本文目录一览:
- 1、什么是熊猫烧香病毒,怎么防止?
- 2、熊猫烧香是什么病毒?
- 3、熊猫烧香 这种病毒还可怕吗?中此病毒的计算机会有何异常?
- 4、熊猫烧香病毒特征
- 5、电脑中了熊猫烧香病毒怎么办
- 6、熊猫烧香病毒为什么那么厉害?
什么是熊猫烧香病毒,怎么防止?
熊猫烧香是一种经过多次变种的蠕虫病毒变种,2006年10月16日由25岁的中国湖北武汉新洲区人李俊编写,2007年1月初肆虐 *** ,它主要通过下载的档案传染。对计算机程序、系统破坏严重。
病毒名称:熊猫烧香 ,Worm.WhBoy.(金山称),Worm.Nimaya.(瑞星称)
病毒别名:尼姆亚,武汉男生,后又化身为“金猪报喜”,国外称“熊猫烧香”
危险级别:★★★★★
病毒类型:蠕虫病毒,能够终止大量的反病毒软件和防火墙软件进程。
影响系统:Win 9x/ME、Win 2000/NT、Win XP、Win 2003 、Win Vista
发现时间:2006年10月16日
来源地:中国武汉东湖高新技术开发区关山
【病毒描述】
其实是一种蠕虫病毒的变种,而且是经过多次变种而来的。尼姆亚变种W(Worm.Nimaya.w),由于中毒电脑的可执行文件会出现“熊猫烧香”图案,所以也被称为“熊猫烧香”病毒。但原病毒只会对EXE图标进行替换,并不会对系统本身进行破坏。而大多数是中的病毒变种,用户电脑中毒后可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。同时,该病毒的某些变种可以通过局域网进行传播,进而感染局域网内所有计算机系统,最终导致企业局域网瘫痪,无法正常使用,它能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件,使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。
【中毒症状】
除了通过网站带毒感染用户之外,此病毒还会在局域网中传播,在极短时间之内就可以感染几千台计算机,严重时可以导致 *** 瘫痪。中毒电脑上会出现“熊猫烧香”图案,所以也被称为“熊猫烧香”病毒。中毒电脑会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。
【病毒危害】
病毒会删除扩展名为gho的文件,使用户无法使用ghost软件恢复操作系统。“熊猫烧香”感染系统的.exe .com. f.src .html.asp文件,添加病毒网址,导致用户一打开这些网页文件,IE就会自动连接到指定的病毒网址中下载病毒。在硬盘各个分区下生成文件autorun.inf和setup.exe,可以通过U盘和移动硬盘等方式进行传播,并且利用Windows系统的自动播放功能来运行,搜索硬盘中的.exe可执行文件并感染,感染后的文件图标变成“熊猫烧香”图案。“熊猫烧香”还可以通过共享文件夹、系统弱口令等多种方式进行传播。该病毒会在中毒电脑中所有的网页文件尾部添加病毒代码。一些网站编辑人员的电脑如果被该病毒感染,上传网页到网站后,就会导致用户浏览这些网站时也被病毒感染。据悉,多家著名网站已经遭到此类攻击,而相继被植入病毒。由于这些网站的浏览量非常大,致使“熊猫烧香”病毒的感染范围非常广,中毒企业和 *** 机构已经超过千家,其中不乏金融、税务、能源等关系到国计民生的重要单位。注:江苏等地区成为“熊猫烧香”重灾区。
【杀毒 *** 】
目前的杀毒软都已经支持查杀熊猫烧香了。楼主把杀软病毒库更新到最新就可以了。
楼主可以试试金山毒霸2011,新出的。杀毒防毒都不错。
熊猫烧香是什么病毒?
熊猫烧香病毒变种一:病毒进程为“spoclsv.exe” 这是“熊猫烧香”早期变种之一,特别之处是“杀死杀毒软件”,
GameSetup.exe _Disktop.ini Disktop_ini Autorun.inf logo_1.exe rundl132.exe spoclsv.exe FuckJacks.exe
解决方案:
1. 结束病毒进程:
%System%\drivers\spoclsv.exe
不同的spoclsv.exe变种,此目录可不同。比如12月爆发的变种目录是:C:\WINDOWS\System32\Drivers\spoclsv.exe。但可用此 *** 清除。
“%System%\system32\spoclsv.exe”是系统文件。(目前看来没有出现插入该系统进程的变种,不排除变种的手法变化。)
查看当前运行spoclsv.exe的路径,可使用超级兔子魔法设置。
2. 删除病毒文件:
%System%\drivers\spoclsv.exe
请注意区分病毒和系统文件。详见步骤1。
3. 删除病毒启动项:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"svcshare"="%System%\drivers\spoclsv.exe"
4. 通过分区盘符右键菜单中的“打开”进入分区根目录,删除根目录下的病毒文件:
X:\setup.exe
X:\autorun.inf
5. 恢复被修改的“显示所有文件和文件夹”设置:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
6. 修复或重新安装被破坏的安全软件。
7.修复被感染的程序。可用专杀工具进行修复,收集了四个供读者使用。金山熊猫烧香病毒专杀工具、安天熊猫烧香病毒专杀工具、江民熊猫烧香病毒专杀工具和瑞星熊猫烧香病毒专杀工具。也可用手动 *** (见本文末)。
病毒Fuckjacks.exe
病毒Fuckjacks.exe
释放文件
分区根目录下:setup.exe
分区根目录下:autorun.inf
%System%\Fuckjacks.exe
局域网环境下:GameSetup.exe
解决过程
1、确定使用鼠标右键打开盘符
2、结束Fuckjacks.exe进程
3、删除其释放的所有文件(每个分区下)
4、删除其创建的注册表信息
解决办法:
病毒用了进程保护。建议启动计算机进入安全模式下杀毒。操作的时候千万不要双击,选择右键打开。
1、打开任务管理器,结束掉FuckJacks.exe进程。
2、右击每个分区盘符选择“打开”删除分区根目录下面的setup.exe和autorun.inf文件。
3、打开注册表。查找 *** jacks.exe把所有关于这个的全部删除。
4、被病毒覆盖的文件(覆盖后的文件大小为30,465字节)是不可恢复的,直接删除;被修改的文件用16进制编辑器删除00000000到00007700的代码段,在文件末尾找到并删除从“WhBoy”到最后所有的代码段保存即可恢复原貌
1. 断开 ***
2. 结束病毒进程
%System%\FuckJacks.exe
3. 删除病毒文件:
%System%\FuckJacks.exe
4. 右键点击分区盘符,点击右键菜单中的“打开”进入分区根目录,删除根目录下的文件:
X:\autorun.inf
X:\setup.exe
5. 删除病毒创建的启动项:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"FuckJacks"="%System%\FuckJacks.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"svohost"="%System%\FuckJacks.exe"
6. 修复或重新安装反病毒软件
7. 使用反病毒软件或专杀工具进行全盘扫描,清除恢复被感染的exe文件
清除步骤
==========
1.断开 *** 。
2.结束病毒进程。
%System%\FuckJacks.exe
3.删除病毒文件:
%System%\FuckJacks.exe
4.右键点击分区盘符,点击右键菜单中的“打开”进入分区根目录,删除根目录下的文件。
X:\autorun.inf
X:\setup.exe
5.删除病毒创建的启动项:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"FuckJacks"="%System%\FuckJacks.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"svohost"="%System%\FuckJacks.exe"
6.修复或重新安装反病毒软件。
7.使用反病毒软件或专杀工具进行全盘扫描,清除恢复被感染的exe文件。
中毒文件的恢复(仅个人观点,只在自己的虚拟机上测试正常)。
首先在清除病毒文件的同时不要删除%SYSTEM%下面释放FuckJacks.exe的这个文件,(注册表里要清除干净)。
打开运行输入gpedit.msc打开组策略-本地计算机策略-windows设置-安全设置-软件限制策略-其它规则。
在其它规则上右键选择-新散列规则-打开新散列规则窗口。
在文件散列上点击浏览找到-%SYSTEM%下面释放FuckJacks.exe文件……安全级别选择-不允许的确定后重启(一定重启)。
重启后可以双击运行已经被熊猫感染的程序-运行程序后该FuckJacks.exe文件会在注册表里的Run键下建立启动项(不会有问题的)。
双击运行被感染的程序已经恢复原来样子了,全部恢复后用系统诊断恢复工具SRENG2把FuckJacks.exe在注册表里的启动项删除即可!
2.、利用组策略,关闭所有驱动器的自动播放功能。
步骤:单击开始,运行,输入gpedit.msc,打开组策略编辑器,浏览到计算机配置,管理模板,系统,在右边的窗格中选择关闭自动播放,该配置缺省是未配置,在下拉框中选择所有驱动器,再选取已启用,确定后关闭。最后,在开始,运行中输入gpupdate,确定后,该策略就生效了。
解决办法:
1、拔掉网线断开 *** ,打开Windows任务管理器,迅速找到spoclsv.exe,结束进程,找到explorer.exe,结束进程,再点击文件,新建任务,输入c:\WINDOWS\explorer.exe,确定。
2、点击开始,运行,输入cmd回车,输入以下命令:
del c:\setup.exe /f /q
del c:\autorun.inf /f /q
如果你的硬盘有多个分区,请逐次将c:改为你实际拥有的盘符(C盘--Z盘)。上述两个木马文件为只读隐藏,会修改Windows属性,使用户无法通过设置文件夹选项显示所有文件及文件夹的功能看到。
3、进入注册表,删除HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run下svcshare值。
4、删除C:\windows\system32\drivers\spoclsv.exe
5、修复或重新安装防病毒软件并升级病毒库,彻底全面杀毒,清除恢复被感染的.exe文件。
6、屏蔽熊猫烧香病毒网站pkdown.3322.org和ddos2.sz45.com,具体 *** 如下:
打开C:\WINDOWS\system32\drivers\etc\host文件,添加修改如下格式:
# Copyright 1993-1999 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host
127.0.0.1 localhost
127.0.0.1 *.3322.org
127.0.0.1 *.sz45.com
7、修复文件夹选项的“显示所有文件及文件夹”的 *** :
A、找到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL分支,在右边的窗口中双击CheckedValue键值项,该键值应为1.如果值不为1,改为1即可。
如果你设置仍起不了作用,那么接下来看。
有些木马把自己的属性设置成隐藏、系统属性,并且把注册表中“文件夹选项中的隐藏受保护的操作系统文件”项和“显示所有文件和文件夹”选项删除,致使通过procexp可以在进程中看到,但去文件所在目录又找不到源文件,无法进行删除。(正常如图,被修复后看不见图中标注的项)
针对这种情况可以把下面内容存储成ShowALl.reg文件,双击该文件导入注册表即可
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30501"
"Type"="radio"
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51104"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]
"Type"="checkbox"
"Text"="@shell32.dll,-30508"
"WarningIfNotDefault"="@shell32.dll,-28964"
"HKeyRoot"=dword:80000001
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"ValueName"="ShowSuperHidden"
"CheckedValue"=dword:00000000
"UncheckedValue"=dword:00000001
"DefaultValue"=dword:00000000
"HelpID"="shell.hlp#51103"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""
具体操作 *** :
1)通过记事本新建一个文件
2)将以上内容复制到新建的记事本文件中
3)通过记事本文件菜单另存为show.reg
4)双击存储的showall.reg文件,点击弹出的对话框是按钮即可。
注意:以上 *** 对win2000和XP有效
B、HKEY_LOCAL_MACHINE | Software |Microsoft | windows | CurrentVersion | explorer | Advanced | Folder | Hidden | SHOWALL,将CheckedValue键值修改为1
但可能依然没有用,隐藏文件还是没有显示,这是因为病毒在修改注册表达到隐藏文件目的之后,把本来有效的DWORD值CheckedValue删除掉,新建了一个无效的字符串值CheckedValue,并且把键值改为0!
*** :删除此CheckedValue键值,单击右键 新建Dword值,命名为CheckedValue,然后修改它的键值为1,这样就可以选择“显示所有隐藏文件”和“显示系统文件”。
熊猫烧香 这种病毒还可怕吗?中此病毒的计算机会有何异常?
【中毒症状】 除了通过网站带毒感染用户之外,此病毒还会在局域网中传播,在极短时间之内就可以感染几千台计算机,严重时可以导致 *** 瘫痪。中毒电脑上会出现“熊猫烧香”图案,所以也被称为“熊猫烧香”病毒。中毒电脑会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。 【危害】 病毒会删除扩展名为gho的文件,使用户无法使用ghost软件恢复操作系统。“熊猫烧香”感染系统 的.exe .com. pif.src .html.asp文件,添加病毒网址,导致用户一打开这些网页文件,IE就会自动连接到指定的病毒网址中下载病毒。在硬盘各个分区下生成文件autorun.inf和setup.exe,可以通过U盘和移动硬盘等方式进行传播,并且利用Windows系统的自动播放功能来运行,搜索硬盘中的.exe可执行文件并感染,感染后的文件图标变成“熊猫烧香”图案。“熊猫烧香”还可以通过共享文件夹、系统弱口令等多种方式进行传播。该病毒会在中毒电脑中所有的网页文件尾部添加病毒代码。一些网站编辑人员的电脑如果被该病毒感染,上传网页到网站后,就会导致用户浏览这些网站时也被病毒感染。据悉,多家著名网站已经遭到此类攻击,而相继被植入病毒。由于这些网站的浏览量非常大,致使“熊猫烧香”病毒的感染范围非常广,中毒企业和 *** 机构已经超过千家,其中不乏金融、税务、能源等关系到国计民生的重要单位。 传播 *** 】 “熊猫烧香”还可以通过共享文件夹、系统弱口令等多种方式进行传播。 金山分析:这是一个感染型的蠕虫病毒,它能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程 1 拷贝文件 病毒运行后,会把自己拷贝到 C:\WINDOWS\System32\Drivers\spoclsv.exe 2 添加注册表自启动 病毒会添加自启动项 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare - C:\WINDOWS\System32\Drivers\spoclsv.exe 3 病毒行为 a:每隔1秒 寻找桌面窗口,并关闭窗口标题中含有以下字符的程序 *** Kav *** AV 防火墙 进程 VirusScan 网镖 杀毒 毒霸 瑞星 江民 黄山IE 超级兔子 优化大师 木马克星 木马清道夫 *** 病毒 注册表编辑器 系统配置实用程序 卡巴斯基反病毒 Symantec AntiVirus Duba esteem proces 绿鹰PC 密码防盗 噬菌体 木马辅助查找器 System Safety Monitor Wrapped gift Killer Winsock Expert 游戏木马检测大师 msctls_statu *** ar32 pjf(ustc) IceSword 并使用的键盘映射的 *** 关闭安全软件IceSword 添加注册表使自己自启动 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare - C:\WINDOWS\System32\Drivers\spoclsv.exe 并中止系统中以下的进程: Mcshield.exe VsTskMgr.exe naPrdMgr.exe UpdaterUI.exe TBMon.exe scan32.exe Ravmond.exe CCenter.exe RavTask.exe Rav.exe Ravmon.exe RavmonD.exe RavStub.exe KVXP.kxp kvMonXP.kxp KVCenter.kxp KVSrvXP.exe KRegEx.exe UIHost.exe TrojDie.kxp FrogAgent.exe Logo1_.exe Logo_1.exe Rundl132.exe b:每隔18秒 点击病毒作者指定的网页,并用命令行检查系统中是否存在共享 共存在的话就运行net share命令关闭admin$共享 c:每隔10秒 下载病毒作者指定的文件,并用命令行检查系统中是否存在共享 共存在的话就运行net share命令关闭admin$共享 d:每隔6秒 删除安全软件在注册表中的键值 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run RavTask KvMonXP kav KAVPersonal50 McAfeeUpdaterUI Network Associates Error Reporting Service ShStartEXE YLive.exe yassistse 并修改以下值不显示隐藏文件 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue - 0x00 删除以下服务: navapsvc wscsvc KPfwSvc SNDSrvc ccProxy ccEvtMgr ccSetMgr SPBBCSvc Symantec Core LC NPFMntor MskService FireSvc e:感染文件 病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部 并在扩展名为htm,html, asp,php,jsp,aspx的文件中添加一网址, 用户一但打开了该文件,IE就会不断的在后台点击写入的网址,达到 增加点击量的目的,但病毒不会感染以下文件夹名中的文件: WINDOW Winnt System Volume Information Recycled Windows NT WindowsUpdate Windows Media Player Outlook Express Internet Explorer NetMeeting Common Files ComPlus Applications Messenger InstallShield Installation Information MSN Microsoft Frontpage Movie Maker MSN Gamin Zone g:删除文件 病毒会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件 使用户的系统备份文件丢失.
熊猫烧香病毒特征
熊猫烧香病毒特征:
1、电脑中毒后可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。
2、该病毒的某些变种可以通过局域网进行传播,进而感染局域网内所有计算机系统,最终导致企业局域网瘫痪,无法正常使用。
3、感染电脑系统中exe,com,pif,src,html,asp等文件,对抗反病毒软件,并且会删除扩展名为gho的相关备份文件。
4、被感染后的用户系统中所有.exe可执行文件,全部被改成一只熊猫举着三根香的模样出现。
扩展资料:
熊猫烧香病毒的主要行为:
1、自我保护与自我复制:复制自身到系统目录、双击被感染程序可以检测判断spclosv.exe是否存在,从被感染的文件分裂出病毒程序重新执行。
2、感染部分:感染全盘(本地)、定时器感染全盘(本地)、局域网感染(联网)。
3、病毒自我保护:设置注册表、停止杀软、网站下载代码并执行。
参考资料来源:百度百科—熊猫烧香
电脑中了熊猫烧香病毒怎么办
针对这个情况,可以安装腾讯电脑管家等杀毒软件查杀
下面以中国免费的杀毒软件腾讯电脑管家为例查杀一下;
1、打开腾讯电脑管家——选择病毒查杀
2、点击病毒查杀的功能就可以智能的扫描病毒木马,直接查杀了(有需要的,也可选择全盘查杀,查杀更全面些)
3、如果有杀毒不掉或顽固木马病毒,可以在安全模式下全盘的查杀病毒。
重启计算机按f8,屏幕显示win系统启动选项菜单,按下键移动到“带命令提示符的安全模式”,回车;找到电脑里面的杀毒软件杀毒就可以。
熊猫烧香病毒为什么那么厉害?
“熊猫烧香”还可以通过共享文件夹、系统弱口令等多种方式进行传播。该病毒会在中毒电脑中所有的网页文件尾部添加病毒代码。一些网站编辑人员的电脑如果被该病毒感染,上传网页到网站后,就会导致用户浏览这些网站时也被病毒感染。
病毒行为
a:每隔1秒
寻找桌面窗口,并关闭窗口标题中含有以下字符的程序
*** Kav
*** AV
防火墙
进程
VirusScan
网镖
杀毒
毒霸
瑞星
江民
黄山IE
超级兔子
优化大师
木马克星
木马清道夫
*** 病毒
注册表编辑器
系统配置实用程序
卡巴斯基反病毒
Symantec AntiVirus
Duba
esteem proces
绿鹰PC
密码防盗
噬菌体
木马辅助查找器
System Safety Monitor
Wrapped gift Killer
Winsock Expert
游戏木马检测大师
msctls_statu *** ar32
pjf(ustc)
IceSword
并使用的键盘映射的 *** 关闭安全软件IceSword
添加注册表使自己自启动
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
svcshare - C:\WINDOWS\System32\Drivers\spoclsv.exe
并中止系统中以下的进程:
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
kvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl132.exe
b:每隔18秒
点击病毒作者指定的网页,并用命令行检查系统中是否存在共享
共存在的话就运行net share命令关闭admin$共享
c:每隔10秒
下载病毒作者指定的文件,并用命令行检查系统中是否存在共享
共存在的话就运行net share命令关闭admin$共享
d:每隔6秒
删除安全软件在注册表中的键值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
RavTask
KvMonXP
kav
KAVPersonal50
McAfeeUpdaterUI
Network Associates Error Reporting Service
ShStartEXE
YLive.exe
yassistse
并修改以下值不显示隐藏文件
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
CheckedValue - 0x00
删除以下服务:
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec Core LC
NPFMntor
MskService
FireSvc
e:感染文件
病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部
并在扩展名为htm,html, asp,php,jsp,aspx的文件中添加一网址,
用户一但打开了该文件,IE就会不断的在后台点击写入的网址,达到
增加点击量的目的,但病毒不会感染以下文件夹名中的文件:
WINDOW
Winnt
System Volume Information
Recycled
Windows NT
WindowsUpdate
Windows Media Player
Outlook Express
Internet Explorer
NetMeeting
Common Files
ComPlus Applications
Messenger
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
MSN Gamin Zone
g:删除文件
病毒会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件
使用户的系统备份文件丢失.
瑞星最新病毒分析报告:“Nimaya(熊猫烧香)”
这是一个传染型的DownLoad 使用Delphi编写
[编辑本段]
【传播对象和运行过程】
★本地磁盘感染
病毒对系统中所有除了盘符为A,B的磁盘类型为DRIVE_REMOTE,DRIVE_FIXED的磁盘进行文件遍历感染
病毒会删除扩展名为gho的文件,使用户无法使用ghost软件恢复操作系统。“熊猫烧香”感染系统的.exe .com. f.src .html.asp文件,添加病毒网址,导致用户一打开这些网页文件,IE就会自动连接到指定的病毒网址中下载病毒。