本文目录一览:
- 1、急:手机中了“熊猫病毒”怎么办?
- 2、熊猫病毒是在哪一年爆发的
- 3、什么是熊猫病毒
- 4、熊猫病毒
- 5、熊猫烧香病毒特征
- 6、什么是熊猫病毒?
急:手机中了“熊猫病毒”怎么办?
功夫熊猫病毒会将自己伪装成合法的软件,通过第三方市场和论坛进行传播
为了解决签名不一致导致升级失败无法安装的问题,病毒作者特意修改了包名,避免了病毒无法安装的问题。
LBE小组拦截到的功夫熊猫病毒样本并未携带自动提权代码,因此需要用户手机ROOT之后才会被感染。由于部分软件自身需要ROOT权限,所以一般用户很难分辨自己安装的是正常软件,还是恶意软件,从而导致感染病毒。
当病毒的提权部分代码被触发之后,便会执行以下操作:
1、将系统分区设置为可写
2、将自身复制到系统分区内/system/lib/libd1.so
3、将/system/bin下的多个关键系统组件备份至/system/framework下,并且使用病毒代码覆盖原始系统组件
4、修改多个系统引导脚本,确保自身在系统引导之前加载
当病毒本体执行时,会执行以下操作:
A
1、将自己设置为后台daemon,避免被终止;并将自己伪装为system_server,实现进程自我保护,并且干扰部分安全软件的正常运行。
2、监控被自身修改的系统引导脚本的内容,如果发现有任何软件尝试修改和替换系统引导脚本,都会自动将内容还原。
3、联络远程控制端,获取攻击指令。功夫熊猫病毒使用了不同的控制端域名(ad.pandanew.com),这也是其得名的原因。
4、截止到发稿为止,功夫熊猫的控制端并未开始下发任何攻击指令,我们认为病毒团队仍然在对控制端进行调试,以及收集受感染的机型数据。但是对于功夫熊猫的逆向分析显示,其包含了功夫病毒的所有功能,包括静默安装、卸载软件;静默执行软件;设置浏览器首页和收藏夹等。
与先前版本的功夫病毒不同,功夫熊猫病毒使用了几乎完全不同的加载、隐藏和自我保护方式。由于病毒会设法使自己先于Android系统加载,使得任何现有的安全软件对其都束手无策。
免疫和清除方式
截止到发稿为止,目前仅有LBE安全大师能够识别功夫熊猫病毒。LBE安全大师的用户需要将病毒库在线更新至20120224.d版本即可;如果无法在线更新,也可以选择前往LBE官方网站下载最新的3.2.1750版。如果您使用其他软件软件,请等待厂商的更新。
对于不幸中招的用户,由于病毒已经修改了相当多的系统文件,并且具备相当强的自我保护能力,手工清理几乎不可能完成。我们推荐您使用功夫熊猫专杀工具,您可以登录LBE小组官方主页下载安装。功夫熊猫专杀工具内置了最新版本的安天查杀引擎,能够检测和识别带毒恶意软件,同时也能够将病毒修改的系统文件彻底还原。
结语
在Android病毒日渐泛滥的今天,我们建议您:只通过安全的途径下载使用软件,不安装来历不明的软件(谨慎安装各种汉化版、破解版软件),使用一款安全软件,通过以上途径来保护您手机的安全。
熊猫病毒是在哪一年爆发的
熊猫病毒是一种计算机蠕虫病毒,能够终止大量反病毒软件和防火墙软件进程,于2007年爆发。
计算机病毒是编制者在计算机程序中插入的破坏计算机功能或者数据的代码,能影响计算机使用、自我复制的一组计算机指令或者程序代码。计算机病毒具有传播性、隐蔽性、感染性、潜伏性、可激发性、表现性或破坏性。
什么是熊猫病毒
近期高度警惕病毒
熊猫烧香病毒 威胁级别:★★★★
这是一个感染型的蠕虫病毒,中止
大量的反病毒软件进程并且会删除扩展
名为gho的文件,大大降低用户系统安全性。 熊猫烧香全部变种的分析报告
详细了解,请访问熊猫烧香病毒整体解决方案
据金山毒霸反病毒专家指出,12月26日,台湾地震,导致光缆中断,大量国外杀毒软件无法正常升级,而很多外企用户使用的就是国外杀毒软件,无法升级就意味着用户将时刻面临新病毒的威胁,这也是熊猫烧香病毒如此猖獗的一个重要原因。
据了解,“熊猫烧香”病毒不但可以对用户系统进行破坏,导致大量应用软件无法使用,而且还可删除扩展名为gho的所有文件,造成用户的系统备份文件丢失,从而无法进行系统恢复;同时该病毒还能终止大量反病毒软件进程,大大降低用户系统的安全性。
对于已经感染熊猫烧香病毒的用户,金山毒霸反病毒专家建议及时安装正版金山毒霸并升级到最新版本进行查杀,也可登陆 免费下载熊猫烧香的专杀工具。
对于未感染的用户,专家建议,不要登陆不良网站,及时下载微软公布的最新补丁,来避免病毒利用漏洞袭击用户的电脑,同时上网时应采用“杀毒软件+防火墙”的立体防御体系。
此外,专家特别提示,由于地震导致海缆中断,国外一些杀毒软件无法正常升级,为此,金山毒霸宣布全面免费,承诺“光缆不恢复,免费不中断”。登陆或毒霸官方网站了解更多详细信息。
怎样预防熊猫烧香系列病毒?
最近那个熊猫烧香病毒让所有用电脑的人很生气,熊猫这个国宝似乎不再可爱,而成了人人喊打的过街老鼠。熊猫变种实在太多,中招后的损失很严重,杀毒软件一直在救火中。以下几招很简单易行,帮你预防熊猫烧香病毒,至少能明显减少你中招的几率。
1.立即检查本机administrator组成员口令,一定放弃简单口令甚至空口令,安全的口令是字母数字特殊字符的组合,自己记得住,别让病毒猜到就行。修改方法,右键单击我的电脑,选择管理,浏览到本地用户和组,在右边的窗格中,选择具备管理员权限的用户名,单击右键,选择设置密码,输入新密码就行。
2.利用组策略,关闭所有驱动器的自动播放功能。
步骤:单击开始,运行,输入gpedit.msc,打开组策略编辑器,浏览到计算机配置,管理模板,系统,在右边的窗格中选择关闭自动播放,该配置缺省是未配置,在下拉框中选择所有驱动器,再选取已启用,确定后关闭。最后,在开始,运行中输入gpupdate,确定后,该策略就生效了。
3.修改文件夹选项,以查看不明文件的真实属性,避免无意双击骗子程序中毒。
步骤:打开资源管理器(按windows徽标键+E),点工具菜单下文件夹选项,再点查看,在高级设置中,选择查看所有文件,取消隐藏受保护的操作系统文件,取消隐藏文件扩展名。
4.时刻保持操作系统获得最新的安全更新,建议用毒霸的漏洞扫描功能,汗,很可惜,现在光缆还没修好,网不通,不好修复。
5.启用windows防火墙保护本地计算机。
熊猫病毒
病毒名:
中文:熊猫烧香病毒(又称武汉男生)
英文:Worm.WhBoy
目前发现的变种数已超过50个
典型表现:
感染病毒后发现较多的.EXE文件图标变成点着香的熊猫,这也是该病毒命名的由来。现在发现的部分变种已经不再使用这个广为人知的图标了。部分变种可以直接通过互联网更新版本,部分变种可以感染htm、html、asp、php、jsp、aspx等网页格式文件。一段web服务器被感染,将意味着所有浏览这些网页的计算机可能会自动下载并感染上熊猫烧香病毒。
该系列变种会释放以下几个典型文件
分区根目录下:setup.exe、autorun.inf、%System%\Fuckjacks.exe、%System%\Drivers\
spoclsv.exe
局域网环境下:GameSetup.exe
病毒行为:
1、删除常用杀毒软件在注册表中的启动项或服务,终止杀毒软件的进程,几乎涉及目前所有杀毒软件
2、终止部分安全辅助工具的进程,如IceSword,任务管理器taskmon。
3、终止维金的相关进程Logo1_.exe、Logo_1.exe、Rundl123.exe。
4、弱口令破解局域网其他电脑的Administror帐号,并用GameSetup.exe进行复制传播。
5、修改注册表键值,导致不能查看隐藏文件和系统文件。
6、除C盘如下目录外,病毒会尝试破坏其它分区下的部分.exe、.com、.gho、.pif、.scr文件,病毒不会去感染以下目录中的文件(给我们解决此病毒留下机会了,请看下文中的有关描述)。
WINDOW,Winnt,System Volume Information,Recycled, Windows NT,Windows Update,Windows MediaP,Outlook Express,Internet Explorer,NetMeeting,Common Files,ComPlus Applications,Messenger, InstallShield Installation Information,MSN,Microsoft Frontpage, MovieMaker,MSN GaminZone
7、病毒会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件,使用户的系统备份文件丢失。
解决办法:
1、首选专杀工具
专杀工具是效能最好的方案,能处理已知变种,缺点是有新变种后,专杀也需要更新。推荐去下载专杀。
2、在线杀毒
因为熊猫烧香病毒的特殊性,杀毒软件本身可能会被感染,病毒还会尝试结束杀毒软件进程和服务,但病毒不感染IE浏览器,用浏览器加载在线杀毒控件来清除病毒可以收到奇效。已经中招的,可以去shadu.duba.net试试。
3、重启系统到带网络连接的安全模式,升级杀毒软件后杀毒。可单击开始,运行,输入msconfig,打开系统配置实用程序,点击BOOT.INI标签,选择/SAFEBOOT和NETWORK,重启即可进入带网络连接的安全模式。
4、手工清除
因为熊猫烧香病毒是感染型的病毒,手工清除相当麻烦,网友公布的手工清除方案只能手工结束病毒进程,一段运行了感染过熊猫烧香病毒的程序,还会再中招。以下简单介绍手工结束病毒进程,修复注册表项的步骤:
a.断开网络,禁用网卡或拔掉网线就行;
b.结束病毒进程,因为任务管理器、IcdSword已无法运行,已感染病毒的机器上很难实现。建议去
ProcessExplorer.mspx下载一个Process Explorer备用,郁闷的是光缆没修好,官网下载速度巨慢。可以百度一下,到新浪、华军、天空去下载。如果在进程中发现FuckJacks.exe、setup.exe、spoclsv.exe(注意和正常的打印服务就差一个字母,打印服务文件名为spoolsv.exe),就用这个工具结束掉。
c.在本地计算机上搜索并删除以下病毒执行文件:
分区根目录下:setup.exe、autorun.inf(这个本身不是病毒,但它的存在是为了双击磁盘自动调用病毒程序,建议删了吧)
%System%\Fuckjacks.exe;%System% \Drivers\spoclsv.exe
局域网环境下:GameSetup.exe
d. 开始--运行—输入regedit,确定后,打开注册表编辑器,删除病毒创建的启动项:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "FuckJacks"="%System%\FuckJacks.exe [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "svohost"="%System%\FuckJacks.exe"
浏览到
[HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\ Folder\Hidden\SHOWALL]
,单击右键,点新建——Dword值——命名为CheckedValue(如果已经有,可以删除后重建),修改它的键值为1,为十六进制,按确定后,退出注册表编辑器。以恢复文件夹选项中的“显示所有隐藏文件”和“显示系统文件”
e.修复或重新安装反病毒软件,以恢复被病毒删除的注册键值,恢复杀毒软件的功能。
f.最后,还是要更新反病毒软件全盘扫描,把感染的EXE程序、网页格式的文件修复。特别提醒网页编辑,一定要保护好自己编辑的Web文档,保护好自己的Web服务器,如果发现网站上传文件带毒,应该及时删除,重新上传。
有关该病毒的预防,请参考上介绍的方法,或者看这里 。特别提示一下,今天更新的金山毒霸已经集成了针对熊猫烧香病毒的免疫功能,对预防熊猫烧香病毒会起到遏制作用。
参考资料:
熊猫烧香病毒特征
熊猫烧香病毒特征:
1、电脑中毒后可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。
2、该病毒的某些变种可以通过局域网进行传播,进而感染局域网内所有计算机系统,最终导致企业局域网瘫痪,无法正常使用。
3、感染电脑系统中exe,com,pif,src,html,asp等文件,对抗反病毒软件,并且会删除扩展名为gho的相关备份文件。
4、被感染后的用户系统中所有.exe可执行文件,全部被改成一只熊猫举着三根香的模样出现。
扩展资料:
熊猫烧香病毒的主要行为:
1、自我保护与自我复制:复制自身到系统目录、双击被感染程序可以检测判断spclosv.exe是否存在,从被感染的文件分裂出病毒程序重新执行。
2、感染部分:感染全盘(本地)、定时器感染全盘(本地)、局域网感染(联网)。
3、病毒自我保护:设置注册表、停止杀软、网站下载代码并执行。
参考资料来源:百度百科—熊猫烧香
什么是熊猫病毒?
病毒名称:Worm.WhBoy.h
病毒中文名:熊猫烧香(武汉男生)
病毒类型:蠕虫
危险级别:★★★★★
影响平台:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
专杀工具:金山专杀工具 安天专杀工具 江民专杀工具 安博士专杀工具 赛门铁克专杀工具
病毒描述:
“武汉男生”,俗称“熊猫烧香”,这是一个感染型的蠕虫病毒,它能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件,使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。
1:拷贝文件
病毒运行后,会把自己拷贝到C:\WINDOWS\System32\Drivers\spoclsv.exe
2:添加注册表自启动
病毒会添加自启动项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare - C:\WINDOWS\System32\Drivers\spoclsv.exe
3:病毒行为
a:每隔1秒寻找桌面窗口,并关闭窗口标题中含有以下字符的程序:
QQKav、QQAV、防火墙、进程、VirusScan、网镖、杀毒、毒霸、瑞星、江民、黄山IE、超级兔子、优化大师、木马克星、木马清道夫、QQ病毒、注册表编辑器、系统配置实用程序、卡巴斯基反病毒、Symantec AntiVirus、Duba、esteem proces、绿鹰PC、密码防盗、噬菌体、木马辅助查找器、System Safety Monitor、Wrapped gift Killer、Winsock Expert、游戏木马检测大师、msctls_statusbar32、pjf(ustc)、IceSword
并使用的键盘映射的方法关闭安全软件IceSword
添加注册表使自己自启动 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare - C:\WINDOWS\System32\Drivers\spoclsv.exe
并中止系统中以下的进程:
Mcshield.exe、VsTskMgr.exe、naPrdMgr.exe、UpdaterUI.exe、TBMon.exe、scan32.exe、Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、RavmonD.exe、RavStub.exe、KVXP.kxp、kvMonXP.kxp、KVCenter.kxp、KVSrvXP.exe、KRegEx.exe、UIHost.exe、TrojDie.kxp、FrogAgent.exe、Logo1_.exe、Logo_1.exe、Rundl132.exe
b:每隔18秒点击病毒作者指定的网页,并用命令行检查系统中是否存在共享,共存在的话就运行net share命令关闭admin$共享
c:每隔10秒下载病毒作者指定的文件,并用命令行检查系统中是否存在共享,共存在的话就运行net share命令关闭admin$共享
d:每隔6秒删除安全软件在注册表中的键值
并修改以下值不显示隐藏文件 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue - 0x00
删除以下服务:
navapsvc、wscsvc、KPfwSvc、SNDSrvc、ccProxy、ccEvtMgr、ccSetMgr、SPBBCSvc、Symantec Core LC、NPFMntor MskService、FireSvc
e:感染文件
病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部,并在扩展名为htm,html, asp,php,jsp,aspx的文件中添加一网址,用户一但打开了该文件,IE就会不断的在后台点击写入的网址,达到增加点击量的目的,但病毒不会感染以下文件夹名中的文件:
WINDOW、Winnt、System Volume Information、Recycled、Windows NT、WindowsUpdate、Windows Media Player、Outlook Express、Internet Explorer、NetMeeting、Common Files、ComPlus Applications、Messenger、InstallShield Installation Information、MSN、Microsoft Frontpage、Movie Maker、MSN Gamin Zone
g:删除文件
病毒会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件使用户的系统备份文件丢失。
还没有评论,来说两句吧...