—
本帖被 areway 执行取消置顶操作(2007-03-16)
—
病毒中文名:熊猫烧香(武汉男生) .Z'CqBr[:
6\OSIxJZF
&"Ua"H)
病毒名称:Worm.WhBoy.h s3/->1#i
病毒中文名:熊猫烧香(武汉男生) P]]9Sqo7
Qn[4 &nUD
病毒类型:蠕虫 qECc[)B
onG,N1`+
危险级别: u?Iop/b
@T?:[nPf&F
影响平台:Win 9x/ME,Win 2000/NT,Win XP,Win 2003 R4E0avt
.<rL2`C[c
专杀工具:金山专杀工具 安天专杀工具 江民专杀工具 安博士专杀工具 赛门铁克专杀工具 kOFEH!9&
[WY
NA-O
病毒描述: _
nS';48
}Jh!B|
“武汉男生”,俗称“熊猫烧香”,这是一个感染型的蠕虫病毒,它能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件,使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。 \EUc17
g]X4)e]
oel3H5Nz
:==kC672
1:拷贝文件 ]bhzB
P,_GTs3/G
病毒运行后,会把自己拷贝到C:\WINDOWS\System32\Drivers\spoclsv.exe *)L%pH>`
D@>P%k$$s>
2:添加注册表自启动 &AUL]:<s
s:jr/ j!
病毒会添加自启动项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe !i.`m-J*
7bQ#M )}
3:病毒行为 #9#N+
j
7a;g7.
a:每隔1秒寻找桌面窗口,并关闭窗口标题中含有以下字符的程序: @D[;$YEk
}1N)3~
QQKav、QQAV、防火墙、进程、VirusScan、网镖、杀毒、毒霸、瑞星、江民、黄山IE、超级兔子、优化大师、木马克星、木马清道夫、QQ病毒、注册表编辑器、系统配置实用程序、卡巴斯基反病毒、Symantec AntiVirus、Duba、esteem proces、绿鹰PC、密码防盗、噬菌体、木马辅助查找器、System Safety Monitor、Wrapped gift Killer、Winsock Expert、游戏木马检测大师、msctls_statusbar32、pjf(ustc)、IceSword kx]f`b
a!Z,~ V8
并使用的键盘映射的方法关闭安全软件IceSword %D gU
XH1so1h
添加注册表使自己自启动 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe 04WKAP'c
N
}P-9\*hlm
并中止系统中以下的进程: ,Y &Q,
JQQD~J1)E
Mcshield.exe、VsTskMgr.exe、naPrdMgr.exe、UpdaterUI.exe、TBMon.exe、scan32.exe、Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、RavmonD.exe、RavStub.exe、KVXP.kxp、kvMonXP.kxp、KVCenter.kxp、KVSrvXP.exe、KRegEx.exe、UIHost.exe、TrojDie.kxp、FrogAgent.exe、Logo1_.exe、Logo_1.exe、Rundl132.exe qGl+KI
vb5tyY0c
b:每隔18秒点击病毒作者指定的网页,并用命令行检查系统中是否存在共享,共存在的话就运行net share命令关闭admin$共享 `r+e!o
.F'Fk=N
c:每隔10秒下载病毒作者指定的文件,并用命令行检查系统中是否存在共享,共存在的话就运行net share命令关闭admin$共享 O`OntYwa>
u2 -%~Rlo
d:每隔6秒删除安全软件在注册表中的键值 WTY{sq\'
o
1,,o_e\nn3
并修改以下值不显示隐藏文件 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue -> 0x00 o+/x8:
TcO@q ]+S
删除以下服务: 9.#\GI ;
;=F^G?p^
navapsvc、wscsvc、KPfwSvc、SNDSrvc、ccProxy、ccEvtMgr、ccSetMgr、SPBBCSvc、Symantec Core LC、NPFMntor MskService、FireSvc Pt";f
7KuTC%7
e:感染文件 '#u|RsZ
"%qGcC8
病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部,并在扩展名为htm,html, asp,php,jsp,aspx的文件中添加一网址,用户一但打开了该文件,IE就会不断的在后台点击写入的网址,达到增加点击量的目的,但病毒不会感染以下文件夹名中的文件: A}H)ojG'v
N$:[`,
WINDOW、Winnt、System Volume Information、Recycled、Windows NT、WindowsUpdate、Windows Media Player、Outlook Express、Internet Explorer、NetMeeting、Common Files、ComPlus Applications、Messenger、InstallShield Installation Information、MSN、Microsoft Frontpage、Movie Maker、MSN Gamin Zone Z^>3}\_v
8'Z9Z*^h#x
g:删除文件 O'$0K0k3
g2 :^Z==
病毒会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件使用户的系统备份文件丢失。