles%\Microsoft Frontpage

%ProgramFiles%\Movie Maker

%ProgramFiles%\MSN Gamin Zone

将自身捆绑在被感染文件前端，并在尾部添加标记信息：

QUOTE:.WhBoy{原文件名}.exe.{原文件大小}.

与之前变种不同的是，这个病毒体虽然是22886字节，但是捆绑在文件前段的只有22838字节，被感染文件运行后会出错，而不会像之前变种那样释放出{原文件名}.exe的原始正常文件。

另外还发现病毒会覆盖少量exe，删除.gho文件。

病毒还尝试使用弱密码访问局域网内其它计算机：

password

harley

golf

pussy

mustang

shadow

fish

qwerty

baseball

letmein

ccc

admin

abc

pass

passwd

database

abcd

abc123

sybase

123qwe

server

computer

super

123asd

ihavenopass

godblessyou

enable

alpha

1234qwer

123abc

aaa

patrick

pat

administrator

root

sex

god

foobar

secret

test

test123

temp

temp123

win

asdf

pwd

qwer

yxcv

zxcv

home

xxx

owner

login

Login

love

mypc

mypc123

admin123

mypass

mypass123

Administrator

Guest

admin

Root

清除步骤

==========

1. 断开网络

2. 进入Dos模式删除病毒文件

del c:\windows\system32\drivers\spoclsv.exe

3. 右键点击分区盘符，点击右键菜单中的“打开”进入分区根目录，删除根目录下的文件：

X:\setup.exe

X:\autorun.inf

4.安装卡巴斯基/麦咖啡/诺顿等杀毒软件，更新病毒库至最新，扫描全盘。

5. 删除病毒创建的启动项：

[Copy to clipboard]CODE:[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

"svcshare"="%System%\drivers\spoclsv.exe"

6. 修改注册表设置，恢复“显示所有文件和文件夹”选项功能：

[Copy to clipboard]CODE:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]

"CheckedValue"=dword:00000001

------------★★★★★★最简单快捷的解决方案 在360安全论坛 又凉水冰凉撰写编辑收集★★★★★★

;;extra=page%3D1

超过40万的用户已经得到了福音。

希望我的回答对你有帮助＾＾

佳明手表电子邮件地址怎么写？

你好。电子邮件的地址。就是你的电子邮箱的账号。如果你还没有下载和注册过电子邮箱。你可以下载邮箱大师。邮箱大师下载后。可以使用拼音字母注册。也可以使用拼音加阿拉伯数字注册。注册完成后，邮箱就可以收发电子邮件了。也可以使用邮箱的账号注册应用软件了。注册的号码就是你的邮箱账号。也是你的邮箱地址。

电源模式蓝屏！高手解决追加分

更多知识尽在华夏联盟

开机马上按F8不动到高级选项出现在松手，选“最近一次的正确配置”回车修复，还不行按F8进入安全模式还原一下系统或重装系统（如果重装也是蓝屏，建议还是检修一下去）。

出现这样的问题是软件冲突、驱动不合适、系统问题引起的，可以在安全模式还原一下系统，还是不行重新安装操作系统，不要安装软件、补丁、驱动等，看看开机还有问题吗？如果没有在逐步的安装驱动、补丁、软件，找出不合适的东西就不要安装了。

请将你在蓝屏前电脑的表现，和你操作说的详细些。下载什么软件、补丁，升级了什么硬件了吗？详细的说说蓝屏前你做了什么，可能就是这些操作引起的蓝屏的发生，有问题请追问我（我跟据你提供的信息重新回答你）。

1、蓝屏前【下载了什么软件、补丁、插件、驱动】等全部卸载试试，如果是驱动不合适，请下载驱动精灵升级驱动。

2、如果电脑有木马，请下载Win清理助手、金山卫士、360急救箱查杀木马。

3、如果不经常出现蓝屏关机在开机就可以了，还是不行，请开机按F8不动到高级选项出现在松手，选“最近一次的正确配置”回车修复，在不行还原一下系统或重装系统。

4、如果是硬件问题引起的，或超频了硬件将BIOS电池放电（恢复BIOS出厂默认值）建议插拔一下显卡、内存等硬件，清理一下电脑里的卫生，并且擦亮显卡、内存的金手指（在测试一下硬件的温度是否过高）。

5、电脑在光驱读盘时被非正常打开可以导致蓝屏，一般将光盘重新放入光驱即可。电脑在带电插拔某设备时可以导致蓝屏，重启一下电脑修复或按上面第三项修复。

6、还有就是硬盘是否有问题，用系统自带的功能修复一下或下载软件修复硬盘坏道，或格式化硬盘重新分区重装系统，还是不行就需要换硬盘了。

7、最近升级了硬件，这些硬件与系统不兼容，比如：内存、显卡等，请更换硬件试试（到升级硬件的地方更换合适为止）。

8、如果是硬件问题引起的，自己又找不出问题所在，建议到维修那里检修一下。

9、玩游戏蓝屏，一般是游戏本身的问题，电脑的配置与游戏有冲突，显卡、显卡驱动不合适，CPU、显卡的温度过高，内存太小等引起的，另外就是在玩游戏、看视频时，同时在干别的操作最容易蓝屏，因此在玩游戏、看视频时不要在操作别的东西了（看视频蓝屏问题同上）。

谁有木马病毒，熊猫烧香病毒，灰鸽子病毒？其他病毒也可以，谁有呀！

“武汉男生”，俗称“熊猫烧香”，这是一个感染型的蠕虫病毒，它能感染系统中exe，com，pif，src，html，asp等文件，它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件，该文件是一系统备份工具GHOST的备份文件，使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。

1:拷贝文件

病毒运行后,会把自己拷贝到C:\WINDOWS\System32\Drivers\spoclsv.exe

2:添加注册表自启动

病毒会添加自启动项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare - C:\WINDOWS\System32\Drivers\spoclsv.exe

3:病毒行为

a:每隔1秒寻找桌面窗口,并关闭窗口标题中含有以下字符的程序：

QQKav、QQAV、防火墙、进程、VirusScan、网镖、杀毒、毒霸、瑞星、江民、黄山IE、超级兔子、优化大师、木马克星、木马清道夫、QQ病毒、注册表编辑器、系统配置实用程序、卡巴斯基反病毒、Symantec AntiVirus、Duba、esteem proces、绿鹰PC、密码防盗、噬菌体、木马辅助查找器、System Safety Monitor、Wrapped gift Killer、Winsock Expert、游戏木马检测大师、msctls_statusbar32、pjf(ustc)、IceSword

并使用的键盘映射的方法关闭安全软件IceSword

添加注册表使自己自启动 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare - C:\WINDOWS\System32\Drivers\spoclsv.exe

并中止系统中以下的进程:

Mcshield.exe、VsTskMgr.exe、naPrdMgr.exe、UpdaterUI.exe、TBMon.exe、scan32.exe、Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、RavmonD.exe、RavStub.exe、KVXP.kxp、kvMonXP.kxp、KVCenter.kxp、KVSrvXP.exe、KRegEx.exe、UIHost.exe、TrojDie.kxp、FrogAgent.exe、Logo1_.exe、Logo_1.exe、Rundl132.exe

b:每隔18秒点击病毒作者指定的网页,并用命令行检查系统中是否存在共享，共存在的话就运行net share命令关闭admin$共享

c:每隔10秒下载病毒作者指定的文件,并用命令行检查系统中是否存在共享，共存在的话就运行net share命令关闭admin$共享

d:每隔6秒删除安全软件在注册表中的键值

并修改以下值不显示隐藏文件 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue - 0x00

删除以下服务:

navapsvc、wscsvc、KPfwSvc、SNDSrvc、ccProxy、ccEvtMgr、ccSetMgr、SPBBCSvc、Symantec Core LC、NPFMntor MskService、FireSvc

e:感染文件

病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部，并在扩展名为htm,html, asp,php,jsp,aspx的文件中添加一网址，用户一但打开了该文件，IE就会不断的在后台点击写入的网址，达到增加点击量的目的,但病毒不会感染以下文件夹名中的文件：

WINDOW、Winnt、System Volume Information、Recycled、Windows NT、WindowsUpdate、Windows Media Player、Outlook Express、Internet Explorer、NetMeeting、Common Files、ComPlus Applications、Messenger、InstallShield Installation Information、MSN、Microsoft Frontpage、Movie Maker、MSN Gamin Zone

g:删除文件

病毒会删除扩展名为gho的文件，该文件是一系统备份工具GHOST的备份文件使用户的系统备份文件丢失。

这样做，全国每年损失100亿美元