熊猫烧香是木马还是病毒?
是病毒,威金类病毒,但是武汉男生重新编写了代码
中毒后会自动开启系统端口,关闭杀毒软件,防火墙等安全软件。。。自动从内置的数据库中下载大量木马以及更多病毒。。
熊猫烧香是什么病毒?当年对计算机产生了多大的危害?
熊猫烧香是由李俊制作并肆虐网络的一款电脑病毒,是变种的蠕虫病毒。2006年12月开始,变种数达90多个,个人用户感染熊猫烧香的高达几百万,企业用户感染数也在迅猛增加,造成了严重的个人损失与企业损失。
什么是灰鸽子木马?和熊猫烧香病毒有什么不同?
本质区别:灰鸽子是远程控制工具,用来控制你的电脑;
熊猫烧香是蠕虫病毒, 用来破坏你的电脑。
分别介绍:
灰鸽子病毒简介
(1)灰鸽子是国内一款著名后门。比起前辈冰河、黑洞来,灰鸽子可以说是国内后门的集大成者。其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。客户端简易便捷的操作使刚入门的初学者都能充当黑客。当使用在合法情况下时,灰鸽子是一款优秀的远程控制软件。但如果拿它做一些非法的事,灰鸽子就成了很强大的黑客工具,。这就好比火药,用在不同的场合,给人类带来不同的影响。对灰鸽子完整的介绍也许只有灰鸽子作者本人能够说清楚,在此我们只能进行简要介绍。
灰鸽子客户端和服务端都是采用Delphi编写。黑客利用客户端程序配置出服务端程序。可配置的信息主要包括上线类型(如等待连接还是主动连接)、主动连接时使用的公网IP(域名)、连接密码、使用的端口、启动项名称、服务名称,进程隐藏方式,使用的壳,代理,图标等等。
服务端对客户端连接方式有多种,使得处于各种网络环境的用户都可能中毒,包括局域网用户(通过代理上网)、公网用户和ADSL拨号用户等。
因涉及互联网安全法律纠纷问题,自2007年3月21日起灰鸽子已全面停止开发和注册[1]。互联网上现存灰鸽子版本为以前所开发灰鸽子软件及其修改版。
(2)作者葛军(1982- )安徽潜山人,灰鸽子工作室管理员,精通Delphi、ASP、数据库编程,2001年首次将反弹连接应用在远程控制软件上,随后掀起了国内远程控制软件使用反弹连接的热潮,2005年4月,将虚拟驱动技术应用到灰鸽子屏幕控制上,使灰鸽子的屏幕控制达到了国际先进水平。
葛军,“灰鸽子工作室”的创办者,一个低调而又引人注目的程序员。
(3)服务端:
配置出来的服务端文件文件名为G_Server.exe(这是默认的,当然也可以改变)。然后黑客利用一切办法诱骗用户运行G_Server.exe程序。
G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录,2k/NT下为系统盘的Winnt目录),然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端, G_Server_Hook.dll负责隐藏灰鸽子。通过截获进程的API调用隐藏灰鸽子的文件、服务的注册表项,甚至是进程中的模块名。截获的函数主要是用来遍历文件、遍历注册表项和遍历进程模块的一些函数。所以,有些时候用户感觉种了毒,但仔细检查却又发现不了什么异常。有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。注意,G_Server.exe这个名称并不固定,它是可以定制的,比如当定制服务端文件名为A.exe时,生成的文件就是A.exe、A.dll和A_Hook.dll。
Windows目录下的G_Server.exe文件将自己注册成服务(9X系统写注册表启动项),每次开机都能自动运行,运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能,与控制端客户端进行通信;G_Server_Hook.dll则通过拦截API调用来隐藏病毒。因此,中毒后,我们看不到病毒文件,也看不到病毒注册的服务项。随着灰鸽子服务端文件的设置不同,G_Server_Hook.dll有时候附在Explorer.exe的进程空间中,有时候则是附在所有进程中。
灰鸽子的作者对于如何逃过杀毒软件的查杀花了很大力气。由于一些API函数被截获,正常模式下难以遍历到灰鸽子的文件和模块,造成查杀上的困难。要卸载灰鸽子动态库而且保证系统进程不崩溃也很麻烦,因此造成了近期灰鸽子在互联网上泛滥的局面。
熊猫烧香:
【病毒描述】
其实是一种蠕虫病毒的变种,而且是经过多次变种而来的。尼姆亚变种W(Worm.Nimaya.w),由于中毒电脑的可执行文件会出现“熊猫烧香”图案,所以也被称为“熊猫烧香”病毒。用户电脑中毒后可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。同时,该病毒的某些变种可以通过局域网进行传播,进而感染局域网内所有计算机系统,最终导致企业局域网瘫痪,无法正常使用,它能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件,使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。
【中毒症状】
除了通过网站带毒感染用户之外,此病毒还会在局域网中传播,在极短时间之内就可以感染几千台计算机,严重时可以导致网络瘫痪。中毒电脑上会出现“熊猫烧香”图案,所以也被称为“熊猫烧香”病毒。中毒电脑会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。
【危害】
病毒会删除扩展名为gho的文件,使用户无法使用ghost软件恢复操作系统。“熊猫烧香”感染系统的.exe .com. f.src .html.asp文件,添加病毒网址,导致用户一打开这些网页文件,IE就会自动连接到指定的病毒网址中下载病毒。在硬盘各个分区下生成文件autorun.inf和setup.exe,可以通过U盘和移动硬盘等方式进行传播,并且利用Windows系统的自动播放功能来运行,搜索硬盘中的.exe可执行文件并感染,感染后的文件图标变成“熊猫烧香”图案。“熊猫烧香”还可以通过共享文件夹、系统弱口令等多种方式进行传播。该病毒会在中毒电脑中所有的网页文件尾部添加病毒代码。一些网站编辑人员的电脑如果被该病毒感染,上传网页到网站后,就会导致用户浏览这些网站时也被病毒感染。据悉,多家著名网站已经遭到此类攻击,而相继被植入病毒。由于这些网站的浏览量非常大,致使“熊猫烧香”病毒的感染范围非常广,中毒企业和政府机构已经超过千家,其中不乏金融、税务、能源等关系到国计民生的重要单位。注:江苏等地区成为“熊猫烧香”重灾区。
熊猫烧香是电脑病毒吗?
是啊,前几年这个病毒还很厉害呢
不过现在腾讯电脑管家就可以杀掉他了
如果楼主中毒就可以使用腾讯电脑管家来查杀
腾讯电脑管家是中国首创,第一款响应国际主流,集杀毒+管理功能为一体的产品
腾讯电脑管家拥有 管家云引擎、管家自研第二代“鹰眼”引擎、金山云引擎、Avira引擎,以及管家系统修复引擎,能够及时拦截钓鱼网站及木马病毒,
业界首创将CPU虚拟执行技术运用到杀毒软件中,能够根除顽固病毒、大幅度提升深度查杀能力,并且大大降低了杀毒软件对用户电脑系统资源的占用率。
腾讯电脑管家已经连续数次通过VB100、AV-C等五项国际权威认证,病毒查杀率极高,误杀率极低
熊猫烧香的原理是什么
熊猫烧香”病毒大致分为三部分:
第一部分为工作区:
工作区也就是其病毒目的性。其原理和代码非常简单。
首先是感染.exe文件,这段代码任何初级程序员都可以实现。原理是对系统磁盘做递归搜索,如果发现.exe文件就将其与病毒绑定,在改变其图标。如果发现.gho结尾的文件将其删除。
接下来的代码稍有点难度,是将源病毒感染到WEB文件,使网页也成为它传播的介质,这也是它大范围传播的主要因素。
在接下来就是常规病毒工作原理,简单点说就是将自己放入注册表,设为启动项。或在C以外的磁盘和U盘做auto启动。
然后开启双进程保护功能,以钩子技术对其他进程进行监视,发现游戏之类的进程立刻启动木马功能,将其帐号密码记录并发送到指定信箱。
第二部分为自我保护功能。
这是病毒存活的必须手段。
由于很多用户都没有最新的杀毒软件或者正版软件,还有很多杀毒软件并不知道这病毒是哪个变种。所以导致了病毒把杀毒软件“干”掉了。
为什么中了毒之后,杀毒软件杀不死呢?那是因为病毒已经与exe文件绑定,杀毒软件无法正确的将病毒与exe分开,所以导致连目标文件一起删除掉了。
由于很多用户都是中毒之后在安装杀毒软件,但为时以晚。由于病毒已经占据了系统控制权,相当于病毒有了优先权去杀死杀毒软件了。其工作原理有可能是双进程技术。
双进程技术已经是很老的黑客手段了,也就是说两条进程互相监视。如果其中一条进程被杀死了,另一条发现它消失了就会重新启动它。反过来也一样,但是用户无论如何也不可能同时杀死两条进程。
第三部分是最主要的部分,传播部分。
这段代码就是这病毒的厉害所在了,几乎可以传播的途径它都用上了。Exe捆绑传播,U盘传播,感染asp传播,网站传播,弱口令传播,auto传播 等等。