基本介紹
病毒概述,病毒描述,拷貝檔案,添加註冊表自啟動,病毒行為,
病毒概述
病毒名稱:Worm.WhBoy.h
影響平台:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒描述
拷貝檔案
病毒運行後,會把自己拷貝到C:\WINDOWS\System32\Drivers\spoclsv.exe
添加註冊表自啟動
病毒會添加自啟動項HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe
病毒行為
a:每隔1秒尋找桌面視窗,並關閉視窗標題中含有以下字元的程式:
QQKav、QQAV、防火牆、進程、VirusScan、網鏢、防毒、毒霸、瑞星、江民、黃山IE、超級兔子、最佳化大師、木馬剋星、木馬清道夫、QQ病毒、註冊表編輯器、系統配置實用程式、卡巴斯基反病毒、Symantec AntiVirus、Duba、esteem proces、綠鷹PC、密碼防盜、噬菌體、木馬輔助查找器、System Safety Monitor、Wrapped gift Killer、Winsock Expert、遊戲木馬檢測大師、msctls_statusbar32、pjf(ustc)、IceSword
並使用的鍵盤映射的方法關閉安全軟體IceSword
添加註冊表使自己自啟動 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe
並中止系統中以下的進程:
Mcshield.exe、VsTskMgr.exe、naPrdMgr.exe、UpdaterUI.exe、TBMon.exe、scan32.exe、Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、RavmonD.exe、RavStub.exe、KVXP.kxp、kvMonXP.kxp、KVCenter.kxp、KVSrvXP.exe、KRegEx.exe、UIHost.exe、TrojDie.kxp、FrogAgent.exe、Logo1_.exe、Logo_1.exe、Rundl132.exe
b:每隔18秒點擊病毒作者指定的網頁,並用命令行檢查系統中是否存在共享,共存在的話就運行net share命令關閉admin$共享
c:每隔10秒下載病毒作者指定的檔案,並用命令行檢查系統中是否存在共享,共存在的話就運行net share命令關閉admin$共享
d:每隔6秒刪除安全軟體在註冊表中的鍵值
並修改以下值不顯示隱藏檔案 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue -> 0x00
刪除以下服務:
navapsvc、wscsvc、KPfwSvc、SNDSrvc、ccProxy、ccEvtMgr、ccSetMgr、SPBBCSvc、Symantec Core LC、NPFMntor MskService、FireSvc
e:感染檔案
病毒會感染擴展名為exe,pif,com,src的檔案,把自己附加到檔案的頭部,並在擴展名為htm,html, asp,php,jsp,aspx的檔案中添加一網址,用戶一但打開了該檔案,IE就會不斷的在後台點擊寫入的網址,達到增加點擊量的目的,但病毒不會感染以下資料夾名中的檔案:
WINDOW、Winnt、System Volume Information、Recycled、Windows NT、WindowsUpdate、Windows Media Player、Outlook Express、Internet Explorer、NetMeeting、Common Files、ComPlus Applications、Messenger、InstallShield Installation Information、MSN、Microsoft Frontpage、Movie Maker、MSN Gamin Zone
g:刪除檔案
病毒會刪除擴展名為gho的檔案,該檔案是一系統備份工具GHOST的備份檔案使用戶的系統備份檔案丟失。