您现在的位置: 首页» 通知公告

病毒预警:防范Nimaya(熊猫烧香)病毒的通知(转)

发布日期:2007-01-11  作者:西安交大网络中心 来源:西安交大网络中心

      近期校园网内,发现多起Nimaya(熊猫烧香)病毒传播,该病毒除对感染病毒的计算机造成危害外,还在子网内大量乱发数据包,影响网络速度,网络时通时断,影响整个子网用户正常使用。该病毒症状、特点、解决方法见附件《Nimaya(熊猫烧香)病毒特点及解决方法》。

      请广大用户提高网络安全意识,提早防范:

1.   慎用U盘等移动介质

2.   系统口令要足够复杂,不要使用空口令、弱口令(如1234aaaaa,等简单如意猜测到)

3.不要从网上下载执行没有安全保证的程序。

 

________________________________________________________________

________________________________________________________________

 

Nimaya(熊猫烧香)病毒特点及解决方法

近期校园网中大量的出现了“熊猫烧香”病毒及其新变种,现将新变种的特征和感染现象作出分析,供大家在工作中参考。

一.感染现象及传播途径

“熊猫烧香”及其变种是通过局域网内的网络共享来感染终端计算机的蠕虫病毒,主要感染的目标系统为windows 2000 XP

病毒会在系统的所以盘符或最后一个盘符下生成一个熊猫烧香或常见可执行文件的图标(如杀毒软件等),文件名为setup.exe/gamesetup.exe/autorun.exe等的可执行文件来诱导用户点击执行,释放后继而感染wordexecl等后缀名为.exe的文件,使用户无法正常应用工作软件。

该病毒修改文件夹属性使“显示所有隐藏文件” 和“显示受保护的系统文件选项”失效。

二.病毒特点

1、病毒感染终端后将自身复制到Windows文件夹下,文件名为:

%SystemRoot%\autorun.inf 并将其属性改为隐藏

2、病毒感染终端后,病毒将病毒体复制到为以下文件:

%SystemRoot%\setup.exe并将其属性改为隐藏

3、病毒在每个分区下生成gamesetup.exe/set.exe/autorun.exe文件,并在C:\Documents and Settings\Administrator\Local Settings\Temp下加载zt.exew1.exeztw1.exe等文件

4、病毒会在c\winnt\system32\drivers\文件夹下生成spoclv.exe文件。

5、病毒通过添加如下注册表项实现病毒开机自动运行:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "load"="C:\\WINNT\\zt.exe"w1.ext””

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows] "load"="C:\\WINNT\\rundl132.exe"

7、枚举以下杀毒软件进程名,查找到后终止其进程:

Ravmon.exeEghost.exeMailmon.exeKAVPFW.EXEIPARMOR.EXERavmond.exe KV Mcshield.exe

8、同时病毒尝试利用以下命令终止相关杀病毒软件并删除服务:

net stop "Kingsoft AntiVirus Service"

net stop “Ravservice”

9、发送arp探测数据,判断网络状态,网络可用时,枚举内网所有共享主机,并使用自带的口令库猜测破解\\IPC$\admin$等共享目录,连接成功后进行网络感染。

三.如何解决

1. 解决方法

由于目前还没有杀毒软件对其作出反应,故在此给出手动查杀方法

1〉断开终端计算机与网络的连接

2〉重新启动计算机,在启动时按”F8键,在列出的选项中选择“安全模式” ,进入安全模式.

3〉在安全模式下,点击右键打开c盘,右键打开winnt目录,在目录的最后部分找到w1zt等病毒文件并删除。

4〉点击“开始”?“运行”,输入:regedit 确定,打开注册表。依次展开

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

在右边的窗口内查看是否有w1.exezt.exe等键值,如有则删除

展开HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

在右边的窗口内查看是否有w1.exezt.exe等键值,如有则删除

5〉点击“开始” ?〉“搜索”?〉“文件或文件夹”,搜索gamesetup.exew1.exespoclv.exe

zt.exe等文件,找到后删除

6〉重新启动计算机,重新安装杀毒软件并升级到最新版本进行杀毒;修复被破坏的wordexcel等文件。

7. 如何减少计算机感染病毒的几率

1)及时升级杀毒软件;

2)利用杀毒软件所带的漏扫工具更新系统补丁;

3)关闭系统默认的共享连接;

4)不要使用空口令、若口令,如12345678111111123adminadministrator等;

5)重要文件不要存放到系统盘下,将存放在系统盘下的文件注意备份。

 

 

     


作者:西安交大网络中心    来源:西安交大网络中心

Copyright © 2005-2022 西北农林科技大学信息化管理处(网络与教育技术中心)