熊貓b3礦機改電腦

『壹』 國際上的一些著名有電腦病毒有那些 越多越好！！

二十年最強悍病毒排行榜
自從第一個計算機病毒爆發以來，已經過去了20年左右的時間。《InformationWeek》最近評出了迄今為止破壞程度最為嚴重的十大病毒。

上個世紀80年代上半期，計算機病毒只是存在於實驗室中。盡管也有一些病毒傳播了出去，但絕大多數都被研究人員嚴格地控制在了實驗室中。隨後， 「大腦」 (Brain)病毒出現了。1986年年初，人們發現了這種計算機病毒，它是第一個PC病毒，也是能夠自我復制的軟體，並通過5.2英寸的軟盤進行廣泛傳播。按照今天的標准來衡量，Brain的傳播速度幾乎是緩慢地爬行，但是無論如何，它也稱得上是我們目前為之困擾的更有害的病毒、蠕蟲和惡意軟體的鼻祖。下面就是這20年來計算機病毒發展的歷史。

CIH

估計損失：全球約2,000萬~8,000萬美元，計算機的數據損失沒有統計在內。

CIH病毒1998年6月爆發於中國***，是公認的有史以來危險程度最高、破壞強度最大的病毒之一。

CIH感染Windows 95/98/ME等操作系統的可執行文件，能夠駐留在計算機內存中，並據此繼續感染其他可執行文件。

CIH 的危險之處在於，一旦被激活，它可以覆蓋主機硬碟上的數據並導致硬碟失效。它還具備覆蓋主機BIOS晶元的能力，從而使計算機引導失敗。由於能夠感染可執行文件，CIH更是借眾多軟體分銷商之力大行其道，其中就包括Activision游戲公司一款名為「原罪」(Sin)游戲的演示版。

CIH一些變種的觸發日期恰好是切爾諾貝利核電站事故發生之日，因此它也被稱為切爾諾貝利病毒。但它不會感染Windows 2000/XP/NT等操作系統，如今，CIH已經不是什麼嚴重威脅了。

梅利莎(Melissa)

損失估計：全球約3億~6億美元

1999 年3月26日，星期五，W97M/梅利莎登上了全球各地報紙的頭版。估計數字顯示，這個Word宏腳本病毒感染了全球15%~20%的商用PC。病毒傳播速度之快令英特爾公司(Intel)、微軟公司(Microsoft，下稱微軟)、以及其他許多使用Outlook軟體的公司措手不及，為了防止損害，他們被迫關閉整個電子郵件系統。

梅利莎通過微軟的Outlook電子郵件軟體，向用戶通訊簿名單中的50位聯系人發送郵件來傳播自身。

該郵件包含以下這句話：「這就是你請求的文檔，不要給別人看」，此外夾帶一個Word文檔附件。而單擊這個文件(成千上萬毫無疑慮的用戶都是這么做的)，就會使病毒感染主機並且重復自我復制。

更加令人惱火的事情還在後頭——一旦被激活，病毒就用動畫片《辛普森一家》(The Simpsons)的台詞修改用戶的Word文檔。

我愛你(ILOVEYOU)

損失估計：全球約100億~150億美元

又稱情書或愛蟲。它是一個Visual Basic腳本，設計精妙，還有令人難以抗拒的誘餌——愛的諾言。

2000年5月3日，「我愛你」蠕蟲病毒首次在香港被發現。

「我愛你」蠕蟲病毒病毒通過一封標題為「我愛你(ILOVEYOU)」、附件名稱為「Love-Letter-For-You.TXT.vbs」的郵件進行傳輸。和梅利莎類似，病毒也向Microsoft Outlook通訊簿中的聯系人發送自身。

它還大肆復制自身覆蓋音樂和圖片文件。更可氣的是，它還會在受到感染的機器上搜索用戶的賬號和密碼，並發送給病毒作者。

由於當時菲律賓並無制裁編寫病毒程序的法律，「我愛你」病毒的作者因此逃過一劫。

紅色代碼(Code Red)

損失估計：全球約26億美元

「紅色代碼」是一種計算機蠕蟲病毒，能夠通過網路伺服器和互聯網進行傳播。2001年7月13日，紅色代碼從網路伺服器上傳播開來。它是專門針對運行微軟互聯網信息服務軟體的網路伺服器來進行攻擊。極具諷刺意味的是，在此之前的六月中旬，微軟曾經發布了一個補丁，來修補這個漏洞。

「紅色代碼」還被稱為Bady，設計者蓄意進行最大程度的破壞。被它感染後，遭受攻擊的主機所控制的網路站點上會顯示這樣的信息：「你好！歡迎光臨www.worm.com！」。隨後，病毒便會主動尋找其他易受攻擊的主機進行感染。這個行為持續大約20天，之後它便對某些特定IP地址發起拒絕服務(DoS)攻擊。在短短不到一周的時間內，這個病毒感染了近40萬台伺服器，據估計多達100萬台計算機受到感染。

SQL Slammer

損失估計：由於SQL Slammer爆發的日期是星期六，破壞所造成的金錢損失並不大。盡管如此，它仍然沖擊了全球約50萬台伺服器，韓國的在線能力癱瘓長達12小時。

SQL Slammer也被稱為「藍寶石」(Sapphire)，2003年1月25日首次出現。它是一個非同尋常的蠕蟲病毒，給互聯網的流量造成了顯而易見的負面影響。有意思的是，它的目標並非終端計算機用戶，而是伺服器。它是一個單包的、長度為376位元組的蠕蟲病毒，它隨機產生IP地址，並向這些IP地址發送自身。如果某個IP地址恰好是一台運行著未打補丁的微軟SQL伺服器桌面引擎(SQL Server Desktop Engine)軟體的計算機，它也會迅速開始向隨機IP地址的主機開火，發射病毒。

正是運用這種效果顯著的傳播方式，SQL Slammer在十分鍾之內感染了7.5萬台計算機。龐大的數據流量令全球的路由器不堪重負，如此循環往復，更高的請求被發往更多的路由器，導致它們一個個被關閉。

沖擊波(Blaster)

損失估計：20億~100億美元，受到感染的計算機不計其數。

對於依賴計算機運行的商業領域而言，2003年夏天是一個艱難的時期。一波未平，一波又起。IT人士在此期間受到了「沖擊波」和「霸王蟲」蠕蟲的雙面夾擊。 「沖擊波」(又稱「Lovsan」或「MSBlast」)首先發起攻擊。病毒最早於當年8月11日被檢測出來並迅速傳播，兩天之內就達到了攻擊頂峰。病毒通過網路連接和網路流量傳播，利用了Windows 2000/XP的一個弱點進行攻擊，被激活以後，它會向計算機用戶展示一個惡意對話框，提示系統將關閉。在病毒的可執行文件MSBLAST.EXE代碼中隱藏著這些信息：「桑(San)，我只想說愛你！」以及「比爾?蓋茨(Bill Gates)你為什麼讓這種事情發生？別再斂財了，修補你的軟體吧！」

病毒還包含了可於4月15日向Windows升級網站(Windowsupdate.com)發起分布式DoS攻擊的代碼。但那時，「沖擊波」造成的損害已經過了高峰期，基本上得到了控制。

霸王蟲(Sobig.F)

損失估計：50億~100億美元，超過100萬台計算機被感染.。

「沖擊波」一走，「霸王蟲」蠕蟲便接踵而至，對企業和家庭計算機用戶而言，2003年8月可謂悲慘的一月。最具破壞力的變種是Sobig.F，它 8月19日開始迅速傳播，在最初的24小時之內，自身復制了100萬次，創下了歷史紀錄(後來被Mydoom病毒打破)。病毒偽裝在文件名看似無害的郵件附件之中。被激活之後，這個蠕蟲便向用戶的本地文件類型中發現的電子郵件地址傳播自身。最終結果是造成互聯網流量激增。

2003年9月10日，病毒禁用了自身，從此不再成為威脅。為得到線索，找出Sobig.F病毒的始作俑者，微軟宣布懸賞25萬美元，但至今為止，這個作惡者也沒有被抓到。

Bagle

損失估計：數千萬美元，並在不斷增加

Bagle是一個經典而復雜的蠕蟲病毒，2004年1月18日首次露面。這個惡意代碼採取傳統的機制——電子郵件附件感染用戶系統，然後徹查視窗(Windows)文件，尋找到電子郵件地址發送以復制自身。

Bagle (又稱Beagle)及其60~100個變種的真正危險在於，蠕蟲感染了一台計算機之後，便在其TCP埠開啟一個後門，遠程用戶和應用程序利用這個後門得到受感染系統上的數據(包括金融和個人信息在內的任何數據)訪問許可權。據2005年4月，TechWeb.com的一篇文章稱，這種蠕蟲「通常被那幫為了揚名而不惜一切手段的黑客們稱為『通過惡意軟體獲利運動』的始作俑者」。

Bagle.B變種被設計成在2004年1月28日之後停止傳播，但是到目前為止還有大量的其他變種繼續困擾用戶。

MyDoom

損失估計：在其爆發的高峰期，全球互聯網的速度性能下降了10%，網頁的下載時間增加了50%。

2004 年1月26日幾個小時之間，MyDoom通過電子郵件在互聯網上以史無前例的速度迅速傳播，頃刻之間全球都能感受到它所帶來的沖擊波。它還有一個名稱叫做 Norvarg，它傳播自身的方式極為迂迴曲折：它把自己偽裝成一封包含錯誤信息「郵件處理失敗」、看似電子郵件錯誤信息郵件的附件，單擊這個附件，它就被傳播到了地址簿中的其他地址。MyDoom還試圖通過P2P軟體Kazaa用戶網路賬戶的共享文件夾來進行傳播。

這個復制進程相當成功，計算機安全專家估計，在受到感染的最初一個小時，每十封電子郵件就有一封攜帶病毒。MyDoom病毒程序自身設計成2004年2月12日以後停止傳播。

震盪波(Sasser)

損失估計：數千萬美元

「震盪波」自2004年8月30日起開始傳播，其破壞能力之大令法國一些新聞機構不得不關閉了衛星通訊。它還導致德爾塔航空公司(Delta)取消了數個航班，全球范圍內的許多公司不得不關閉了系統。

與先前多數病毒不同的是，「震盪波」的傳播並非通過電子郵件，也不需要用戶的交互動作。

「震盪波」病毒是利用了未升級的Windows 2000/XP系統的一個安全漏洞。一旦成功復制，蠕蟲便主動掃描其他未受保護的系統並將自身傳播到那裡。受感染的系統會不斷發生崩潰和不穩定的情況。

「震盪波」是德國一名17歲的高中生編寫的，他在18歲生日那天釋放了這個病毒。由於編寫這些代碼的時候他還是個未成年人，德國一家法庭認定他從事計算機破壞活動，僅判了緩刑。

邊欄1：病毒紀年

1982

Elk Cloner病毒是實驗室之外誕生的最早的計算機病毒之一。該病毒感染了當時風靡一時的蘋果II型(Apple II)計算機。

1983

早 期的病毒研究人員，佛瑞德?科恩(Fred Cohen)，提出了「計算機病毒」(Computer Virus)的概念，並將其定義為「是一類特殊的計算機程序，這類程序能夠修改其他程序，在其中嵌入他們自身或是自身的進化版本，從而來達到「感染」其他程序的目的。」

1986

「大腦」(Brain)病毒出現。這是一種啟動區病毒，當計算機重啟時，通過A驅動器中的軟盤傳播。該病毒不僅是最早的PC病毒，還是第一例隱蔽型病毒—被感染的磁碟並不會呈現明顯症狀。

1987

「李海」(Lehigh)病毒最早在美國的李海大學(Lehigh University)被發現。該病毒駐留內存，而且是第一個感染可執行文件的病毒。

同年，商業殺毒軟體登上歷史舞台，其中包括約翰?邁克菲(John McAfee)的VirusScan和羅斯?格林伯格(Ross Greenberg)的Flu_Shot。

1988

這一年誕生了最早在Mac系統傳播的病毒，MacMag病毒和Scores病毒。

同年出現的Cascade病毒是第一個經加密後難以刪除和修改的病毒。

第 一個廣泛傳播的蠕蟲病毒是「莫里斯的蠕蟲」(Morris Worm)病毒。蠕蟲是病毒的一種，它們通過外界資源，比如互聯網或是網路伺服器，傳播自身。美國國內一位著名計算機安全顧問的兒子，羅伯特?T?莫里斯 (Robert T. Morris)，將該病毒從麻省理工學院(MIT)釋放到了互聯網上。但是，他聲稱這一切純屬意外。

1989

「黑暗復仇者」(Dark Avenger)/「埃迪」(Eddie)病毒是最早的反殺毒軟體病毒。該病毒會刪除部分殺毒軟體。

「費雷多」(Frodo)病毒出現。這個病毒感染文件後具有一定隱蔽性，當用戶對被感染計算機進行目錄列表檢查時，被感染文件的大小也不會發生改變，極具隱蔽性。

1990

出 現了眾多殺毒軟體，其中包括沃爾夫岡?斯蒂勒(Wolfgang Stiller)的「整合專家」(Integrity Master)，帕姆?凱恩(Pam Kane)的「熊貓反病毒」(Panda Anti-Virus)工具，以及雷?格雷斯(Ray Clath)的Vi-Spy軟體。到此時，殺毒程序作者和病毒製造者已經開始展開了全面的較量。

變形病毒出現。這些病毒隨機改變特徵，同時對自身進行加密，從而避免被發現。最早的此類病毒可能是1260/V2P1病毒。

加殼病毒(Armored Virus)首次出現。此類病毒很難分解。比如防護能力極強的頑固病毒，「鯨魚」(Whale)病毒。

1991

「特奎拉」(Tequila)病毒出現。特奎拉具有隱蔽性，屬於復合型態，具備保護外殼，同時會對自身變換加密，每次感染時都會採用不同的密鑰。該病毒攻擊主引導記錄。主引導記錄一旦被感染就會隨之感染其他程序。

一種名為病毒製造實驗室(Virus Creation Lab)的病毒軟體編寫工具庫催生了一系列病毒。但是大多數該類病毒都充滿漏洞，而無法製造真正的威脅。

復合型DAMN病毒由「黑暗復仇者變形引擎」(Dark Avenger Mutation Engine)編寫，並且在1992年大行其道。

1992

「米開朗基羅」(Michelangelo)病毒出現後感染所有類型的磁碟。但是，該病毒的散播范圍比媒體預先估計的要小一些。

1993

當年出現的Satanbug/Little Loc/Natas病毒是同一個病毒的不同變種。

Satanbug病毒具有很強的反殺毒軟體功能：該變種能夠檢查到四種殺毒軟體，並且破壞相關磁碟。這是殺毒軟體研究人員歷史上第一次和美國聯邦調查局(FBI)聯手逮捕並且起訴了這個還是孩子的病毒編寫者

1994

危害相對較小的KAOS4病毒出現在一個色情新聞組之中，並且很快通過COMSPEC/PATH環境變數傳遍全球。這是第一個利用環境變數來定位潛在攻擊對象目錄的病毒。

1995

第一個宏病毒出現。宏病毒利用軟體自帶的編程語言編寫來傳播，比如微軟公司(Microsoft，下稱微軟)的Word、Excel和Access。

1996

Laroux/Excel宏病毒利用微軟為應用軟體宏語言環境設計的新型Visual Basic語言，進行大范圍自我復制。但是該病毒危害非常有限。

Boza病毒出現並且感染了曾號稱百毒不侵的Windows 95操作平台。

Staag病毒這一年出現並且感染了當時剛剛誕生不久的Linux操作系統。

1998

StrangeBrew病毒在Java環境下傳播和發作。這是一個概念性病毒，沒有攻擊性。

危險的CIH病毒現身後感染了視窗(Windows)可執行文件，覆蓋了硬碟和BIOS數據，並且讓無數計算機系統癱瘓。這個別名為 「Chernobyl」 的病毒在全球范圍內造成了2,000萬~8,000萬美元的經濟損失。CIH病毒對中國用戶發起大規模的進攻，受損計算機超過幾十萬台。

1999

毀滅性的梅利莎(Melissa)Word 97宏病毒是目前為止傳播得最快的一種病毒。這個以一個脫衣舞女命名的病毒是群發郵件病毒的鼻祖。

蠕蟲病毒開始產生比普通病毒更大的危害。「泡沫男孩」(Bubble Boy)病毒是第一個在用戶打開電子郵件附件之前就感染系統的蠕蟲病毒。在郵件被瀏覽之時，蠕蟲病毒已經開始暗中傳播。

2000

我愛你(ILoveYou)病毒，又稱情書或愛蟲，也是群發郵件病毒。被感染的計算機會向郵件地址簿中的所有人發送包含病毒的電子郵件。

藉助人們對於情書的好奇心，該病毒迅速傳遍全球，造成了大范圍的電子郵件阻塞和企業億萬美元的損失。

第一次分布式拒絕服務(DoS)攻擊同時侵襲了亞馬遜公司(Amazon)、電子港灣公司(eBay)、谷歌公司(Google)、雅虎公司(Yahoo)和微軟的網站，攻擊長達數小時之久。

2001

Sircam蠕蟲病毒把被感染電腦的個人文檔和數據文件通過電子郵件四處發送。但是由於該病毒文件比較大，限制了自身的傳播速度。

「尼姆達」(Nimda)病毒利用復雜的復制和傳染技術，在全球范圍內感染了數十萬台計算機。

「壞透了」(BadTrans)蠕蟲病毒可以截獲並且向病毒作者傳回受感染用戶的信用卡信息和密碼。但是該病毒聰明的自我復制機制在真正發揮作用之前就被防病毒軟體發現，並且在其大范圍傳播之前被追蹤清除。

2002

梅利莎病毒的編寫者大衛?史密斯(David L. Smith)被判處在聯邦監獄服刑20個月。

2003

SQL Slammer蠕蟲病毒在十分鍾內攻擊了7.5萬台計算機，幾乎每十秒鍾就將攻擊數量翻倍。雖然病毒沒有造成直接傷害，但是該蠕蟲病毒讓網路伺服器過載，全球內互聯網阻塞。

「沖 擊波」(Blaster)蠕蟲病毒在8月11日攻擊了Windows 2000和Windows XP一個已經推出補丁的安全漏洞，讓數十萬台來不及打補丁的計算機陷入癱瘓。該病毒的最終目的是利用受感染的計算機在8月15日發動一次針對 Windowsupdate.com的分布式DoS攻擊，但是病毒的危害到當天已經基本被控制。

我國的北京、上海、廣州、武漢、杭州等城市也遭到了強烈攻擊，從11日到13日，短短三天間就有數萬台電腦被感染，4,100多個企事業單位的區域網遭遇重創，其中2,000多個區域網陷入癱瘓，對相關機構的電子政務、電子商務工作產生了傷害，造成了巨大的經濟損失。

「霸王蟲」(Sobig.F)是一個群發郵件病毒，通過不安全的網路共享感染系統。該病毒傳播迅速，24小時之內自我復制超過百萬次。「霸王蟲」 病毒大規模爆發，波及亞洲、美洲和澳洲等地區，致使我國互聯網大面積感染。這次比「沖擊波」病毒更加強勁，截至8月14日22時，我國受襲擊的區域網數量已增加到 5,800個。
參考資料：http://hi..com/453081202/blog/item/f8b1f2ca5a001845f31fe775.html

『貳』 熊貓b3的卡能點亮嗎

能。熊貓b3是東莞中電熊貓科技發展有限公司旗下的產品，該產品的卡是能點亮的。東莞中電熊貓科技發展有限公司成立於2004年，是一家私有企業。

『叄』 顯卡挖礦決定速度的主要是什麼

比特幣早期通過CPU來獲取，而隨著GPU通用計算的優勢不斷顯現以及GPU速度的不斷發展，礦工們逐漸開始使用GPU取代CPU進行挖礦。比特幣挖礦採用的是SHA-256哈希值運算，這種演算法會進行大量的32位整數循環右移運算。有趣的是，這種演算法操作在AMD GPU里可以通過單一硬體指令實現，而在NVIDIAGPU里則需要三次硬體指令來模擬，僅這一條就為AMD GPU帶來額外的1.7倍的運算效率優勢。憑借這種優勢，AMD GPU因此深受廣大礦工青睞。

勸告樓主如果預算不多還是不要挖了！！！這錢不是想賺就能賺的

比特幣的難度不斷增加，用顯卡挖礦是在與時間賽跑，其最主要的原因是比特幣挖礦的難度在逐漸增加（比特幣的演算法設計的原因）。如果某套平台按目前難度每天能夠獲取1個比特幣的話，那麼一個月後，同樣算力的平台可能只會獲得0.8個，連最頂級的顯卡也挖18.2天才得到個（其中還不能中斷關機），最低的HD7750二手都要400多（要214天才能挖到一個），看看這圖就知道了（這是今年5月數據，現在不止18天了）

人家正規的挖礦買幾萬一台的礦機才能賺（幾十個頂級顯卡堆在一起運算的礦機）

希望能幫你

『肆』 熊貓燒香病毒的傳染機制

病毒描述：

「武漢男生」，俗稱「熊貓燒香」，這是一個感染型的蠕蟲病毒，它能感染系統中exe，com，pif，src，html，asp等文件，它還能中止大量的反病毒軟體進程並且會刪除擴展名為gho的文件，該文件是一系統備份工具GHOST的備份文件，使用戶的系統備份文件丟失。被感染的用戶系統中所有.exe可執行文件全部被改成熊貓舉著三根香的模樣。

1:拷貝文件

病毒運行後,會把自己拷貝到C:\WINDOWS\System32\Drivers\spoclsv.exe

2:添加註冊表自啟動

病毒會添加自啟動項HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe

3:病毒行為

a:每隔1秒尋找桌面窗口,並關閉窗口標題中含有以下字元的程序：

QQKav、QQAV、防火牆、進程、VirusScan、網鏢、殺毒、毒霸、瑞星、江民、黃山IE、超級兔子、優化大師、木馬剋星、木馬清道夫、QQ病毒、注冊表編輯器、系統配置實用程序、卡巴斯基反病毒、Symantec AntiVirus、Duba、esteem proces、綠鷹PC、密碼防盜、噬菌體、木馬輔助查找器、System Safety Monitor、Wrapped gift Killer、Winsock Expert、游戲木馬檢測大師、msctls_statusbar32、pjf(ustc)、IceSword

並使用的鍵盤映射的方法關閉安全軟體IceSword

添加註冊表使自己自啟動 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe

並中止系統中以下的進程:

Mcshield.exe、VsTskMgr.exe、naPrdMgr.exe、UpdaterUI.exe、TBMon.exe、scan32.exe、Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、RavmonD.exe、RavStub.exe、KVXP.kxp、kvMonXP.kxp、KVCenter.kxp、KVSrvXP.exe、KRegEx.exe、UIHost.exe、TrojDie.kxp、FrogAgent.exe、Logo1_.exe、Logo_1.exe、Rundl132.exe

b:每隔18秒點擊病毒作者指定的網頁,並用命令行檢查系統中是否存在共享，共存在的話就運行net share命令關閉admin$共享

c:每隔10秒下載病毒作者指定的文件,並用命令行檢查系統中是否存在共享，共存在的話就運行net share命令關閉admin$共享

d:每隔6秒刪除安全軟體在注冊表中的鍵值

並修改以下值不顯示隱藏文件 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue -> 0x00

刪除以下服務:

navapsvc、wscsvc、KPfwSvc、SNDSrvc、ccProxy、ccEvtMgr、ccSetMgr、SPBBCSvc、Symantec Core LC、NPFMntor MskService、FireSvc

e:感染文件

病毒會感染擴展名為exe,pif,com,src的文件,把自己附加到文件的頭部，並在擴展名為htm,html, asp,php,jsp,aspx的文件中添加一網址，用戶一但打開了該文件，IE就會不斷的在後台點擊寫入的網址，達到增加點擊量的目的,但病毒不會感染以下文件夾名中的文件：

WINDOW、Winnt、System Volume Information、Recycled、Windows NT、WindowsUpdate、Windows Media Player、Outlook Express、Internet Explorer、NetMeeting、Common Files、ComPlus Applications、Messenger、InstallShield Installation Information、MSN、Microsoft Frontpage、Movie Maker、MSN Gamin Zone

g:刪除文件

病毒會刪除擴展名為gho的文件，該文件是一系統備份工具GHOST的備份文件使用戶的系統備份文件丟失。

目前病毒創始人武漢男生被警方抓獲。。。
==========
病毒代碼:
某處下了個所謂的新版本熊貓燒香.
根據字元串結合loveboom的文章進行了深入的學習.

不敢獨享,分享如下.

GameSetup.exe

1.脫殼:
FSG 2.0 -> bart/xt
Borland Delphi 6.0 - 7.0

ep:
00400154 G> 8725 F4D24100 xchg dword ptr ds:[41D2F4],esp
0040015A 61 popad
0040015B 94 xchg eax,esp
0040015C 55 push ebp
0040015D A4 movs byte ptr es:[edi],byte ptr ds:[e>
0040015E B6 80 mov dh,80
00400160 FF13 call dword ptr ds:[ebx]
00400162 ^ 73 F9 jnb short GameSetu.0040015D
...
004001CC 40 inc eax
004001CD ^ 78 F3 js short GameSetu.004001C2
004001CF 75 03 jnz short GameSetu.004001D4
004001D1 - FF63 0C jmp dword ptr ds:[ebx+C] ; GameSetu.0040D278 ,OEP
004001D4 50 push eax
004001D5 55 push ebp
004001D6 FF53 14 call dword ptr ds:[ebx+14]
004001D9 AB stos dword ptr es:[edi]
004001DA ^ EB EE jmp short GameSetu.004001CA

OEP:
0040D278 55 push ebp ; URLMON.702B0000
0040D279 8BEC mov ebp,esp
0040D27B 83C4 E8 add esp,-18
0040D27E 53 push ebx
0040D27F 56 push esi
0040D280 33C0 xor eax,eax
0040D282 8945 E8 mov dword ptr ss:[ebp-18],eax
0040D285 8945 EC mov dword ptr ss:[ebp-14],eax
0040D288 B8 C8D14000 mov eax,GameSetu.0040D1C8
0040D28D E8 5677FFFF call GameSetu.004049E8

文本字元串參考位於 GameSetu:
地址 反匯編 文本字元串
0040626A mov eax,GameSetu.004069D8 ASCII "VirusScan"
00406296 mov eax,GameSetu.004069EC ASCII "NOD32"
004064B0 mov eax,GameSetu.00406AB4 ASCII "Symantec AntiVirus"
004064E2 mov eax,GameSetu.00406AD0 ASCII "Duba"
00406514 mov eax,GameSetu.00406AE0 ASCII "esteem procs"
0040660E mov eax,GameSetu.00406B44 ASCII "System Safety Monitor"
00406640 mov eax,GameSetu.00406B64 ASCII "Wrapped gift Killer"
00406672 mov eax,GameSetu.00406B80 ASCII "Winsock Expert"
0040670E push GameSetu.00406BC0 ASCII "msctls_statusbar32"
00406748 mov eax,GameSetu.00406BDC ASCII "pjf(ustc)"
004067E4 push GameSetu.00406BE8 ASCII "IceSword"
00406826 mov eax,GameSetu.00406BFC ASCII "Mcshield.exe"
00406830 mov eax,GameSetu.00406C14 ASCII "VsTskMgr.exe"
0040683A mov eax,GameSetu.00406C2C ASCII "naPrdMgr.exe"
00406844 mov eax,GameSetu.00406C44 ASCII "UpdaterUI.exe"
0040684E mov eax,GameSetu.00406C5C ASCII "TBMon.exe"
00406858 mov eax,GameSetu.00406C70 ASCII "scan32.exe"
00406862 mov eax,GameSetu.00406C84 ASCII "Ravmond.exe"
0040686C mov eax,GameSetu.00406C98 ASCII "CCenter.exe"
00406876 mov eax,GameSetu.00406CAC ASCII "RavTask.exe"
00406880 mov eax,GameSetu.00406CC0 ASCII "Rav.exe"
0040688A mov eax,GameSetu.00406CD0 ASCII "Ravmon.exe"
00406894 mov eax,GameSetu.00406CE4 ASCII "RavmonD.exe"
0040689E mov eax,GameSetu.00406CF8 ASCII "RavStub.exe"
004068A8 mov eax,GameSetu.00406D0C ASCII "KVXP.kxp"
004068B2 mov eax,GameSetu.00406D20 ASCII "KvMonXP.kxp"
004068BC mov eax,GameSetu.00406D34 ASCII "KVCenter.kxp"
004068C6 mov eax,GameSetu.00406D4C ASCII "KVSrvXP.exe"
004068D0 mov eax,GameSetu.00406D60 ASCII "KRegEx.exe"
004068DA mov eax,GameSetu.00406D74 ASCII "UIHost.exe"
004068E4 mov eax,GameSetu.00406D88 ASCII "TrojDie.kxp"
004068EE mov eax,GameSetu.00406D9C ASCII "FrogAgent.exe"
004068F8 mov eax,GameSetu.00406D0C ASCII "KVXP.kxp"
00406902 mov eax,GameSetu.00406D20 ASCII "KvMonXP.kxp"
0040690C mov eax,GameSetu.00406D34 ASCII "KVCenter.kxp"
00406916 mov eax,GameSetu.00406D4C ASCII "KVSrvXP.exe"
00406920 mov eax,GameSetu.00406D60 ASCII "KRegEx.exe"
0040692A mov eax,GameSetu.00406D74 ASCII "UIHost.exe"
00406934 mov eax,GameSetu.00406D88 ASCII "TrojDie.kxp"
0040693E mov eax,GameSetu.00406D9C ASCII "FrogAgent.exe"
00406948 mov eax,GameSetu.00406DB4 ASCII "Logo1_.exe"
00406952 mov eax,GameSetu.00406DC8 ASCII "Logo_1.exe"
0040695C mov eax,GameSetu.00406DDC ASCII "Rundl132.exe"
00406966 mov eax,GameSetu.00406DF4 ASCII "regedit.exe"
00406970 mov eax,GameSetu.00406E08 ASCII "msconfig.exe"
0040697A mov eax,GameSetu.00406E20 ASCII "taskmgr.exe"
00406E44 mov eax,GameSetu.00407014 ASCII "Schele"
00406E4E mov eax,GameSetu.00407028 ASCII "sharedaccess"
00406E58 mov eax,GameSetu.00407040 ASCII "RsCCenter"
00406E62 mov eax,GameSetu.00407054 ASCII "RsRavMon"
00406E6C mov eax,GameSetu.00407060 ASCII "RsCCenter"
00406E76 mov eax,GameSetu.0040706C ASCII "RsRavMon"
00406E80 mov edx,GameSetu.00407080 ASCII "SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RavTask"
00406E8F mov eax,GameSetu.004070C0 ASCII "KVWSC"
00406E99 mov eax,GameSetu.004070D0 ASCII "KVSrvXP"
00406EA3 mov eax,GameSetu.004070D8 ASCII "KVWSC"
00406EAD mov eax,GameSetu.004070E0 ASCII "KVSrvXP"
00406EB7 mov edx,GameSetu.004070F0 ASCII "SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KvMonXP"
00406EC6 mov eax,GameSetu.00407130 ASCII "kavsvc"
00406ED0 mov eax,GameSetu.00407140 ASCII "AVP"
00406EDA mov eax,GameSetu.00407144 ASCII "AVP"
00406EE4 mov eax,GameSetu.00407148 ASCII "kavsvc"
00406EEE mov edx,GameSetu.00407158 ASCII "SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kav"
00406EFD mov edx,GameSetu.00407194 ASCII "SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KAVPersonal50"
00406F0C mov eax,GameSetu.004071D8 ASCII "McAfeeFramework"
00406F16 mov eax,GameSetu.004071F0 ASCII "McShield"
00406F20 mov eax,GameSetu.00407204 ASCII "McTaskManager"
00406F2A mov eax,GameSetu.00407214 ASCII "McAfeeFramework"
00406F34 mov eax,GameSetu.00407224 ASCII "McShield"
00406F3E mov eax,GameSetu.00407230 ASCII "McTaskManager"
00406F48 mov edx,GameSetu.00407248 ASCII "SOFTWARE\Microsoft\Windows\CurrentVersion\Run\McAfeeUpdaterUI"
00406F57 mov edx,GameSetu.00407290 ASCII "SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Network Associates Error Reporting Service"
00406F66 mov edx,GameSetu.004072F4 ASCII "SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ShStatEXE"
00406F75 mov eax,GameSetu.0040732C ASCII "navapsvc"
00406F7F mov eax,GameSetu.00407338 ASCII "wscsvc"
00406F89 mov eax,GameSetu.00407340 ASCII "KPfwSvc"
00406F93 mov eax,GameSetu.00407348 ASCII "SNDSrvc"
00406F9D mov eax,GameSetu.00407350 ASCII "ccProxy"
00406FA7 mov eax,GameSetu.00407358 ASCII "ccEvtMgr"
00406FB1 mov eax,GameSetu.00407364 ASCII "ccSetMgr"
00406FBB mov eax,GameSetu.00407370 ASCII "SPBBCSvc"
00406FC5 mov eax,GameSetu.0040737C ASCII "Symantec Core LC"
00406FCF mov eax,GameSetu.00407390 ASCII "NPFMntor"
00406FD9 mov eax,GameSetu.0040739C ASCII "MskService"
00406FE3 mov eax,GameSetu.004073A8 ASCII "FireSvc"
00406FED mov edx,GameSetu.004073B8 ASCII "SOFTWARE\Microsoft\Windows\CurrentVersion\Run\YLive.exe"
00406FFC mov edx,GameSetu.004073F8 ASCII "SOFTWARE\Microsoft\Windows\CurrentVersion\Run\yassistse"
004075D5 mov ecx,GameSetu.0040764C ASCII ":\"
004079FF mov edx,GameSetu.00407AF4 ASCII "Search"
00407A04 mov eax,GameSetu.00407B04 ASCII "=nb{end'w{g>ispy>,.ps~*bb?2'gm.12&mmeb|'lwl'swi:&9&#ibmnlwispy>,.ps~*bb?2'gm.12&mmeb|'lwl'swi:&9&#ibmnlwmov dword ptr ss:[ebp-2C],5
0040AA13 B8 F0E04000 mov eax,GameSetu.0040E0F0 ; 注意地址,字元串指針
0040AA18 8945 BC mov dword ptr ss:[ebp-44],eax ; 字元串指針保存
0040AA1B 8D55 B4 lea edx,dword ptr ss:[ebp-4C] ; 循環指針,開始處
0040AA1E 8B45 E0 mov eax,dword ptr ss:[ebp-20]
...
0040AA31 8B45 BC mov eax,dword ptr ss:[ebp-44]
0040AA34 FF30 push dword ptr ds:[eax]
0040AA36 8D45 B8 lea eax,dword ptr ss:[ebp-48] ; 目標1
0040AA39 BA 04000000 mov edx,4
0040AA3E E8 4995FFFF call GameSetu.00403F8C
0040AA43 8B55 B8 mov edx,dword ptr ss:[ebp-48]
0040AA46 8B45 FC mov eax,dword ptr ss:[ebp-4]
0040AA49 E8 7AFDFFFF call GameSetu.0040A7C8
0040AA4E 85C0 test eax,eax
0040AA50 0F84 4E020000 je GameSetu.0040ACA4
0040AA56 6A 00 push 0
0040AA58 8D55 AC lea edx,dword ptr ss:[ebp-54] ; 目標3
0040AA5B 8B45 E0 mov eax,dword ptr ss:[ebp-20]
0040AA5E E8 AD9BFFFF call GameSetu.00404610
...
0040AA6E 8B45 BC mov eax,dword ptr ss:[ebp-44]
0040AA71 FF30 push dword ptr ds:[eax]
0040AA73 68 64AD4000 push GameSetu.0040AD64 ; ASCII "GameSetup.exe"
0040AA78 8D45 B0 lea eax,dword ptr ss:[ebp-50] ; 目標2
0040AA7B BA 05000000 mov edx,5
0040AA80 E8 0795FFFF call GameSetu.00403F8C
0040AA85 8B45 B0 mov eax,dword ptr ss:[ebp-50]
0040AA88 E8 3F96FFFF call GameSetu.004040CC
...
0040AA99 68 7CAD4000 push GameSetu.0040AD7C ; ASCII "drivers\"
0040AA9E 68 90AD4000 push GameSetu.0040AD90 ; ASCII "spo0lsv.exe"
0040AAB9 E8 2EA0FFFF call GameSetu.00404AEC ; jmp to KERNEL32.CopyFileA
...
0040AB80 E8 83FAFFFF call GameSetu.0040A608 ; jmp to netapi32.NetRemoteTOD
0040AC07 E8 F4F9FFFF call GameSetu.0040A600 ; jmp to netapi32.NetScheleJobAdd
...
0040AC6B B8 A4AD4000 mov eax,GameSetu.0040ADA4 ; ASCII "admin$"
0040AC70 E8 4BA4FFFF call GameSetu.004050C0
0040AC75 84C0 test al,al
0040AC77 75 2B jnz short GameSetu.0040ACA4
...
0040ACA4 8345 BC 04 add dword ptr ss:[ebp-44],4
0040ACA8 FF4D D4 dec dword ptr ss:[ebp-2C]
0040ACAB ^ 0F85 6AFDFFFF jnz GameSetu.0040AA1B ;
dd 0040E0F0
0040E0F0 0040A828 GameSetu.0040A828 ; 以下為攻擊目標
0040E0F4 0040A834 ASCII "\Documents and Settings\All Users\Start Menu\Programs\Startup\"
0040E0F8 0040A87C GameSetu.0040A87C
0040E0FC 0040A8C0 ASCII "\WINDOWS\Start Menu\Programs\Startup\"
0040E100 0040A8F0 ASCII "\WINNT\Profiles\All Users\Start Menu\Programs\Startup\"
0040E104 00000000
0040E108 0040ADB4 ASCII "1234" ; 以下為字典密碼
0040E10C 0040ADC4 ASCII "password"
0040E110 0040ADD8 ASCII "6969"
0040E114 0040ADE8 ASCII "harley"
0040E118 0040ADF8 ASCII "123456"
0040E11C 0040AE08 ASCII "golf"
0040E120 0040AE18 ASCII "pussy"
0040E124 0040AE28 ASCII "mustang"
0040E128 0040AE38 ASCII "1111"
0040E12C 0040AE48 ASCII "shadow"
0040E130 0040AE58 ASCII "1313"
0040E134 0040AE68 ASCII "fish"
0040E138 0040AE78 ASCII "5150"
0040E13C 0040AE88 ASCII "7777"
0040E140 0040AE98 ASCII "qwerty"
0040E144 0040AEA8 ASCII "baseball"
0040E148 0040AEBC ASCII "2112"
0040E14C 0040AECC ASCII "letmein"
0040E150 0040AEDC ASCII "12345678"
0040E154 0040AEF0 ASCII "12345"
0040E158 0040AF00 ASCII "ccc"
0040E15C 0040AF0C ASCII "admin"
0040E160 0040AF1C ASCII "5201314"
0040E164 0040AF2C ASCII "qq520"
0040E168 0040AF3C GameSetu.0040AF3C
0040E16C 0040AF48 ASCII "12"
0040E170 0040AF54 ASCII "123"
0040E174 0040AF60 ASCII "1234567"
0040E178 0040AF70 ASCII "123456789"
0040E17C 0040AF84 ASCII "654321"
0040E180 0040AF94 ASCII "54321"
0040E184 0040AFA4 ASCII "111"
0040E188 0040AFB0 ASCII "000000"
0040E18C 0040AFC0 ASCII "abc"
0040E190 0040AFCC ASCII "pw"
0040E194 0040AFD8 ASCII "11111111"
0040E198 0040AFEC ASCII "88888888"
0040E19C 0040B000 ASCII "pass"
0040E1A0 0040B010 ASCII "passwd"
0040E1A4 0040B020 ASCII "database"
0040E1A8 0040B034 ASCII "abcd"
0040E1AC 0040B044 ASCII "abc123"
0040E1B0 0040B000 ASCII "pass"
0040E1B4 0040B054 ASCII "sybase"
0040E1B8 0040B064 ASCII "123qwe"
0040E1BC 0040B074 ASCII "server"
0040E1C0 0040B084 ASCII "computer"
0040E1C4 0040B098 ASCII "520"
0040E1C8 0040B0A4 ASCII "super"
0040E1CC 0040B0B4 ASCII "123asd"
0040E1D0 0040B0C4 GameSetu.0040B0C4
0040E1D4 0040B0D0 ASCII "ihavenopass"
0040E1D8 0040B0E4 ASCII "godblessyou"
0040E1DC 0040B0F8 ASCII "enable"
0040E1E0 0040B108 ASCII "xp"
0040E1E4 0040B114 ASCII "2002"
0040E1E8 0040B124 ASCII "2003"
0040E1EC 0040B134 ASCII "2600"
0040E1F0 0040B144 ASCII "alpha"
0040E1F4 0040B154 ASCII "110"
0040E1F8 0040B160 ASCII "111111"
0040E1FC 0040B170 ASCII "121212"
0040E200 0040B180 ASCII "123123"
0040E204 0040B190 ASCII "1234qwer"
0040E208 0040B1A4 ASCII "123abc"
0040E20C 0040B1B4 ASCII "007"
0040E210 0040B1C0 GameSetu.0040B1C0
0040E214 0040B1CC ASCII "aaa"
0040E218 0040B1D8 ASCII "patrick"
0040E21C 0040B1E8 ASCII "pat"
0040E220 0040B1F4 ASCII "administrator"
0040E224 0040B20C ASCII "root"
0040E228 0040B21C ASCII "sex"
0040E22C 0040B228 ASCII "god"
0040E230 0040B234 ASCII "*you"
0040E234 0040B244 ASCII "*"
0040E238 0040AFC0 ASCII "abc"
0040E23C 0040B254 ASCII "test"
0040E240 0040B264 ASCII "test123"
0040E244 0040B274 ASCII "temp"
0040E248 0040B284 ASCII "temp123"
0040E24C 0040B294 ASCII "win"
0040E250 0040B2A0 ASCII "pc"
0040E254 0040B2AC ASCII "asdf"
0040E258 0040B2BC ASCII "pwd"
0040E25C 0040B2C8 ASCII "qwer"
0040E260 0040B2D8 ASCII "yxcv"
0040E264 0040B2E8 ASCII "zxcv"
0040E268 0040B2F8 ASCII "home"
0040E26C 0040B308 ASCII "xxx"
0040E270 0040B314 ASCII "owner"
0040E274 0040B324 ASCII "login"
0040E278 0040B334 ASCII "Login"
0040E27C 0040B344 ASCII "pw123"
0040E280 0040B354 ASCII "love"
0040E284 0040B364 ASCII "mypc"
0040E288 0040B374 ASCII "mypc123"
0040E28C 0040B384 ASCII "admin123"
0040E290 0040B398 ASCII "mypass"
0040E294 0040B3A8 ASCII "mypass123"
0040E298 0040B3BC ASCII "901100"
0040E29C 0040B3CC ASCII "Administrator"
0040E2A0 0040B3E4 ASCII "Guest"
0040E2A4 0040B3F4 ASCII "admin"
0040E2A8 0040B404 ASCII "Root"

2.9 復制病毒到根目錄,生成autorun.inf:
病毒建立一個計時器以,6秒為周期在磁碟的根目錄下生成setup.exe,
並利用AutoRun Open關聯,使病毒在用戶點擊被感染磁碟時能被自動運行.

0040C374 68 7CBE4000 push GameSetu.0040BE7C ; 執行主體
0040C379 68 70170000 push 1770 ; 時間6000ms
0040C37E 6A 00 push 0
0040C380 6A 00 push 0
0040C382 E8 BD88FFFF call GameSetu.00404C44 ; jmp to user32.SetTimer

將病毒復制到各分區下命名為setup.exe,建立autorun.inf:
0040BEC6 E8 BDFDFFFF call GameSetu.0040BC88
0040BCCC E8 7B8EFFFF call GameSetu.00404B4C ; jmp to KERNEL32.GetDriveTypeA
0040BF9F B9 F4C24000 mov ecx,GameSetu.0040C2F4 ; ASCII ":\setup.exe"
0040BFC4 B9 08C34000 mov ecx,GameSetu.0040C308 ; ASCII ":\autorun.inf"
0040C08A E8 5D8AFFFF call GameSetu.00404AEC ; jmp to KERNEL32.CopyFileA
0040C11D BA 20C34000 mov edx,GameSetu.0040C320 ; ASCII "[AutoRun]

內容太多,自己進我的空間里找吧.
點我的名字

『伍』 關於熊貓燒香

熊貓燒香
熊貓燒香變種 spoclsv.exe 解決方案2006年12月21日 星期四 14:07【CISRT2006081】熊貓燒香變種 spoclsv.exe 解決方案

檔案編號：CISRT2006081
病毒名稱：Worm.Win32.Delf.bf（Kaspersky）
病毒別名：Worm.Nimaya.d（瑞星）
Win32.Trojan.QQRobber.nw.22835（毒霸）
病毒大小：22,886 位元組
加殼方式：UPack
樣本MD5：
樣本SHA1：
發現時間：2006.11
更新時間：2006.11
關聯病毒：
傳播方式：通過惡意網頁傳播，其它木馬下載，可通過區域網、移動存儲設備等傳播

補充資料：
病毒特徵：
「武漢男生」，俗稱「熊貓燒香」，這是一個感染型的蠕蟲病毒，它能感染系統中exe,com,pif,src,html,asp等文件，它能中止大量的反病毒軟體進程，並且會刪除擴展為gho的文件，該文件是一系統備份工具GHOST的備份文件使用戶的系統文件丟失。被感染的用戶系統中所有.exe可執行文件全部被改成熊貓舉著三根香的模樣。

技術分析
==========

又是「熊貓燒香」FuckJacks.exe的變種，和之前的變種一樣使用白底熊貓燒香圖標，病毒運行後復制自身到系統目錄下：
%System%\drivers\spoclsv.exe

創建啟動項：

[Copy to clipboard]CODE:[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"svcshare"="%System%\drivers\spoclsv.exe"
修改注冊表信息干擾「顯示所有文件和文件夾」設置：

[Copy to clipboard]CODE:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000000
在各分區根目錄生成副本：
X:\setup.exe
X:\autorun.inf

autorun.inf內容：

[Copy to clipboard]CODE:[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\Auto\command=setup.exe
嘗試關閉下列窗口：
QQKav
QQAV
VirusScan
Symantec AntiVirus
Duba
Windows
esteem procs
System Safety Monitor
Wrapped gift Killer
Winsock Expert
msctls_statusbar32
pjf(ustc)
IceSword

結束一些對頭的進程：
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
KvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl132.exe

禁用一系列服務：
Schele
sharedaccess
RsCCenter
RsRavMon
RsCCenter
RsRavMon
KVWSC
KVSrvXP
kavsvc
AVP
McAfeeFramework
McShield
McTaskManager
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec Core LC
NPFMntor
MskService
FireSvc

刪除若干安全軟體啟動項信息：
RavTask
KvMonXP
kav
KAVPersonal50
McAfeeUpdaterUI
Network Associates Error Reporting Service
ShStatEXE
YLive.exe
yassistse

使用net share命令刪除管理共享：

[Copy to clipboard]CODE:net share X$ /del /y
net share admin$ /del /y
net share IPC$ /del /y
遍歷目錄，感染除以下系統目錄外其它目錄中的exe、com、scr、pif文件：
X:\WINDOWS
X:\Winnt
X:\System Volume Information
X:\Recycled
%ProgramFiles%\Windows NT
%ProgramFiles%\WindowsUpdate
%ProgramFiles%\Windows Media Player
%ProgramFiles%\Outlook Express
%ProgramFiles%\Internet Explorer
%ProgramFiles%\NetMeeting
%ProgramFiles%\Common Files
%ProgramFiles%\ComPlus Applications
%ProgramFiles%\Messenger
%ProgramFiles%\InstallShield Installation Information
%ProgramFiles%\MSN
%ProgramFiles%\Microsoft Frontpage
%ProgramFiles%\Movie Maker
%ProgramFiles%\MSN Gamin Zone

將自身捆綁在被感染文件前端，並在尾部添加標記信息：

QUOTE:.WhBoy{原文件名}.exe.{原文件大小}.
與之前變種不同的是，這個病毒體雖然是22886位元組，但是捆綁在文件前段的只有22838位元組，被感染文件運行後會出錯，而不會像之前變種那樣釋放出{原文件名}.exe的原始正常文件。

另外還發現病毒會覆蓋少量exe，刪除.gho文件。

病毒還嘗試使用弱密碼訪問區域網內其它計算機：
password
harley
golf
pussy
mustang
shadow
fish
qwerty
baseball
letmein
ccc
admin
abc
pass
passwd
database
abcd
abc123
sybase
123qwe
server
computer
super
123asd
ihavenopass
godblessyou
enable
alpha
1234qwer
123abc
aaa
patrick
pat
administrator
root
sex
god
foobar
secret
test
test123
temp
temp123
win
asdf
pwd
qwer
yxcv
zxcv
home
xxx
owner
login
Login
love
mypc
mypc123
admin123
mypass
mypass123
Administrator
Guest
admin
Root

清除步驟
==========

1. 斷開網路

2. 進入Dos模式刪除病毒文件
del c:\windows\system32\drivers\spoclsv.exe

3. 右鍵點擊分區盤符，點擊右鍵菜單中的「打開」進入分區根目錄，刪除根目錄下的文件：
X:\setup.exe
X:\autorun.inf

4.安裝卡巴斯基/麥咖啡/諾頓等殺毒軟體，更新病毒庫至最新，掃描全盤。

5. 刪除病毒創建的啟動項：

[Copy to clipboard]CODE:[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"svcshare"="%System%\drivers\spoclsv.exe"
6. 修改注冊表設置，恢復「顯示所有文件和文件夾」選項功能：

[Copy to clipboard]CODE:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001

------------★★★★★★最簡單快捷的解決方案 在360安全論壇 又涼水冰涼撰寫編輯收集★★★★★★
http://bbs.360safe.com/viewthread.php?tid=13617&;extra=page%3D1
超過40萬的用戶已經得到了福音。

『陸』 熊貓礦池怎麼樣

1、熊貓雲礦在全球的網路節點超過五萬個，且大多為國內一級重要骨幹節點城市，讓你能夠靠近流量熱點，更多的獲取存儲合約，從而得到FileCoin的獎勵。
2、熊貓雲礦與本公司自主研發的雲計算結合，讓使用者能夠隨時跟隨市場行情變化，更靈活的增減配置，提高投資回報率。
3、熊貓雲礦選擇的專業機房，不僅可以實現上下行均等的帶庫，還有超過99%的網路穩定保障，從而提供更高的上傳服務效率。
4、專業團隊運維，能夠把所有的礦機都做到更好的照看，保障礦機持續有產出。
拓展資料：
1、而隨著現代信息化的發展，人們需要存儲的數據越來越多，HTTP中心化儲存方式的短處暴露，逐漸無法滿足當代人們需求。在我看來，IPSF如此受關注，恰恰是因為它與傳統的HTTP協議等中心化存儲的方式不同——IPSF採用去中心化存儲，實現了真正的分布式存儲，這將成為未來所有區塊鏈項目的數據存儲基礎，為整個區塊鏈產業的發展提供有力支撐。因此，IPFS協議的發展空間非常值得期待很可能逐漸成為未來主流的數據存儲方式。
2、在這樣一個更快、更安全、更自由的互聯網新時代，如果因為斷網、斷電、甚至人為因素導致無法及時響應客戶需求，而被扣除FileCoin，是多麼令人遺憾的事。因此，為了最大化的保障礦工的利益，熊貓雲礦(PandaOP)應運而生。
3、熊貓雲礦(PandaOP)是由有著超過十八年的互聯網基礎服務經驗、擁有設備建設、運營、維護經驗團隊的上市公司——成都指南針聯網科技股份有限公司傾力打造的一款科學的礦池系統。熊貓雲礦的中心來自國內專業的數據中心和虛擬化服務機構。
4、由於比特幣全網的運算水準在不斷的呈指數級別上漲，單個設備或少量的算力都無法在比特幣網路上獲取到比特幣網路提供的區塊獎勵。在全網算力提升到了一定程度後，過低的獲取獎勵的概率，促使一些「bitcointalk」上的極客開發出一種可以將少量算力合並聯合運作的方法，使用這種方式建立的網站便被稱作「礦池」(Mining Pool)。
5、在此機制中，不論個人礦工所能使用的運算力多寡，只要是透過加入礦池來參與挖礦活動，無論是否有成功挖掘出有效資料塊，皆可經由對礦池的貢獻來獲得少量比特幣獎勵，亦即多人合作挖礦，獲得的比特幣獎勵也由多人依照貢獻度分享

『柒』 狼神b3什麼顯卡

狼神b3是GPUminer顯卡。
狼神b3是定製機，也就是品牌機，目前業內比較主流的定製機有狼神礦機、芯動礦機、熊貓礦機等，定製機特點是礦機廠商找顯卡加工廠商，生產符合自己要求的顯卡，這種顯卡一般只保留挖礦必要的一些功能，與挖礦不相關的其他功能會被閹割，這也導致了這種顯卡除了挖礦，不能做其他的事情基本沒有殘值可言，定製機的好處之一在於穩定性更好，運維難度基本和ASIC機器一樣，運維門檻更低更便捷。

『捌』 山寨幣的全球主要活躍數字貨幣兌換利率

貨幣 符號 發行時間 作者 活躍 官網 市值 比特幣基礎 備注 比特幣 BTC 2009 SatoshiNakamoto 是 bitcoin/org ~$243億美元 是 SHA-256 萊特幣 LTC 2011 Coblee 是 litecoin/org ~$36億美元 是 Scrypt 無限幣 IFC 2012 Ifccion 是 Ifccoin/org ~$2000萬美元 是 Scrypt 誇克幣 QRK 2012 Qrkcion 是 cgbcion/org ~1000萬美元 是 Scrpt 澤塔幣 ZET 2012 Zetcony 是 zet/org ~$1000萬美元 是 Scrypt Proof-of-Work /PoS 如何辨別黑心幣
製作者以圈錢為目的而開發的山寨幣統稱為黑心幣。那麼如何辨別這些黑心幣呢？
隨著山寨幣市場的火爆，部分無良開發者，開發出一款虛擬幣後，在推向市場之前，自己先組織將虛擬幣發行總量一部分據為己有，這個比例一般是百分之二以內，極個別者甚至達到百分之九十。而等虛擬幣有了一定價值或者上了交易平台後，大量拋售變現，使礦工和投資者蒙受巨大損失，所以選擇虛擬幣的第一要素就是零預挖。那麼怎麼區別一個虛擬幣是否是零預挖，這里提供了識別方法。 1、 打錢包，並等待錢包完成同步。依次打開錢包-「幫助」-「調試窗口」-「控制台」2、 輸入命令：getblockhash 第幾區塊比如輸入：getblockhash 1獲取第1個塊的hash值：、輸入命令：getblock 剛才獲取的hash值我們輸入：getblock 、找到tx的值，我們這里是：我們輸入：getrawtransaction 1（上面後面的空格 1別漏了） 5、那麼得到的信息中，value值即是這個區塊的含量 : 8.00000000,就是第1個區塊的貨幣數量了。這個查詢辦法是通用所有虛擬幣的。
由於虛擬幣的不可逆特性，無良開發者要盡快預挖自己所需要的大數量虛擬幣，只有採取1~N個前期塊數量設置龐大，來實施預挖行為。 這是一個兩難的問題，完全無預挖的作者沒有動力去維護，預挖多的幣存在作者套現，惡意砸盤的風險，一般來說作者會預挖一部分用於推廣、維護等，但預挖一般不超過2%。但在實際操作中許多作者都大量的預挖。
1、惡意砸盤者，比如熊貓幣(交易代碼：PND)作者wolong預挖嚴重，在上市交易時作者直向市場砸了18E的幣，從200聰比特幣砸到幾聰的價格。同時國內推廣QQ群被解散，大批投資者被深度套牢，造成了極為惡劣的影響。
2、因禍得福者，由於作者預挖發生故障而導致的完全零預挖的，比如分子幣（交易代碼：MOL），該幣發布後作者偷挖了約1000萬（總量2E），當時在國外山寨幣論壇引起軒然大波，有山寨幣愛好者直接用大算力（51%算力攻擊）導致該幣分叉，作者在重啟區塊後預挖的幣全部丟失，導致該幣目前只有1.9E總量，因為該事故導致的完全零預挖反而激發了廣大幣友對該幣的興趣，全網算力一度突破200G。目前作者的維護動力來源於海內外的愛好者的捐贈和打賞，作者對幣友的熱情也出乎意料。
所以，與其去糾結於預挖和無預挖，不如去關注作者預挖了多少，以及預挖的幣的用途。建議預挖超過2%的幣都不要去玩。 所謂pow 是指prof of work即工作量證明，簡單而言就是通過運算獲得獎勵，可以通過礦機或者電腦CPU、GPU等進行運算，也就是所謂的挖礦。投資者可以通過從上家購買或者自己挖礦獲得。相對較為公平，初期投資者不能壟斷幣的數量和價格。代表幣種：比特幣等。
所謂pos是指prof of stock即股權證明，這種方式的幣投資者只能從上家購買，類似金字塔式，分配極為不公平，許多幣初期投資者獲得了大量的幣，後來者只能花高價從初期投資者處獲取，從而導致初期投資者對幣價格的壟斷。代表幣種：NXT等。
所謂ipo在山寨幣領域更類似於眾籌，也即作者或公司發起投資標的，海內外投資者進行投資並獲取一定數量的幣或期權，此類代表幣種：PTS等。但pts因3I公司的原因一再延遲，對投資者信心有較大的打擊。

『玖』 熊貓礦機b7用的什麼顯卡

熊貓礦機b7用的PRO顯卡有360M算力。顯卡又稱顯示卡( Video card)，是計算機中一個重要的組成部分，承擔輸出顯示圖形的任務，對喜歡玩游戲和從事專業圖形設計的人來說，顯卡非常重要。衡量一個顯卡好壞的方法有很多，除了使用測試軟體測試比較外，還有很多指標可供用戶比較顯卡的性能，影響顯卡性能的高低主要有顯卡頻率、顯示存儲器等性能指標。

顯卡：

顯卡（Video card、Display card、Graphics card、Video adapter）是個人計算機基礎的組成部分之一，將計算機系統需要的顯示信息進行轉換驅動顯示器，並向顯示器提供逐行或隔行掃描信號，控制顯示器的正確顯示，是連接顯示器和個人計算機主板的重要組件，是「人機」的重要設備之一，其內置的並行計算能力現階段也用於深度學習等運算。