熊貓燒香應(yīng)急處理方法

熊貓燒香病毒機(jī)理分析

（1）自啟動(dòng)方式

熊貓燒香病毒將自身拷貝至系統(tǒng)目錄，同時(shí)修改注冊(cè)表將自身設(shè)置為開機(jī)啟動(dòng)項(xiàng)

這種方式也是絕大部分病毒自啟動(dòng)所采用的方式。

拷貝自身到所有驅(qū)動(dòng)器根目錄（盤符），命名為Setup.exe，在驅(qū)動(dòng)器根目錄生成

autorun.inf文件，并把它設(shè)置為隱藏、只讀、系統(tǒng)

autorun.inf文件的作用是允許在雙擊磁盤時(shí)自動(dòng)運(yùn)行指定的某個(gè)文件，即運(yùn)行Setup.exe。

(2)傳播方式

a、感染可執(zhí)行文件

熊貓燒香病毒會(huì)搜索并感染系統(tǒng)中特定目錄外的所有.EXE / .SCR / .PIF / .COM等文件，將自身捆綁在被感染文件前端，并在尾部添加標(biāo)記信息：.WhBoy{原文件名}.exe.{原文件大小}。注意，它感染的是特定目錄外的，而某些系統(tǒng)目錄是不去感染的，因?yàn)閃indows系統(tǒng)某些可執(zhí)行文件是有還原機(jī)制的，系統(tǒng)文件修改有時(shí)候會(huì)有報(bào)警提示。

b、感染網(wǎng)頁

熊貓燒香病毒會(huì)查找系統(tǒng)以 .html 和 .asp 為后綴的文件，在里面插入網(wǎng)頁標(biāo)記，這個(gè)幀iframe會(huì)將另外一個(gè)URL嵌入到當(dāng)前網(wǎng)頁，并且寬度和高度設(shè)置為0（看不到）。嵌入頁面后會(huì)利用如IE瀏覽器的漏洞來觸發(fā)惡意代碼，從而釋放相應(yīng)病毒出來。

c、通過弱口令傳播

這種傳播方式非普遍，它會(huì)訪問局域網(wǎng)共享文件夾將病毒文件拷貝到該目錄下，并改名為GameSetup.exe（模擬游戲名稱）；通過弱口令猜測(cè)從而進(jìn)入系統(tǒng)C盤。

(3) 自我隱藏

a、禁用安全軟件

熊貓燒香病毒會(huì)嘗試關(guān)閉安全軟件（殺毒軟件、防火墻、安全工具）的窗口、進(jìn)程，比如包含360的名稱等；刪除注冊(cè)表中安全軟件的啟動(dòng)項(xiàng)；禁用安全軟件的服務(wù)等操作。

b、自動(dòng)恢復(fù)“顯示所有文件和文件夾”選項(xiàng)隱藏功能

某些用戶去看隱藏文件，會(huì)主動(dòng)點(diǎn)擊查看隱藏文件夾，但這個(gè)病毒會(huì)自動(dòng)恢復(fù)隱藏。

c、刪除系統(tǒng)的隱藏共享（net share）

Windows系統(tǒng)其實(shí)默認(rèn)會(huì)開啟隱藏共享 C$ ，比如早期的 IPC$ 管道等，通過net share命令可以刪除隱藏共享。

(4)破壞情況

a、熊貓燒香病毒同時(shí)會(huì)開另一個(gè)線程連接某網(wǎng)站下載DDOS程序進(jìn)行發(fā)動(dòng)惡意攻擊

具有破壞功能，可開啟附件攻擊行為，熊貓燒香感染計(jì)算機(jī)臺(tái)數(shù)非常多，它就能發(fā)動(dòng)多臺(tái)電腦發(fā)起DDOS攻擊。

b、刪除擴(kuò)展名為gho的文件，延長(zhǎng)存活時(shí)間

該文件是系統(tǒng)備份工具GHOST的備份文件，從而使用戶的系統(tǒng)備份文件丟失。當(dāng)用戶中了病毒，想去恢復(fù)時(shí)就存在困難了。

實(shí)戰(zhàn)過程

實(shí)驗(yàn)環(huán)境： Windows XP 吾愛破解專版

實(shí)驗(yàn)文件：setup.exe(熊貓燒香)

手動(dòng)查殺病毒基本流程

1、排插可疑進(jìn)程

2、檢查啟動(dòng)項(xiàng)

3、刪除病毒

4、修復(fù)被病毒破壞的文件

第一步，運(yùn)行樣本之前打開任務(wù)管理器查看當(dāng)前進(jìn)程

第二步，運(yùn)行樣本之后，發(fā)現(xiàn)任務(wù)管理器閃退

第三步，打開cmd，輸入”tasklist“

我們看到的process信息如下，我們發(fā)現(xiàn)多出來一個(gè)新的進(jìn)程“spoclsv.exe”

第四步 終止進(jìn)程

指令：**taskkill /f /im + 對(duì)應(yīng)的PID值 ** /f 表示強(qiáng)制執(zhí)行 /im 表示文件

這里輸入的是：taskkill /f /im 1752

第五步 查詢啟動(dòng)項(xiàng)

第六步 檢測(cè)這個(gè)啟動(dòng)項(xiàng)創(chuàng)建的位置和鍵值

也就是上圖中的命令和位置

C:\WINDOWS\System32\drivers\spoclsv.exe

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

第七步 注冊(cè)表查看對(duì)應(yīng)的值

我們打開這個(gè)目錄查看

第八步 取消啟動(dòng)項(xiàng)（不要立即重啟）

刷新注冊(cè)表，發(fā)現(xiàn)啟動(dòng)項(xiàng)已經(jīng)被刪除了

第九步 刪除病毒（使用cmd）

首先要進(jìn)入spoclsv所在的文件夾，其余指令如圖所示

發(fā)現(xiàn)文件夾中的文件以及被刪除

第十步 刪除隱藏的文件

其中：attrib -s -r -h setup.exe：消除隱藏、系統(tǒng)、只讀屬性

最后一步：重啟電腦即可

希望大家可以有所收獲！！！

Windows

版權(quán)聲明：本文內(nèi)容由網(wǎng)絡(luò)用戶投稿，版權(quán)歸原作者所有，本站不擁有其著作權(quán)，亦不承擔(dān)相應(yīng)法律責(zé)任。如果您發(fā)現(xiàn)本站中有涉嫌抄襲或描述失實(shí)的內(nèi)容，請(qǐng)聯(lián)系我們jiasou666@gmail.com 處理，核實(shí)后本網(wǎng)站將在24小時(shí)內(nèi)刪除侵權(quán)內(nèi)容。