实例讲解如何干掉“熊猫烧香”

你给熊猫烧香过吗？！你见过拿着三根香的熊猫吗？？搬家后怎么处理！？看完这篇文章，你将学会如何从电脑上杀死“熊猫烧香”。

惊险的杀人过程

1.熊猫烧香病毒:图为一只熊猫烧香。感觉很可爱！我当时也没怎么在意！第二天再打开电脑的时候！电脑上几乎所有的EXE文件都变成了熊猫烧香的图片！只有这样我才能感受到什么！

部分EXE文件无法正常使用！添加新的自动运行。INF文件！

我一开始也没看懂这个文档的作用！我在网上查了一些资料。知道就好。只要用户打开驱动器号。会运行这种病毒！用杀毒软件查杀病毒！没效果！看来现在的杀毒软件越来越差了~..

2.想用组合键打开任务管理器！无法打开~失败.....我想看看注册表有没有问题。还是失败！奇怪的是，电脑运行正常。都不是卡！不是病毒吗？系统有问题吗？从第三方工具在线检查进度！果然看到了两个可疑的过程！FuckJacks.exe似乎最为多疑，不敢贸然终止！赶紧问白叔！

叔叔告诉我的。就是熊猫病毒的过程！一切如我所愿！懒人安装系统！

4.先结束FuckJacks.exe进程！Start-run -CMD输入:ntsd -c q -p病毒的PID~终于杀了！一切都恢复正常了！激动的...快速打开注册表。

突然注册表又关闭了。看看这个过程，FuckJacks.exe。又出现了~ ~那它应该有守护进程！找找看。没有任何东西...奇怪。他的守护程序接入系统了吗？

流程？不...我头疼...

5.算了，给朋友找个杀人工具。有朋友说他写过熊猫杀生工具！晕~ ~原来牛人就在我身边。我都没发现~赶紧找他请教~ ~大概了解了熊猫烧香的情况~我让他给我一个无壳熊猫自己分析一下~(自己动手吧。你们衣食无忧~ ~)

6.用UI32打开熊猫。我看到这篇文章用了一些资源！文件执行后。将其释放到\ system32 \ fuckjacks.exe。

7.继续这样看，可以看到熊猫的一些传输过程相当经典..有扫描同一网段的电脑~自复制。等等，都是相当厉害的~同时感染所有盘符的EXE文件~但是不感染一些重要的系统文件和常用文件！可见我不想过早造成太大伤害~修改注册表。禁止打开注册表。有些服务甚至被禁用~ ~

以下是重要时刻！从下面的代码可以看出！病毒的作者是一个非常优秀的程序员！有非常好的编程习惯！病毒的异常运行~定义的很好~其中很大一段是作者对病毒运行情况的判断定义~值得注意的是，在感染EXE文件的同时！感染了ASP。HTML文件。最后会添加一个类似挂马的基础代码。~ ~尽快通过第三方来做~(如果感染者是网站管理员的话。后果可想而知)

病毒程序的运行

先说病毒的部分实现！注册表的简单修改:

有这样一句话:WSHELL。我的REGTYPE。

第一个是参数的键名:完整路径。..

第二个是:关键价值。。

第三是:钥匙的类型，

设置whell = wscript . createobject(" wscript . shell ")

whell . regwrite " HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Microsoft \ windows NT \ current version \ winlog in \ shell "，" eseplorer.exe "，" REG_SZ "

这就是脚本病毒应用技术~

通用解决方案

1.就是关闭你的默认分享。

先运行regedit，找到下面的[HKEY _本地_机器\系统\当前控制集\控制\ LSA]。

RestrictAnonymous = DWORD的键值更改为:00000001。

restrictanonymous REG_DWORD

0x0默认值

0x 1匿名用户无法枚举本地用户列表。

0x匿名用户无法连接到本地IPC。

注意:不建议使用2，否则您的某些服务(如SQL Server)可能无法启动。

2.禁止默认共享。

1)检查本地共享资源

运行-cmd-输入网络份额。

2)删除份额(一次输入一个)

净份额IPC $/删除

净份额管理费用/删除

净份额c美元/删除

净份额d $/删除(如果有e，f，...您可以继续删除)

3)修改注册表以删除共享。

运行-注册表编辑

找到以下主键[HKEY _本地_机器\系统\当前控制集\服务\ lanmanserver \参数]

将AutoShareServer(DWORD)的键值更改为000000。

如果上面提到的主键不存在，创建一个新的(右键单击-创建-双字节值)，然后更改键值。

我们来看看这个病毒的功能:瞬间拷贝整个硬盘，有监控QQ记录的功能，网吧的电脑依然有效！很明显，有向导的传送功能。值得注意的功能:删除GHOST功能，控制电脑进行集体DDOS，出现KILL KV、瑞星、金山功能！

病毒的特点:网页传播！计算机的弱密码。默认共享传播！在内网的传播速度很快！对企业驻地网有很大杀伤力！病毒会立即复制整个硬盘。占用内存很少~

虽然这种熊猫病毒不是很新。但是病毒的作者真的很让人佩服~一个彻头彻尾的网络高手！超级优秀的程序员！

忘了:网巡的熊猫查杀工具。你可以杀死最新的变种！