[/table][table=95%]
病毒名称:Worm.WhBoy.h 病毒中文名:熊猫烧香(武汉男生)
. N) U7 v. Y! ~6 l9 E$ l4 o b2 {' v) I病毒类型:蠕虫
7 `* r4 Z$ l8 k) b4 g8 L( h1 Z/ z3 b
危险级别:★★
- _, Y# S+ g9 }8 z% c" \1 ~
影响平台:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
8 w9 B$ D. ^0 Z. B o$ X/ B9 \
专杀工具:
金山专杀工具 安天专杀工具 江民专杀工具 / ^# R% U: W# ^1 {; i1 ?
病毒描述:
5 n) k9 c' V5 Z8 |/ u& x“武汉男生”,俗称“熊猫烧香”,这是一个感染型的蠕虫病毒,它能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件,使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。
# p* B; m: {; s# ]3 Khttp://img.kingsoft.com/publish/duba/image/news/2006/12/26/001.gif 2 t8 }7 b/ ?# p3 H3 b: @
1:拷贝文件
% @8 ?* |& q% T U1 A, p H
病毒运行后,会把自己拷贝到C:\WINDOWS\System32\Drivers\spoclsv.exe
# D2 a( x F/ [2:添加注册表自启动
. a+ l e( o: U8 X/ M7 v/ d; n5 f
病毒会添加自启动项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe
) D' G1 `4 u* n6 v3:病毒行为
. }4 U4 u4 T: X% ~, h% i7 P/ b7 Ga:每隔1秒寻找桌面窗口,并关闭窗口标题中含有以下字符的程序:
. v2 f6 r: G7 u
QQKav、QQAV、防火墙、进程、VirusScan、网镖、杀毒、毒霸、瑞星、江民、黄山IE、超级兔子、优化大师、木马克星、木马清道夫、QQ病毒、注册表编辑器、系统配置实用程序、卡巴斯基反病毒、Symantec AntiVirus、Duba、esteem proces、绿鹰PC、密码防盗、噬菌体、木马辅助查找器、System Safety Monitor、Wrapped gift Killer、Winsock Expert、游戏木马检测大师、msctls_statusbar32、pjf(ustc)、IceSword
7 |8 T: o/ R# u+ x; [
并使用的键盘映射的方法关闭安全软件IceSword
1 o0 S$ G8 ^. E0 n3 {6 e6 R- _
添加注册表使自己自启动 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe
, N& r) [' ~7 a0 c- U
并中止系统中以下的进程:
, m v$ Q$ M1 ?7 I, b% I
Mcshield.exe、VsTskMgr.exe、naPrdMgr.exe、UpdaterUI.exe、TBMon.exe、scan32.exe、Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、RavmonD.exe、RavStub.exe、KVXP.kxp、kvMonXP.kxp、KVCenter.kxp、KVSrvXP.exe、KRegEx.exe、UIHost.exe、TrojDie.kxp、FrogAgent.exe、Logo1_.exe、Logo_1.exe、Rundl132.exe
( V8 z6 w" N( v1 e/ h* T
b:每隔18秒点击病毒作者指定的网页,并用命令行检查系统中是否存在共享,共存在的话就运行net share命令关闭admin$共享
! S' ^1 S. }: R) X2 R; z) @
c:每隔10秒下载病毒作者指定的文件,并用命令行检查系统中是否存在共享,共存在的话就运行net share命令关闭admin$共享
+ {3 {2 x$ ]" Id:每隔6秒删除安全软件在注册表中的键值
' g, T7 E1 U& Z) R' i( d" n/ i
并修改以下值不显示隐藏文件 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue -> 0x00
6 a: q X, @9 R: f4 {8 _删除以下服务:
! s1 C3 Y( q f" V- Z/ mnavapsvc、wscsvc、KPfwSvc、SNDSrvc、ccProxy、ccEvtMgr、ccSetMgr、SPBBCSvc、Symantec Core LC、NPFMntor MskService、FireSvc
, x" F- m" m% {8 N+ }+ K+ ye:感染文件
+ ~- ?" M' Z I8 E5 Q+ H% G
病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部,并在扩展名为htm,html, asp,php,jsp,aspx的文件中添加一网址,用户一但打开了该文件,IE就会不断的在后台点击写入的网址,达到增加点击量的目的,但病毒不会感染以下文件夹名中的文件:
1 H4 e. Y5 o* p6 Q. N# ?2 B4 |+ s
WINDOW、Winnt、System Volume Information、Recycled、Windows NT、WindowsUpdate、Windows Media Player、Outlook Express、Internet Explorer、NetMeeting、Common Files、ComPlus Applications、Messenger、InstallShield Installation Information、MSN、Microsoft Frontpage、Movie Maker、MSN Gamin Zone
, H6 e5 C$ ?9 S; z, p8 Cg:删除文件
0 R/ K7 _( K0 y+ t8 v
病毒会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件使用户的系统备份文件丢失。
5 N/ _ F# Y4 P5 H4 ^/ _
9 }) r, R( p# B/ y, ~& |: P
发表于 2007-1-13 13:04:25
楼主
发表于 2007-1-13 18:30:34