¿Qué tipo de virus es Panda Burning Incense? ¿Qué se puede utilizar para matar?
Panda Burning Incense es en realidad una variante del virus del gusano y ha evolucionado a través de muchas mutaciones. La variante W de Nimaya (Worm.Nimaya.w) también se denomina virus "Panda Burning Incense" porque el archivo ejecutable de la computadora infectada aparecerá con un patrón "Panda Burning Incense". Después de que la computadora del usuario esté infectada, una pantalla azul, reinicios frecuentes y archivos de datos en el disco duro del sistema pueden dañarse, etc. Al mismo tiempo, algunas variantes del virus pueden propagarse a través de la LAN e infectar todos los sistemas informáticos de la LAN, lo que eventualmente provocará que la LAN empresarial se paralice y no pueda usarse normalmente.
Panda Burning Incense es un virus muy poderoso que ha estado circulando recientemente. Pertenece a la última variante del virus del gusano de Weijin. Después de que muchos amigos fueron infectados, no pudieron ser eliminados usando software antivirus, por lo que sólo pudieron eliminar a regañadientes todos los archivos de programa en el disco duro. Estrictamente hablando, este virus comenzó a propagarse en diciembre del año pasado. Se dice que el software antivirus debería haberse actualizado y solucionado. Sin embargo, debido a la sorprendente vitalidad de Panda Burning Incense, aún no ha desaparecido después de tal. largo período de tiempo.
Método de detección: proceso de detección emocionante
1. Virus Panda quemando incienso: la imagen es de un panda quemando incienso, ¡lo cual es bastante lindo! ¡No le presté mucha atención en ese momento! ¡Cuando enciendo la computadora nuevamente al día siguiente! ¡Casi todos los archivos EXE de la computadora se han convertido en imágenes de pandas quemando incienso! ¡Solo entonces lo sentí!
¡Algunos archivos EXE no se pueden utilizar normalmente! ¡Agregue un nuevo archivo AUTORUN.INF!
¡Al principio no entendí la función de este archivo! Revisé cierta información en línea. Sólo entonces lo supe. Siempre que el usuario abra la letra de la unidad. ejecutará este virus! ¡Utilice software antivirus para matar virus! ¡Sin efecto! Parece que el software antivirus actual está empeorando cada vez más~...
2. ¡Quiero usar una combinación de teclas para abrir el administrador de tareas! No se puede abrir ~ Error... Quiero ver si hay algún problema con el registro. ¡Todavía fallé! Lo extraño es que la computadora funciona bien. ¡No estancado en absoluto! ¿No es un virus? ¿Hay algún problema con el sistema? Descargue herramientas de terceros de Internet para comprobar el progreso. ¡Efectivamente, vi dos procesos sospechosos! FuckJacks.exe parece ser el más sospechoso y no te atrevas a eliminarlo precipitadamente. ¡Pregúntale al tío Baidu rápidamente!
3. Me lo dijo el tío. ¡Es el proceso del virus panda! ¡Todo es tal como quería! ¡Demasiado vago para instalar el sistema!
4. ¡Primero finalice el proceso FuckJacks.exe! Inicio-Ejecutar-CMD Ingrese: ntsd -c q -p El PID del virus ~ ¡finalmente MATAR! ¡Todo ha vuelto a la normalidad! Emocionado...Date prisa y abre el registro
De repente el registro se cierra de nuevo. Echa un vistazo al proceso FuckJacks.exe. Aparece de nuevo ~~ ¡Debería tener otro proceso de demonio! Búscalo. No se encontró nada... extraño. ¿Está su demonio insertado en el proceso del sistema? De ninguna manera... me duele la cabeza...
5. Olvídalo, busca una herramienta especial para matar entre tus amigos. ¡Un amigo dijo que había escrito una herramienta especial para matar pandas! Vaya ~~ Resulta que una gran persona está a mi lado. Ni siquiera me di cuenta ~ Rápidamente le pedí consejo ~~ Finalmente tuve una idea aproximada de cómo los pandas queman incienso ~ Le pedí que me diera un panda sin caparazón y lo analizara yo mismo ~ (Hazlo tú mismo. Tú) Tendrás suficiente comida y ropa~~)
6. ¡Abre Panda con UI32! ¡Vi algunos de los recursos utilizados en el artículo! Después de ejecutar el archivo. Suelte a \system32\FuckJacks.exe.
7. Siguiendo con la imagen de abajo, puedes ver que algunos de los procesos de transmisión de Panda son bastante clásicos. Hay computadoras en el mismo segmento de red que se escanean y se autorreplican, etc. Función poderosa e infecta todos los EXE con letras de unidad al mismo tiempo, ¡pero no infecta algunos archivos importantes del sistema ni archivos de uso común! Se puede ver que no queremos causar demasiado daño antes de tiempo ~ modificar el registro Prohibido abrir el registro Incluso algunos servicios están deshabilitados ~~
8 ¡El momento importante es ahora! ¡Se puede ver en el código subyacente! ¡El autor del virus es un muy buen programador! ¡Ten muy buenos hábitos de programación! Tiene una buena definición del funcionamiento anormal del virus. Una gran parte es el juicio del autor y la definición de las condiciones de funcionamiento del virus. Una cosa que vale la pena señalar: ¡al infectar el archivo EXE! Infectado con ASP. Archivo HTML. Al final se agregará un código básico similar a montar a caballo.~~Método para propagarse lo más rápido posible a través de un tercero~(Si la persona infectada es un administrador de un sitio web, las consecuencias se pueden imaginar)
Programa de virus El funcionamiento del virus
¡Déjame contarte sobre el funcionamiento parcial del virus! Simplemente modifique el registro:
Existe una oración como esta: WSHELL.REGWIRTE MYREGKEY, MYREGVALUE, MY REGTYPE
La primera es el nombre clave del parámetro: ruta completa..
El segundo es: valor clave. .
El tercero es: el tipo de clave,
Establecer wshell=wscript.createobject("wscript.shell")
wshell.regWrite"HKEY_LOCAL_MACHINE\ SOFTWARE \Microsoft\windows NT\CurrentVersion\Winlogin\shell", "eseplorer.exe", "REG_SZ"
Solución general
1. Desactive su configuración predeterminada** *Disfrute .
Primero ejecute regedit, busque el siguiente componente [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA] y cambie el valor clave de
RestrictAnonymous = DWORD a: 00000001.
restrictanonymous REG_DWORD
0x0 Predeterminado
0x1 Los usuarios anónimos no pueden enumerar la lista de usuarios locales
0x2 Los usuarios anónimos no pueden conectarse al IPC local
Nota: No se recomienda utilizar 2; de lo contrario, es posible que algunos de sus servicios no se inicien, como SQL Server.
2. Deshabilite el uso compartido predeterminado ***
1) Ver recursos compartidos locales
Ejecutar -cmd-enter net share
2) Eliminar recursos compartidos (ingrese uno a la vez)
participación neta ipc$ /eliminar
participación neta admin$ /eliminar
participación neta c$ /eliminar
participación neta d$ /eliminar (si hay es e, f,...puedes continuar eliminando)
3) Modifica el registro para eliminar ***
Ejecuta -regedit
Encuentra el siguiente clave principal [HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services\LanmanServer\Parameters]
Cambie el valor de la clave de AutoShareServer (DWORD) a 0000000.
Si la clave principal mencionada anteriormente no existe, cree una nueva clave principal (haga clic con el botón derecho en Nuevo valor de doble byte) y luego cambie el valor de la clave.
Echemos un vistazo a lo poderoso que es este virus: puede copiar instantáneamente todo el disco duro, tiene la función de monitorear registros QQ y sigue siendo efectivo en las computadoras de los cibercafés. Obviamente existe la función de transferencia del asistente. Funciones destacadas: la función de eliminar GHOST, controlar la computadora para realizar DDOS colectivos e incluso la función de matar a KV, Rising y Kingsoft.
Veamos las características del virus: ¡se propaga a través de páginas web! Contraseñas débiles para computadoras. Por defecto *** ¡disfruta difundiendo! ¡La velocidad de propagación en la intranet es muy rápida! ¡Tiene un gran poder destructivo en la red doméstica de la empresa! El virus copia todo el disco duro al instante. Ocupa muy poca memoria~
Aunque el virus Panda no es muy nuevo. Pero el autor del virus es realmente admirable: ¡un completo maestro de Internet! ¡Programador súper fuerte y excelente!
Muchos software antivirus tienen herramientas para eliminar Panda. ¡Puede acabar con las últimas variantes!