病毒分析(二)-熊猫烧香病毒的手动查杀
熊猫烧香病毒的手动查杀流程
熊猫烧香病毒
熊猫烧香病毒是一款拥有自动传播、自动感染硬盘能力和强大的破坏能力的病毒,它不但能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件。
熊猫病毒的技术原理虽然在当时那个年代的水平也不高,但仍引起的想永恒之蓝一样的大规模病毒传染,而且到现在具有非常多种变种病毒,很适合像我这种小白新手进行拿手练习。其实熊猫烧香的手动查杀过程非常简单,这里和大家一起分享一下。
手动查杀病毒的四原则
对于每次查杀,我们都要遵循手动查杀的基本原则,即上个随笔中提到的四个原则
1.查询病毒进程
2.检查启动项
3.删除病毒文件
4.恢复被病毒所感染的文件
步骤
1.首先我们看到病毒样本已经被我下载下来(当年的熊猫烧香病毒很好辨别,因为就是一个熊猫烧香的图片的应用程序)
2.第一步我们需要判断运行病毒后病毒是否产生了任何进程,所以我们先打开任务管理器查看一下未运行病毒之前进程都有哪些,将未运行病毒前的进程列表先截图保存下来,方便下面进行观察。
3.双击病毒样本,发现命令行窗口一闪而过,然后就没有其他动作了,这时我们去打开任务管理器查询进程,发现任务管理器已经打不开了,于是我们需要使用DOS命令来进行查询操作(熟悉DOS命令对病毒查杀来说非常重要)。打开cmd,输入tasklist命令,即可获取当前正在运行的进程的列表。如下图-
4.我们与先前截图相比较可得,进程任务当中多了一个叫做spoclsv.exe的进程,于是我们推断这是病毒运行后所产生的进程,我们要将其终止掉。利用taskkill /f /im +该进程的PID ,可将该进程立即强制终止。
5.下一步我们应该进行启动项的检测,从运行窗口输入msconfig 打开后点击启动选项,如图
我们将它禁用,然后复制下来它的目录
C:\WINDOWS\system32\drivers\spoclsv.exe
6.我们进入该目录来查询该文件
于是我们需要将其删除,输入命令 del /f spoclsv.exe 即可将该exe文件删除。
7.熊猫烧香病毒还有一个特征,会将自己复制到每个盘的根目录下,因为我的虚拟机只有一个C盘,所以只会复制到C盘根目录下,我们到C盘的目录查看文件,发现并不存在所查文件,这是因为病毒已经将自身设为隐藏属性了。利用/ah命令可以显示隐藏的文件。
8.其中autorun.inf 和setup.exe即是病毒样本所产生的文件,我们需要将它删除,即利用命令 del /f /ah 即可删除。
到此,熊猫病毒手动查杀的整个步骤基本完成,手动查杀是最基础的杀毒手段,现在查杀时我们可以结合各种分析软件,对病毒样本有更深刻的理解和认识。像我这种小白从最基础开始是很有必要的(膜拜大佬中)。