Red de conocimiento de divisas - conocimientos contables - ¿El virus Panda Burning Incense y sus métodos y soluciones de invasión específicos?

¿El virus Panda Burning Incense y sus métodos y soluciones de invasión específicos?

El virus "Panda Burning Incense" se ha vuelto popular en Internet recientemente y se ha descubierto que algunas escuelas dentro de la red educativa del distrito están infectadas. Este virus es altamente destructivo y tiene capacidades de ataque DDoS, lo que consume ancho de banda. Ahora se analiza el virus y se proporcionan métodos de eliminación específicos. Se solicita a todas las escuelas que lo prevengan y eliminen activamente.

Número de archivo: CISRT2006081

Nombre del virus: Worm.Win32.Delf.bf (Kaspersky)

Alias ​​del virus: Worm.Nimaya.d (Rising)

Win32.Trojan.QQRobber.nw.22835 (tirano de la droga)

Tamaño del virus: 22.886 bytes

Método de empaquetado: UPack

Muestra MD5: 9749216a37d57cf4b2e528c027252062

SHA1 de muestra: 5d3222d8ab6fc11f899eff32c2c8d3cd50cbd755

Hora de descubrimiento: 2006.11

Hora de actualización: 2006.11

A virus asociados:

Método de propagación: se propaga a través de páginas web maliciosas, se pueden descargar otros troyanos y se puede propagar a través de redes de área local, dispositivos de almacenamiento móviles, etc.

Análisis técnico

========== =

Es una variante de "Panda Burning Incense" FuckJacks.exe, que utiliza un icono de Panda Burning Incense con fondo blanco,

Por ejemplo :

Después de ejecutarse el virus, se copia en el directorio del sistema Siguiente:

%System%\drivers\spoclsv.exe

Crear elemento de inicio:

[Copiar al portapapeles]CÓDIGO:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

"svcshare"="%System%\drivers \spoclsv.exe"

La modificación de la información del registro interfiere con la configuración "Mostrar todos los archivos y carpetas":

[Copiar al portapapeles]CÓDIGO:

[HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]

"CheckedValue"=dword:00000000

Genera una copia en el directorio raíz de cada partición:

X:\setup.exe

X: \autorun.inf

contenido de autorun.inf:

[Copiar al portapapeles] CÓDIGO:

[AutoRun]

OPEN=setup .exe

shellexecute=setup.exe

shell\Auto\command=setup .exe

Intenta cerrar la ventana

QQKav

QQAV

Proceso de Firewall Skynet

VirusScan

Network Dart Antivirus

Drug Bully

Rising

Jiangmin

Huangshan IE

Super Rabbit

Maestro de optimización

Trojan Star

Trojan Scavenger

Trojan Scavenger

Editor de registro de virus QQ

Utilidad de configuración del sistema

Kaspersky Antivirus

Symantec AntiVirus

Duba

Administrador de tareas de Windows

proces de estima

Green Eagle PC

Antirrobo de contraseña

Bacteriófago

Buscador auxiliar troyano

Sistema Monitor de Seguridad

Regalo envuelto Killer

Wi

nsock Expert

Maestro de detección de troyanos del juego

Xiao Shen Q Stealing Killer

pjf(ustc)

IceSword

Intenta cerrar el proceso

Mcshield.exe

VsTskMgr.exe

naPrdMgr.exe

UpdaterUI.exe

TBMon.exe

scan32.exe

Ravmond.exe

CCenter.exe

RavTask.exe

Rav.exe

Ravmon.exe

RavmonD.exe

RavStub.exe

KVXP.kxp

KvMonXP.kxp

KVCenter.kxp

KVSrvXP.exe

KRegEx.exe

UIHost.exe

TrojDie.kxp

FrogAgent.exe

Logo1_.exe

Logo_1.exe

Rundl132.exe

Desactivar los siguientes servicios

kavsvc

AVP

AVPkavsvc

McAfeeFramework

McShield

McTaskManager

McAfeeFramework McShield

McTaskManager

navapsvc

KVWSC

KVSrvXP

KVWSC

KVSrvXP

Programación

acceso compartido

RsCCenter

RsRavMon

RsCCenter

RsRavMon

wscsvc

KPfwSvc

SNDSrvc

ccProxy

ccEvtMgr

ccSetMgr

SPBBCSvc

Symantec

Core LC

NPFMntor

MskService

FireSvc

Busque todos los archivos .EXE/.SCR/.PIF/.COM infectados excepto los siguientes directorios y márquelos

WINDOWS

Winnt

Información del volumen del sistema

Reciclado

Windows NT

Windows Update

Windows Media Player

Outlook Express

Internet Explorer

NetMeeting

Archivos comunes

ComPlus

Aplicaciones

Messenger

Información de instalación de InstallShield

MSN

Portal de Microsoft

Movie Maker

MSN Gamin Zone

Elimine el archivo .GHO <-------tenga en cuenta esto

Agregue la siguiente ubicación de inicio

\

Documentos y configuraciones\Todos los usuarios\Menú Inicio\Programas\Inicio\Documentos y configuraciones \Todos los usuarios\Menú Inicio\Programas\Inicio\WINDOWS\Menú Inicio\Programas\Inicio\WINNT\ Perfiles\Todos los usuarios\Menú Inicio\Programas\Inicio \

Monitoreo de registros de QQ y acceso a archivos LAN: c:\test.txt, intentando enviar mensajes QQ

Intentando utilizar la siguiente contraseña para acceder al archivo LAN infectado ( GameSetup.exe)

1234

contraseña

6969

harley

123456

golf

golf

p>

coño

mustang

1111

sombra

1313

pez

5150

7777

qwerty

béisbol

2112

déjame entrar

12345678

12345

ccc

admin

5201314

qq520

1

12

123

1234567

123456789

654321

54321

p>

111

000000

abc

pw

11111111

88888888

contraseña

contraseña

base de datos

abcd

abc123

sybase

123qwe

servidor

computadora

520

super

123asd

no tengo contraseña

dios te bendiga

habilitar

xp

2002

2003

2600

p>

alfa

110

111111

121212

123123

1234qwer

123abc

007

aaaa

patrick

pat

administrador

root

sexo

dios

foobar

secreto

prueba123

temp

temp123

ganar

pc

asdf

pwd

qwer yxcv

zxcv

casa

xxx

propietario

iniciar sesión

iniciar sesión

pw123

amor

mypc

mypc123

admin123

mypass

mypass123

901100

Administrador

Invitado

admi

n

Raíz

Generar todos los directorios raíz y almacenamiento móvil

X:\setup.exe

X:\autorun.inf

[Ejecución automática]

OPEN=setup.exe

shellexecute=setup.exe

shell\Auto\command=setup.exe

Eliminar recursos compartidos ocultos

cmd.exe /c net share $ /del /y

cmd.exe /c net share admin$ /del / y

cmd.exe /c net share IPC$ /del /y

Crear elemento de inicio:

Software\Microsoft\Windows\CurrentVersion\Run

svcshare=Apunta a \%system32%\drivers\spoclsv.exe

Deshabilitar la opción de ocultar carpeta

SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder \Hidden\SHOWALL\CheckedValue

Pasos claros

==========

Desconectarse de la red

2. Finalice el proceso del virus

%System%\drivers\spoclsv.exe

3. Elimine el archivo de virus:

%System%\drivers \spoclsv.exe

4. Haga clic derecho en la letra de la unidad de partición, haga clic en "Abrir" en el menú contextual para ingresar al directorio raíz de la partición y elimine los archivos en el directorio raíz:

X:\setup.exe

X:\autorun.inf

5. Elimine los elementos de inicio creados por el virus:

[Copiar al portapapeles]CÓDIGO:

[ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

"svcshare"="%System%\drivers\spoclsv.exe"

6. Modifique la configuración del registro y restaure la función de opción "Mostrar todos los archivos y carpetas":

[Copiar al portapapeles]CÓDIGO:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\ SHOWALL]

"CheckedValue"=dword:00000001

7. p>8. Utilice software antivirus o herramientas especiales de eliminación Escanee todo el disco, borre y recupere archivos exe infectados.

Descargue la herramienta antivirus Panda Burning Incense para comprobarlo

上篇: Libros sobre minas de carbón 下篇: ¿Tiene Amic una licencia de venta directa?
Artículos populares