<<  < 2011 - 1 >  >>

日	一	二	三	四	五	六
	1	2	3	4	5	6
7	8	9	10	11	12	13
14	15	16	17	18	19	20
21	22	23	24	25	26	27
28	29	30	31

实例讲解如何干掉“熊猫烧香”　

熊猫烧香 发表于 2007-1-18 13:13:00

你中过熊猫烧香么？！看到过熊猫拿着三支香的样子么！？中招后如何处理！？看完本文，你将学会如何从计算机中杀掉“熊猫烧香”。

    惊险查杀过程

    1.熊猫烧香病毒：图片就是个熊猫在烧香感觉蛮可爱的！当时并没有很在意！第二天再次打开电脑的时候！几乎电脑所有的EXE文件都成了熊猫烧香图片！这时才有所感觉！

    部分EXE文件已经无法正常使用！新加一个AUTORUN.INF的文件！

    当初不明白这个文件的作用！在网上查了一些资料表明。才知道。只要用户打开盘符。就会运行这个病毒！用杀毒软件杀毒！没有效果！看来现在的杀毒软件越来越不行了~..

    2.想用组合键打开任务管理器！无法打开~失败....想看看注册表有没什么情况。依然失败！奇怪的是：电脑运行正常。也都不卡！难道不是病毒.是系统出了问题？从网上下了第三方工具查看进程！果然看到两个可疑进程！***Jacks.exe貌似是最可疑的不敢贸然终止！赶快问问白度大叔！

    3.大叔告诉我。是熊猫病毒的进程！一切正如我意！懒的装系统了！

    4.先结束***Jacks.exe进程！开始-运行-CMD 输入：ntsd -c q -p 病毒的PID~终于KILL掉了！一切恢复正常了！兴奋ING...赶快打开注册表

    突然注册表又关了.看看进程***Jacks.exe。又出现了~~那应该它还有个守护进程！找找找。无发现....奇怪了。难道他的守护进程插入到系统

    进程了？不会吧.....头疼一阵...。

    5.算了，去向朋友找个专杀工具。有一个朋友说他写过熊猫的专杀工具！晕~~原来牛人在我身边。我都没发现~赶快想他请教~~才大概的了解了熊猫烧香~ 叫他给了我一个无壳的熊猫自己分析下~（自己动手.丰衣足食嘛~~）

    6.用UI32打开熊猫.看到了条用的部分资源！文件执行后。释放到\system32\***Jacks.exe下。

    7.继续象下可以看到熊猫的一些传播过程相当的经典..有扫描同一网段的电脑~自我复制.等等相当强大公能~同时感染所有盘符的EXE文件~却不对一些重要的系统文件和常用文件进行感染！可见并不想早成太大破坏~修改注册表.禁止打开注册表.甚至禁用了部分服务~~

    8下面就是重要的时刻了！从后面的代码可以看出！病毒的作者是个非常出色的程序员！有非常好的编程习惯！对病毒的异常运行~进行了很好的定义~都很大段都是作者对病毒运行条件的判断定义~值得注意的一点：在感染EXE文件的同时！感染ASP。HTML文件。会在最后加一段类似挂马的基本代码.~~做到通过第三方尽快传播的办法~（如果被感染者是网站管理人员。后果可想而知了）

    病毒程序的运行

    在给大家说下病毒的部分运行实现！简单的修改注册表：

    有这样一句：WSHELL.REGWIRTE  MYREGKEY， MYREGVALUE， MY REGTYPE 

    第一个是参数的键名：完整路径..

    第二个是：键值。。

    第三个是：键的类型，

Set wshell=wscript.createobject("wscript.shell")

wshell.regWrite"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\windows NT\CurrentVersion\Winlogin\shell","eseplorer.exe","REG_SZ"

阅读全文 | 回复(0) | 引用通告 | 编辑

标签：实例 讲解 如何 干掉 熊猫烧香 

• 上一篇：熊猫烧香 大量exe文件遭篡改
• 下一篇：熊猫烧香病毒幕后黑手曝光 网络世界高手对决一个月

昵称：

密码： (游客无须输入密码)

主页：

标题：