熊猫烧香应急处理方法

网友投稿 711 2022-05-28

熊猫烧香病毒机理分析

(1)自启动方式

熊猫烧香病毒将自身拷贝至系统目录,同时修改注册表将自身设置为开机启动项

这种方式也是绝大部分病毒自启动所采用的方式。

拷贝自身到所有驱动器根目录(盘符),命名为Setup.exe,在驱动器根目录生成

autorun.inf文件,并把它设置为隐藏、只读、系统

autorun.inf文件的作用是允许在双击磁盘时自动运行指定的某个文件,即运行Setup.exe。

(2)传播方式

a、感染可执行文件

熊猫烧香病毒会搜索并感染系统中特定目录外的所有.EXE / .SCR / .PIF / .COM等文件,将自身捆绑在被感染文件前端,并在尾部添加标记信息:.WhBoy{原文件名}.exe.{原文件大小}。注意,它感染的是特定目录外的,而某些系统目录是不去感染的,因为Windows系统某些可执行文件是有还原机制的,系统文件修改有时候会有报警提示。

熊猫烧香应急处理方法

b、感染网页

熊猫烧香病毒会查找系统以 .html 和 .asp 为后缀的文件,在里面插入网页标记,这个帧iframe会将另外一个URL嵌入到当前网页,并且宽度和高度设置为0(看不到)。嵌入页面后会利用如IE浏览器的漏洞来触发恶意代码,从而释放相应病毒出来。

c、通过弱口令传播

这种传播方式非普遍,它会访问局域网共享文件夹将病毒文件拷贝到该目录下,并改名为GameSetup.exe(模拟游戏名称);通过弱口令猜测从而进入系统C盘。

(3) 自我隐藏

a、禁用安全软件

熊猫烧香病毒会尝试关闭安全软件(杀毒软件、防火墙、安全工具)的窗口、进程,比如包含360的名称等;删除注册表中安全软件的启动项;禁用安全软件的服务等操作。

b、自动恢复“显示所有文件和文件夹”选项隐藏功能

某些用户去看隐藏文件,会主动点击查看隐藏文件夹,但这个病毒会自动恢复隐藏。

c、删除系统的隐藏共享(net share)

Windows系统其实默认会开启隐藏共享 C$ ,比如早期的 IPC$ 管道等,通过net share命令可以删除隐藏共享。

(4)破坏情况

a、熊猫烧香病毒同时会开另一个线程连接某网站下载DDOS程序进行发动恶意攻击

具有破坏功能,可开启附件攻击行为,熊猫烧香感染计算机台数非常多,它就能发动多台电脑发起DDOS攻击。

b、删除扩展名为gho的文件,延长存活时间

该文件是系统备份工具GHOST的备份文件,从而使用户的系统备份文件丢失。当用户中了病毒,想去恢复时就存在困难了。

实战过程

实验环境: Windows XP 吾爱破解专版

实验文件:setup.exe(熊猫烧香)

手动查杀病毒基本流程

1、排插可疑进程

2、检查启动项

3、删除病毒

4、修复被病毒破坏的文件

第一步,运行样本之前打开任务管理器查看当前进程

第二步,运行样本之后,发现任务管理器闪退

第三步,打开cmd,输入”tasklist“

我们看到的process信息如下,我们发现多出来一个新的进程“spoclsv.exe”

第四步 终止进程

指令:**taskkill /f /im + 对应的PID值 ** /f 表示强制执行 /im 表示文件

这里输入的是:taskkill /f /im 1752

第五步 查询启动项

第六步 检测这个启动项创建的位置和键值

也就是上图中的命令和位置

C:\WINDOWS\System32\drivers\spoclsv.exe

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

第七步 注册表查看对应的值

我们打开这个目录查看

第八步 取消启动项(不要立即重启)

刷新注册表,发现启动项已经被删除了

第九步 删除病毒(使用cmd)

首先要进入spoclsv所在的文件夹,其余指令如图所示

发现文件夹中的文件以及被删除

第十步 删除隐藏的文件

其中:attrib -s -r -h setup.exe:消除隐藏、系统、只读属性

最后一步:重启电脑即可

希望大家可以有所收获!!!

Windows

版权声明:本文内容由网络用户投稿,版权归原作者所有,本站不拥有其著作权,亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容,请联系我们jiasou666@gmail.com 处理,核实后本网站将在24小时内删除侵权内容。

上一篇:AI+云原生,把卫星遥感虐的死去活来
下一篇:java基础起步四-循环结构
相关文章