» 遊客:  加入 | 登入 (帳號有問題請連絡TWed2k@gmail.com)


 


 TWed2k » 心得教學區 » [轉貼]熊貓燒香病毒分析與解決方案 RSS   



  可打印版本 | 推薦給朋友 | 訂閱主題 | 收藏主題 | 純文字版  


 

 
主題: [轉貼]熊貓燒香病毒分析與解決方案   字型大小:||| 
yjmg
銅驢友〔初級〕
等級: 8等級: 8


 . 積分: 124
 . 精華: 1
 . 文章: 116
 . 收花: 934 支
 . 送花: 2 支
 . 比例: 0
 . 在線: 2092 小時
 . 瀏覽: 5650 頁
 . 註冊: 7445
 . 失蹤: 247
#1 : 2007-5-10 10:51 PM     只看本作者 送鮮花給本文章,以表示喜愛之意,點花數可看送花者名單送花 (0) 引言回覆
熊貓燒香病毒分析與解決方案

killer (killer<2>uid0.net)
Date: 2006-11-20


一、病毒描述:

  含有病毒體的檔被運行後,病毒將自身拷貝至系統目錄,同時修改註冊表將自身設置為開機啟動項,並遍曆各個驅動器,將自身寫入磁片根目錄下,增加一個 Autorun.inf檔,使得用戶打開該盤時啟動病毒體。隨後病毒體開一個線程進行本地檔感染,同時開另外一個線程連接某網站下載ddos程式進行 發動惡意攻擊。
  
二、病毒基本情況:

[檔資訊]

病毒名: Virus.Win32.EvilPanda.a.ex$
大 小: 0xDA00 (55808), (disk) 0xDA00 (55808)
SHA1 : F 0C 3DA82E 1620701A D 2F 0C 8B531EEBEA0E 8A F69D
殼信息: 未知
危害級別:高

病毒名: Flooder.Win32.FloodBots.a.ex$
大 小: 0xE800 (59392), (disk) 0xE800 (59392)
SHA1 : B 71A 7EF 22A 36DBE27E3830888DAFC3B 2A 7D5DA0D
殼信息: UPX 0.89.6 - 1.02 / 1.05 - 1.24
危害級別:高

三、病毒行為:

  Virus.Win32.EvilPanda.a.ex$ :

  1、病毒體執行後,將自身拷貝到系統目錄:

    %SystemRoot%\system32\FuckJacks.exe
  
  2、添加註冊表啟動專案確保自身在系統重啟動後被載入:

    鍵路徑:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    鍵名:FuckJacks
    鍵值:"C:WINDOWS\system32\FuckJacks.exe"
  
    鍵路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    鍵名:svohost


[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
FANTASY
青銅驢友
等級: 11等級: 11等級: 11等級: 11


今日心情

 . 積分: 245
 . 文章: 1361
 . 收花: 1650 支
 . 送花: 162 支
 . 比例: 0.1
 . 在線: 2228 小時
 . 瀏覽: 25534 頁
 . 註冊: 7397
 . 失蹤: 23
#2 : 2007-5-14 10:50 AM     只看本作者 送鮮花給本文章,以表示喜愛之意,點花數可看送花者名單送花 (0) 引言回覆
沒有解決方案呀?


[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
g10248
銀驢友〔初級〕
等級: 12等級: 12等級: 12
夜豹

十週年紀念徽章(五級)  

 . 積分: 451
 . 文章: 437
 . 收花: 3839 支
 . 送花: 59577 支
 . 比例: 15.52
 . 在線: 2484 小時
 . 瀏覽: 41528 頁
 . 註冊: 7179
 . 失蹤: 13
#3 : 2007-5-14 12:46 PM     只看本作者 送鮮花給本文章,以表示喜愛之意,點花數可看送花者名單送花 (0) 引言回覆
病毒行為可以當成解決方案

簡單的解決法
安全模式開機
1.刪掉這個
    %SystemRoot%\system32\FuckJacks.exe
2.開始 > 執行 > regedit > 刪掉這兩個
    鍵路徑:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    鍵名:FuckJacks
    鍵值:"C:WINDOWS\system32\FuckJacks.exe"
  
    鍵路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    鍵名:svohost


[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記

   

快速回覆
表情符號

更多 Smilies

字型大小 : |||      [完成後可按 Ctrl+Enter 發佈]        

溫馨提示:本區開放遊客瀏覽。
選項:
關閉 URL 識別    關閉 表情符號    關閉 Discuz! 代碼    使用個人簽名    接收新回覆信件通知
發表時自動複製內容   [立即複製] (IE only)


 



所在時區為 GMT+8, 現在時間是 2024-11-25 01:38 PM		 清除 Cookies - 連絡我們 - TWed2k © 2001-2046 - 純文字版 - 說明
Discuz! 0.1 | Processed in 0.025449 second(s), 8 queries , Qzip disabled