分享我们的因特生活

熊猫烧香病毒解决和预防【原创】

2007-01-19

【原创,非授权不得转载】近期互联网和公司局域网内频繁受到熊猫烧香病毒及其变种的骚扰,严重影响了工作。由于变种太多,杀毒软件厂商出的专杀工具也不能完全查杀,公司指定安装的防病毒系统norton企业版更是一个聋子耳朵。尤其昨天公司一台电脑中毒太深,已经无法使用,甚至一键恢复C:盘也无济于事。经过漫长的折腾,终于基本恢复正常。

经过查阅大量资料,同时进行了一定的研究,针对熊猫烧香等相关病毒,我提出一些建议。

首先我们来了解一下这个病毒。

"熊猫烧香"病毒不但可以对用户系统进行破坏,导致大量应用软件无法使用,而且还可删除扩展名为gho的所有文件,造成用户的系统备份文件丢失,从而无法进行系统恢复;同时该病毒还能终止大量反病毒软件进程,大大降低用户系统的安全性。直观的看,就是系统中许多.exe可执行文件全部被改成熊猫举着三根香的模样。同时在"我的电脑"中无法通过双击或右键点击"打开"来访问各个分区或移动磁盘。

如果你的电脑有共享文件夹,而且有写的权限,被感染的机会就会很高。

如果使用了U盘等可移动磁盘,该病毒会将自身复制到U盘上,让你继续去传播。

在金山毒霸网站我发现仅金山发现的该病毒变种就有32种之多,这也给查杀带来很大困难。

下面讨论解决方法。

经过分析,该病毒的一个传播和发作机理是利用了Windows系统的自动运行功能,在每个磁盘或U盘根目录下建立一个自动运行所需要的文件:autorun.inf,其内容就是调用病毒木马程序,如昨天我们发现的这个变种的程序名是setup.exe和gamesetup.exe。因此我们可以从autorun.inf文件入手。首先必须先终止相关进程,昨天发现的进程是ravmon.exe,然后开始删除autorun.inf和病毒程序文件。由于这些文件都采取了系统等属性保护,因此必须先取掉相关属性才可以删除。

为了方便,我把这些内容做成了批处理文件。

做之前,最好通过组策略将自动运行功能关闭,方法是运行gpedit.msc,打开组策略编辑器,计算机配置,管理模板,系统,找自动运行,将其关闭就行了。

由于病毒会通过局域网传播,最好此时就把网线拔掉,一方面防止再被感染,另一方面也希望不要去危害群众。

完成后,一定要重新启动电脑。

此时还不要着急去看邮件做表格打游戏,还有很多工作要做。

如果前面还没有拔掉网线,那么现在去拔!

启动杀毒软件,进行全面扫描杀毒。Norton就不要用了,没用,至少昨天的代码没用。瑞星和其他的国外软件也没用,不好说。KV2006能查出来几个,重启后一切照旧,不能彻底解决问题。我最后用的是金山毒霸2007杀毒套装(没有AD的意思,网上下载的免费版,免费注册一个通行证,托前段时间地震的福,现在免费的号可以用37天),几个小时过去后,功夫不负有心人,居然杀掉了近500个病毒文件,病毒涉及最近流行的几大病毒。重启后,系统可以正常了。

由于前面用Norton和KV2006的时候,许多被病毒感染的.exe文件被隔离或删除,一些程序如Notes等已经没法用了,只好重装,Notes可以覆盖安装,这样就不用重新配置了。截至目前系统基本正常。

也有同事问了,问什么别人的电脑就没有中毒?比如说,我的就没有,当然不是因为我运气好,下面结合我的经验说一说如何预防。

首先,不要装从网上下载的各种GHOST版的XP系统,尤其是什么某某花园某某装机版,别省那20分钟时间,用原版的安装盘老老实实装吧。为什么呢?首先不说为了集成到一张光盘上删除了很多的文件和组件,稳定性的下降是必然的。同时又因为集成了一些软件,美其名曰是为了方便用户,进行了优化,但如果制作者不地道呢?装个木马留个后门的事情已不鲜见,我曾经试过一张,装好后的第一件事就是装杀毒软件杀毒,结果还没查完我就赶快关机恢复我原来的系统了。

其次一定要装一个可信赖的杀毒软件。选择杀毒软件的时候要考虑如何升级,比如是否支持代理连接网络,否则在使用代理服务器上网的公司或小区就没法升级了。至于选择什么牌子,仁者见仁智者见智,相信各有各的优点,但是不要迷信某某品牌,对于不是专业发烧的,就不要考虑什么参数和指标了,看疗效就行了。贵的,也不一定好。以我个人的意见,就目前的病毒趋势和网络环境,国产杀毒软件在很大程度上要比国外的好,个人推荐金山毒霸,好用,不贵。

如果了解最近的病毒的特点,你会发现这些病毒很多都是利用了Windows的某某漏洞,因此我们还有一项要做的重要工作就是打补丁。给系统打补丁并不难,打开控制面板-安全中心-自动更新,只要不选择"关闭"就可以了。第一次升级的时候可能会很费时间,那是因为你没打的补丁太多了。也可以用金山等软件提供的漏洞修复功能升级,效果都是一样的。关于这一点是最容易被人忽视的,而且很多人不愿意升级。我甚至看到过有工程师装完系统后不但不打开更新居然还将提示信息关闭,这样你怎么会想到要升级?

还有一点,检查一下你的登录帐号密码,我相信非常多的人都没有密码或是000000这样的极其弱的口令,跟没有一样,要知道像熊猫烧香这样的病毒都会用1234、00000、abc等这样的弱密码来尝试打开你的资料,建议改为强口令,尤其是Administrator等管理员帐号的密码。什么是强口令?至少8位,大小写字母和数字和特殊符号的组合,当然了,一定要你自己记得住!

最后也说说防火墙,其实Windows XP SP2集成的防火墙功能就很强,基本能够满足普通用户的需求,除非你有更高的要求或嗜好。

最后,欢迎各位交流。

附:手工清除autorun.inf工具代码,复制到记事本,保存为.bat格式就可以了。如果懂批处理命令,还可以进行编辑,增加其他功能。如果这些都不会,就直接点下面的链接下载吧,如果有用可以留着传播,如果没用也不要骂我,没必要。

下载地址:http://www.mcne.net/cu/kill-autorun.bat

http://www.mcne.net/cu/kill-autorun.rar

说明:该工具只能解决基本的问题,回头还得拿杀毒软件查杀。

推荐使用金山毒霸2007 http://www.mcne.net/cu/duba2007.rar

@echo off

echo =======================================================

echo ==== ATUORUN病毒专杀工具 ====

echo ==== ====

echo ==== by:mycajun ====

echo ==== ====

echo ==== ====

echo ==== 安 全 提 示 ====

echo ==== ====

echo ==== 1、打开XP自动更新功能,打上补丁,别嫌麻烦 ====

echo ==== 2、杀毒软件一定要装,一定要升级,别舍不得 ====

echo ==== 3、养成一个好的使用习惯,其实并不很难.... ====

echo =======================================================

pause

echo 正在终止病毒进程

echo 如果存在病毒进程,将会自动终止,否则会出现错误提示,属正常情况!

echo ... ...

taskkill /F /IM ravmon.exe /T

taskkill /F /IM sxs.exe /T

taskkill /F /IM spoclsv.exe /T

echo ========================================================

echo ... ...

if exist %SYSTEMROOT%\system32\FuckJacks.exe del %SYSTEMROOT%\system32\FuckJacks.exe

if exist %SYSTEMROOT%\system32\svch0st.exe del %SYSTEMROOT%\system32\svch0st.exe

if exist %SYSTEMROOT%\svch0st.exe del %SYSTEMROOT%\svch0st.exe

for %%i in (c d e f g h i j k l m n o p q r s t u v w x y z) do @if exist %%i%:\setup.exe del %%i%:\setup.exe

for %%i in (c d e f g h i j k l m n o p q r s t u v w x y z) do @if exist %%i%:\gamesetup.exe del %%i%:\gamesetup.exe

echo 正在检查硬盘以及U盘是否存在autorun.inf病毒文件,如果有将被删除

echo ... ...

for %%i in (c d e f g h i j k l m n o p q r s t u v w x y z) do @if exist %%i%:\autorun.* attrib -h -s -r -a %%i%:\autorun.*

for %%i in (c d e f g h i j k l m n o p q r s t u v w x y z) do @if exist %%i%:\autorun.* del %%i%:\autorun.*

if exist %SYSTEMROOT%\system32\autorun.* attrib -h -s -r -a %SYSTEMROOT%\system32\autorun.*

if exist %SYSTEMROOT%\system32\autorun.* del %SYSTEMROOT%\system32\autorun.*

echo ========================================================

echo 操作完成,请重新启动电脑后运行杀毒软件,选择全盘扫描!

echo 杀毒时记得拔掉网线!推荐使用金山毒霸2007杀毒套装!

pause

关键词:

熊猫烧香病毒解决和预防【原创】:目前有0 条留言

发表留言

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。