| 追击合围“全歼”熊猫烧香病毒 |
|
作者:fyxp.com 文章来源:本站原创 点击数: 更新时间:2007-1-23  |
一只憨态可掬的熊猫举着三根香,这本是一个十分可爱的图标,但如今却成了病毒的象征。这种名为“熊猫烧香”的病毒已经感染了数以万计的计算机。仅11月份至今,变种数量已达10几个,变种速度之快,影响范围之广,与06年横行于局域网的“维金”不相上下。从“熊猫烧香”病毒的自我防护来看,称其为最难清除的病毒也不为过,并且它会让系统中大部分的可执行文件无法运行,系统中所有的可执行文件图标都会变成“熊猫烧香”,同时在系统后台,病毒启动数个线程正在疯狂入侵局域网中的其他计算机……下面,就让我们来了解这个近期最为恐怖的计算机病毒——熊猫烧香,并且将其剿灭。
中毒后的症状
比起其他在系统后台鬼鬼祟祟干坏事的病毒,“熊猫烧香”可谓十分大胆,唯恐用户不知道自己的系统中了病毒,其最明显的特征就是系统中大多数的可执行文件图标都被更改为“熊猫烧香”,被更改图标后的可执行文件都无法运行,这也是这个病毒名字的由来,除了这个最明显的特征外,其他的特征如下:
1.杀毒软件以及其他一些安全工具无法启动,或者启动一瞬间又被关闭。
2.无法打开“任务管理器”。
3.“系统配置使用程序”无法启动。
4.“注册表编辑器”无法启动。
5.无法选择“文件夹选项”中的“显示所有文件和文件夹”。
6.打开带有“熊猫烧香”文字的网页时,网页会自动关闭。
7.双击硬盘分区盘符没有反应。
8.系统运行缓慢、无故死机或蓝屏。
上文中前七点特征都是病毒做的自我防护,防止用户将其清除。最后一点特征是因为病毒正在进行传播,下面我们来看看病毒是如何实现这些功能的,能达到什么效果。
“熊猫烧香”的自我保护
“熊猫烧香”的自我防护功能做得相当不错,其限制了系统中最常用的几个管理工具,让我们无从下手,对病毒了解不深的朋友如果想手工清除病毒几乎不可能。
让杀毒软件失效
“熊猫烧香”病毒对杀毒软件的封杀几乎变态,它在如下几个方面对杀毒软件的运行做了限制:
关闭窗口:病毒运行后,会检测当前系统中运行的窗口,如果窗口的标题中带有其设定的杀毒软件等安全工具的关键字时,就会关闭这个窗口,关键字包括:天网防火墙、毒霸、瑞星、江民、卡巴斯基反病毒、Symantec AntiVirus,甚至连我们曾经介绍过的木马克星IceSword也名列其中。这样我们就不能运行杀毒软件了,这就是为什么我们一运行安全工具就会自动关闭的原因。
结束进程:获取系统中的进程,如果存在包含有其设定为关键字的进程时,则将其关闭。包括:RavmonD.exe、KVCenter.kxp,这就说明即使杀毒软件逃过了窗口标题的检测,也无法躲过进程的检测。而像RavmonD.exe这样的杀毒软件防火墙进程也难逃一劫,至此杀毒软件已经失去了作用。
禁用服务:关闭窗口和结束进程后还不算完,病毒会禁用安全工具的服务,即使你重启了计算机,安全工具也不会再运行了。
删除启动项:是禁用服务的补充,有些安全工具是通过“系统配置使用程序”来自动运行的,病毒会在这里删除安全工具的启动项,其目的就是让杀毒软件无法开机自动启动。
从这里我们看到了病毒的险恶,这种对安全工具进行赶尽杀绝式的限制让我们不用将希望寄托在杀毒软件身上了。
无法使用系统管理工具
中毒后,我们会发现,任务管理器打不开了,这是因为病毒将任务管理器的窗口标题和进程也列入了黑名单。目的是防止我们打开任务管理器结束病毒的进程——spoclsv.exe。不仅如此,我们会发现“系统配置使用程序”也无法启动了,原因和前面一样,被列入了黑名单。因为病毒在系统的启动项中加入了病毒文件spoclsv.exe,让病毒文件每次开机都能自动启动,而我们则无法通过“系统配置使用程序”将病毒的启动项去掉。至于封杀注册表编辑器,目的很明显,就是要断了我们用管理工具恢复系统的后路。
图1.病毒进程spoclsv.exe
无法显示隐藏文件
病毒运行后会修改注册表中的[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]"CheckedValue"=dword:00000000键值,使“文件夹选项”中的“显示所有文件和文件夹”选项失效,即使我们选择后也无济于事。这样我们就无法发现病毒生成在系统中的文件,唯一的办法就是修改注册表,将其改回来。可是注册表已被限制,病毒的保护策略可谓是一环套一环。
双击盘符没有反应
中毒后我们双击盘符就没有反应了,这是因为病毒在每个盘符的根目录都写入了两个文件:setup.exe和autorun.inf,其中autorun.inf的内容为:
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\Auto\command=setup.exe
因此只要我们双击盘符,就会运行setup.exe,病毒就会死灰复燃了。
图2.盘符下的隐藏文件
自动关闭网页
一般当我们的系统中毒后,就会上网查找相关资料,寻找有关病毒的清除方法。“熊猫烧香”的阴险之处就在于此,它知道我们会上网寻找资料将其清除,就在病毒中设定,一旦发现网页中带有“熊猫病毒”字符时,就将该网页关闭。这对于菜鸟来说,无疑被断了后路,想求助于网友也不可能了。
“熊猫烧香”的传播
说到传播,这是病毒的特性。“熊猫烧香”病毒在传播方面也比其他病毒有过之而不及。其主要通过局域网传播以及移动存储设备传播。
局域网传播
在较早的“熊猫烧香”病毒版本中,任务管理器还是没有被限制的,运行病毒后我们就会看到在“任务管理器”中多出了数个cmd.exe进程,这些进程是干什么用的呢?答案是病毒正在疯狂地向外传播!,病毒会开启数个线程扫描局域网内的其他计算机的139和445端口,通过IPC$共享命令管道猜解其他计算机的管理员帐号和口令,一旦破解口令就上传病毒并运行。如果局域网中有计算机共享了文件,那么这个共享文件也会被感染,可以说,只要局域网中有“熊猫病毒”的存在,被交叉感染的概率是相当高的。
图3.开启多个线程进行传播
移动存储设备传播
上文中已经说到病毒会向所有盘符拷贝病毒文件,当然移动存储设备也不能幸免。病毒就随着移动存储设备转移到其他计算机了。
剿灭“熊猫烧香”病毒
了解“熊猫烧香”病毒的原理后,相信大家对如何清除这个病毒已经心中有数了。“熊猫烧香”病毒的自我保护是一环套一环的,我们要找出其源头,才能彻底将其删除。而这个源头就是其病毒文件——spoclsv.exe。
1.结束病毒进程。
任务管理器已经被限制,其他安全工具也无法启动,那么我们怎样才能结束病毒的进程呢?还好病毒作者疏忽了一点,“命令提示符”是没有被限制的,我们就从这里入手。这里我们要借助两个小工具:pslist.exe和pskill.exe,前者可以列出系统中活动的进程,后者可以将进程结束。
将pslist.exe和pskill.exe复制到中毒计算机上,放到c盘,然后在命令提示符中输入“c:\pslist.exe”,系统中的活动进程就被列出来了,这时我们会发现其中的病毒进程spoclsv.exe。记住其PID值,这里为860。在命令提示符中运行pskill.exe,输入命令“pskill.exe -t 860”,如果显示“Process 860 killed”,则表示spoclsv.exe进程已经被结束了。如果你双击运行过盘符,那么可能还存在一个setup.exe进程,同样用此方法结束既可。
图4.结束病毒进程
2.去除病毒启动项
结束病毒进程后,我们会发现“任务管理器”和“系统配置使用程序”都可以正常使用了。点击“开始”→“运行”,输入“msconfig”运行“系统配置使用程序”,切换到“启动”标签,将其中spoclsv项前的勾取消。
3.删除病毒文件
将病毒文件spoclsv.exe删除,该文件位于c:\windows\system32\drivers\目录下。注意进入c盘时一定不要双击盘符,可以在盘符上点击右键→打开,这样才不会运行里面的病毒,否则将前功尽弃。进入其他盘符亦是如此。
4.修复注册表
定位到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]处的"CheckedValue"项,将其键值改为1。这样就能正确设置“显示所有文件和文件夹”选项了。
5.显示隐藏文件
打开我的电脑,单击菜单栏中的“工具”→“文件夹选项”,切换到“查看”标签,将其中的“隐藏受保护的操作系统文件(推荐)”前面的勾取消掉,并选择下面的“显示所有文件和文件夹”选项,完成后单击确定。
6.删除病毒附属文件
将所有盘符根目录的setup.exe和autorun.inf文件删除。
7.用专杀工具进行查杀
手工清除步骤到这里就差不多了,最后我们要做的就是下载一个“熊猫烧香”专杀,对系统中的病毒进行彻底的查杀。
图5.用专杀工具进行查杀
|
| 电脑录入:fyxp.com 责任编辑:fyxp |
|
上一篇电脑: 两招实用远程控制技巧
下一篇电脑: 教你如何进入有密码的Win XP系统 |
| 【字体:小 大】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】 |
