熊猫烧香(精选4篇)
熊猫烧香 篇1
1 实践背景
熊猫烧香(也称武汉男孩)病毒于2006年底出现,12月台湾地震导致海底光缆断裂,一段时间内境外服务器大范围失联,当时主流的杀毒软件(诺顿、卡巴斯基等)无法升级病毒库,助推了病毒的扩散与传播,2007年初在网络上肆虐。
笔者就职的中职学校于2007年1月在机房中发现该病毒。短短2周内,5个机房近200台计算机和超过70%的办公电脑感染了病毒,出现以下问题:
(1)桌面多个图标被篡改为熊猫烧香图案,出现1分钟倒计时重启;
(2)杀毒软件、安全卫士等系统防护程序自动退出;
(3)个别电脑断网能正常登陆,联网便无法登陆反复自动重启;
(4)根目录存在无法删除的可执行文件Gamesetup.exe。
2 实践过程
通过网络学习,笔者逐渐理清熊猫烧香工作原理,尝试多个专杀工具效果不理想后开始手动查杀病毒。
2.1 查杀步骤
熊猫烧香病毒大范围扩散基于以下几个特点:
(1)感染覆盖面广。
病毒除感染可执行文件外,还篡改asp、scr、pif等文件。
(2)系统植入深。
病毒通过自我复制到系统目录(%system%drivers)、注册表创建自启动项、根目录创建副本同时设置AutoRun强势侵入操作系统,并主动以弱密码访问局域网其他计算机以传播自身。
(3)自身保护意识强。
病毒自动终止金山毒霸、QQ管家等杀毒功能软件和任务管理器、注册表编辑器等常用系统管理工具进程,并删除相关启动项,禁用相关服务,甚至破坏GHO文件,以阻止用户使用GHOST还原系统。
针对上述特点,制定出杀毒策略:
(1)终止病毒进程spoclsv.exe (变种中可能是spcolsv.exe,与系统进程spoolsv.exe仅相差一个字母);
(2)清除病毒相关程序及文件;
(3)清理注册表,去除相关痕迹。
而要设计出适用性强又易行的通用杀毒方式,第一步终止病毒进程便成为关键,而如何提高适应性和避免杀毒过程再次染毒也让这一步骤成为难点。
2.2 难点攻克
笔者首先尝试使用命令行来解决此难点,便取得了良好效果。自Windows XP系统开始,微软操作系统自带进程管理命令tasklist和taskkill,分别具有进程查询和结束功能。使用taskkill命令配合/f (强行终止)、/t (连带子进程一并终止)两个参数,便可关闭病毒程序。
进而编写了杀毒批处理文件,命令如下:
@echo off
/*关闭命令显示*/
/*****结束病毒进程*****/
taskkill/f/t/im spcolsv.exe
taskkill/f/t/im spoclsv.exe
/*****删除系统目录中病毒程序*****/
cd c:windowssystem32drivers
attrib-h-s-r/*去除文件隐藏、系统属性以便删除*/
del sp**lsv.exe
/*****删除系统盘病毒程序*****/
cd c:
attrib-h-s-r
del autorun.inf
del setup.exe
del gamesetup.exe
/*****删除D盘病毒程序*****/
d:
attrib-h-s-r
del autorun.inf
del setup.exe
del gamesetup.exe
/*****若还有其他盘,可仿照D盘删除方式添加命令*****/
/*****删除注册表相关项*****/
reg delete HKEY-CURRENT-USERSo ftwareMicrosoftWindowsCurrentVersionRun/v svcshart/f
2.3 杀毒全过程
2.3.1 单机杀毒
(1)下载杀毒软件最新版本安装程序,与批处理文件同存于U盘中,开启U盘写保护;
(2)拔除染毒机器网线、关闭无线网卡,阻断一切网络连接;
(3)运行杀毒批处理文件;
(4)删除杀毒软件重新安装;
(5)使用杀毒软件进行完全查杀,清除病毒余孽;
(6)联网升级病毒库,下载安装受影响软件。
2.3.2 机房杀毒
学校机房装有硬盘保护卡,系统盘感染病毒可能性大为降低,可选取一台受影响相对较小计算机依据单机杀毒过程查杀病毒,而后通过系统同传对操作系统完成清理。使用杀毒软件对系统盘以外分区进行病毒查杀后方可让机器重新投入教学(可通过极域电子教室等机房辅助管理软件以命令行方式启动统一杀毒软件)。
2.3.3 跨系统作业
此杀毒方法仅适用于Win XP之后系统,当时尚有一个机房使用Win 2000系统。依据同样原理,针对该系统研究出特定杀毒办犯:用tlist命令(需单独下载,发送到系统path目录中),查出spoclsv.exe进程号(PID),通过“ntdr-c q-p PID”命令终止进程。因各台机器进程号不同,所以Win 2000系统下只能逐台查杀。
3 经验总结
通过查杀熊猫烧香病毒,对学校计算机管理中的防毒有了些更深体会,此处与大家共享:
(1)使用VLAN管理校园计算机上网,为各机房、教师用机设立不同地址段与上网策略,可有效阻止病毒在校园中的快速传播;
(2)每学期调试软件环境后,及时进行各机房的系统备份。随后在2-4周间隔内,升级一次病毒库;
(3)教师机若不统一安装保护卡,应定期巡查,解决使用小问题的同时,主动维护防毒系统的正常运行。
摘要:感染病毒是计算机管理过程中的棘手问题,尤其是学校计算机使用频率高、U盘等存储介质使用频繁,稍不留意便会造成病毒在全校范围的扩散,以至影响教学、办公的正常进行。如何在感染病毒后及时查杀,笔者在此总结个人查杀熊猫烧香病毒的实践经验,以供计算机管理员参考。
关键词:计算机管理,熊猫烧香,病毒
熊猫烧香 篇2
瑞星反病毒专家介绍说,该病毒会在中毒电脑中所有的网页文件尾部添加病毒代码,
一些网站编辑人员的电脑如果被该病毒感染,上传网页到网站后,就会导致用户浏览这些网站时也被病毒感染。目前中毒的企业已经超过千家。
熊猫烧香作者李俊的人生病毒 篇3
6年后,他年过而立,不再写病毒,但所涉案件案情同样令人惊心。根据丽水警方的调查:李俊公司所运营的“金元宝”棋牌游戏,涉嫌与“银商(网络商人)”勾结,“高售低收”的方式向玩家提供人民币兑换——面上是游戏,私下其实是赌博,所涉金额巨大。法庭之上,李俊的父亲李宏安和母亲张冬兰坐在旁听席上,努力想要听懂那些“银商”,“服务器”之类的术语。就好像6年前,他们想要听懂法庭上所说的那些“木马”,“肉鸡”。
他们终究难懂儿子的世界。其实少有人能窥探李俊的内心世界。这位年轻的“毒王”在现实世界中一直沉默寡言,一反网络上的恣意。他的新浪微博定格在2012年12月27日。那是他在互联网世界留下的少有的内心轨迹:你想过普通的生活,就会遇到普通的挫折。你想过上最好的生活,就一定会遇上最强的伤害。你想要最好,就一定会给你最痛。能闯过去,你就是赢家,闯不过去,那就乖乖做普通人。所谓成功,并不是看你有多聪明,而是看你能否笑着渡过难关。不久后,他再次被捕,闯关失败。但与他的预判不同,失败之后,他已经做不回普通人了。
一切重新开始
2009年12月24日,平安夜,李俊被提前释放。那晚,他和雷磊去了KTV,吼每次必点的《痴心绝对》。出狱后的李俊,仍对网络世界“痴心绝对”。那时候,他仍然喜欢低着头,思维神游,不敢直视别人的眼睛,但“毒王”的称号,却坚定了他对未来的信心。
在狱中,他是被尊重的人:帮助狱警做电脑方面的工作,得到了减刑。出狱后,他想做好人,想通过努力让别人认可自己。那一年的元旦过后,他被一个网站记者说服,与雷磊一起赴京去安全软件厂商求职。似乎并不是一个好兆头:北京之行的第一天,这两个武汉青年就遭遇这座城市50年罕见的低温。那一天,他们拜访的第一家杀毒软件公司,只给了他们一份莫名其妙的“民间安全观察员聘书”。
他兴奋而来,却失望而归。那天晚上,宾馆里,李俊突然对雷磊说:“走吧。”雷磊没太听懂李俊的意思。李俊继续解释:“不想了,回去。”他们后来才明白,那三天的行程,本就是门户网站与安全软件厂商的联合炒作。这些人带着他们参观公司、安排“面试”,然后摆姿势照相,登上报纸。他们开始拒绝北京电视台和湖南卫视的采访,终止拜访安全软件厂商的行程。那时李俊跟雷磊说:“这么多媒体跟着,根本不可能找工作。”
对于聘请李俊这样的“黑客”,安全软件厂商其实也有所顾忌:一方面,这些公司担心被同行指责自己制作病毒,再假装截获;另一方面,当时李俊的技术并不出众,还不具备编写杀毒软件的水平。李俊成为网络安全员的道路被堵死了。离开北京的时候,一家杂志为他写下了这样的标题:“熊猫烧香”作者的人生拐点。
那时候的李俊却仍对未来充满信心。他回到武汉,开通微博。尽管他对“熊猫烧香病毒作者”的认证曾有些犹豫。不过,他真的想从新做起,于是在第一条微博中写下:“一切重新开始,创建这个微博,记录一个全新的李俊的心路历程。”
“创业者,不要怕手脏”
在监狱里的日子,李俊和一位他此前从未谋面的“难兄难弟”,有过约定:出狱后一起改邪归正、创业挣钱。那个难兄叫张顺,丽水云和县人,小学毕业,干过鞋匠、厨师、服务员、洗头工、网游私服……他不懂电脑,却靠网上买的“熊猫烧香”和经营头脑发了财。当“熊猫”案发,他也因此与李俊一起锒铛入狱。出狱后的张顺果然对李俊不薄。他把李俊大学毕业的弟弟李明叫到丽水。又和自己的老板徐建飞一起给李俊包了红包,邀请他一起来丽水发展。
老板徐建飞曾对媒体坦言,看中李俊和张顺,要感谢熊猫烧香,他们造出惊世骇俗的病毒,还能赚到钱,说明他们与常人不同,“我今天就提供机会,让他们创造奇迹”——然而3年后,这位老板却也成了涉赌案的一员。决定去丽水发展的时候,李俊身上揣着一封信。那是他在狱中收到的江苏一位高三女生求他浪子回头的来信。他曾告诉媒体,留着它为了时刻提醒自己“误入魔道”四字。
作为管理层的李俊,以技术入股,开始为公司做一些小游戏,但并不赚钱。那时候,他和雷磊在网上聊的都是不开心的话题:他感觉被排斥,听不懂当地方言;有时候公司谈合作,别人抛开他;有时候别人以他名义做事,却不告诉他。更多的委屈,李俊不愿意说。对于当年的“盛名”,雷磊知道李俊与自己的想法很像:“名声是个包袱——有时候,可以帮你装很多东西;但有时候,甩都甩不掉。”
公司里的年轻人将李俊奉为财神爷——毕竟当年很多人都靠他发过财。后来,他们为一个宁波商人开发的“金元宝”游戏被投资方放弃。于是他们同投资人商量后将为宁波商人在杭州注册的公司转到自己名下经营,开始网络赌场运营。李俊虽并未参与“银商”勾兑,但作为法律意义上的管理层,他明明知此事却没能制止。”
后来当李俊又一次被捕时,曾多次跟提审他的网警尚育波倾诉:“这不是他想要的公司”。这与他的理想相差甚远。他一度让弟弟尽早离开,但自己却必须做下去——因为这是出于对兄弟张顺的“义气”。在丽水的日子,李俊开始学会“能闯过去,就是赢家,闯不过去,就做普通人”的人生哲学。他每年春节都会开着自己的宝马车,回到自己的阳逻小巷。
那辆车是一位参赌人员输掉的抵押品。当年做熊猫烧香的时候,李俊也曾想买一辆宝马。有着家族企业的雷磊觉得:“他就害在宝马车上。”雷磊觉得,李俊后来的改变,是受了云和当地风气的影响。靠网络诈赌发家致富的故事在张顺的家乡云和屡见不鲜。熊猫烧香的年代,这个集中着诸多“钓鱼网站”(通过虚假网站链接诈骗)的小县就有了“黑客之乡”的称号。
nlc202309020008
如今,这里的年轻人中仍旧流传着这样的成功故事:有的人半年前还在网吧找人要烟,半年后就能开着跑车出门。浙江警方破获的此类案件很多:比如,云和的一个诈赌者通过木马一晚上就获利160万;比如,温州的一家游戏运营商则最多一天净赚1600万。警官尚育波也证实,公司创立之初,李俊的团队里也有人诈赌,他们还叫李俊编写病毒,以窥取对方玩家的底牌。人们后来在李俊的微博上发现了这样一句话“创业者,不要怕手脏”。病毒已侵入了他的人生。
今夜谁与你一起跨年
李俊开始向雷磊隐瞒公司的事情。去丽水的那一次,雷磊曾想去看看朋友运营着怎样一家公司。但一个星期里,李俊始终以各种借口拒绝。直到后来,李俊告诉雷磊:公司出了问题,需要注销。也正是那段时间,浙江警方先后打掉了“欧乐”、“飞五”、“新同城”等一批涉赌网站。公司里有人提议,把“金元宝”游戏平台的4台服务器硬盘砸毁丢到河里,骨干成员随即去西藏、内蒙、黑龙江、上海、云南旅行……
2012年的最后一天,回到杭州的李俊,最后一次更新了他的微信朋友圈:“2012,匆匆忙忙溜走了。说好的世界末日并没有来到。今夜谁与你一起跨年。”一天过后,警方敲开了他的房门。公司里的其他人也陆续被警方逮捕。
被捕前,李俊已经对警方的行动有所察觉,他给他的黑客“师傅”雷磊发了最后一条短信:电话已经被监听。因为在警方调查阶段出现在丽水,雷磊一度被警方当做嫌疑人之一,受到牵连。他被带回丽水调查,直到警方证明他与李俊的公司并无关系。无罪释放后的日子,雷磊给李俊的女友发了一条信息:他说他很后悔,李俊当年在网吧问他关于黑客的事情,他到底为什么要去回答?
李俊的女友安慰他想得太多:“如果你们没有走在一起,可能现在他还是水泥厂的一个普通工人。”李俊的父母赶到了浙江。为了等待儿子的判决,已经退休工人的老两口,住进了异乡的小旅馆,跨年夜,他们和儿子一同度过:同一座城市,儿子在看守所,老人在铁窗外。
时针走向2014年1月1日,一切都在向遥远的熊猫烧香时代告别。再没有黑客红客,再没有一毒成名,有的只是低眉顺眼的网络打手和闷声发财的木马罪犯,谁会蠢到在病毒里写下名字。在李俊的家乡阳逻,当年的城中村,开始建起高楼;当年的水泥厂,开始试图涅槃。小镇上竖起了高大的广告牌,喷涂着格瓦拉的标语,仿佛在激励的新一代年轻人——“像格瓦拉一样战斗”。那些年轻人和当年的李俊一样,眺望着外面的世界,幻想着未来的战斗。然而在这个社会,战斗,有时候便意味着“最好的生活”和“最强的伤害”。
(据 搜狐网)
熊猫烧香 篇4
2.重新进入winxp安全模式,熊猫烧香病毒进程没有加载,可使用任务管理器!(提示:开机后按住F8)
3.删除病毒文件:%SystemRoot%system32driversnvscv32.exe,
4.开始菜单=>运行,运行msconfig命令。在系统配置实用程序中,取消与nvscv32.exe相关的进程。也可使用超级兔子魔法设置、HijackThis等,删除nvscv32.exe的注册表启动项。
取消熊猫烧香病毒进程的启动
5.下载并使用江民专杀工具,修复被感染的exe文件。并及时打上Windows补丁。
6.清除html/asp/php等,所有网页文件中如下代码:(为防止传播代码有三处修改,请将。换为.)
批量清除恶意代码的方法: 可使用Dreamweaver的批量替换。
Dreamweaver批理替换的使用方法 可下载使用BatchTextReplacer批量替换。 部署了SymantecAntiVirus的企业,升级到最新病毒库扫描全盘文件,即可清除被添加的恶意代码和清除病毒文件。
7.用安装杀毒软件,并升级病毒库,扫描整个硬盘,清除其他病毒文件。推荐PConline多次推荐的免费卡巴斯基mdash;mdash;ActiveVirusSheild。(xxxxxxxxxxxxx)(注:步骤7不能与步骤5调换,以免可修复的带毒文件被删除!)
8.删除每个盘根目录下的autorun.inf文件,利用搜索功能,将Desktop_.ini全部删除。
二、互联安全网提供的解决方法(后文的病毒描述、中毒现象和技术分析均来自互联安全网)
1:关闭网络共享,断开网络。
2:使用IceSword结束掉nvscv32.exe进程(速度要快,抢在病毒感染IceSword前)
3:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
ExplorerAdvancedFolderHiddenSHOWALLCheckedValue的数值改为1
4:删除注册表启动项
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]
nvscv32:”C:WINDOWSsystem32driversnvscv32.exe“
5:删除C:WINDOWSsystem32driversnvscv32.exe
6:删除每个盘根目录下的autorun.inf文件和setup.exe文件,利用搜索功能,将Desktop_.ini全部删除。
7:如果电脑上有脚本文件,将病毒代码全部删除。
8:关闭系统的自动播放功能。
这样就基本上将病毒清除了。
三、病毒描述
含有病毒体的文件被运行后,病毒将自身拷贝至系统目录,同时修改注册表将自身设置为开机启动项,并遍历各个驱动器,将自身写入磁盘根目录下,增加一个Autorun.inf文件,使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染,并对局域网其他电脑进行扫描,同时开另外一个线程连接某网站下载木马程序进行发动恶意攻击。
文件名称:nvscv32.exe
病毒名称:目前各杀毒软件无法查杀(已经将病毒样本上报各杀毒厂商)
中文名称:(尼姆亚,熊猫烧香)
病毒大小:68,570字节
编写语言:BorlandDelphi6.0-7.0
加壳方式:FSG2.0->bart/xt
发现时间:.1.16
危害等级:高
四、中毒现象
1:在系统每个分区根目录下存在setup.exe和autorun.inf文件(A和B盘不感染)。
2:无法手工修改文件夹选项将隐藏文件显示出来。
3:在每个感染后的文件夹中可见Desktop_ini的隐藏文件,内容为感染日期如:2007-1-16
4:电脑上的所有脚本文件中加入以下代码:
5:中毒后的机器上常见的反病毒软件及防火墙无法正常开启及运行。
6:不能正常使用任务管理器,SREng.exe等工具。
7:无故的向外发包,连接局域网中其他机器。
五、技术分析
1:病毒文件运行后,将自身复制到%SystemRoot%system32driversnvscv32.exe
建立注册表自启动项:
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]
nvscv32:”C:WINDOWSsystem32driversnvscv32.exe"
2:查找反病毒窗体病毒结束相关进程: 天网防火墙 virusscan symantecantivirus systemsafetymonitor systemrepairengineer wrappedgiftkiller 游戏木马检测大师 超级巡警
3:结束以下进程 mcshield.exe vstskmgr.exe naprdmgr.exe updaterui.exe tbmon.exe scan32.exe ravmond.exe ccenter.exe ravtask.exe rav.exe ravmon.exe ravmond.exe ravstub.exe kvxp.kxp kvmonxp.kxp kvcenter.kxp kvsrvxp.exe kregex.exe uihost.exe trojdie.kxp frogagent.exe kvxp.kxp kvmonxp.kxp kvcenter.kxp kvsrvxp.exe kregex.exe uihost.exe trojdie.kxp frogagent.exe logo1_.exe logo_1.exe rundl132.exe taskmgr.exe msconfig.exe regedit.exe sreng.exe
4:禁用下列服务 schedule sharedaccess rsccenter rsravmon rsccenter kvwsc kvsrvxp kvwsc kvsrvxp kavsvc avp avp kavsvc mcafeeframework mcshield mctaskmanager mcafeeframework mcshield mctaskmanager navapsvc wscsvc kpfwsvc sndsrvc ccproxy ccevtmgr ccsetmgr spbbcsvc symanteccorelc npfmntor mskservice firesvc
5:删除下列注册表项: softwaremicrosoftwindowscurrentversionrunravtask softwaremicrosoftwindowscurrentversionrunkvmonxp softwaremicrosoftwindowscurrentversionrunkav softwaremicrosoftwindowscurrentversionrunkavpersonal50 softwaremicrosoftwindowscurrentversionrunmcafeeupdaterui softwaremicrosoftwindowscurrentversionrunnetworkassociateserrorreportingservice softwaremicrosoftwindowscurrentversionrunshstatexe softwaremicrosoftwindowscurrentversionrunylive.exe softwaremicrosoftwindowscurrentversionrunyassistse
6:感染所有可执行文件,并将图标改成(这次不是熊猫烧香那个图标了)
7:跳过下列目录:
windows winnt systemvolumeinformation recycled windowsnt windowsupdate windowsmediaplayer outlookexpress netmeeting commonfiles complusapplications commonfiles messenger installshieldinstallationinformation msn microsoftfrontpage moviemaker msngaminzone
8:删除*.gho备份文件,
9:在所有驱动器根目录建立自身文件副本setup.exe,建立autorun.inf文件使病毒自动运行,设置文件属性为隐藏、只读、系统。
autorun.inf内容:
[AutoRun]
PEN=setup.exe
shellexecute=setup.exe
shellAutocommand=setup.exe
10:删除共享:cmd.exe/cnetshareadmin$/del/y
11:在机器上所有脚本文件中加入,此代码地址是一个利用MS-06014漏洞攻击的网页木马,一旦用户浏览中此病毒的服务器上的网页,如果系统没有打补丁,就会下载执行此病毒。
12:扫描局域网机器,一旦发现漏洞,就迅速传播。
13:在后台访问http://www。whboy。net/update/wormcn。txt,根据下载列表下载其他病毒。