瑞星卡卡安全论坛

刚开e-mail  接到了最后一个版本的熊猫..(收藏了)

跟以前一样..分析就不写了..

作者留下的一段字..

超级巡警 终于红了!哇哈哈!
超级巡警出自xfocus的牛人killer.我滴偶像啊!
在此对各位中过此木马的网友和各位网管人员表示深深的歉意!对不起,你们辛苦了!

先借小聪的话说...“满城尽烧国宝香”的场面下，作者用另一种方式告诉我们，中国网民的网络安全和反病毒的基础知识和意识必须提高。
非常非常多买电脑为了玩游戏而买.. 买了电脑又什么都不知道..三天俩头的中毒..花点时间学学基础知识..足够防护一些病毒了..
再说玩游戏..我玩的网游也非常多.. 每次玩游戏 ..都要自言自语句..中国人的素质就这样..(好象偏题了)

超级巡警 这次花了大力气写了熊猫专杀.. 确实红了起来.. 红到半边天..

这应该是熊猫最后一个版本了吧..熊猫上了 CCTV 瑞星 江民 金山 各大报纸头条.. 连国外也出了熊猫专杀.. 在此崇拜下作者..闪耀~~~~~


顺带提出..我不想在回帖里看到骂人的话..

那版主搞不出一级国宝来,搞个二级的也行呀.

哎 作者也真辛苦，为了提高全民网络安全和反病毒的基础知识和意识，辛苦写这个让人郁闷的病毒，哈哈。第一次看到病毒，没有觉得那么厉害，后来发觉不对劲，一试验才知道厉害啊

收藏？斑竹不会这么小气吧，其实我也想收藏，1000个病毒，现在在我的计算机中，一个一个试验。虽然很累，但是学习的知识课不少，处理一个病毒不是一件容易的事情啊

希望版主能提供一些样本给我，我感激不尽

引用:

【上饶创锋电脑的贴子】那版主搞不出一级国宝来,搞个二级的也行呀. ………………

本身就是犯罪啊，病毒作者。。。。。

呼~!

研究病毒的解决办法确实是见累人的事，大家都辛苦了。

引用:

【鸟儿天上飞的贴子】在此对各位中过此木马的网友和各位网管人员表示深深的歉意!对不起,你们辛苦了! M版这下面少写了一句 呵呵.. 熊猫作者以后不更新了? HOHO 要是那样的话 要庆幸一下了... ………………

故意 不写的.. 别拆我台.. 影响不好..

呼!~

昨天晚上似乎很热闹，没赶上

真的？？？？？？？？

最累的不是病毒作者这样的人,而是象我这样的人,一个人要管理700多台电脑,前一阵子几十台中了国宝,我三天两夜没有睡觉,泡在机房里,还好我自己也找出一点点办法,累....累....累.....累.....苦.....苦.....苦.....苦.....,希望中国的那些高手不要再整我们这样的人了,我们好累呀,好想休息一下.

引用:

【黑哥001的贴子】最累的不是病毒作者这样的人,而是象我这样的人,一个人要管理700多台电脑,前一阵子几十台中了国宝,我三天两夜没有睡觉,泡在机房里,还好我自己也找出一点点办法,累....累....累.....累.....苦.....苦.....苦.....苦.....,希望中国的那些高手不要再整我们这样的人了,我们好累呀,好想休息一下. ………………

附件: 336244200712091305.gif

写这个病毒的人真是太牛叉了！

引用:

【满天飞雪的贴子】研究病毒的解决办法确实是见累人的事，大家都辛苦了。 ………………

我在这里特别感谢这般研究病毒的解决办法人,谢谢你们,你们辛苦了!

引用:

【黑哥001的贴子】最累的不是病毒作者这样的人,而是象我这样的人,一个人要管理700多台电脑,前一阵子几十台中了国宝,我三天两夜没有睡觉,泡在机房里,还好我自己也找出一点点办法,累....累....累.....累.....苦.....苦.....苦.....苦.....,希望中国的那些高手不要再整我们这样的人了,我们好累呀,好想休息一下. ………………

分享下经验如何~~

引用:

【ght2811的贴子】 分享下经验如何~~ ………………

你要什么经验,我会的一定对你说.

真的不更新了？

原文：[url]http://hi.baidu.com/killvir/blog/item/cda02838a2757424b8998f8b.html[/
昨晚错过尼姆亚（熊猫烧香）终结版？2007-01-20 09:21nvscv32.exe
SIZE    : 68586 bytes
SHA-160 : D0C3911ED6661DBEF399EED790ED77B248E8EA4B
MD5    : DFF11B5D27DC50DC9BD2180EBBBC7B2E
CRC-32  : 80871863
加壳方式：FSG
编写语言：Borland Delphi 6.0 - 7.0

跳过setup.exe、NTDETECT.COM感染EXE/SCR/PIF/COM/htm/html/asp/php/jsp/aspx文件，删除GHO文件--（够狠）



抵御安全软件名单里多了个超级巡警

样本字符串：

超级巡警 终于红了!哇哈哈!
超级巡警出自xfocus的牛人killer.我滴偶像啊!
在此对各位中过此木马的网友和各位网管人员表示深深的歉意!对不起,你们辛苦了!
mopery很想和你们交流下!某某原因,我想还是算了!

PS：超级巡警名单照常列入了呵呵

原文：http://hi.baidu.com/killvir/blog/item/cda02838a2757424b8998f8b.html

真的不更新了.......................

不知道其它人研究国宝后会不会自己出变种，好多人研究，

然后栽赃

鬼才信

上个版本 就说不更新了

病毒作者 和黑客的话 是不能信的

见到熊猫脸就怕了~
我都崩溃若干次了！！！！！！

我也中过

不过还好有专用的工具

引用:

【taylor05771的贴子】鬼才信 上个版本 就说不更新了 病毒作者 和黑客的话 是不能信的 ………………

希望病毒作者不会食言......毕竟人还是有良心滴

希望这次是真的....

在那段熊貓肆虐的日子裏，我的機子居然安然無恙，連國寶的影子都沒見着，慶幸。
不過，如果不是那個熊貓，我一個臨床的醫學生也不會對電腦病毒產生興趣。
如果熊貓作者是爲了提醒我們增強安全意識，他成功了。

Logfile of HijackThis v1.99.1
Scan saved at 12:20:57, on 2007-1-20
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\iexpl0re.exe
C:\WINDOWS\system.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\Yahoo!\ASSIST~1\ylive.exe
C:\Program Files\Thunder Network\Thunder\Program\Thunder5.exe
C:\Program Files\Rising\Rav\CCenter.exe
C:\Program Files\Rising\Rav\Ravmond.exe
C:\Program Files\Rising\Rav\RavStub.exe
C:\Program Files\Rising\Rav\RSAGENT.EXE
C:\WINDOWS\msagent\AgentSvr.exe
C:\Program Files\Rising\Rav\Rav.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\DOCUME~1\rd\LOCALS~1\Temp\Rar$EX00.579\HijackThis.exe

R3 - URLSearchHook: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - C:\Program Files\Yahoo!\Assistant\Assist\yasbar.dll
F2 - REG:system.ini: UserInit=userinit.exe,
O1 - Hosts: 61.152.255.206 test.nicemm.cn
O1 - Hosts: 61.152.255.206 new3.etsoft.com.cn
O1 - Hosts: 61.152.255.206 www.gaodumm.com
O1 - Hosts: 61.152.255.206 www.88cc8.com
O1 - Hosts: 61.152.255.206 wg770.com
O1 - Hosts: 61.152.255.206 www.y988.com
O1 - Hosts: 61.152.255.206 ads.9168a.com
O2 - BHO: yPhtb - {33BBE430-0E42-4f12-B075-8D21ACB10DCB} - C:\Program Files\Yahoo!\Assistant\Assist\yphtb.dll
O2 - BHO: Anti Fish - {38928D50-8A48-44C2-945F-D2F23F771410} - C:\Program Files\Yahoo!\Assistant\Assist\yAngling.dll
O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - C:\Program Files\Tencent\QQ\QQIEHelper.dll
O2 - BHO: YDragSearch - {62EED7C6-9F02-42f9-B634-98E2899E147B} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\YDRAGS~1.DLL
O2 - BHO: ThunderBHO - {889D2FEB-5411-4565-8998-1DD2C5261283} - C:\Program Files\Thunder Network\Thunder\ComDlls\XunLeiBHO_006.dll
O2 - BHO: AssistHelper - {FE3ECAE7-0A37-4506-8A7D-3CC9A04D2CA8} - C:\Program Files\Yahoo!\Assistant\Assist\yassist.dll
O3 - Toolbar: 雅虎助手 - {406F94F0-504F-4A40-8DFD-58B0666ABEBD} - C:\Program Files\Yahoo!\Assistant\Assist\yasbar.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [RavTask] "C:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [kdilmwbjmjuzwsf] C:\WINDOWS\iexpl0re.exe
O4 - HKCU\..\Run: [043y] C:\WINDOWS\system.exe
O4 - Startup: 腾讯QQ.LNK = C:\Program Files\Tencent\QQ\QQ.exe
O8 - Extra context menu item: &使用迅雷下载 - C:\Program Files\Thunder Network\Thunder\Program\GetUrl.htm
O8 - Extra context menu item: &使用迅雷下载全部链接 - C:\Program Files\Thunder Network\Thunder\Program\GetAllUrl.htm
O8 - Extra context menu item: 上传到QQ网络硬盘 - C:\Program Files\Tencent\QQ\AddToNetDisk.htm
O8 - Extra context menu item: 添加到QQ自定义面板 - C:\Program Files\Tencent\QQ\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - C:\Program Files\Tencent\QQ\AddEmotion.htm
O8 - Extra context menu item: 添加到雅虎订阅(&Y) - res://C:\Program Files\Yahoo!\Assistant\Assist\yrss.dll/YRSSMENUEXT
O8 - Extra context menu item: 用QQ彩信发送该图片 - C:\Program Files\Tencent\QQ\SendMMS.htm
O8 - Extra context menu item: 雅虎搜索 - res://C:\Program Files\Yahoo!\Assistant\Assist\yasbar.dll/203
O9 - Extra button: 启动迅雷5 - {09BA8F6D-CB54-424B-839C-C2A6C8E6B436} - C:\Program Files\Thunder Network\Thunder\Thunder.exe
O9 - Extra 'Tools' menuitem: 启动迅雷5 - {09BA8F6D-CB54-424B-839C-C2A6C8E6B436} - C:\Program Files\Thunder Network\Thunder\Thunder.exe
O9 - Extra button: 雅虎助手 - {5D73EE86-05F1-49ed-B850-E423120EC338} - http://cn.zs.yahoo.com/start.htm?source=yzs_icon&btn=yassistnew (file missing)
O9 - Extra button: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\Program Files\Tencent\QQ\QQ.EXE
O9 - Extra 'Tools' menuitem: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\Program Files\Tencent\QQ\QQ.EXE
O9 - Extra button: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - C:\Program Files\Tencent\QQ\QQIEHelper.dll
O9 - Extra 'Tools' menuitem: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - C:\Program Files\Tencent\QQ\QQIEHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{47D886EF-0D90-4A27-95DA-2BA5CC8A68C5}: NameServer = 202.103.224.68
O17 - HKLM\System\CCS\Services\Tcpip\..\{85C83BB6-5D07-4D88-9DA9-CBE044F1F02D}: NameServer = 202.103.224.68 202.103.225.68
O18 - Protocol: KuGoo3 - {6AC4FBC7-AA38-45EC-9634-D6D20B679EFC} - D:\koogo\KuGoo3\InExtend\KuGoo3DownXControl.ocx
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\CCenter.exe
O23 - Service: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\Ravmond.exe
好可怕啊～～～谁来救救我啊～～～～～我都不知道怎么办了～我是个新手～高手来救救～～～～谢谢楼主～～～急救

偶想问一下,熊猫烧香的图案,有什么意思么??

誰也不知道是不是真的...

上有决策,下有對策...

引用:

【小木中毒来救救的贴子】Logfile of HijackThis v1.99.1 Scan saved at 12:20:57, on 2007-1-20 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\iexpl0re.exe C:\WINDOWS\system.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wuauclt.exe C:\PROGRA~1\Yahoo!\ASSIST~1\ylive.exe C:\Program Files\Thunder Network\Thunder\Program\Thunder5.exe C:\Program Files\Rising\Rav\CCenter.exe C:\Program Files\Rising\Rav\Ravmond.exe C:\Program Files\Rising\Rav\RavStub.exe C:\Program Files\Rising\Rav\RSAGENT.EXE C:\WINDOWS\msagent\AgentSvr.exe C:\Program Files\Rising\Rav\Rav.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\DOCUME~1\rd\LOCALS~1\Temp\Rar$EX00.579\HijackThis.exe R3 - URLSearchHook: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - C:\Program Files\Yahoo!\Assistant\Assist\yasbar.dll F2 - REG:system.ini: UserInit=userinit.exe, O1 - Hosts: 61.152.255.206 test.nicemm.cn O1 - Hosts: 61.152.255.206 new3.etsoft.com.cn O1 - Hosts: 61.152.255.206 www.gaodumm.com O1 - Hosts: 61.152.255.206 www.88cc8.com O1 - Hosts: 61.152.255.206 wg770.com O1 - Hosts: 61.152.255.206 www.y988.com O1 - Hosts: 61.152.255.206 ads.9168a.com O2 - BHO: yPhtb - {33BBE430-0E42-4f12-B075-8D21ACB10DCB} - C:\Program Files\Yahoo!\Assistant\Assist\yphtb.dll O2 - BHO: Anti Fish - {38928D50-8A48-44C2-945F-D2F23F771410} - C:\Program Files\Yahoo!\Assistant\Assist\yAngling.dll O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - C:\Program Files\Tencent\QQ\QQIEHelper.dll O2 - BHO: YDragSearch - {62EED7C6-9F02-42f9-B634-98E2899E147B} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\YDRAGS~1.DLL O2 - BHO: ThunderBHO - {889D2FEB-5411-4565-8998-1DD2C5261283} - C:\Program Files\Thunder Network\Thunder\ComDlls\XunLeiBHO_006.dll O2 - BHO: AssistHelper - {FE3ECAE7-0A37-4506-8A7D-3CC9A04D2CA8} - C:\Program Files\Yahoo!\Assistant\Assist\yassist.dll O3 - Toolbar: 雅虎助手 - {406F94F0-504F-4A40-8DFD-58B0666ABEBD} - C:\Program Files\Yahoo!\Assistant\Assist\yasbar.dll O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [RavTask] "C:\Program Files\Rising\Rav\RavTask.exe" -system O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [kdilmwbjmjuzwsf] C:\WINDOWS\iexpl0re.exe O4 - HKCU\..\Run: [043y] C:\WINDOWS\system.exe O4 - Startup: 腾讯QQ.LNK = C:\Program Files\Tencent\QQ\QQ.exe O8 - Extra context menu item: &使用迅雷下载 - C:\Program Files\Thunder Network\Thunder\Program\GetUrl.htm O8 - Extra context menu item: &使用迅雷下载全部链接 - C:\Program Files\Thunder Network\Thunder\Program\GetAllUrl.htm O8 - Extra context menu item: 上传到QQ网络硬盘 - C:\Program Files\Tencent\QQ\AddToNetDisk.htm O8 - Extra context menu item: 添加到QQ自定义面板 - C:\Program Files\Tencent\QQ\AddPanel.htm O8 - Extra context menu item: 添加到QQ表情 - C:\Program Files\Tencent\QQ\AddEmotion.htm O8 - Extra context menu item: 添加到雅虎订阅(&Y) - res://C:\Program Files\Yahoo!\Assistant\Assist\yrss.dll/YRSSMENUEXT O8 - Extra context menu item: 用QQ彩信发送该图片 - C:\Program Files\Tencent\QQ\SendMMS.htm O8 - Extra context menu item: 雅虎搜索 - res://C:\Program Files\Yahoo!\Assistant\Assist\yasbar.dll/203 O9 - Extra button: 启动迅雷5 - {09BA8F6D-CB54-424B-839C-C2A6C8E6B436} - C:\Program Files\Thunder Network\Thunder\Thunder.exe O9 - Extra ''Tools'' menuitem: 启动迅雷5 - {09BA8F6D-CB54-424B-839C-C2A6C8E6B436} - C:\Program Files\Thunder Network\Thunder\Thunder.exe O9 - Extra button: 雅虎助手 - {5D73EE86-05F1-49ed-B850-E423120EC338} - http://cn.zs.yahoo.com/start.htm?source=yzs_icon&btn=yassistnew (file missing) O9 - Extra button: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\Program Files\Tencent\QQ\QQ.EXE O9 - Extra ''Tools'' menuitem: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\Program Files\Tencent\QQ\QQ.EXE O9 - Extra button: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - C:\Program Files\Tencent\QQ\QQIEHelper.dll O9 - Extra ''Tools'' menuitem: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - C:\Program Files\Tencent\QQ\QQIEHelper.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra ''Tools'' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{47D886EF-0D90-4A27-95DA-2BA5CC8A68C5}: NameServer = 202.103.224.68 O17 - HKLM\System\CCS\Services\Tcpip\..\{85C83BB6-5D07-4D88-9DA9-CBE044F1F02D}: NameServer = 202.103.224.68 202.103.225.68 O18 - Protocol: KuGoo3 - {6AC4FBC7-AA38-45EC-9634-D6D20B679EFC} - D:\koogo\KuGoo3\InExtend\KuGoo3DownXControl.ocx O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\CCenter.exe O23 - Service: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\Ravmond.exe 好可怕啊～～～谁来救救我啊～～～～～我都不知道怎么办了～我是个新手～高手来救救～～～～谢谢楼主～～～急救 ………………

C:\WINDOWS\iexpl0re.exe
O4 - HKCU\..\Run: [kdilmwbjmjuzwsf] C:\WINDOWS\iexpl0re.exe
O1 - Hosts: 61.152.255.206 test.nicemm.cn
O1 - Hosts: 61.152.255.206 new3.etsoft.com.cn
O1 - Hosts: 61.152.255.206 www.gaodumm.com
O1 - Hosts: 61.152.255.206 www.88cc8.com
O1 - Hosts: 61.152.255.206 wg770.com
O1 - Hosts: 61.152.255.206 www.y988.com
O1 - Hosts: 61.152.255.206 ads.9168a.com