大猩猩病毒
病毒名称:Win32/DaXingXing.a
中 文 名:大猩猩病毒
病毒类型:文件型
危害等级:★★★
影响平台:Win 9X/ME/NT/2000/XP/2003
病毒样本MD5值为:60f66f0b7312e6eb9a5f2f823c5ff316
文件大小为:819829字节
病毒运行特征:
1. Win32/DaXingXing.a 大猩猩病毒是一个采用易语言编写的文件型病毒,病毒运行后,创建病毒进程winfuckjp.exe ,该进程采用RootKit技术隐藏自身,用Windows自带的任务管理器察看不到。
释放病毒文件: %WinDir%System32winfuckjp.exe, 819829字节
该病毒还会感染全盘所有的*.exe文件,向文件头部添加7725字节的数据,感染后的文件图标变成一个大猩猩的图标。
2. 在注册表中添加下列启动项:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun] "Winfuckjp.exe" = %SystemDir%winfuckjp.exe
这样,在Windows启动时,病毒就可以自动执行。
3. 病毒还会在U盘/MP3/移动硬盘以及每个硬盘分.区跟目录下释放病毒文件AutoRun.inf和ri.exe,其中AutoRun.inf文件内容如下:
[AutoRun]
OPEN=ri.exe
这样当用户双击U盘或其它移动存储设备以及硬盘各个分区的时候就会激活病毒运行。
4. 病毒运行后,会尝试使用Taskkill /f /im命令关闭以下杀毒软件和安全工具的进程,以达到躲避查杀的目的。
Navapw32.exe
Navapsvc.exe
NMain.exe
navw32.EXE
KVFW.EXE
KAVSvcUI.exe7
KAVPFW.EXE
KAV32.exe
KvXP.kxp
twister.exe
KVSrvXP.exe
KVSrvXP_1.exe
5. 该病毒具有IFEO重定向劫持功能,病.毒通过写注册表.中的 IFEO 键值,来阻止一些杀毒软件和安全工具的运行。添加的注册表键值例如下列:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionImage File Execution OptionsKVCenter.kxp] "Debugger" = c:winntsystem32winfuckjp.exe
共阻止100款杀毒软件和安全工具的运行,详细名单如下:
360rpt.exe
360Safe.exe
360tray.exe
adam.exe
AgentSvr.exe
AppSvc32.exe
autoruns.exe
avgrssvc.exe
AvMonitor.exe
avp.com
avp.exe
CCenter.exe
......
6. 病毒修改操作系统的Hosts表,禁止用户登陆反病毒厂商的网址升级病毒库,被修改后的Hosts表文件如下:
127.0.0.1 www.trendmicro.com
127.0.0.1 rads.mcafee.com
127.0.0.1 www.rising.com.cn
127.0.0.1 bbs.2dai.com
127.0.0.1 bbs.abcbit.com
127.0.0.1 www.freekv.net
......
这样,中毒用户就无法登陆反病毒厂商的网站升级病毒库。
7. 该病毒还会修改注册表相关键值,来禁用显示隐藏文件的功能。
8. 该病毒还会修改注册表相关键值,来破坏系统的安全模式,这样中毒用户就无法进入安全模式下杀毒。
9. 在病毒文件体内,病毒作者还留言,挑战尚未上市尚在公测时的2008版杀毒软件。病毒运行后,会感染全盘的*.exe 文件,致使系统中毒后将完全瘫痪,并且占用大量的CPU资源,系统无法启动,给用户带来损失。
在此建议:
1. 使用正版的杀毒软件,每天定时升级病毒库,定时全盘杀毒,并开启所有的监控功能。
2. 禁用系统的自动播放功能,防止病毒从U盘、移动硬盘、MP3等移动存储设备进入到计算机。
禁用Windows 系统的自动播放功能的方法:在运行中输入 gpedit.msc 后回车,打开组策略编辑器,依次点击:计算机配置->管理模板->系统->关闭自动播放->已启用->所有驱动器->确定。
3. 利用Windows Update功能打全系统补丁,尤其是MS06-014和MS07-017这两个网页木马经常使用的系统漏洞,避免病毒从恶意网页的方式入侵到系统中。
4. 不要随意接收从QQ、MSN等即时聊天工具发送过来的可执行文件,不要登陆来历不明的网址连接。