¿Es Li Jun (el autor de "Panda Burning Incense" un genio?

¡El genio es genio, pero se usa en el lugar equivocado! ! ! ! ! ! ! ! ! !

¡Maldita sea, mi computadora estaba infectada con un virus esa vez y no se pudo iniciar el software antivirus!

Panda Burning Incense" es en realidad una variante del virus gusano y ha sido mutado muchas veces. Nimaya variante W (Worm.Nimaya.w), porque el archivo ejecutable de la computadora envenenada será El " Aparece el patrón "Panda Burning Incense", por lo que también se le llama virus "Panda Burning Incense". Una vez infectada la computadora del usuario, se pueden dañar una pantalla azul, reinicios frecuentes y archivos de datos en el disco duro del sistema. Al mismo tiempo , algunas variantes del virus pueden pasar. Se propaga a través de la red de área local y luego infecta todos los sistemas informáticos de la red de área local, lo que eventualmente provoca que la red de área local de la empresa se paralice y no pueda usarse normalmente.

"Panda Burning Incense" (variante del virus "Weijin")

Características del virus

1. Este virus desactiva muchos programas antivirus y herramientas de seguridad

.

2. Recorre los directorios del disco, infecta archivos y omite archivos clave del sistema

3. Infecta todos los archivos EXE, SCR, PIF y COM

4. /.html/.asp/.php/.jsp/.aspx y agregue código malicioso troyano

5. Eliminar automáticamente archivos *.gho ​​​​(archivos de imagen de copia de seguridad del sistema fantasma)

6. Los virus atacan computadoras con contraseñas débiles y usan la función de reproducción automática de Microsoft

7 Cambie el ícono a Burning Incense Panda (Algunas variantes pueden no usar el ícono del panda pero reemplazarlo con otros íconos)

Virus "Worm.Nimaya": nivel de alerta ★★★☆, virus gusano, infecta archivos por propagación depende del sistema: WIN 9X/NT/2000/XP

Después del virus. se ejecuta, encontrará automáticamente el archivo ejecutable EXE en formato de Windows y lo infectará.

Problema, parte del software del usuario puede estar dañado y no poder ejecutarse.

Se recomienda que. vas al sitio web oficial de Rising para descargar una herramienta especial para matar.

Se informa que debido a esto, algunos usuarios de computadoras que usaban software antivirus extranjero no pudieron actualizar con éxito. sus bibliotecas de códigos de virus, lo que provocó que la nueva variante del gusano "Wiking" se volviera más rampante. En respuesta a esta emergencia, los fabricantes nacionales de antivirus, incluidos Rising, Jiangmin Company y Jinshan Company lanzaron cada uno un mes. versión gratuita de software antivirus para que los usuarios de computadoras la descarguen y la utilicen en respuesta a esta emergencia.

Nombre del virus:

Chino: Panda Incense Burning Virus (también conocido como Wuhan Boy). )

Inglés: Worm.WhBoy

El número de variantes descubiertas hasta ahora ha superado las 50

Manifestaciones típicas:

p>

Después Al estar infectado con el virus, se descubre que el ícono del archivo .EXE cambia a un panda con incienso quemado. Este es también el origen del nombre del virus. Algunas variantes ya no usan este ícono tan conocido. Se actualiza directamente a través de Internet, y algunas variantes pueden infectar archivos en formato web como htm, html, asp, php, jsp, aspx, etc. Una infección de un servidor web significará que todos los ordenadores que naveguen por estas páginas web podrán descargar e infectarse automáticamente con el virus Panda Incense Burning.

Esta serie de variantes liberará los siguientes archivos típicos

En el directorio raíz de la partición: setup.exe, autorun.inf, System\Fuckjacks.exe, System\Drivers\ spoclsv.exe

En entorno LAN: GameSetup.exe

Comportamiento del virus:

1 Elimine los elementos o servicios de inicio del software antivirus de uso común en el registro y finalice el software antivirus. El proceso involucra casi todo el software antivirus actual

2. Finalice los procesos de algunas herramientas auxiliares de seguridad, como IceSword y el administrador de tareas taskmon.

3. Finalice los procesos relacionados Logo1_.exe, Logo_1.exe y Rundl123.exe de Weijin.

4. Utilice contraseñas débiles para descifrar las cuentas de administrador de otras computadoras en la LAN y use GameSetup.exe para copiar y difundir.

5. Modifique el valor de la clave de registro, lo que provocará la imposibilidad de ver archivos ocultos y archivos del sistema.

6. Además de los siguientes directorios en la unidad C, el virus intentará destruir algunos archivos .exe, .com, .gho, .pif y .scr en otras particiones. No infectar archivos en los siguientes directorios (déjenos la oportunidad de resolver este virus, consulte la descripción a continuación).

VENTANA, Winnt, Información del volumen del sistema, Reciclado, Windows NT, Windows Update, Windows MediaP, Outlook Express, Internet Explorer, NetMeeting, Archivos comunes, Aplicaciones ComPlus, Messenger, Información de instalación de InstallShield, MSN, Microsoft Frontpage , MovieMaker, MSN GaminZone

7. El virus eliminará el archivo con la extensión gho, que es el archivo de copia de seguridad de GHOST, una herramienta de copia de seguridad del sistema, lo que provocará la pérdida del archivo de copia de seguridad del sistema del usuario.

Solución:

1. Herramienta de eliminación preferida

La herramienta de eliminación especializada es la solución más eficiente y puede lidiar con variantes conocidas. La desventaja es que hay nuevas. Después de la mutación, la muerte especial también debe actualizarse. Se recomienda ir a www.xiongmaoshaoxiang.com para descargar Zhuansha.

2. Antivirus online

Debido a la particularidad del virus Panda Burning Incense, el propio software antivirus puede estar infectado y el virus también intentará acabar con el virus. procesos y servicios de software antivirus, pero el virus no infecta el navegador IE, usar el navegador para cargar el control antivirus en línea para eliminar virus puede hacer maravillas. Si ya te han engañado, puedes probarlo en shadu.duba.net.

3. Reinicie el sistema en modo seguro con conexión de red, actualice el software antivirus y luego ejecute el antivirus. Puede hacer clic en Inicio, Ejecutar, ingresar msconfig, abrir la utilidad de configuración del sistema, hacer clic en la etiqueta BOOT.INI, realizar modificaciones como se muestra y reiniciar para ingresar al modo seguro con conexión de red.

4. Eliminación manual

Debido a que Panda Burning Incense Virus es un virus infeccioso, la eliminación manual es bastante problemática. El plan de eliminación manual anunciado por los internautas sólo puede finalizar el proceso del virus manualmente. y la infección se ejecutará durante un período de tiempo. Si utiliza el programa Panda Incense Burning Virus, quedará infectado nuevamente. La siguiente es una breve introducción a los pasos para finalizar manualmente el proceso del virus y reparar las claves de registro:

a. Desconecte la red, desactive la tarjeta de red o desconecte el cable de red. >b. Finalice el proceso del virus, porque el Administrador de tareas y IcdSword ya no pueden ejecutarse y es difícil hacerlo en una máquina infectada por virus.

Se recomienda ir a /technet/sysinternals/ProcessesAndThreads/ProcessExplorer.mspx para descargar un Process Explorer como respaldo. Desafortunadamente, el cable óptico no ha sido reparado y la velocidad de descarga del sitio web oficial es extremadamente lenta. Puedes buscarlo en Baidu, ir a Sina, Huajun y Sky para descargarlo. Si encuentra FuckJacks.exe, setup.exe o spoclsv.exe en el proceso (tenga en cuenta que solo hay una letra de diferencia con respecto al servicio de impresión normal, el nombre del archivo del servicio de impresión es spoolsv.exe), use esta herramienta para finalizarlo. .

c. Busque y elimine los siguientes archivos ejecutables de virus en la computadora local:

En el directorio raíz de la partición: setup.exe, autorun.inf (esto en sí no es un virus, pero su existencia es hacer doble clic en el disco para llamar automáticamente al programa de virus, se recomienda eliminarlo)

System\Fuckjacks.exe

En entorno LAN: GameSetup.exe

p>

d. Inicio--gt; ingrese regedit. Después de la confirmación, abra el editor de registro y elimine los elementos de inicio creados por el virus. :

[HKEY_CURRENT_USER\Software\Microsoft\Windows \CurrentVersion\Ejecutar]

"FuckJacks"="System\FuckJacks.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\Run]

" svohost"="System\FuckJacks.exe"

Navegue hasta [HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\ Carpeta\Hidden\SHOWALL], haga clic derecho y haga clic en Nuevo - Valor Dword - Nómbrelo CheckedValue (si ya existe, puede eliminarlo y reconstruirlo), cambie su valor clave a 1, que es hexadecimal, y presione OK para salga del Editor del Registro para restaurar la "Pantalla" en las opciones de carpeta "Todos los archivos ocultos" y "Mostrar archivos del sistema"

e. Repare o reinstale el software antivirus para restaurar las claves de registro eliminadas por el. virus y restaurar las funciones del software antivirus.

Finalmente, es necesario actualizar el software antivirus para realizar un análisis completo y reparar los programas EXE y los archivos con formato de página web infectados. Se recuerda especialmente a los editores de páginas que protejan los documentos web que editan y sus servidores web. Si encuentran un sitio web, el archivo cargado contiene virus y debe eliminarse a tiempo y volver a cargarse. Para este virus, consulte los métodos introducidos en www.xiongmaoshaoxiang.com, o consulte aquí, pif, src, html, asp, sp y otros archivos, la computadora infectada no solo está llena de "pandas", sino también de. "Golden Pigs" es muy destructivo y causa un daño enorme al sistema informático del usuario, provocando que una gran cantidad de software de aplicación no se pueda utilizar

A mediados de enero de este año, la provincia de Hubei. El Departamento de Supervisión de Internet inició una investigación sobre el creador del virus "Panda Burning Incense" de acuerdo con el despliegue de la Oficina de Supervisión de Seguridad de la Red de Información del Ministerio de Seguridad Pública. Después de la investigación, el creador del virus Panda Burning Incense fue Li Jun de la ciudad de Wuhan, provincia de Hubei. Según Li Jun, escribió el virus "Panda Burning Incense" el 16 de octubre de 2006 y lo difundió ampliamente en Internet. Lo vendió él mismo y lo creó. Otros vendieron el virus a más de 120 personas en Internet, obteniendo una ganancia ilegal de más de 100.000 yuanes.

Una mayor difusión por parte de los compradores de virus dio como resultado que varias variantes del virus se propagaran ampliamente en Internet, causando graves daños a la seguridad informática de los usuarios de Internet.

Se entiende que Li Jun también programó el virus "Wuhan Boy" en 2003, el virus "Wuhan Boy 2005" y el virus "QQ Tail" en 2005. Además, hay varios otros sospechosos importantes en este caso: Lei Lei (hombre, 25 años, del distrito de Xinzhou, Wuhan), Wang Lei (hombre, 22 años, de Weihai, Shandong), Ye Peixin (hombre, 21 años, de Wenzhou, Zhejiang), Zhang Shun (hombre, 23 años, de Lishui, Zhejiang) y Wang Zhe (hombre, 24 años, de Xiantao, Hubei) construyeron una "botnet" reescribiendo y propagando virus como "Panda Burning Incense" y robó varios juegos y cuentas QQ Obteniendo ganancias ilegalmente. En una entrevista anterior con un reportero del Shanghai Oriental Morning Post, Dai Guangjian concluyó que durante el proceso de prevención y eliminación del virus "Panda Burning Incense", se descubrió que alguien puede manipular activamente el virus durante su proceso de transformación para obtener ganancias. .

Según el despliegue unificado, Hubei Internet Supervision, con la cooperación de agencias de seguridad pública en Zhejiang, Shandong, Guangxi, Tianjin, Guangdong, Sichuan, Jiangxi, Yunnan, Xinjiang, Henan y otros lugares, detectó el producción y difusión de "Panda Burning Incense" en un solo caso de virus y arrestó a 6 sospechosos.

Según la policía que lleva el caso, Li Jun tiene altas habilidades de programación. Después de que Li Jun fue arrestado, no se dio cuenta de que era ilegal para él crear y propagar el virus. La policía dijo a los periodistas que después de ser atrapado, Li Jun afirmó que escribió el virus "Panda Burning Incense" para mostrar sus magníficas habilidades.

Actualmente, 6 sospechosos han sido detenidos.

Perfil del sospechoso

Li Junnan, de 25 años, es del distrito de Xinzhou, Wuhan, provincia de Hubei. Escribió el virus "Wuhan Boy" en 2003. Escribió el "Wuhan Boy". 2005" y "QQ Tail" en 2005. Virus

Virus "Panda Burning Incense"

Este virus se propaga de diversas formas y modifica todos los archivos de programas infectados para que parezcan pandas. sosteniendo tres varitas de incienso. El virus tiene la capacidad de robar cuentas de juegos y cuentas QQ de los usuarios. Las computadoras infectadas también pueden experimentar pantallas azules, reinicios frecuentes y archivos corruptos. Este virus agregará un código de virus al final de todos los archivos de páginas web en la computadora infectada. A partir del incidente, millones de usuarios individuales, cibercafés y usuarios de LAN corporativas han resultado infectados y dañados. El "Informe de seguridad Rising 2006" lo clasificó en primer lugar entre los diez virus principales y se convirtió en el "Rey de los venenos" entre los diez virus principales en el "Informe sobre la epidemia de virus informáticos y la seguridad de Internet de 2006 en China continental".

Reportero del Morning Post Yin Yusheng

Referencia: /20070213/n248205274.shtml