熊猫烧香病毒变种 spoclsv.exe 解决方案
病毒大小:22,886 字节 加壳方式:UPack 样本MD5:9749216a37d57cf4b2e528c027252062 样本SHA15d3222d8ab6fc11f899eff32c2c8d3cd50cbd755
熊猫烧香病毒专杀工具下载:http://www.chcodes.com/soft/11/129/14775.html
发现时间:2006.11 更新时间:2006.11
传播方式:通过恶意网页传播,其它木马下载,可通过局域网、移动存储设备等传播
技术分析
又是“熊猫烧香”FuckJacks.exe的变种,和之前的变种一样使用白底熊猫烧香图标,病毒运行后复制自身到系统目录下: %System%\drivers\spoclsv.exe 创建启动项: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "svcshare"="%System%\drivers\spoclsv.exe" 修改注册表信息干扰“显示所有文件和文件夹”设置: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000000 在各分区根目录生成副本: X:\setup.exe X:\autorun.inf autorun.inf内容: [AutoRun] OPEN=setup.exe shellexecute=setup.exe shell\Auto\command=setup.exe
尝试关闭下列窗口: QQKav QQAV VirusScan Symantec AntiVirus Duba Windows esteem procs System Safety Monitor Wrapped gift Killer Winsock Expert msctls_statusbar32 pjf(ustc) IceSword
结束一些对头的进程: Mcshield.exe VsTskMgr.exe naPrdMgr.exe UpdaterUI.exe TBMon.exe scan32.exe Ravmond.exe CCenter.exe RavTask.exe Rav.exe Ravmon.exe RavmonD.exe RavStub.exe KVXP.kxp KvMonXP.kxp KVCenter.kxp KVSrvXP.exe KRegEx.exe UIHost.exe TrojDie.kxp FrogAgent.exe Logo1_.exe Logo_1.exe Rundl132.exe
禁用一系列服务: Schedule sharedaccess RsCCenter RsRavMon RsCCenter RsRavMon KVWSC KVSrvXP kavsvc AVP McAfeeFramework McShield McTaskManager navapsvc wscsvc KPfwSvc SNDSrvc ccProxy ccEvtMgr ccSetMgr SPBBCSvc Symantec Core LC NPFMntor MskService FireSvc
删除若干安全软件启动项信息: RavTask KvMonXP kav KAVPersonal50 McAfeeUpdaterUI Network Associates Error Reporting Service ShStatEXE YLive.exe yassistse
使用net share命令删除管理共享: net share X$ /del /y net share admin$ /del /y net share IPC$ /del /y
遍历目录,感染除以下系统目录外其它目录中的exe、com、scr、pif文件: X:\WINDOWS X:\Winnt X:\System Volume Information X:\Recycled %ProgramFiles%\Windows NT %ProgramFiles%\WindowsUpdate %ProgramFiles%\Windows Media Player %ProgramFiles%\Outlook Express %ProgramFiles%\Internet Explorer %ProgramFiles%\NetMeeting %ProgramFiles%\Common Files %ProgramFiles%\ComPlus Applications %ProgramFiles%\Messenger %ProgramFiles%\InstallShield Installation Information %ProgramFiles%\MSN %ProgramFiles%\Microsoft Frontpage %ProgramFiles%\Movie Maker %ProgramFiles%\MSN Gamin Zone
将自身捆绑在被感染文件前端,并在尾部添加标记信息: .WhBoy{原文件名}.exe.{原文件大小}. 与之前变种不同的是,这个病毒体虽然是22886字节,但是捆绑在文件前段的只有22838字节,被感染文件运行后会出错,而不会像之前变种那样释放出{原文件名}.exe的原始正常文件。
另外还发现病毒会覆盖少量exe,删除.gho文件。
病毒还尝试使用弱密码访问局域网内其它计算机: password harley golf pussy mustang shadow fish qwerty baseball letmein ccc admin abc pass passwd database abcd abc123 sybase 123qwe server computer super 123asd ihavenopass godblessyou enable alpha 1234qwer 123abc aaa patrick pat administrator root sex god foobar secret test test123 temp temp123 win asdf pwd qwer yxcv zxcv home xxx owner login Login love mypc mypc123 admin123 mypass mypass123 Administrator Guest admin Root
清除步骤
1. 断开网络
2. 结束病毒进程 %System%\drivers\spoclsv.exe
3. 删除病毒文件: %System%\drivers\spoclsv.exe
4. 右键点击分区盘符,点击右键菜单中的“打开”进入分区根目录,删除根目录下的文件: X:\setup.exe X:\autorun.inf
5. 删除病毒创建的启动项: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "svcshare"="%System%\drivers\spoclsv.exe"
6. 修改注册表设置,恢复“显示所有文件和文件夹”选项功能: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001
7. 修复或重新安装反病毒软件
8. 使用反病毒软件或专杀工具进行全盘扫描,清除恢复被感染的exe文件 我们做完上面的步骤后,会发现病毒已经清楚。 但,还没完,病毒其实还在你的电脑里的很多文件内存在,至今还没有任何一个杀毒软件可以完全的清除,只要上网打开网页就会马上再次中毒。 经过摸索,我也搞了几个小花招,它终于暂时被降服了。
我在次在细说我的方法:
1在防火墙中加入黑名单:61.139.2.69
2在防火墙中禁止“放行所有ICMP”,不许病毒包通过。
3打开windows xp的服务 关闭被病毒打开的 很多服务... 大概他打开了有7-8个服务吧,你中了后不关闭,这些后门就会使得你继续中毒。
4建立目录 md c:\windows\system32\drivers\spoclsv.exe 当然,在建立前,必须删除原来存在的spoclsv.exe 5防火墙中设置对c:\windows\system32\drivers\spoclsv.exe的监控,严禁任何程序删除他。
5 remote access auto connection manager 远程引用者连接
6 NetMeeting Remote Desktop Sharing 懒得打字解释了
7 Automatic Updates 自动更新windows,我是不用的,关不关随意你。
8 共享 USN 杂志阅读器服务 关了它,无聊啊!
9 Net Logon 呵呵,看情况吧。我是关了他,禁止一切其他人的log on!
减小字体
增大字体