Introducción al virus Panda Burning Incense:
Debido a que el archivo ejecutable de la computadora infectada aparecerá con el patrón "Panda Burning Incense", también se le llama "Panda Burning Incense". virus. Sin embargo, el virus original sólo reemplazará el ícono EXE y no dañará el sistema en sí. La mayoría de ellos son variantes de virus. Una vez infectada la computadora del usuario, pueden ocurrir una pantalla azul, reinicios frecuentes y la destrucción de archivos de datos en el disco duro del sistema. Al mismo tiempo, algunas variantes del virus pueden propagarse a través de la LAN e infectar todos los sistemas informáticos de la LAN, lo que eventualmente provocará que la LAN empresarial se paralice y no pueda usarse normalmente. [2]
3 Síntomas de intoxicación Editar
Además de infectar a los usuarios a través del sitio web, este virus también se propagará en la red de área local y puede infectar a varias personas en muy poco tiempo. Miles de computadoras pueden causar parálisis de la red en casos severos. El patrón "Panda Burning Incense" aparecerá en la computadora envenenada, por lo que también se le llama virus "Panda Burning Incense". Las computadoras infectadas tendrán pantallas azules, reinicios frecuentes y los archivos de datos en el disco duro del sistema se dañarán.
4 Edición de peligros de virus
El virus Panda Burning Incense eliminará archivos con la extensión gho, haciendo imposible que los usuarios utilicen software fantasma para restaurar el sistema operativo. ?Panda Burning Incense? infecta los archivos .exe.com.f.src.html.asp del sistema y agrega URL de virus, lo que hace que IE se conecte automáticamente a la URL del virus especificada para descargar el virus tan pronto como el usuario abre estos archivos de la página web. Los archivos autorun.inf y setup.exe se generan en cada partición del disco duro, que se pueden distribuir a través de discos U y discos duros móviles, y se ejecutan utilizando la función de reproducción automática del sistema Windows para buscar archivos ejecutables .exe en el disco duro e infectarlos. El icono del archivo infectado cambia a un patrón de "panda quemando incienso". ?Panda Burning Incense? también se puede difundir a través de varios métodos, como carpetas compartidas y contraseñas simples de usuario. Este virus agregará un código de virus al final de todos los archivos de páginas web en la computadora infectada. Si las computadoras de algunos editores de sitios web están infectadas por el virus, después de cargar páginas web en el sitio web, los usuarios también se verán infectados por el virus cuando naveguen por esos sitios web. Se informa que muchos sitios web conocidos han sido atacados por este tipo de ataques y se han implantado virus uno tras otro. Debido a la gran cantidad de visitas a estos sitios web, el virus "Panda Burning Incense" ha infectado una gama muy amplia y ha infectado a más de mil empresas y agencias gubernamentales, incluidas muchas unidades importantes relacionadas con la economía nacional y los medios de vida de las personas, como como finanzas, impuestos y energía. Nota: Jiangsu y otras regiones se han convertido en las zonas más afectadas por la quema de incienso de pandas.
5 Editor de métodos de transmisión
Análisis de Kingsoft: este es un virus gusano infeccioso que puede infectar archivos exe, com, pif, src, html, asp y otros archivos del sistema. también puede detener una gran cantidad de procesos de software antivirus
1 Copiar archivos
Después de que el virus se ejecute, se copiará a sí mismo en
C :\WINDOWS\System32\Drivers\spoclsv.exe
2 Agregar inicio automático del registro
El virus agregará elementos de inicio automático
svcshare -> C:\ WINDOWS\System32\Drivers\spoclsv.exe
3 comportamientos de virus
a: cada 1 segundo
Busque la ventana del escritorio y ciérrela el título de la ventana que contiene el siguiente programa de caracteres
QQKav
QQAV
Firewall
Proceso
VirusScan
Dardo de Internet
Antivirus
Tirano de las drogas
En ascenso
Jiang Min
Huangshan IE
Super Rabbit
Maestro de optimización
Trojan Star
Trojan Scavenger
Virus QQ
Servidor del Editor del Registro
Utilidad de configuración del sistema
Kaspersky Anti-Virus
Symantec AntiVirus
Duba
Proceso de estimación de Panda Burning Incense
Green Eagle PC
Antirrobo de contraseñas
Phage
Buscador auxiliar de troyanos
Monitor de seguridad del sistema
Asesino de regalos envueltos
Experto en Winsock
Maestro de detección de troyanos de juegos
msctls_statusbar32
pjf (ustc)
IceSword
Y utilice el método de asignación de claves para cerrar el software de seguridad IceSword
Agregue el registro para que se inicie automáticamente
HKEY_CURRENT_USER\Software\ Microsoft\Windows\CurrentVersion\Run
svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe
Y finalice los siguientes procesos en el sistema:
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon .exe
Scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav .exe
Ravmon.exe
RavmonD.exe
RavStub.exe
Panda Quemando Incienso KVXP.k
xp
kvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost. exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl132. exe
b: cada 18 segundos
Haga clic en la página web especificada por el autor del virus y use la línea de comando para verificar si hay un recurso compartido *** en el sistema
*** Si el recurso compartido existe, ejecute el comando net share para cerrar el recurso compartido admin$***
c: cada 10 segundos
Descargue el archivo especificado por el autor del virus y use la línea de comando para verificar si existe en el sistema ***share
Si ***share existe, ejecute el comando net share para cerrar admin$***share
d: Eliminar cada 6 segundos
Valores clave del software de seguridad en el registro
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
RavTask
KvMonXP
kav
KAVPersonal50
McAfeeUpdaterUI
Servicio de informe de errores de Network Associates
ShStartEXE
YLive.exe
yassistse
Y modifique los siguientes valores para no mostrar archivos ocultos
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
CheckedValue -> 0x00
Elimine los siguientes servicios:
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec Core LC
NPFMntor
MskService
FireSvc
e : Archivos infectados
El virus infectará archivos con extensiones exe, pif, com, src. Adjunte al encabezado del archivo
Y agregue una URL al archivo con la extensión. htm, html, asp, php, jsp, aspx,
Una vez que el usuario lo abre Para este archivo, IE hará clic continuamente en la URL escrita en segundo plano para lograr el propósito de aumentar el número de clics. Sin embargo, el virus no infectará los archivos en los siguientes nombres de carpeta:
VENTANA Panda Burning Incense
Winnt
Información del volumen del sistema
Reciclado
Windows NT
<p>WindowsUpdate
Reproductor de Windows Media
Outlook Express
Internet Explorer
NetMeeting
Archivos comunes
p> p>Aplicaciones ComPlus
Messenger
Información de instalación de InstallShield
MSN
Página principal de Microsoft
Movie Maker
MSN Gamin Zone
g: Eliminar archivos
El virus eliminará archivos con la extensión gho, que es un archivo de copia de seguridad de GHOST, un herramienta de copia de seguridad del sistema
Provoca la pérdida de los archivos de copia de seguridad del sistema del usuario
Informe de análisis de virus en aumento: ?Nimaya (Panda Burning Incense)?