大猩猩病毒

病毒名稱：Win32/DaXingXing.a

中 文 名：大猩猩病毒

病毒類型：檔案型

★★★

影響平台：Win 9X/ME/NT/2000/XP/2003

病毒樣本MD5值為：60f66f0b7312e6eb9a5f2f823c5ff316

檔案大小為：819829位元組

1. 釋放病毒檔案： %WinDir%\System32\winfuckjp.exe, 819829位元組

該病毒還會感染全盤所有的*.exe檔案，向檔案頭部添加7725位元組的數據，感染後的檔案圖示變成一個大猩猩的圖示。

2. 在註冊表中添加下列啟動項：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Winfuckjp.exe" = %SystemDir%\winfuckjp.exe

這樣，在Windows啟動時，病毒就可以自動執行。

3. 病毒還會在隨身碟/MP3/移動硬碟以及每個硬碟分.區跟目錄下釋放病毒檔案AutoRun.inf和ri.exe，其中AutoRun.inf檔案內容如下：

[AutoRun]

OPEN=ri.exe

這樣當用戶雙擊隨身碟或其它移動存儲設備以及硬碟各個分區的時候就會激活病毒運行。

4. 病毒運行後，會嘗試使用Taskkill /f /im命令關閉以下防毒軟體和安全工具的進程，以達到躲避查殺的目的。

Navapw32.exe

Navapsvc.exe

NMain.exe

navw32.EXE

KVFW.EXE

KAVSvcUI.exe7

KAVPFW.EXE

KAV32.exe

KvXP.kxp

twister.exe

KVSrvXP.exe

KVSrvXP_1.exe

5. 該病毒具有IFEO重定向劫持功能，病.毒通過寫註冊表.中的 IFEO 鍵值，來阻止一些防毒軟體和安全工具的運行。添加的註冊表鍵值例如下列：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\KVCenter.kxp] "Debugger" = c:\winnt\system32\winfuckjp.exe

共阻止100款防毒軟體和安全工具的運行，詳細名單如下：

360rpt.exe

360Safe.exe

360tray.exe

adam.exe

AgentSvr.exe

AppSvc32.exe

autoruns.exe

avgrssvc.exe

AvMonitor.exe

avp.com

avp.exe

CCenter.exe

......

6. 病毒修改作業系統的Hosts表，禁止用戶登入反病毒廠商的網址升級病毒庫。

這樣，中毒用戶就無法登入反病毒廠商的網站升級病毒庫。

7. 該病毒還會修改註冊表相關鍵值，來禁用顯示隱藏檔案的功能。

8. 該病毒還會修改註冊表相關鍵值，來破壞系統的安全模式，這樣中毒用戶就無法進入安全模式下防毒。

9. 在病毒檔案體內，病毒作者還留言，挑戰尚未上市尚在公測時的2008版防毒軟體。病毒運行後，會感染全盤的*.exe 檔案，致使系統中毒後將完全癱瘓，並且占用大量的CPU資源，系統無法啟動，給用戶帶來損失。

1. 使用正版的防毒軟體，每天定時升級病毒庫，定時全盤防毒，並開啟所有的監控功能。

2. 禁用系統的自動播放功能，防止病毒從隨身碟、移動硬碟、MP3等移動存儲設備進入到計算機。

禁用Windows 系統的自動播放功能的方法：在運行中輸入 gpedit.msc 後回車，打開組策略編輯器，依次點擊：計算機配置－>管理模板－>系統－>關閉自動播放－>已啟用－>所有驅動器－>確定。

3. 利用Windows Update功能打全系統補丁，尤其是MS06-014和MS07-017這兩個網頁木馬經常使用的系統漏洞，避免病毒從惡意網頁的方式入侵到系統中。

4. 不要隨意接收從QQ、MSN等即時聊天工具傳送過來的執行檔，不要登入來歷不明的網址連線。