¿Es Li Jun (el autor de "Panda Burning Incense") un genio?
¡Maldita sea, había un virus en mi computadora esa vez y el software antivirus no podía iniciarse!
"Panda Burning Incense" es en realidad una variante del virus del gusano y ha mutado muchas veces. La variante W de Nimaya (worm.Nimaya.w) también se denomina virus "Panda Burning Incense" debido al patrón "Panda Burning Incense" que aparece en el archivo ejecutable de la computadora envenenada. Una vez infectada la computadora de un usuario, puede aparecer una pantalla azul, reinicios frecuentes y daños en los archivos de datos del disco duro del sistema. Al mismo tiempo, algunas variantes del virus pueden propagarse a través de la LAN e infectar todos los sistemas informáticos de la LAN, lo que eventualmente provocará que la LAN empresarial se paralice y no pueda usarse normalmente.
"Panda Burning Incense" (variante del virus "Weijin")
Características del virus
1. Este virus cerrará muchos programas antivirus y herramientas de seguridad. .
2. Recorra directorios de disco, infecte archivos y omita archivos críticos del sistema.
3. Infecta todos los archivos EXE, SCR, PIF y COM.
4. Infectar a todos. htm/. html/. áspid/. php/. jsp/. aspx y agregar código troyano malicioso.
5. Eliminar automáticamente*. Archivo gho (archivo de imagen de copia de seguridad del sistema fantasma)
6. El virus ataca las contraseñas débiles de la computadora y utiliza la función de reproducción automática de Microsoft.
7 Cambia el ícono a un panda quemando incienso (algunas variantes pueden no usar el ícono del panda pero sí cambiarlo a otros íconos)
Virus "Bug. Nimaya": nivel de alerta ★★ ★☆, gusano Virus, que se propaga a través de archivos infectados, según el sistema: WIN 9X/NT/2000/XP.
Incitar a los usuarios a correr. Después de ejecutar el virus, automáticamente encontrará el archivo ejecutable EXE en formato Windows y lo infectará. Debido a
problemas con este programa de virus, es posible que el software de algunos usuarios resulte dañado y no pueda ejecutarse.
Se recomienda visitar el sitio web oficial de Rising para encontrar la siguiente herramienta antivirus.
Se informa que debido al terremoto en la provincia de Taiwán, algunos usuarios de computadoras que usaban software antivirus extranjero no pudieron actualizar con éxito sus bibliotecas de códigos de virus, lo que hace que la nueva variante del gusano "Weijin" sea aún más desenfrenado. En respuesta a esta emergencia, los fabricantes nacionales de antivirus, incluidos Rising Company, Jiang Min Company y Kingsoft Company, respectivamente, lanzaron versiones gratuitas de software antivirus para que los usuarios de computadoras las descarguen y utilicen en respuesta a esta emergencia.
Nombre del virus:
Chino: Panda Burning Incense Virus (también conocido como Wuhan Boy)
Inglés: Worm. WhBoy
Hasta ahora se han descubierto más de 50 variedades.
Rendimiento típico:
Después de ser infectado por un virus, descubre más. El ícono del archivo EXE cambió a un panda en llamas, que también es el origen del nombre del virus. Algunas razas que se encuentran hoy en día ya no utilizan este conocido icono. Algunas variantes se pueden actualizar directamente a través de Internet y algunas variantes pueden infectar archivos en formato web como htm, html, asp, php, jsp, aspx, etc. La infección de los servidores web significará que todos los ordenadores que naveguen por estas páginas web podrán descargar e infectarse automáticamente con el virus Panda Incense Burning.
Esta serie de variantes publicará los siguientes archivos típicos
En el directorio raíz de la partición: setup.exe, autorun.inf, %System%\Fuckjacks.exe, %System%\ controladores\spoclsv.exe.
En entorno LAN: GameSetup.exe
Comportamiento del virus:
1 Elimine los elementos o servicios de inicio del software antivirus de uso común en el registro y finalice el proceso del software antivirus, que involucra a casi todo el software antivirus actual.
2. Finalice los procesos de algunas herramientas auxiliares de seguridad, como IceSword y el administrador de tareas taskmon.
3. Finalice el proceso relacionado de Weijin Logo1_. exe, Logo_1.exe, Rundl123.exe.
4. La contraseña débil descifró la cuenta de administrador de otras computadoras en la LAN y la copió usando GameSetup.exe.
5. Modifique el valor de la clave de registro, lo que imposibilita la visualización de archivos ocultos y archivos del sistema.
6. Los virus intentarán destruir algunos. exe,. com,. ghoo,. También hay pifs. A excepción de los archivos scr en otras particiones, excepto el directorio debajo de la unidad c, el virus no infectará archivos en los siguientes directorios (dándonos la oportunidad de resolver este virus; consulte la descripción correspondiente a continuación).
Windows, Winnt, Información del volumen del sistema, Reciclaje, Windows NT, Windows Update, Windows MediaP, Outlook Express, Internet Explorer, NetMeeting, Archivos públicos, Aplicaciones ComPlus, Messenger, Información de instalación de InstallShield, MSN, Microsoft Frontpage , MovieMaker, MSN GaminZone
7. El virus eliminará archivos con la extensión gho, que es un archivo de copia de seguridad de la herramienta de copia de seguridad del sistema GHOST, lo que provocará la pérdida del archivo de copia de seguridad del sistema del usuario.
Solución:
1. La herramienta antivirus preferida
La herramienta antivirus es la solución más eficaz y puede hacer frente a variantes conocidas. La desventaja es que las herramientas de eliminación deben actualizarse después de que se introducen nuevas variantes. Recomiendo ir a www.xiongmaoshaoxiang.com para descargar "Exclusive Killing".
2. Antivirus online
Debido a la particularidad del virus Panda Burning Incense, el propio software antivirus puede estar infectado. El virus intentará finalizar el antivirus. procesos y servicios de software de virus, pero el virus no infectará el navegador IE, usar el navegador para cargar el control antivirus en línea puede lograr resultados milagrosos en la eliminación de virus. Aquellos que sean aceptados pueden ir a shadu.duba.net para probarlo.
3. Reinicie el sistema en modo seguro, conéctese a la red, actualice el software antivirus y luego ejecute el antivirus. Puede hacer clic en Inicio, Ejecutar, ingresar msconfig, abrir la utilidad de configuración del sistema y hacer clic en Inicio. INI, realice los cambios como se muestra y reinicie en Modo seguro con funciones de red.
4. Desmontaje manual
Debido a que el virus Panda Burning Incense es un virus contagioso, la eliminación manual es bastante problemática. El plan de eliminación manual anunciado por los internautas sólo puede finalizar el proceso del virus manualmente. Un programa que haya sido infectado con el virus Panda Burning Incense se infectará nuevamente. La siguiente es una breve introducción a los pasos para finalizar manualmente el proceso del virus y reparar las claves de registro:
A. Desconecte la red, desactive la tarjeta de red o desconecte el cable de red;
B. Finalice el proceso del virus porque el Administrador de tareas y IcdSword ya no se ejecutan y son difíciles de implementar en máquinas infectadas. Se recomienda descargar un explorador de procesos desde /TechNet/sys internals/processesandthreads/Process Explorer mspx para realizar una copia de seguridad. Desafortunadamente, el cable óptico no se repara y la velocidad de descarga del sitio web oficial es extremadamente lenta. Se puede descargar desde Baidu, Sina, Huajun y Sky. Si se encuentran FuckJacks.exe, setup.exe y spoolsv.exe durante este proceso (tenga en cuenta que solo hay una letra de diferencia con respecto al servicio de impresión normal, el nombre de archivo del servicio de impresión es spoolsv.exe), use esta herramienta para finalizar él.
C. Busque y elimine los siguientes archivos ejecutables de virus en la computadora local:
En el directorio raíz de la partición: setup.exe, autorun.inf (esto no es un virus). , simplemente existe cuando hace doble clic en el disco para llamar automáticamente a un programa antivirus, se recomienda eliminarlo).
% System %\Fuckjacks.exe%System%\Drivers\spoclsv.exe
En entorno LAN: GameSetup.exe
Inicio-& gt. ;Ejecutar->Ingrese regedit, abra el editor de registro después de la confirmación y elimine los elementos de inicio creados por el virus:
[HKEY_current_user\software\Microsoft\Windows\current version\run]
"fuck jacks" = "% Sistema%\FuckJacks.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\actualversion\Run]
"svo host " = " % System % \ fuck jacks . exe "
Busque [HKEY_Local_Machine\Software\Microsoft\Windows\Current Version\Explorer\Advanced\Folder\Hide\ Showall], haga clic derecho en Nuevo-DWORD Valor marcado con nombre (si ya existe, puede eliminarlo y reconstruirlo) y cambiar su valor clave a 1. Restaure "Mostrar todos los archivos ocultos" y "Mostrar archivos del sistema" en las opciones de carpeta
<. p>E. Reparar o reinstalar el software antivirus, restaurar las claves de registro eliminadas por el virus y restaurar las funciones del software antivirusF. para actualizarlo y escanearlo a fondo, reparar programas EXE infectados y archivos de formato de página web. En particular, se recuerda a los editores de páginas web que protejan los documentos de la página web que editan y sus propios servidores web si se encuentran archivos cargados por el sitio web. tóxicos, elimínelos a tiempo y vuelva a cargarlos
Para la prevención de este virus, consulte el método introducido por www.xiongmaoshaoxiang.com, o consulte los archivos aquí, pif, src,. html, asp, sp, etc. La computadora infectada está llena de "panda" y ". "Golden Pig". Es muy destructivo y causa un gran daño a los sistemas informáticos de los usuarios, provocando que una gran cantidad de software de aplicación no pueda ser utilizado
En junio 5438 + mediados de octubre de este año, la Oficina Provincial de Supervisión de Internet de Hubei Según el despliegue de la Oficina de Supervisión de Seguridad de la Red de Información Pública del Ministerio de Seguridad Pública, el autor del " Se investigó el virus Panda Burning Incense. Según Li Jun, el creador del virus Panda Burning Incense era de la ciudad de Wuhan, provincia de Hubei. En junio de 65438 + octubre de 65438 + junio de 2006, escribió el "Panda Burning Incense Virus" y lo propagó. Lo vendió ampliamente en Internet. También vendió el virus a más de 120 personas en línea vendiéndolo él mismo o a otros, obteniendo ganancias ilegales. Después de una mayor difusión por parte de los compradores de virus, varias variantes del virus se difundieron ampliamente en Internet, causando graves daños a la seguridad informática de los internautas.
Se entiende que Li Jun también escribió sobre el virus "Wuhan Boy" en 2003, el virus "Wuhan Boy 2005" en 2005 y el virus "QQ Tail" en 2005. Además, hay varios otros sospechosos importantes en este caso: Lei Lei (hombre, 25 años, del distrito de Xinzhou, ciudad de Wuhan), Wang Leyan (hombre, 22 años, de Weihai, Shandong), Ye Peixin (hombre, 21 años, de Wenzhou, Zhejiang), Zhang Shun (hombre, 23 años, de Lishui, Zhejiang), Wang Zhe (hombre, 24 años, de Hubei). Dai Guangjian una vez juzgó en una entrevista con un reportero del Shanghai Oriental Morning Post que en el proceso de prevenir y matar el virus "Panda Burning Incense", se ha descubierto que alguien puede manipular activamente el virus durante el proceso de deformación del virus y así hacer una ganancia.
Según el despliegue unificado, con la cooperación de las agencias de seguridad pública en Zhejiang, Shandong, Guangxi, Tianjin, Guangdong, Sichuan, Jiangxi, Yunnan, Xinjiang, Henan y otros lugares, la Supervisión de Internet de Hubei descubrió la producción y difusión de "Panda Burning Incense" de un solo golpe. En el caso del virus, se arrestó a 6 sospechosos.
Según la policía que investiga el caso, Li Jun tiene altas habilidades de programación. Después de que Li Jun fue arrestado, no se dio cuenta de que era ilegal para él crear y propagar el virus. La policía dijo a los periodistas que después de que Li Jun fuera arrestado, dijo que escribió el virus "Panda Burning Incense" para mostrar sus magníficas habilidades.
Actualmente, 6 sospechosos han sido detenidos.
Documentos sospechosos
Li, de 25 años, del distrito de Xinzhou, ciudad de Wuhan, provincia de Hubei, escribió sobre el virus Wuhan Boy en 2003, el virus Wuhan Boy 2005 y el virus QQ Tail en 2005. .
Panda Incense Burning Virus
El virus se propaga de varias maneras. Todos los archivos de programa infectados se modifican para que parezcan un panda sosteniendo tres varitas de incienso. El virus tiene la capacidad de robar cuentas de juegos y cuentas QQ de los usuarios. Las computadoras infectadas también pueden experimentar pantallas azules, reinicios frecuentes y corrupción de archivos. El virus agregará código de virus al final de todos los archivos de páginas web en la computadora infectada. Hasta ahora, millones de usuarios individuales, cibercafés y usuarios de LAN corporativas han resultado infectados y comprometidos. El informe de seguridad de 2006 de Rising lo clasificó en primer lugar entre los diez virus principales y se convirtió en el "Rey de los venenos" en la clasificación de los diez virus principales en el Informe de seguridad de Internet y epidemia de virus informáticos de 2006 en China continental.
Reportero de Morning News Yin Yusheng
Materiales de referencia:
/20070213/n 248205274. shtml