fuckjack.exe

“熊猫烧香”病毒的进程。

又是“熊猫烧香”FuckJacks.exe的变种，和之前的变种一样使用白底熊猫烧香图标，病毒运行后复制自身到系统目录下：

%System%driversspoclsv.exe

创建启动项：

[Copy to clipboard]CODE:[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]

"svcshare"="%System%driversspoclsv.exe"

修改注册表信息干扰“显示所有文件和文件夹”设置：

[Copy to clipboard]CODE:[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL]

"CheckedValue"=dword:00000000

在各分区根目录生成副本：

X:setup.exe

X:autorun.inf

autorun.inf内容：

[Copy to clipboard]CODE:[AutoRun]

OPEN=setup.exe

shellexecute=setup.exe

shellAutocommand=setup.exe

尝试关闭下列窗口：

QQKav

QQAV

VirusScan

Symantec AntiVirus

Duba

Windows

esteem procs

System Safety Monitor

Wrapped gift Killer

Winsock Expert

msctls_statusbar32

pjf(ustc)

IceSword

结束一些对头的进程：

Mcshield.exe

VsTskMgr.exe

naPrdMgr.exe

UpdaterUI.exe

TBMon.exe

scan32.exe

Ravmond.exe

CCenter.exe

RavTask.exe

Rav.exe

Ravmon.exe

RavmonD.exe

RavStub.exe

KVXP.kxp

KvMonXP.kxp

KVCenter.kxp

KVSrvXP.exe

KRegEx.exe

UIHost.exe

TrojDie.kxp

FrogAgent.exe

Logo1_.exe

Logo_1.exe

Rundl132.exe

禁用一系列服务：

Schedule

sharedaccess

RsCCenter

RsRavMon

RsCCenter

RsRavMon

KVWSC

KVSrvXP

kavsvc

AVP

McAfeeFramework

McShield

McTaskManager

navapsvc

wscsvc

KPfwSvc

SNDSrvc

ccProxy

ccEvtMgr

ccSetMgr

SPBBCSvc

Symantec Core LC

NPFMntor

MskService

FireSvc

删除若干安全软件启动项信息：

RavTask

KvMonXP

kav

KAVPersonal50

McAfeeUpdaterUI

Network Associates Error Reporting Service

ShStatEXE

YLive.exe

yassistse

使用net share命令删除管理共享：

[Copy to clipboard]CODE:net share X$ /del /y

net share admin$ /del /y

net share IPC$ /del /y

遍历目录，感染除以下系统目录外其它目录中的exe、com、scr、pif文件：

X:WINDOWS

X:Winnt

X:System Volume Information

X:Recycled

%ProgramFiles%Windows NT

%ProgramFiles%WindowsUpdate

%ProgramFiles%Windows Media Player

%ProgramFiles%Outlook Express

%ProgramFiles%Internet Explorer

%ProgramFiles%NetMeeting

%ProgramFiles%Common Files

%ProgramFiles%ComPlus Applications

%ProgramFiles%Messenger

%ProgramFiles%InstallShield Installation Information

%ProgramFiles%MSN

%ProgramFiles%Microsoft Frontpage

%ProgramFiles%Movie Maker

%ProgramFiles%MSN Gamin Zone

将自身捆绑在被感染文件前端，并在尾部添加标记信息：

QUOTE:.WhBoy{原文件名}.exe.{原文件大小}.

与之前变种不同的是，这个病毒体虽然是22886字节，但是捆绑在文件前段的只有22838字节，被感染文件运行后会出错，而不会像之前变种那样释放出{原文件名}.exe的原始正常文件。

另外还发现病毒会覆盖少量exe，删除.gho文件。

病毒还尝试使用弱密码访问局域网内其它计算机：

password

harley

golf

pussy

mustang

shadow

fish

qwerty

baseball

letmein

ccc

admin

abc

pass

passwd

database

abcd

abc123

sybase

123qwe

server

computer

super

123asd

ihavenopass

godblessyou

enable

alpha

1234qwer

123abc

aaa

patrick

pat

administrator

root

sex

god

foobar

secret

test

test123

temp

temp123

win

asdf

pwd

qwer

yxcv

zxcv

home

xxx

owner

login

Login

love

mypc

mypc123

admin123

mypass

mypass123

Administrator

Guest

admin

Root

清除步骤

==========

1. 断开网络

2. 进入Dos模式删除病毒文件

del c:windowssystem32driversspoclsv.exe

3. 右键点击分区盘符，点击右键菜单中的“打开”进入分区根目录，删除根目录下的文件：

X:setup.exe

X:autorun.inf

4.安装卡巴斯基/麦咖啡/诺顿等杀毒软件，更新病毒库至最新，扫描全盘。

5. 删除病毒创建的启动项：

[Copy to clipboard]CODE:[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]

"svcshare"="%System%driversspoclsv.exe"

6. 修改注册表设置，恢复“显示所有文件和文件夹”选项功能：

[Copy to clipboard]CODE:[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL]

"CheckedValue"=dword:00000001

• ·忐忑
• ·趣蝶莲
• ·庄夏
• ·番茄豆腐炒肉片
• ·庄青翟
• ·庄徽
• ·费尔南德斯
• ·杜哲
• ·法泽卡斯
• ·发菜眉豆淡菜汤