wokao 2007-1-5 19:38
小心熊猫烧香
注意啦注意啦!大家小心哦!
最近出现新的病毒名为熊猫烧香,危害较大,感染后所有EXE可执行文件图标变成一个烧香的熊猫,大家电脑如出现此现象可认真阅读以下文章:
[b]一、病毒描述:
[/b]含有病毒体的文件被运行后,病毒将自身拷贝至系统目录,同时修改注册表将自身设置为开机启动项,并遍历各个驱动器,将自身写入磁盘根目录下,增加一个Autorun.inf文件,使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染,同时开另外一个线程连接某网站下载ddos程序进行发动恶意攻击。
中毒后的症状如图:
[img]http://and8.net/attachments/month_0701/a200714224024.gif[/img]
[img]http://and8.net/attachments/month_0701/t200714222755.jpg[/img]
[b]二、病毒基本情况:
[/b][文件信息]
病毒名: Virus.Win32.EvilPanda.a.ex$
大 小: 0xDA00 (55808), (disk) 0xDA00 (55808)
SHA1 : F0C3DA82E1620701AD2F0C8B531EEBEA0E8AF69D
壳信息: 未知
危害级别:高
病毒名: Flooder.Win32.FloodBots.a.ex$
大 小: 0xE800 (59392), (disk) 0xE800 (59392)
SHA1 : B71A7EF22A36DBE27E3830888DAFC3B2A7D5DA0D
壳信息: UPX 0.89.6 - 1.02 / 1.05 - 1.24
危害级别:高
[b]三、病毒行为:
[/b]
[b]Virus.Win32.EvilPanda.a.ex$ :[/b]
1、病毒体执行后,将自身拷贝到系统目录:
%SystemRoot%\system32\FuckJacks.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Userinit "C:\WIN2K\system32\SVCH0ST.exe"
2、添加注册表启动项目确保自身在系统重启动后被加载:
键路径:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键名:FuckJacks
键值:"C:\WINDOWS\system32\FuckJacks.exe"
键路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键名:svohost
键值:"C:\WINDOWS\system32\FuckJacks.exe"
3、拷贝自身到所有驱动器根目录,命名为Setup.exe,并生成一个autorun.inf使得用户打开该盘运行病毒,并将这两个文件属性设置为隐藏、只读、系统。 C:\autorun.inf 1KB RHS
C:\setup.exe 230KB RHS
4、关闭众多杀毒软件和安全工具。
5、连接*****.3322.org下载某文件,并根据该文件记录的地址,去[url=http://www.****.com/]www.****.com[/url]下载某ddos程序,下载成功后执行该程序。
6、刷新bbs.qq.com,某QQ秀链接。
7、循环遍历磁盘目录,感染文件,对关键系统文件跳过,不感染Windows媒体播放器、MSN、IE 等程序。
[b]Flooder.Win32.FloodBots.a.ex$ :[/b]
1、病毒体执行后,将自身拷贝到系统目录:
%SystemRoot%\SVCH0ST.EXE
%SystemRoot%\system32\SVCH0ST.EXE
2、该病毒后下载运行后,添加注册表启动项目,确保自身在系统重启动后被加载:
键路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键名:Userinit
键值:"C:\WINDOWS\system32\SVCH0ST.exe"
3、尝试关闭窗口
QQKav
QQAV
天网防火墙进程
VirusScan
网镖杀毒
毒霸
瑞星
江民
黄山IE
超级兔子
优化大师
木马克星
木马清道夫
木馬清道夫
QQ病毒注册表编辑器
系统配置实用程序
卡巴斯基反病毒
Symantec AntiVirus
Duba
Windows 任务管理器
esteem procs
绿鹰PC
密码防盗
噬菌体
木马辅助查找器
System Safety Monitor
Wrapped gift Killer
Winsock Expert
游戏木马检测大师
小沈Q盗杀手
pjf(ustc)
IceSword
4、尝试关闭进程
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
KvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl132.exe
删除以下启动项
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RavTask
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KvMonXP
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kav
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KAVPersonal50
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\McAfeeUpdaterUI
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Network Associates Error Reporting
ServiceSOFTWARE\Microsoft\Windows\CurrentVersion\Run\ShStatEXE
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\YLive.exe
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\yassistse
禁用以下服务
kavsvc
AVP
AVPkavsvc
McAfeeFramework
McShield
McTaskManager
McAfeeFramework McShield
McTaskManager
navapsvc
KVWSC
KVSrvXP
KVWSC
KVSrvXP
Schedule
sharedaccess
RsCCenter
RsRavMon
RsCCenter
RsRavMon
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec
Core LC
NPFMntor
MskService
FireSvc
搜索感染除以下目录外的所有.EXE/.SCR/.PIF/.COM文件,并记有标记
WINDOWS
Winnt
System Volume Information
Recycled
Windows NT
Windows Update
Windows Media Player
Outlook Express
Internet Explorer
NetMeeting
Common Files
ComPlus
Applications
Messenger
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
MSN Gamin Zone
删除.GHO文件
添加以下启动位置
\Documents and Settings\All Users\Start Menu\Programs\Startup\
\Documents and Settings\All Users\「开始」菜单\程序\启动\
\WINDOWS\Start Menu\Programs\Startup\
\WINNT\Profiles\All Users\Start Menu\Programs\Startup\
监视记录QQ和访问局域网文件记录:c:\test.txt,试图QQ消息传送
试图用以下口令访问感染局域网文件(GameSetup.exe)
1234
password
……
admin
Root
所有根目录及移动存储生成
X:\setup.exe
X:\autorun.inf
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\Auto\command=setup.exe
删除隐藏共享
cmd.exe /c net share $ /del /y
cmd.exe /c net share admin$ /del /y
cmd.exe /c net share IPC$ /del /y
创建启动项:
Software\Microsoft\Windows\CurrentVersion\Run
svcshare=指向\%system32%\drivers\spoclsv.exe
禁用文件夹隐藏选项
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced
\Folder\Hidden\SHOWALL\CheckedValue
[b][瑞星专杀][/b]
[url=http://bbs.blueidea.com/attachment.php?aid=23101]NimayaKiller.rar[/url]( 340.96 K)
[url=http://bbs.blueidea.com/attachment.php?aid=23102]PandaKiller.rar[/url] (269.13 K)
wokao 2007-1-5 19:43
90秒搞懂Web 2.0
对… 只有90秒,告诉你什么是Web 2.0,等你点进来看到这篇文章的标题,已经花了你10秒了,我还剩80秒。
1.Web 2.0是概念不是产品,也不是指什么新技术:
Web 2.0是O'Relly(欧莱礼,以每本书都有一支动物当吉祥物出名)的创办人Tim O'Relly提出的。
原版英文网页:[url]http://tim.oreilly.com/news/2005/09/30/what-is-web-20.html[/url]
简体中文翻译:[url]http://www.enet.com.cn/article/2005/1122/A20051122474593.shtml[/url]
Web 2.0是相对于1.0(之前的叫1.0)而说的,没有1.5、1.9、3.0这类的说法,都是其它营销人自己创的说法。
2.Web 2.0的7大重点特色:
a.以网站为平台(The Web As Platform)
b.利用集体智慧(Harnessing Collective Intelligence)
c.资料才是下一代的Intel Inside(Data is the Next Intel Inside)
d.终结软件发布周期(End of the Software Release Cycle)
e.轻量化的程序开发模式(Lightweight Programming Models)
f.软件超越单一设备(Software Above the Level of a Single Device)
g.丰富的使用者体验(Rich User Experiences)
3.几个重要的事实:
1.Google从来没说自己的服务叫Web 2.0,他们觉得这只是个广泛的观念,代表这一世代的网站服务是重视社群精神的。
2.BBS其实完全符合Web 2.0概念,只是没有厂商愿意承认。尤其是以广告营销为主的炒作厂商。
3.一般大型网站公司对自己员工的声音都不重视了,更何况来自外面的网友的声音?搞个炫炫的Ajax讨论版、留言版或意见回复,就叫Web 2.0?先搞好员工福利再说吧…(此为某大型网站公司最近传闻大量在年终裁员,为这些员工报不平)
90秒到了,你了解了Web 2.0吗?可以拿去骗不懂的客户了…:lol
shuihanxin 2007-1-5 20:54
又是病毒~!
遥控器 2007-1-6 00:36
我好朋友的qq秀就是那个熊猫
觉得好可爱的说
烧香的就没见过了
不知道啊 2007-1-12 21:40
我想中。。。被CPU的数据执行保护给防住了。。。。