[/table][table=95%]
病毒名称:Worm.WhBoy.h 病毒中文名:熊猫烧香(武汉男生)
/ D1 a# P# }- |$ }- Z t8 _* K8 Z2 ]/ C
病毒类型:蠕虫
, Y) N1 z) O- Z& y# c j) S
危险级别:★★
: t) d; }6 [ g7 G$ V) ^
影响平台:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
5 K( I) {& ~, E; _ l专杀工具:
金山专杀工具 安天专杀工具 江民专杀工具 2 a6 K# p- r- a" h. X9 ~; M6 ^
病毒描述:
0 l/ G. [: y' S& N9 y
“武汉男生”,俗称“熊猫烧香”,这是一个感染型的蠕虫病毒,它能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件,使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。
1 A% ~% I( z+ p% _. }http://img.kingsoft.com/publish/duba/image/news/2006/12/26/001.gif
& k/ U% {( ~( j/ V4 F: w1:拷贝文件
0 i9 R. v2 d( y( R. ~病毒运行后,会把自己拷贝到C:\WINDOWS\System32\Drivers\spoclsv.exe
9 V. x7 C" w! J. q- k
2:添加注册表自启动
5 t8 ~" v( X) \ I病毒会添加自启动项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe
; W: K$ S) \$ W3:病毒行为
: S; f7 s6 ]1 i
a:每隔1秒寻找桌面窗口,并关闭窗口标题中含有以下字符的程序:
. H. E$ F2 i' w, a3 K7 d, E
QQKav、QQAV、防火墙、进程、VirusScan、网镖、杀毒、毒霸、瑞星、江民、黄山IE、超级兔子、优化大师、木马克星、木马清道夫、QQ病毒、注册表编辑器、系统配置实用程序、卡巴斯基反病毒、Symantec AntiVirus、Duba、esteem proces、绿鹰PC、密码防盗、噬菌体、木马辅助查找器、System Safety Monitor、Wrapped gift Killer、Winsock Expert、游戏木马检测大师、msctls_statusbar32、pjf(ustc)、IceSword
2 N! k) [2 U! ?/ ?# a: Z
并使用的键盘映射的方法关闭安全软件IceSword
* S6 K3 w5 r" }: ]添加注册表使自己自启动 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe
7 H: k! @3 B( z' q
并中止系统中以下的进程:
1 \/ W$ l' H. c4 D3 u; i4 x/ TMcshield.exe、VsTskMgr.exe、naPrdMgr.exe、UpdaterUI.exe、TBMon.exe、scan32.exe、Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、RavmonD.exe、RavStub.exe、KVXP.kxp、kvMonXP.kxp、KVCenter.kxp、KVSrvXP.exe、KRegEx.exe、UIHost.exe、TrojDie.kxp、FrogAgent.exe、Logo1_.exe、Logo_1.exe、Rundl132.exe
! I8 T! k9 G1 g8 f
b:每隔18秒点击病毒作者指定的网页,并用命令行检查系统中是否存在共享,共存在的话就运行net share命令关闭admin$共享
! a, ^6 h; I4 y5 [, G; ~! f0 o! pc:每隔10秒下载病毒作者指定的文件,并用命令行检查系统中是否存在共享,共存在的话就运行net share命令关闭admin$共享
- j$ j) V6 J- ^6 Y9 c Cd:每隔6秒删除安全软件在注册表中的键值
9 U( ~5 V9 L) w* N! K* K. R2 S
并修改以下值不显示隐藏文件 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue -> 0x00
" D {0 S' }) d) N2 b7 P/ g7 w. O% e$ |
删除以下服务:
2 }" L5 y1 R( A5 ?, w( b/ ^- |
navapsvc、wscsvc、KPfwSvc、SNDSrvc、ccProxy、ccEvtMgr、ccSetMgr、SPBBCSvc、Symantec Core LC、NPFMntor MskService、FireSvc
2 X7 j9 d1 G0 N& A# c! ~
e:感染文件
% K; N' X+ ^' N: \ k" U2 V0 [
病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部,并在扩展名为htm,html, asp,php,jsp,aspx的文件中添加一网址,用户一但打开了该文件,IE就会不断的在后台点击写入的网址,达到增加点击量的目的,但病毒不会感染以下文件夹名中的文件:
s9 r% a6 ?1 _5 u% ^$ E4 K) x
WINDOW、Winnt、System Volume Information、Recycled、Windows NT、WindowsUpdate、Windows Media Player、Outlook Express、Internet Explorer、NetMeeting、Common Files、ComPlus Applications、Messenger、InstallShield Installation Information、MSN、Microsoft Frontpage、Movie Maker、MSN Gamin Zone
0 a/ r! J% f; Y8 v2 u5 E
g:删除文件
4 G3 R0 K2 D& Z, m# p4 q. c病毒会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件使用户的系统备份文件丢失。
3 r! T! @8 j1 c+ i' R. V+ k+ d
' u$ i3 z4 T$ `
发表于 2007-1-13 13:04:25
楼主
发表于 2007-1-13 18:30:34