|
最近,熊猫烧香病毒活动猖獗!
“武汉男生”,俗称“熊猫烧香”,这是一个感染型的蠕虫病毒,它能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件,使用户的系统备份文件丢失。
被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。
文件名称:FuckJacks.exe
病毒名称:Trojan-PSW.Win32.QQRob.ec(卡巴斯基)
Win32/PSW.QQRob.EC(NOD32)
Worm.Nimaya.a(尼姆亚)(瑞星)
Worm/Viking.jd(江民)
中文名称:(尼姆亚)
病毒大小:30,465 字节
编写语言:Borland Delphi 6.0 - 7.0
加壳方式:FSG 2.0 -> bart/xt
样本MD5:2a6ad4fb015a3bfc4acc4ef234609383
样本CRC32:8be4ef19
发现时间:2006.11
危害等级:中
带毒文件运行后,将自身复制到%SystemRoot%\system32\FuckJacks.exe
建立注册表自启动项:
程序代码
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
FuckJacks.exe=%System32%\FuckJacks.exe [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
svohost.exe=%System32%\FuckJacks.exe
清除步骤
**************************************
1. 断开网络
2.结束病毒进程
3.删除病毒自启动项
4.使用反病毒软件或专杀工具进行全盘扫描
Worm.WhBoy.h
病毒别名: 处理时间:2006-12-25 威胁级别:★★
中文名称:熊猫烧香(武汉男生) 病毒类型:蠕虫 影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行为:
这是一个感染型的蠕虫病毒,它能感染系统中exe,com,pif,src,html,asp等文件,
它还能中止大量的反病毒软件进程
1:拷贝文件
病毒运行后,会把自己拷贝到
C:\WINDOWS\System32\Drivers\spoclsv.exe
2:添加注册表自启动
病毒会添加自启动项
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe 3:病毒行为
a:每隔1秒
寻找桌面窗口,并关闭窗口标题中含有以下字符的程序
QQKav
QQAV
防火墙
进程
VirusScan
网镖
杀毒
毒霸
瑞星
江民
黄山IE
超级兔子
优化大师
木马克星
木马清道夫
QQ病毒
注册表编辑器
系统配置实用程序
卡巴斯基反病毒
Symantec AntiVirus
Duba
esteem proces
绿鹰PC
密码防盗
噬菌体
木马辅助查找器
System Safety Monitor
Wrapped gift Killer
Winsock Expert
游戏木马检测大师
msctls_statusbar32
pjf(ustc)
IceSword
并使用的键盘映射的方法关闭安全软件IceSword 添加注册表使自己自启动
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe 并中止系统中以下的进程:
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
kvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl132.exe b:每隔18秒
点击病毒作者指定的网页,并用命令行检查系统中是否存在共享
共存在的话就运行net share命令关闭admin$共享 c:每隔10秒
下载病毒作者指定的文件,并用命令行检查系统中是否存在共享
共存在的话就运行net share命令关闭admin$共享 d:每隔6秒
删除安全软件在注册表中的键值 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
RavTask
KvMonXP
kav
KAVPersonal50
McAfeeUpdaterUI
Network Associates Error Reporting Service
ShStartEXE
YLive.exe
yassistse 并修改以下值不显示隐藏文件
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
CheckedValue -> 0x00 删除以下服务:
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec Core LC
NPFMntor
MskService
FireSvc e:感染文件
病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部
并在扩展名为htm,html, asp,php,jsp,aspx的文件中添加一网址,
用户一但打开了该文 | 
皖公网安备34150102000243号
IP卡
狗仔卡
发表于 2007-1-26 05:57
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡