又中“熊猫烧香”!
“熊猫烧香”,又称“武汉男生”,这是一个感染型的蠕虫病毒,它能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件,使用户的系统备份文件丢失。<br/><table cellspacing="0" cellpadding="0" width="100%" border="0"><tbody><tr><td align="center"><br/><img height="90" src="http://img.kingsoft.com/publish/duba/image/news/2006/12/26/001.gif" width="74" alt=""/><br/><br/>被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。 </td></tr></tbody></table><table cellspacing="0" cellpadding="0" width="100%" border="0"><tbody><tr><td style="PADDING-RIGHT: 0px; PADDING-LEFT: 10px; PADDING-BOTTOM: 5px; PADDING-TOP: 5px;"><font color="#00468f"><strong>病毒行为:</strong></font></td></tr><tr><td style="PADDING-RIGHT: 60px; PADDING-LEFT: 50px; PADDING-BOTTOM: 10px; PADDING-TOP: 10px;">这是一个感染型的蠕虫病毒,它能感染系统中exe,com,pif,src,html,asp等文件,<br/>它还能中止大量的反病毒软件进程<br/><br/><br/>1:拷贝文件<br/>病毒运行后,会把自己拷贝到<br/>C:\WINDOWS\System32\Drivers\spoclsv.exe<br/><br/>2:添加注册表自启动<br/>病毒会添加自启动项<br/>HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run<br/>svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe<br/><br/>3:病毒行为<br/>a:每隔1秒<br/>寻找桌面窗口,并关闭窗口标题中含有以下字符的程序<br/>QQKav<br/>QQAV<br/>防火墙<br/>进程<br/>VirusScan<br/>网镖<br/>杀毒<br/>毒霸<br/>瑞星<br/>江民<br/>黄山IE<br/>超级兔子<br/>优化大师<br/>木马克星<br/>木马清道夫<br/>QQ病毒<br/>注册表编辑器<br/>系统配置实用程序<br/>卡巴斯基反病毒<br/>Symantec AntiVirus<br/>Duba<br/>esteem proces<br/>绿鹰PC<br/>密码防盗<br/>噬菌体<br/>木马辅助查找器<br/>System Safety Monitor<br/>Wrapped gift Killer<br/>Winsock Expert<br/>游戏木马检测大师<br/>msctls_statusbar32<br/>pjf(ustc)<br/>IceSword<br/>并使用的键盘映射的方法关闭安全软件IceSword<br/><br/>添加注册表使自己自启动<br/>HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run<br/>svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe<br/><br/>并中止系统中以下的进程:<br/>Mcshield.exe<br/>VsTskMgr.exe<br/>naPrdMgr.exe<br/>UpdaterUI.exe<br/>TBMon.exe<br/>scan32.exe<br/>Ravmond.exe<br/>CCenter.exe<br/>RavTask.exe<br/>Rav.exe<br/>Ravmon.exe<br/>RavmonD.exe<br/>RavStub.exe<br/>KVXP.kxp<br/>kvMonXP.kxp<br/>KVCenter.kxp<br/>KVSrvXP.exe<br/>KRegEx.exe<br/>UIHost.exe<br/>TrojDie.kxp<br/>FrogAgent.exe<br/>Logo1_.exe<br/>Logo_1.exe<br/>Rundl132.exe<br/><br/>b:每隔18秒<br/>点击病毒作者指定的网页,并用命令行检查系统中是否存在共享<br/>共存在的话就运行net share命令关闭admin$共享<br/><br/>c:每隔10秒<br/>下载病毒作者指定的文件,并用命令行检查系统中是否存在共享<br/>共存在的话就运行net share命令关闭admin$共享<br/><br/>d:每隔6秒<br/>删除安全软件在注册表中的键值<br/><br/>HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run<br/>RavTask<br/>KvMonXP<br/>kav<br/>KAVPersonal50<br/>McAfeeUpdaterUI<br/>Network Associates Error Reporting Service<br/>ShStartEXE<br/>YLive.exe<br/>yassistse<br/><br/>并修改以下值不显示隐藏文件<br/>HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL<br/>CheckedValue -> 0x00<br/><br/>删除以下服务:<br/>navapsvc<br/>wscsvc<br/>KPfwSvc<br/>SNDSrvc<br/>ccProxy<br/>ccEvtMgr<br/>ccSetMgr<br/>SPBBCSvc<br/>Symantec Core LC<br/>NPFMntor<br/>MskService<br/>FireSvc<br/><br/>e:感染文件<br/>病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部<br/>并在扩展名为htm,html, asp,php,jsp,aspx的文件中添加一网址,<br/>用户一但打开了该文件,IE就会不断的在后台点击写入的网址,达到<br/>增加点击量的目的,但病毒不会感染以下文件夹名中的文件:<br/>WINDOW<br/>Winnt<br/>System Volume Information<br/>Recycled<br/>Windows NT<br/>WindowsUpdate<br/>Windows Media Player<br/>Outlook Express<br/>Internet Explorer<br/>NetMeeting<br/>Common Files<br/>ComPlus Applications<br/>Messenger<br/>InstallShield Installation Information<br/>MSN<br/>Microsoft Frontpage<br/>Movie Maker<br/>MSN Gamin Zone<br/><br/>g:删除文件<br/>病毒会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件<br/>使用户的系统备份文件丢失.</td></tr></tbody></table>
