查询谷 - www.chaxungu.com

您现在的位置是:首页 > 电脑技术查询 > 电脑知识

worm.whboy.d

编辑:chaxungu时间:2022-12-07 04:50:07分类:电脑知识

病毒别名:熊猫烧香处理时间:2007-03-19威胁级别:★
中文名称:武汉男生病毒类型:蠕虫影响系统:win9x/me,win2000/nt,winxp,win2003
病毒行为:
这是"熊猫烧香"病毒的一个变种,它能感染系统中可执行文件与网页文件,
同时它还能通过局域网传播.建议用户及时安装windows补丁程序
并为登录帐号改一个足够强壮的密码.

1:拷贝文件
病毒运行后,会把自己拷贝到
c:\windows\system32\drivers\spoclsv.exe

2:添加注册表自启动
病毒会添加自启动项
hkey_current_user\software\microsoft\windows\currentversion\run
nvsvc32->c:\windows\system32\drivers\ncscv32.exe

3:关闭指定窗口
病毒会寻找桌面所有窗口及其子窗口,关闭标栏题中含有以下字符的程序
天网
防火墙
进程
virusscan
symantecantivirus
systemsafetymonitor
systemrepairengineer
wrappedgiftkiller
游戏木马检测大师
超级巡警


4:中止进程
病毒会中止以下进程
mcshield.exe
vstskmgr.exe
naprdmgr.exe
updaterui.exe
tbmon.exe
scan32.exe
ravmond.exe
ccenter.exe
ravtask.exe
rav.exe
ravmon.exe
ravmond.exe
ravstub.exe
kvxp.kxp
kvmonxp.kxp
kvcenter.kxp
kvsrvxp.exe
kregex.exe
uihost.exe
trojdie.kxp
frogagent.exe
logo1_.exe
logo_1.exe
rundl132.exe
taskmgr.exe
msconfig.exe
regedit.exe
sreng.exe
spoclsv.exe
nvscv32.exe
sppoolsv.exe
spo0lsv.exe

其中spoclsv.exe,nvscv32.exe,sppoolsv.exe,spo0lsv.exe这四个进程名是
旧版变种熊猫烧香病毒的进程名

5:修改注册表键值
病毒会删除安全软件在注册表中的键值,使它们不能启动
hkey_local_machine\software\microsoft\windows\currentversion\run
ravtask
kvmonxp
kav
kavpersonal50
mcafeeupdaterui
networkassociateserrorreportingservice
shstartexe
ylive.exe
yassistse

并修改以下值不显示隐藏文件
hkey_local_machine\software\microsoft\windows\currentversion\explorer\advanced\folder\hidden\showall
checkedvalue->0x00

6:删除服务
病毒会停止并删除以下系统中以下服务:
navapsvc
wscsvc
kpfwsvc
sndsrvc
ccproxy
ccevtmgr
ccsetmgr
spbbcsvc
symanteccorelc
npfmntor
mskservice
firesvc

7:感染文件并删除文件
病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部
并在扩展名为htm,html,asp,php,jsp,aspx的文件中添加一隐藏框架

用户一但打开了该文件,ie就会在后台打开该网址,
且该网页有漏洞,新变种的病毒会被下载并运行.
但病毒不会感染以下文件夹名中的文件:
window
winnt
systemvolumeinformation
recycled
windowsnt
windowsupdate
windowsmediaplayer
outlookexpress
internetexplorer
netmeeting
commonfiles
complusapplications
messenger
installshieldinstallationinformation
msn
microsoftfrontpage
moviemaker
msngaminzone
和文件名为
setup.exe和ntdetect.com的文件

病毒会删除扩展名为gho的文件,该文件是一系统备份工具ghost的备份文件
使用户的系统备份文件丢失.

8:感染局域网内其它机器
病毒会枚举局域网内的其它机器,并尝试用常用的弱密码登录,若登录成功,就复制自己到该机器上,
并添加计划任务运行病毒.


9:添加autorun
病毒会把自己复制到每个磁盘的根目录下,命名为setup.exe,
并添加入autorun.inf,使每次打开磁盘都能运行一次病毒体.


建议用户及时补上windows安全补丁,并为登录帐号设置一个足够安全的密码,
同时不建议开启磁盘自动运行功能.

上一篇:win32.troj.downloader.qsx

下一篇:win32.troj.pswlmir.cip

最新文章

查询首页 - 关于本站 - 免责声明 - 联系我们 - 网站TAGS

粤ICP备10045528号