实例讲解如何干掉“熊猫烧香”-Microsoft认证考试|IT认证考试网

　　你中过熊猫烧香么?!看到过熊猫拿着三支香的样子么!?中招后如何处理!?看完本文，你将学会如何从计算机中杀掉“熊猫烧香”。

　　惊险查杀过程

　　1.熊猫烧香病毒：图片就是个熊猫在烧香感觉蛮可爱的!当时并没有很在意!第二天再次打开电脑的时候!几乎电脑所有的EXE文件都成了熊猫烧香图片!这时才有所感觉!

　　部分EXE文件已经无法正常使用!新加一个AUTORUN.INF的文件!

　　当初不明白这个文件的作用!在网上查了一些资料表明。才知道。只要用户打开盘符。就会运行这个病毒!用杀毒软件杀毒!没有效果!看来现在的杀毒软件越来越不行了~..

　　2.想用组合键打开任务管理器!无法打开~失败....想看看注册表有没什么情况。依然失败!奇怪的是：电脑运行正常。也都不卡!难道不是病毒.是系统出了问题?从网上下了第三方工具查看进程!果然看到两个可疑进程!FuckJacks.exe貌似是最可疑的不敢贸然终止!赶快问问白度大叔!

　　3.大叔告诉我。是熊猫病毒的进程!一切正如我意!懒的装系统了!

　　4.先结束FuckJacks.exe进程!开始-运行-CMD 输入：ntsd -c q -p 病毒的PID~终于KILL掉了!一切恢复正常了!兴奋ING...赶快打开注册表

　　突然注册表又关了.看看进程FuckJacks.exe。又出现了~~那应该它还有个守护进程!找找找。无发现....奇怪了。难道他的守护进程插入到系统

　　进程了?不会吧.....头疼一阵...。

　　5.算了，去向朋友找个专杀工具。有一个朋友说他写过熊猫的专杀工具!晕~~原来牛人在我身边。我都没发现~赶快想他请教~~才大概的了解了熊猫烧香~ 叫他给了我一个无壳的熊猫自己分析下~(自己动手.丰衣足食嘛~~)

　　6.用UI32打开熊猫.看到了条用的部分资源!文件执行后。释放到\system32\FuckJacks.exe下。

　　7.继续象下可以看到熊猫的一些传播过程相当的经典..有扫描同一网段的电脑~自我复制.等等相当强大公能~同时感染所有盘符的EXE文件~却不对一些重要的系统文件和常用文件进行感染!可见并不想早成太大破坏~修改注册表.禁止打开注册表.甚至禁用了部分服务~~

　　8下面就是重要的时刻了!从后面的代码可以看出!病毒的作者是个非常出色的程序员!有非常好的编程习惯!对病毒的异常运行~进行了很好的定义~都很大段都是作者对病毒运行条件的判断定义~值得注意的一点：在感染EXE文件的同时!感染ASP。HTML文件。会在最后加一段类似挂马的基本代码.~~做到通过第三方尽快传播的办法~(如果被感染者是网站管理人员。后果可想而知了)

　　病毒程序的运行

　　在给大家说下病毒的部分运行实现!简单的修改注册表：

　　有这样一句：WSHELL.REGWIRTE MYREGKEY， MYREGVALUE， MY REGTYPE

　　第一个是参数的键名：完整路径..

　　第二个是：键值。。

　　第三个是：键的类型，

　　Set wshell=wscript.createobject("wscript.shell")

　　wshell.regWrite"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\windows NT\CurrentVersion\Winlogin\shell","eseplorer.exe","REG_SZ"

　　这就是脚本病毒掼用技术~

　　通用的解决方法

　　1、就是要关闭自己的默认共享。

　　首先运行regedit，找到如下组建[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]把

　　RestrictAnonymous = DWORD的键值改为：00000001。

　　restrictanonymous REG_DWORD

　　0x0 缺省

　　0x1 匿名用户无法列举本机用户列表

　　0x2 匿名用户无法连接本机IPC

　　说明:不建议使用2，否则可能会造成你的一些服务无法启动，如SQL Server

　　2、禁止默认共享

　　1)察看本地共享资源

　　运行-cmd-输入net share

　　2)删除共享(每次输入一个)

　　net share ipc$ /delete

　　net share admin$ /delete

　　net share c$ /delete

　　net share d$ /delete(如果有e,f,……可以继续删除)

　　3)修改注册表删除共享

　　运行-regedit

　　找到如下主键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]

　　把AutoShareServer(DWORD)的键值改为0000000。

　　如果上面所说的主键不存在，就新建(右击-新建-双字节值)一个主健再改键值。

　　我们看看这个病毒功能：瞬间复制整个硬盘、有监视QQ记录的功能、网吧的电脑依然有效!显然有了精灵的转存功能。值得注意的功能：删除GHOST的功能，控制电脑进行集体的DDOS，更出现了KILL掉KV、瑞星和金山的功能!

　　病毒的特性：网页传播!电脑的弱口令。默认共享传播!在内网的传播速度非常的快!对企业的居于网有很大的杀伤力!病毒瞬间复制整个硬盘。占用内存极小~

　　熊猫这款病毒虽然不是很新鲜。但是病毒的作者真的很让人佩服~完全的网络高手!超强的优秀程序员!

　　忘说了：网络巡警的熊猫专杀工具。就可以杀最新的变种!

实例讲解如何干掉“熊猫烧香”-Microsoft认证考试
·上一篇文章： & ·下一篇文章：
来源：点击数：录入时间：07-01-26 17:10:26



你中过熊猫烧香么?!看到过熊猫拿着三支香的样子么!?中招后如何处理!?看完本文，你将学会如何从计算机中杀掉“熊猫烧香”。　　惊险查杀过程　　1.熊猫烧香病毒：图片就是个熊猫在烧香感觉蛮可爱的!当时并没有很在意!第二天再次打开电脑的时候!几乎电脑所有的EXE文件都成了熊猫烧香图片!这时才有所感觉! 　　部分EXE文件已经无法正常使用!新加一个AUTORUN.INF的文件! 　　当初不明白这个文件的作用!在网上查了一些资料表明。才知道。只要用户打开盘符。就会运行这个病毒!用杀毒软件杀毒!没有效果!看来现在的杀毒软件越来越不行了~.. 　　2.想用组合键打开任务管理器!无法打开~失败....想看看注册表有没什么情况。依然失败!奇怪的是：电脑运行正常。也都不卡!难道不是病毒.是系统出了问题?从网上下了第三方工具查看进程!果然看到两个可疑进程!FuckJacks.exe貌似是最可疑的不敢贸然终止!赶快问问白度大叔! 　　3.大叔告诉我。是熊猫病毒的进程!一切正如我意!懒的装系统了! 　　4.先结束FuckJacks.exe进程!开始-运行-CMD 输入：ntsd -c q -p 病毒的PID~终于KILL掉了!一切恢复正常了!兴奋ING...赶快打开注册表　　突然注册表又关了.看看进程FuckJacks.exe。又出现了~~那应该它还有个守护进程!找找找。无发现....奇怪了。难道他的守护进程插入到系统　　进程了?不会吧.....头疼一阵...。　　5.算了，去向朋友找个专杀工具。有一个朋友说他写过熊猫的专杀工具!晕~~原来牛人在我身边。我都没发现~赶快想他请教~~才大概的了解了熊猫烧香~ 叫他给了我一个无壳的熊猫自己分析下~(自己动手.丰衣足食嘛~~) 　　6.用UI32打开熊猫.看到了条用的部分资源!文件执行后。释放到\system32\FuckJacks.exe下。　　7.继续象下可以看到熊猫的一些传播过程相当的经典..有扫描同一网段的电脑~自我复制.等等相当强大公能~同时感染所有盘符的EXE文件~却不对一些重要的系统文件和常用文件进行感染!可见并不想早成太大破坏~修改注册表.禁止打开注册表.甚至禁用了部分服务~~ 　　8下面就是重要的时刻了!从后面的代码可以看出!病毒的作者是个非常出色的程序员!有非常好的编程习惯!对病毒的异常运行~进行了很好的定义~都很大段都是作者对病毒运行条件的判断定义~值得注意的一点：在感染EXE文件的同时!感染ASP。HTML文件。会在最后加一段类似挂马的基本代码.~~做到通过第三方尽快传播的办法~(如果被感染者是网站管理人员。后果可想而知了) 　　病毒程序的运行　　在给大家说下病毒的部分运行实现!简单的修改注册表：　　有这样一句：WSHELL.REGWIRTE MYREGKEY， MYREGVALUE， MY REGTYPE 　　第一个是参数的键名：完整路径.. 　　第二个是：键值。。　　第三个是：键的类型，　　Set wshell=wscript.createobject("wscript.shell") 　　wshell.regWrite"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\windows NT\CurrentVersion\Winlogin\shell","eseplorer.exe","REG_SZ" 　　这就是脚本病毒掼用技术~ 　　通用的解决方法　　1、就是要关闭自己的默认共享。　　首先运行regedit，找到如下组建[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]把　　RestrictAnonymous = DWORD的键值改为：00000001。　　restrictanonymous REG_DWORD 　　0x0 缺省　　0x1 匿名用户无法列举本机用户列表　　0x2 匿名用户无法连接本机IPC 　　说明:不建议使用2，否则可能会造成你的一些服务无法启动，如SQL Server 　　2、禁止默认共享　　1)察看本地共享资源　　运行-cmd-输入net share 　　2)删除共享(每次输入一个) 　　net share ipc$ /delete 　　net share admin$ /delete 　　net share c$ /delete 　　net share d$ /delete(如果有e,f,……可以继续删除) 　　3)修改注册表删除共享　　运行-regedit 　　找到如下主键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters] 　　把AutoShareServer(DWORD)的键值改为0000000。　　如果上面所说的主键不存在，就新建(右击-新建-双字节值)一个主健再改键值。　　我们看看这个病毒功能：瞬间复制整个硬盘、有监视QQ记录的功能、网吧的电脑依然有效!显然有了精灵的转存功能。值得注意的功能：删除GHOST的功能，控制电脑进行集体的DDOS，更出现了KILL掉KV、瑞星和金山的功能! 　　病毒的特性：网页传播!电脑的弱口令。默认共享传播!在内网的传播速度非常的快!对企业的居于网有很大的杀伤力!病毒瞬间复制整个硬盘。占用内存极小~ 　　熊猫这款病毒虽然不是很新鲜。但是病毒的作者真的很让人佩服~完全的网络高手!超强的优秀程序员! 　　忘说了：网络巡警的熊猫专杀工具。就可以杀最新的变种!

责任编辑：admin 文章作者：