• 论坛网址:https://db2.mom(可微信分享)、https://0668.es、https://0668.cc(全加密访问)

“熊猫烧香”病毒原理 (2人在浏览)

木糖醇

讲科学.破迷信.除陋习...
荣誉会员
注册
2005-07-25
帖子
5,900
反馈评分
1
点数
61
年龄
36
目前,“尼姆亚(也称熊猫烧香)”病毒正在互联网上肆虐。该病毒采用“熊猫烧香”头像作为图标,诱使用户运行。该变种会感染用户计算机上的EXE可执行文件,被病毒感染的文件图标均变为“熊猫烧香”。同时,受感染的计算机还会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。该病毒可通过局域网进行传播,进而感染局域网内所有计算机系统,最终导致整个局域网瘫痪,无法正常使用。

据悉,目前多家著名网站已经遭到此类攻击,而相继被植入病毒。由于这些网站的浏览量非常大,致使此次“熊猫烧香”病毒的感染范围非常广,中毒企业和政府机构已经超过千家,其中不乏金融、税务、能源等关系到国计民生的重要单位。

如果用户的电脑中出现下列现象之一,则表明已经中毒,就应该立刻采取措施清除该病毒。

一、程序的图标变成“熊猫烧香”

熊猫烧香病毒会感染计算机上的EXE可执行文件,被该病毒感染的文件图标会变成一只熊猫手捧三炷香的样子。

[attachmentid=118606]
文件图标被更改为“熊猫烧香”

二、在硬盘根目录下生成“熊猫烧香”图标的文件

1、打开“我的电脑”,用鼠标右键点击“C盘”、“D盘”等图标,在弹出的菜单中会出现名为“Auto”的项目。

[attachmentid=118607]
右键菜单被添加名为“Auto”的项目

2、用一些辅助工具,如WinRAR等,可以看到根目录下有名为“setup.exe”和“autorun.inf”的文件,其中“setup.exe”的图标为“熊猫烧香”。

[attachmentid=118608]
硬盘根目录下生成“熊猫烧香”图标的文件

三、网页文件被添加病毒代码

用记事本打开HTM等格式的网页文件,若在文件尾部发现类似“<iframe src=http://www.****r.com/worm.htm width=0 height=0></iframe>”的内容,说明计算机已感染“熊猫烧香”病毒。

注:“src=”后面的网址,不同的病毒变种会有所区别。


[attachmentid=118609]
网页文件被添加病毒代码
 

附件

  • 1.JPG
    1.JPG
    25.1 KB · 查看: 155
  • 2.JPG
    2.JPG
    56 KB · 查看: 184
  • 3.JPG
    3.JPG
    64 KB · 查看: 183
  • 4.JPG
    4.JPG
    31.9 KB · 查看: 153
看不懂```
 
最毒的就是把*.GHO文件删除,不知能否用数据恢复软件找回?改天找台机来试试。
 
这是症状,不是原理。

很多年没关心过病毒了,不在 Windows 下面的病毒原理有什么巨大的变化,如果还是当年 DOS 病毒那几招,改天有空我也做一个玩玩。
 

正在浏览此帖子的用户

后退
顶部