可恶的“武汉男生”

今天一个朋友的电脑出问题，请我去看看。发现原来是开机有个程序没有了，我取消了加载项，瑞星杀毒也不能运行了，重启了后还是有这个启动项。我随便看了看朋友的各个分区，发现一下下载的可执行文件都成了熊猫烧香的图标。难道…………记得有个人说现在一种叫熊猫烧香的病毒很猖狂。
估计是中了这个病毒，我想上网下个专杀工具。可是现在又上不了网，估计也是这个病毒的原因。重启了N次，又取消了N次这个加载项。好不容易上网了，搜索了一个杀武汉男生的，可是发现还有变种的，晕！
后来找到了超级巡警软件，给大家个链接，遇到此问题的可以省点劲
http://www.skycn.com/soft/29107.html

一、病毒描述：
含有病毒体的文件被运行后，病毒将自身拷贝至系统目录，同时修改注册表将自身设置为开机启动项，并遍历各个驱动器，将自身写入磁盘根目录下，增加一个Autorun.inf文件，使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染，同时开另外一个线程连接某网站下载ddos程序进行发动恶意攻击。
   
二、病毒基本情况：
[文件信息]
病毒名: Virus.Win32.EvilPanda.a.ex$
大  小: 0xDA00 (55808), (disk) 0xDA00 (55808)
SHA1  : F0C3DA82E1620701AD2F0C8B531EEBEA0E8AF69D
壳信息: 未知
危害级别：高
  
病毒名: Flooder.Win32.FloodBots.a.ex$
大  小: 0xE800 (59392), (disk) 0xE800 (59392)
SHA1  : B71A7EF22A36DBE27E3830888DAFC3B2A7D5DA0D
壳信息: UPX 0.89.6 - 1.02 / 1.05 - 1.24
危害级别：高

三、病毒行为：

Virus.Win32.EvilPanda.a.ex$ ：
1、病毒体执行后，将自身拷贝到系统目录：
%SystemRoot%\system32\FuckJacks.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run        Userinit        "C:\WIN2K\system32\SVCH0ST.exe"

2、添加注册表启动项目确保自身在系统重启动后被加载：
键路径：HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键名：FuckJacks
键值："C:\WINDOWS\system32\FuckJacks.exe"
      
键路径：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键名：svohost
键值："C:\WINDOWS\system32\FuckJacks.exe"
      
3、拷贝自身到所有驱动器根目录，命名为Setup.exe，并生成一个autorun.inf使得用户打开该盘运行病毒，并将这两个文件属性设置为隐藏、只读、系统。      C:\autorun.inf        1KB        RHS
C:\setup.exe        230KB        RHS
      
4、关闭众多杀毒软件和安全工具。
5、连接*****.3322.org下载某文件，并根据该文件记录的地址，去www.****.com下载某ddos程序，下载成功后执行该程序。
6、刷新bbs.qq.com，某QQ秀链接。
7、循环遍历磁盘目录，感染文件，对关键系统文件跳过，不感染Windows媒体播放器、MSN、IE 等程序。
   
Flooder.Win32.FloodBots.a.ex$ ：
   
1、病毒体执行后，将自身拷贝到系统目录：
%SystemRoot%\SVCH0ST.EXE
%SystemRoot%\system32\SVCH0ST.EXE

2、该病毒后下载运行后，添加注册表启动项目，确保自身在系统重启动后被加载：      
键路径：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键名：Userinit
键值："C:\WINDOWS\system32\SVCH0ST.exe"

3、尝试关闭窗口
QQKav
QQAV
天网防火墙进程
VirusScan
网镖杀毒
毒霸
瑞星
江民
黄山IE
超级兔子
优化大师
木马克星
木马清道夫
木馬清道夫
QQ病毒注册表编辑器
系统配置实用程序
卡巴斯基反病毒
Symantec AntiVirus
Duba
Windows 任务管理器
esteem procs
绿鹰PC
密码防盗
噬菌体
木马辅助查找器
System Safety Monitor
Wrapped gift Killer
Winsock Expert
游戏木马检测大师
小沈Q盗杀手
pjf(ustc)
IceSword

4、尝试关闭进程
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
KvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl132.exe

删除以下启动项
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RavTask
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KvMonXP
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kav
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KAVPersonal50
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\McAfeeUpdaterUI
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Network Associates Error Reporting

ServiceSOFTWARE\Microsoft\Windows\CurrentVersion\Run\ShStatEXE
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\YLive.exe
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\yassistse

禁用以下服务
kavsvc
AVP
AVPkavsvc
McAfeeFramework
McShield
McTaskManager
McAfeeFramework McShield
McTaskManager
navapsvc
KVWSC
KVSrvXP
KVWSC
KVSrvXP
Schedule
sharedaccess
RsCCenter
RsRavMon
RsCCenter
RsRavMon
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec
Core LC
NPFMntor
MskService
FireSvc

搜索感染除以下目录外的所有.EXE/.SCR/.PIF/.COM文件，并记有标记
WINDOWS
Winnt
System Volume Information
Recycled
Windows NT
Windows Update
Windows Media Player
Outlook Express
Internet Explorer
NetMeeting
Common Files
ComPlus
Applications
Messenger
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
MSN Gamin Zone

删除.GHO文件

添加以下启动位置
\Documents and Settings\All Users\Start Menu\Programs\Startup\
\Documents and Settings\All Users\「开始」菜单\程序\启动\
\WINDOWS\Start Menu\Programs\Startup\
\WINNT\Profiles\All Users\Start Menu\Programs\Startup\

监视记录QQ和访问局域网文件记录：c:\test.txt，试图QQ消息传送

试图用以下口令访问感染局域网文件（GameSetup.exe）
1234
password
……
admin
Root

所有根目录及移动存储生成
X:\setup.exe
X:\autorun.inf
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\Auto\command=setup.exe

删除隐藏共享
cmd.exe /c net share $ /del /y
cmd.exe /c net share admin$ /del /y
cmd.exe /c net share IPC$ /del /y

创建启动项：
Software\Microsoft\Windows\CurrentVersion\Run
svcshare=指向\%system32%\drivers\spoclsv.exe
禁用文件夹隐藏选项
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced
\Folder\Hidden\SHOWALL\CheckedValue

建议重启后在安全模式下杀毒！

鸟

我万分崇拜你～～～～

高人啊`~~~~~~~~~~~~~~~~~```

我的电脑前几天也中了。看到了熊猫的图像。当天就搞定。晚上看央视新闻，说是最近有个叫熊猫烧香的病毒很流行。我知道肯定是中了熊猫烧香病毒了。

我没有看见熊猫
也没有烧香哈。

武汉男生？ ...貌似一文就是武汉的男生

“武汉男生”是武汉大学的一名学生编写的感染型蠕虫病毒。由于在病毒源代码中发现有“WHBOY”字样，所以被命名为“武汉男生”。这个病毒也是变种最多的病毒之一。与此类似的还有“广外女生”远程控制软件（木马的比较好听的叫法 ），是广东外语外贸大学“广外女生”网络小组的处女作。