病毒中文名:熊貓燒香(武漢男孩)
病毒類型:蠕蟲
危險等級:★★
影響平臺:win9x/me,win2000/nt,winxp,win2003。
專殺工具:金山專殺工具安田專殺工具姜敏專殺工具
病毒描述:
“武漢男孩”,俗稱“熊貓燒香”,是壹種傳染性蠕蟲病毒。可以感染系統中的exe、com、pif、src、html、asp等文件,還可以停止大量殺毒軟件進程,刪除擴展名為gho的文件。這個文件是壹個系統備份工具GHOST的備份文件,使得用戶的系統備份文件丟失。全部。被感染用戶系統中的exe可執行文件已被更改為壹只手持三根香的熊貓的外觀。
1:復制文件
病毒運行後,會把自己復制到C:\ Windows \ System32 \ drivers \ spoclsv.exe。
2:添加註冊表引導
該病毒將被添加到啟動項HKEY _當前_用戶\軟件\微軟\ Windows \當前版本\運行SVC共享-> C:\ Windows \ System32 \ Drivers \ spoclsv . exe
3.病毒行為
答:每隔1秒尋找壹次桌面窗口,關閉程序,窗口標題中出現以下字符:
QQKav、QQAV、防火墻、進程、病毒掃描、互聯網飛鏢、殺毒、毒霸、瑞星、姜敏、黃山IE、超級兔子、優化大師、特洛伊克星、特洛伊清道夫、QQ病毒、註冊表編輯器、系統配置實用程序、卡巴斯基反病毒、賽門鐵克殺毒、Duba、尊享進程、綠鷹PC、密碼防盜、噬菌體。特洛伊輔助查找器,系統安全監視器,包禮物黑仔,Winsock專家,遊戲特洛伊檢測大師,msctls_statusbar32,pjf(ustc),IceSword。
並使用鍵盤映射方法關閉安全軟件IceSword。
添加註冊表使自己啟動HKEY _當前_用戶\軟件\微軟\ Windows \當前版本\運行SVC共享-> C:\ Windows \ System32 \ Drivers \ spoclsv . exe
並停止系統中的以下進程:
Mcshield.exe、VsTskMgr.exe、naPrdMgr.exe、UpdaterUI.exe、TBMon.exe、scan32.exe、Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、RavmonD.exe、RavStub.exe、KVXP.kxp、KVCenter.kxp、KVSrvXP.exe、KRegEx.exe、UIHost。exe、Logo_1.exe、Rundl132.exe
b:每18秒點擊壹次病毒作者指定的網頁,用命令行檢查系統中是否有* * *享受。如果有* * *,運行net share命令關閉admin $ * * * enjoyment。
c:每10秒下載壹次病毒作者指定的文件,用命令行檢查系統中是否有* * *享受。如果* * *存在,運行net share命令關閉admin $ * * * enjoyment。
d:每6秒刪除壹次註冊表中安全軟件的鍵值。
並修改以下值以不顯示隱藏文件HKEY _本地_機器\軟件\微軟\ Windows \當前版本\資源管理器\高級\文件夾\隱藏\顯示所有檢查值-> 0x00
刪除以下服務:
navapsvc、wscsvc、KPfwSvc、SNDSrvc、ccProxy、ccEvtMgr、ccSetMgr、SPBBCSvc、Symantec Core LC、NPFMntor MskService、FireSvc
e:受感染的文件
該病毒會感染擴展名為EXE、PIF、COM、SRC等的文件,將自身附著在文件的頭部,並為擴展名為HTM、HTML、ASP、PHP、JSP、aspx等的文件添加壹個URL。壹旦用戶打開文件,IE會在後臺不斷點擊寫好的網址,增加點擊次數,但病毒不會感染以下文件夾名的文件:
Windows、Winnt、系統卷信息、回收站、Windows NT、WindowsUpdate、Windows Media Player、Outlook Express、Internet Explorer、NetMeeting、公共文件、ComPlus應用程序、Messenger、InstallShield安裝信息、MSN、Microsoft Frontpage、Movie Maker、MSN Gamin Zone
g:刪除文件
病毒會刪除擴展名為gho的文件,這是壹個系統備份工具GHOST的備份文件,使用戶的系統備份文件丟失。