国家级重点中等职业学校、上海市中等职业教育改革发展特色示范学校

上海市中职课程教材改革特色实验学校、上海市家庭教育示范校

学校内网

    当前位置: 首页 - 学校内网 - 网络服务 - 正文

    网络服务

    蠕虫病毒:熊猫烧香(武汉男生)

    作者: 来源: 发布日期:2007-03-01 00:00 点击次数:

    熊猫烧香(武汉男生)

    Worm.WhBoy.h

    		    
    病毒别名: 处理时间:2006-12-25 威胁级别:★★
    中文名称:熊猫烧香(武汉男生) 病毒类型:蠕虫 影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
    病毒行为:
    这是一个感染型的蠕虫病毒,它能感染系统中exe,com,pif,src,html,asp等文件,
    它还能中止大量的反病毒软件进程


    1:拷贝文件
    病毒运行后,会把自己拷贝到
    C:\WINDOWS\System32\Drivers\spoclsv.exe

    2:添加注册表自启动
    病毒会添加自启动项
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe

    3:病毒行为
    a:每隔1秒
    寻找桌面窗口,并关闭窗口标题中含有以下字符的程序
    QQKav
    QQAV
    防火墙
    进程
    VirusScan
    网镖
    杀毒
    毒霸
    瑞星
    江民
    黄山IE
    超级兔子
    优化大师
    木马克星
    木马清道夫
    QQ病毒
    注册表编辑器
    系统配置实用程序
    卡巴斯基反病毒
    Symantec AntiVirus
    Duba
    esteem proces
    绿鹰PC
    密码防盗
    噬菌体
    木马辅助查找器
    System Safety Monitor
    Wrapped gift Killer
    Winsock Expert
    游戏木马检测大师
    msctls_statusbar32
    pjf(ustc)
    IceSword
    并使用的键盘映射的方法关闭安全软件IceSword

    添加注册表使自己自启动
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe

    并中止系统中以下的进程:
    Mcshield.exe
    VsTskMgr.exe
    naPrdMgr.exe
    UpdaterUI.exe
    TBMon.exe
    scan32.exe
    Ravmond.exe
    CCenter.exe
    RavTask.exe
    Rav.exe
    Ravmon.exe
    RavmonD.exe
    RavStub.exe
    KVXP.kxp
    kvMonXP.kxp
    KVCenter.kxp
    KVSrvXP.exe
    KRegEx.exe
    UIHost.exe
    TrojDie.kxp
    FrogAgent.exe
    Logo1_.exe
    Logo_1.exe
    Rundl132.exe

    b:每隔18秒
    点击病毒作者指定的网页,并用命令行检查系统中是否存在共享
    共存在的话就运行net share命令关闭admin$共享

    c:每隔10秒
    下载病毒作者指定的文件,并用命令行检查系统中是否存在共享
    共存在的话就运行net share命令关闭admin$共享

    d:每隔6秒
    删除安全软件在注册表中的键值

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    RavTask
    KvMonXP
    kav
    KAVPersonal50
    McAfeeUpdaterUI
    Network Associates Error Reporting Service
    ShStartEXE
    YLive.exe
    yassistse

    并修改以下值不显示隐藏文件
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
    CheckedValue -> 0x00

    删除以下服务:
    navapsvc
    wscsvc
    KPfwSvc
    SNDSrvc
    ccProxy
    ccEvtMgr
    ccSetMgr
    SPBBCSvc
    Symantec Core LC
    NPFMntor
    MskService
    FireSvc

    e:感染文件
    病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部
    并在扩展名为htm,html, asp,php,jsp,aspx的文件中添加一网址,
    用户一但打开了该文件,IE就会不断的在后台点击写入的网址,达到
    增加点击量的目的,但病毒不会感染以下文件夹名中的文件:
    WINDOW
    Winnt
    System Volume Information
    Recycled
    Windows NT
    WindowsUpdate
    Windows Media Player
    Outlook Express
    Internet Explorer
    NetMeeting
    Common Files
    ComPlus Applications
    Messenger
    InstallShield Installation Information
    MSN
    Microsoft Frontpage
    Movie Maker
    MSN Gamin Zone

    g:删除文件
    病毒会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件
    使用户的系统备份文件丢失.

     

     


      
            附件:DuBaTool_WhBoy.zip


    地址:上海市杨浦区民星路435号邮编:200433

    电话/传真:(021)65569899网址:www.shkg.net