TWed2k - 心得教學區 - [轉貼]熊貓燒香病毒分析與解決方案

主題: [轉貼]熊貓燒香病毒分析與解決方案 [打印本頁]

發表人: yjmg 時間: 2007-5-10 10:51 PM 主題: [轉貼]熊貓燒香病毒分析與解決方案

熊貓燒香病毒分析與解決方案

killer (killer<2>uid0.net)
Date: 2006-11-20

一、病毒描述：

  含有病毒體的檔被運行後，病毒將自身拷貝至系統目錄，同時修改註冊表將自身設置為開機啟動項，並遍曆各個驅動器，將自身寫入磁片根目錄下，增加一個 Autorun.inf檔，使得用戶打開該盤時啟動病毒體。隨後病毒體開一個線程進行本地檔感染，同時開另外一個線程連接某網站下載ddos程式進行發動惡意攻擊。

二、病毒基本情況：

[檔資訊]

病毒名: Virus.Win32.EvilPanda.a.ex$
大小: 0xDA00 (55808), (disk) 0xDA00 (55808)
SHA1 : F 0C 3DA82E 1620701A D 2F 0C 8B531EEBEA0E 8A F69D
殼信息: 未知
危害級別：高

病毒名: Flooder.Win32.FloodBots.a.ex$
大小: 0xE800 (59392), (disk) 0xE800 (59392)
SHA1 : B 71A 7EF 22A 36DBE27E3830888DAFC3B 2A 7D5DA0D
殼信息: UPX 0.89.6 - 1.02 / 1.05 - 1.24
危害級別：高

三、病毒行為：

  Virus.Win32.EvilPanda.a.ex$ ：

  1、病毒體執行後，將自身拷貝到系統目錄：

%SystemRoot%\system32\FuckJacks.exe

  2、添加註冊表啟動專案確保自身在系統重啟動後被載入：

鍵路徑：HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
鍵名：FuckJacks
鍵值："C:WINDOWS\system32\FuckJacks.exe"

鍵路徑：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
鍵名：svohost

發表人: FANTASY 時間: 2007-5-14 10:50 AM

沒有解決方案呀?

發表人: g10248 時間: 2007-5-14 12:46 PM

病毒行為可以當成解決方案

簡單的解決法
安全模式開機
1.刪掉這個
%SystemRoot%\system32\FuckJacks.exe
2.開始 > 執行 > regedit >　刪掉這兩個
鍵路徑：HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
鍵名：FuckJacks
鍵值："C:WINDOWS\system32\FuckJacks.exe"

鍵路徑：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
鍵名：svohost

歡迎光臨 TWed2k (http://twed2k.org/)