网络编程 | 站长之家 | 网页制作 | 图形图象 | 操作系统 | 冲浪宝典 | 软件教学 | 网络办公 | 邮件系统 | 网络安全 | 认证考试 | 系统进程
Firefox | IE | Maxthon | 迅雷 | 电驴 | BitComet | FlashGet | QQ | QQ空间 | Vista | 输入法 | Ghost | Word | Excel | wps | Powerpoint
asp | .net | php | jsp | Sql | c# | Ajax | xml | Dreamweaver | FrontPages | Javascript | css | photoshop | fireworks | Flash | Cad | Discuz!
当前位置 > 网站建设学院 > 网络安全 > 病毒数据库
Tag:卡巴斯基,NOD32,诺顿,金山毒霸,瑞星,江民
本月文章推荐
.Win32.Troj.Jianghu.d.
.DOS.RiotMult.a.
.Macro.Word.Pesan.b.
.Win32.Hack.ARPKiller.14.
.Win32.Hack.RemoteSOB.b.
.Win32.Hack.Porkodio.
.DOS.Erase.
.Win32.Troj.PSWGetpsw.a.
.DOS.Sirius.
.DOS.psmpcbas.
.Win32.Troj.Drop_Express.j.
.Win32.Hack.BinHe20.
.DOS.FallAnge.
.Win32.Hack.SdBot.th.
.DOS.HLLO.Harakiri.c.
.Win32.Troj.GWGhost.dx.
.Trojan.PSW.NewSuper.b.dll.
.Win32.Troj.IstBar.fy.
.DOS.CPP.
.Win32.Hack.Rash.

Worm.WhBoy.dq

发表日期:2008-8-11

病毒名称(中文): 武汉男生
病毒别名: 熊猫烧香
威胁级别: ★☆☆☆☆
病毒类型: 蠕虫病毒
病毒长度: 1769472
影响系统: Win9xWinMeWinNTWin2000WinXPWin2003



病毒行为:

这是"熊猫烧香"病毒的一个变种,它能感染系统中可执行文件与网页文件,
同时它还能通过局域网传播.建议用户及时安装Windows补丁程序
并为登录帐号改一个足够强壮的密码.

1:拷贝文件
病毒运行后,会把自己拷贝到
C:\WINDOWS\System32\Drivers\spoclsv.exe

2:添加注册表自启动
病毒会添加自启动项
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
nvsvc32->C:\WINDOWS\System32\Drivers\ncscv32.exe

3:关闭指定窗口
病毒会寻找桌面所有窗口及其子窗口,关闭标栏题中含有以下字符的程序
天网
防火墙
进程
VirusScan
SymantecAntiVirus
SystemSafetyMonitor
SystemRepairEngineer
WrappedgiftKiller
游戏木马检测大师
超级巡警

4:中止进程
病毒会中止以下进程
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
kvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl132.exe
taskmgr.exe
msconfig.exe
regedit.exe
SREng.EXE
spoclsv.exe
nvscv32.exe
sppoolsv.exe
spo0lsv.exe

其中spoclsv.exe,nvscv32.exe,sppoolsv.exe,spo0lsv.exe这四个进程名是
旧版变种熊猫烧香病毒的进程名

5:修改注册表键值
病毒会删除安全软件在注册表中的键值,使它们不能启动
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
RavTask
KvMonXP
kav
KAVPersonal50
McAfeeUpdaterUI
NetworkAssociatesErrorReportingService
ShStartEXE
YLive.exe
yassistse

并修改以下值不显示隐藏文件
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
CheckedValue->0x00

6:删除服务
病毒会停止并删除以下系统中以下服务:
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
SymantecCoreLC
NPFMntor
MskService
FireSvc

7:感染文件并删除文件
病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部
并在扩展名为htm,html,asp,php,jsp,aspx的文件中添加一隐藏框架

用户一但打开了该文件,IE就会在后台打开该网址,
且该网页有漏洞,新变种的病毒会被下载并运行.
但病毒不会感染以下文件夹名中的文件:
WINDOW
Winnt
SystemVolumeInformation
Recycled
WindowsNT
WindowsUpdate
WindowsMediaPlayer
OutlookExpress
InternetExplorer
NetMeeting
CommonFiles
ComPlusApplications
Messenger
InstallShieldInstallationInformation
MSN
MicrosoftFrontpage
MovieMaker
MSNGaminZone
和文件名为
setup.exe和NTDETECT.COM的文件

病毒会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件
使用户的系统备份文件丢失.

8:感染局域网内其它机器
病毒会枚举局域网内的其它机器,并尝试用常用的弱密码登录,若登录成功,就复制自己到该机器上,
并添加计划任务运行病毒.

9:添加autorun
病毒会把自己复制到每个磁盘的根目录下,命名为setup.exe,
并添加入autorun.inf,使每次打开磁盘都能运行一次病毒体.

建议用户及时补上Windows安全补丁,并为登录帐号设置一个足够安全的密码,
同时不建议开启磁盘自动运行功能.
上一篇:Win32.Vcing.au 人气:109
下一篇:Worm.Glowa.h 人气:106
浏览全部Worm.WhBoy.dq的内容 Dreamweaver插件下载 网页广告代码 祝你圣诞节快乐 2009年新年快乐