Red de conocimiento de recetas - Recetas de platos caseros - ¿El virus de la quema de incienso panda y métodos y soluciones de invasión específicos?

¿El virus de la quema de incienso panda y métodos y soluciones de invasión específicos?

Recientemente, el virus "Panda Burning Incense" se ha vuelto popular en Internet y se ha descubierto que las escuelas dentro de la red educativa de esta región están infectadas. El virus es altamente destructivo, tiene capacidades de ataque DDoS y consume ancho de banda. Ahora se analiza el virus y se proporcionan métodos de eliminación específicos. Se solicita a todas las escuelas que lo prevengan y eliminen activamente.

Número de archivo: CISRT2006081

Nombre del virus: gusano. Win32.Delf.bf (Kaspersky)

Alías del virus: gusano. Nimayya d(en ascenso)

Win32. Troy QQ rober NW 22835 (tirano de las drogas)

Tamaño del virus: 22.886 bytes

Método de adición de shell: UPack

Muestra MD5: 9749216a 37d 57 cf. 42 mi 528 c 027252062.

Muestra sha 1: 5d 3222d 8 ab 6 fc 1f 899 eff 32 c 2d 3c d50 CD 755.

Descubrido: 2006.11

Actualizado: 2006.11

Virus relacionados:

Método de propagación: propagación a través de páginas web maliciosas, a través de otros troyanos Descargue, difunda a través de la red de área local y dispositivos de almacenamiento móviles.

Análisis Técnico

==========

Es una variante de "Panda Burning Incense" FuckJacks.exe, usado en un fondo blanco panda quemando icono de incienso.

Por ejemplo:

Después de que el virus se ejecute, se copiará al directorio del sistema:

System\drivers\spoclsv.exe

Crear proyecto de inicio:

[Copiar al portapapeles] Código:

[HKEY_current_user\software\Microsoft\Windows\currentversion\run]

" Compartir SVC " = " System \ drivers \ spoclsv . exe "

Modificar la información del registro interferirá con la configuración "Mostrar todos los archivos y carpetas":

[Copiar al portapapeles] Código:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\actual version\Explorer\Advanced\Folder\Hidden\SHOWALL]

" CheckedValue"=dword: 0000000

Crear una copia en la raíz de cada partición:

X:\setup.exe

X:\autorun.inf

Contenido de Autorun.inf:

[Copiar al portapapeles] Código:

[Autorun]

OPEN=setup.exe

shellexecute=setup.exe

shell\Auto\command=setup.exe

Intenta cerrar la ventana.

QQKav

QQAV

Proceso de firewall Skynet

Escaneo de virus

Software antivirus Netdart

Duba

Software antivirus en ascenso

Jiang Min

Huangshan IE

Super Rabbit

Optimización Master

Domador de caballos de Troya

Trojan Sweeper

Trojan Sweeper

Editor de registro de virus QQ

Configuración del sistema Microsoft

Kaspersky Anti-Virus

Symantec Anti-Virus

Duba

Administrador de tareas de Windows

Respete el proceso

Computadora Green Eagle

Antirrobo de contraseñas

Phage

Dispositivo de enmarcado asistido por troyano

Monitor de seguridad del sistema

Regalo envuelto Blackboy

Experto en Winsock

Maestro en detección de caballos de Troya

Shen Hao q Asesino de ladrones

pjf (Universidad de Ciencia y Tecnología de China)

Bingjian

Intenta cerrar el proceso.

Mcshield.exe

VsTskMgr.exe

naPrdMgr.exe

UpdaterUI.exe

TBMon.exe

scan32.exe

Ravmond.exe

CCenter.exe

RavTask.exe

Rav.exe

Ravmon.exe

RavmonD.exe

RavStub.exe

KVXP.kxp

KvMonXP.kxp

KVCenter.kxp

KVSrvXP.exe

KRegEx.exe

UIHost.exe

TrojDie.kxp

FrogAgent.exe

Logo1_. Extensión del programa ejecutable

Logo_1.exe

Rundl132.exe

Deshabilitar los siguientes servicios

kavsvc

AVP

AVPkavsvc

McAfeeFramework

McShield

McTaskManager

McAfeeFramework McShield

McTaskManager

navapsvc

KVWSC

KVSrvXP

KVWSC

KVSrvXP

Programación

Acceso compartido

RsCCenter

RsRavMon

RsCCenter

RsRavMon

wscsvc

KPfwSvc

SNDSrvc

ccProxy

ccEvtMgr

ccSetMgr

SPBBCSvc

Famosa empresa de software estadounidense

Carta de crédito principal

NPFMntor

MskService

FireSvc

Buscar y marcar todos infectados. EXE/. SCR/. PIF/. Archivos COM, excepto los siguientes directorios.

Ventana

Winnt

Información del volumen del sistema

Reutilizar

sistema operativo Windows

Windows Update

Windows Media Player

Outlook Express

Navegador web producido por Microsoft

Network Conference System

p>

Documentos públicos

Complus

Aplicaciones

Remitente

Información de instalación de InstallShield

p>

Microsoft Network

Microsoft Frontpage

Movie Maker

MSN Game Zone

Eliminado. Archivo GHO

Agregue la siguiente ubicación de inicio

\Documentos y configuraciones\Todos los usuarios\Menú Inicio\Programas\Inicio\Documentos y configuraciones\Todos los usuarios\Menú Inicio\Programas\Inicio\ Windows \Menú Inicio\Programas\Inicio\winnt\Profiles\Todos los usuarios\Menú Inicio\Programas\Inicio.

Monitoreo de registros de QQ y acceso a registros de archivos LAN: c:\test.txt, intente enviar mensajes QQ.

Intente acceder al archivo LAN infectado (GameSetup.exe) utilizando la siguiente contraseña

1234

Contraseña

6969

Harry

123456

Golf

Gato

Mustang

1111

Sombra

1313

Pez

5150

7777

Teclado de escritura estándar en inglés

p>

Béisbol

2112

Lettermaine

12345678

12345

Circuito de control de consola

Gestión

5201314

qq520

1

12

123

1234567

123456789

654321

54321

111

000000

Alfabeto

Mujer Policía

11111111

88888888

Contraseña

Contraseña

Base de datos

Sistema acelerado de recogida y entrega

abc123

Sybes

123qwe

Servidor web informático

Computadora

520

Excelente

123 a d

Ija Venopas

Dios te bendiga

Habilitar

Tarifa de expedición pagada (abreviatura de Express Paid)

2002

2003

2600

La primera letra del alfabeto griego

110

111111

121212

p>

123123

1234qwer

123abc

James Bond

aaaa

Patrick

Pequeños trozos

Gerentes

Raíces

Sexo

Dios

foobar

Prueba Secreta

Prueba 123

Empleado Temporal

Temperatura 123

Victoria

Computadora personal

asdf

Mostrar directorio de trabajo actual

qwer yxcv

zxcv

Inicio

xxx

Propietario

Iniciar sesión

Iniciar sesión

pw123

Me encanta

mypc

mypc123

admin123

Mi pase

Mi pase 123

901100

Gerente

Invitado

Gestión

Raíz

Todos los directorios raíz y generación de almacenamiento móvil

X:\setup.exe

X:\autorun .inf

[Autorun]

OPEN=setup.exe

shellexecute=setup.exe

shell\Auto\command=setup .exe

Eliminar oculto * * *Disfruta

cmd.exe/canada net share USD/del/year

cmd.

exe/canada net share Management dólares/del/año

cmd.exe/canada net share

Crear proyecto de inicio:

Software\Microsoft\Windows\current version\run

Svcshare=apunta a \system32\drivers\spoclsv.exe.

Deshabilitar la opción de ocultar carpeta

SOFTWARE\Microsoft\Windows\actual version\Explorer\Advanced\Folder\Hidden\SHWALL\checked value

Borrar pasos

p>

==========

1. Desconectarse de la red

2. Finalizar el proceso del virus

Sistema\. drivers\spoclsv.exe

3. Elimine el archivo de virus:

System\drivers\spoclsv.exe

4. desde el menú contextual Haga clic en "Abrir", ingrese al directorio raíz de la partición y elimine los archivos en el directorio raíz:

X:\setup.exe

X:\ autorun.inf

5. Elimine los elementos de inicio creados por el virus:

[Copiar al portapapeles] Código:

[HKEY_current_user\software\Microsoft\Windows \current version\run]

" SVC share " = " System \ drivers \ spoclsv . exe "

6. y carpetas":

[Copiar al portapapeles] Código:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\current version\Explorer\Advanced\Folder\Hidden\SHOWALL]

" valor marcado " = dword: 00000001

7. Reparar o reinstalar el software antivirus

8. Utilice software antivirus o herramientas especiales de eliminación para realizar una Escaneo completo, limpieza y restauración de archivos exe infectados.

Descargue la herramienta antivirus Panda Burning Incense.

上篇: ¿Qué tipo de cocina de Sichuan está disponible en Shenzhen? 下篇: ¿Es necesario añadir agua a las berenjenas salteadas? Te enseñaré a hacerlo correctamente. La berenjena no absorbe aceite y queda tierna, suave y no grasosa.

Artículos populares