Worm.WhBoy.d

Worm.WhBoy.d,是"熊貓燒香"病毒的一個變種。它能感染系統中執行檔與網頁檔案,同時它還能通過區域網路傳播。建議用戶及時安裝Windows補丁程式,並為登錄帳號改一個足夠強壯的密碼。

基本介紹

  • 中文名:熊貓燒香
  • 外文名:Worm.WhBoy.d
  • 處理時間:2007-03-19
  • 威脅級別:★
基本信息,病毒行為,

基本信息

中文名稱:武漢男生 病毒類型:蠕蟲 影響系統:Win 9x/ME,Win 2000/NT,Win XP,Win 2003

病毒行為

1:拷貝檔案
病毒運行後,會把自己拷貝到
C:\WINDOWS\System32\Drivers\spoclsv.exe
2:添加註冊表自啟動
病毒會添加自啟動項
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
nvsvc32 -> C:\WINDOWS\System32\Drivers\ncscv32.exe
3:關閉指定視窗
病毒會尋找桌面所有視窗及其子視窗,關閉標欄題中含有以下字元的程式
進程
VirusScan
Symantec AntiVirus
System Safety Monitor
System Repair Engineer
Wrapped gift Killer
遊戲木馬檢測大師
4:中止進程
病毒會中止以下進程
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
kvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl132.exe
taskmgr.exe
msconfig.exe
regedit.exe
SREng.EXE
spoclsv.exe
nvscv32.exe
sppoolsv.exe
spo0lsv.exe
其中spoclsv.exe,nvscv32.exe,sppoolsv.exe,spo0lsv.exe這四個進程名是
舊版變種熊貓燒香病毒的進程名
病毒會刪除安全軟體在註冊表中的鍵值,使它們不能啟動
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
RavTask
KvMonXP
kav
KAVPersonal50
McAfeeUpdaterUI
Network Associates Error Reporting Service
ShStartEXE
YLive.exe
yassistse
並修改以下值不顯示隱藏檔案
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
CheckedValue -> 0x00
6:刪除服務
病毒會停止並刪除以下系統中以下服務:
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec Core LC
NPFMntor
MskService
FireSvc
7:感染檔案並刪除檔案
病毒會感染擴展名為exe,pif,com,src的檔案,把自己附加到檔案的頭部
並在擴展名為htm,html, asp,php,jsp,aspx的檔案中添加一隱藏框架
用戶一但打開了該檔案,IE就會在後台打開該網址,
且該網頁有漏洞,新變種的病毒會被下載並運行.
但病毒不會感染以下資料夾名中的檔案:
WINDOW
Winnt
System Volume Information
Recycled
Windows NT
WindowsUpdate
Windows Media Player
Outlook Express
Internet Explorer
NetMeeting
Common Files
ComPlus Applications
Messenger
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
MSN Gamin Zone
和檔案名稱為
setup.exe和NTDETECT的檔案
病毒會刪除擴展名為gho的檔案,該檔案是一系統備份工具GHOST的備份檔案
使用戶的系統備份檔案丟失.
8:感染區域網路內其它機器
病毒會枚舉區域網路內的其它機器,並嘗試用常用的弱密碼登錄,若登錄成功,就複製自己到該機器上,
並添加計畫任務運行病毒.
9:添加autorun
病毒會把自己複製到每個磁碟的根目錄下,命名為setup.exe,
並添加入autorun.inf,使每次打開磁碟都能運行一次病毒體.
建議用戶及時補上Windows安全補丁,並為登錄帳號設定一個足夠安全的密碼,
同時不建議開啟磁碟自動運行功能.

相關詞條

熱門詞條

聯絡我們