驚險查殺過程

1.熊貓燒香病毒：圖片就是個熊貓在燒香感覺蠻可愛的！當(dāng)時并沒有很在意！第二天再次打開電腦的時候！幾乎電腦所有的EXE文件都成了熊貓燒香圖片！這時才有所感覺！

部分EXE文件已經(jīng)無法正常使用！新加一個AUTORUN.INF的文件！

當(dāng)初不明白這個文件的作用！在網(wǎng)上查了一些資料表明。才知道。只要用戶打開盤符。就會運行這個病毒！用殺毒軟件殺毒！沒有效果！看來現(xiàn)在的殺毒軟件越來越不行了~..

2.想用組合鍵打開任務(wù)管理器！無法打開~失敗....想看看注冊表有沒什么情況。依然失敗！奇怪的是：電腦運行正常。也都不卡！難道不是病毒.是系統(tǒng)出了問題？從網(wǎng)上下了第三方工具查看進程！果然看到兩個可疑進程！FuckJacks.exe貌似是最可疑的不敢貿(mào)然終止！趕快問問白度大叔！

3.大叔告訴我。是熊貓病毒的進程！一切正如我意！懶的裝系統(tǒng)了！

4.先結(jié)束FuckJacks.exe進程！開始-運行-CMD 輸入：ntsd -c q -p 病毒的PID~終于KILL掉了！一切恢復(fù)正常了！興奮ING...趕快打開注冊表

突然注冊表又關(guān)了.看看進程FuckJacks.exe。又出現(xiàn)了~~那應(yīng)該它還有個守護進程！找找找。無發(fā)現(xiàn)....奇怪了。難道他的守護進程插入到系統(tǒng)

進程了？不會吧.....頭疼一陣...。

5.算了，去向朋友找個專殺工具。有一個朋友說他寫過熊貓的專殺工具！暈~~原來牛人在我身邊。我都沒發(fā)現(xiàn)~趕快想他請教~~才大概的了解了熊貓燒香~ 叫他給了我一個無殼的熊貓自己分析下~（自己動手.豐衣足食嘛~~）

6.用UI32打開熊貓.看到了條用的部分資源！文件執(zhí)行后。釋放到\system32\FuckJacks.exe下。

7.繼續(xù)象下可以看到熊貓的一些傳播過程相當(dāng)?shù)慕?jīng)典..有掃描同一網(wǎng)段的電腦~自我復(fù)制.等等相當(dāng)強大公能~同時感染所有盤符的EXE文件~卻不對一些重要的系統(tǒng)文件和常用文件進行感染！可見并不想早成太大破壞~修改注冊表.禁止打開注冊表.甚至禁用了部分服務(wù)~~

8下面就是重要的時刻了！從后面的代碼可以看出！病毒的作者是個非常出色的程序員！有非常好的編程習(xí)慣！對病毒的異常運行~進行了很好的定義~都很大段都是作者對病毒運行條件的判斷定義~值得注意的一點：在感染EXE文件的同時！感染ASP。HTML文件。會在最后加一段類似掛馬的基本代碼.~~做到通過第三方盡快傳播的辦法~（如果被感染者是網(wǎng)站管理人員。后果可想而知了）

病毒程序的運行

在給大家說下病毒的部分運行實現(xiàn)！簡單的修改注冊表：

有這樣一句：WSHELL.REGWIRTE MYREGKEY， MYREGVALUE， MY REGTYPE

第一個是參數(shù)的鍵名：完整路徑..

第二個是：鍵值。。

第三個是：鍵的類型，

Set wshell=wscript.createobject("wscript.shell")

wshell.regWrite"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\windows NT\CurrentVersion\Winlogin\shell","eseplorer.exe","REG_SZ"

這就是腳本病毒摜用技術(shù)~



通用的解決方法

1、就是要關(guān)閉自己的默認共享。

首先運行regedit，找到如下組建[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]把

RestrictAnonymous = DWORD的鍵值改為：00000001。

restrictanonymous REG_DWORD

0x0 缺省

0x1 匿名用戶無法列舉本機用戶列表

0x2 匿名用戶無法連接本機IPC

說明:不建議使用2，否則可能會造成你的一些服務(wù)無法啟動，如SQL Server

2、禁止默認共享

1）察看本地共享資源

運行-cmd-輸入net share

2）刪除共享(每次輸入一個）

net share ipc$ /delete

net share admin$ /delete

net share c$ /delete

net share d$ /delete（如果有e,f,……可以繼續(xù)刪除）

3）修改注冊表刪除共享

運行-regedit

找到如下主鍵[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]

把AutoShareServer（DWORD）的鍵值改為0000000。

如果上面所說的主鍵不存在，就新建(右擊-新建-雙字節(jié)值）一個主健再改鍵值。

我們看看這個病毒功能： 瞬間復(fù)制整個硬盤、有監(jiān)視QQ記錄的功能、網(wǎng)吧的電腦依然有效！顯然有了精靈的轉(zhuǎn)存功能。值得注意的功能：刪除GHOST的功能，控制電腦進行集體的DDOS，更出現(xiàn)了KILL掉KV、瑞星和金山的功能！

病毒的特性：網(wǎng)頁傳播！電腦的弱口令。默認共享傳播！在內(nèi)網(wǎng)的傳播速度非常的快！對企業(yè)的居于網(wǎng)有很大的殺傷力！病毒瞬間復(fù)制整個硬盤。占用內(nèi)存極小~

熊貓這款病毒雖然不是很新鮮。但是病毒的作者真的很讓人佩服~完全的網(wǎng)絡(luò)高手！超強的優(yōu)秀程序員！

忘說了：網(wǎng)絡(luò)巡警的熊貓專殺工具。就可以殺最新的變種！

【本文出自51CTO安全論壇，轉(zhuǎn)載請注明出處及作者。請原文作者速與責(zé)編聯(lián)系。】