Worm.WhBoy.dq
病毒别名:熊猫烧香 处理时间:2007-03-19 威胁级别:★
中文名称:武汉男生 病毒类型:蠕虫 影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行为:
这是"熊猫烧香"病毒的一个变种,它能感染系统中可执行文件与网页文件,
同时它还能通过局域网传播.建议用户及时安装Windows补丁程序
并为登录帐号改一个足够强壮的密码.
1:拷贝文件
病毒运行后,会把自己拷贝到
C:WINDOWSSystem32Driversspoclsv.exe
2:添加注册表自启动
病毒会添加自启动项
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
nvsvc32 -> C:WINDOWSSystem32Drivers
cscv32.exe
3:关闭指定窗口
病毒会寻找桌面所有窗口及其子窗口,关闭标栏题中含有以下字符的程序
天网
防火墙
进程
VirusScan
Symantec AntiVirus
System Safety Monitor
System Repair Engineer
Wrapped gift Killer
游戏木马检测大师
超级巡警
4:中止进程
病毒会中止以下进程
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
kvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl132.exe
taskmgr.exe
msconfig.exe
regedit.exe
SREng.EXE
spoclsv.exe
nvscv32.exe
sppoolsv.exe
spo0lsv.exe
其中spoclsv.exe,nvscv32.exe,sppoolsv.exe,spo0lsv.exe这四个进程名是
旧版变种熊猫烧香病毒的进程名
5:修改注册表键值
病毒会删除安全软件在注册表中的键值,使它们不能启动
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
RavTask
KvMonXP
kav
KAVPersonal50
McAfeeUpdaterUI
Network Associates Error Reporting Service
ShStartEXE
YLive.exe
yassistse
并修改以下值不显示隐藏文件
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL
CheckedValue -> 0x00
6:删除服务
病毒会停止并删除以下系统中以下服务:
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec Core LC
NPFMntor
MskService
FireSvc
7:感染文件并删除文件
病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部
并在扩展名为htm,html, asp,php,jsp,aspx的文件中添加一隐藏框架
用户一但打开了该文件,IE就会在后台打开该网址,
且该网页有漏洞,新变种的病毒会被下载并运行.
但病毒不会感染以下文件夹名中的文件:
WINDOW
Winnt
System Volume Information
Recycled
Windows NT
WindowsUpdate
Windows Media Player
Outlook Express
Internet Explorer
NetMeeting
Common Files
ComPlus Applications
Messenger
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
MSN Gamin Zone
和文件名为
setup.exe和NTDETECT.COM的文件
病毒会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件
使用户的系统备份文件丢失.
8:感染局域网内其它机器
病毒会枚举局域网内的其它机器,并尝试用常用的弱密码登录,若登录成功,就复制自己到该机器上,
并添加计划任务运行病毒.
9:添加autorun
病毒会把自己复制到每个磁盘的根目录下,命名为setup.exe,
并添加入autorun.inf,使每次打开磁盘都能运行一次病毒体.
建议用户及时补上Windows安全补丁,并为登录帐号设置一个足够安全的密码,
同时不建议开启磁盘自动运行功能.