大猩猩病毒
病毒名稱:Win32/DaXingXing.a
中 文 名:大猩猩病毒
病毒類型:檔案型
危害等級
★★★
影響平台:Win 9X/ME/NT/2000/XP/2003
病毒樣本MD5值為:60f66f0b7312e6eb9a5f2f823c5ff316
檔案大小為:819829位元組
病毒運行特徵
1. 釋放病毒檔案: %WinDir%\System32\winfuckjp.exe, 819829位元組
該病毒還會感染全盤所有的*.exe檔案,向檔案頭部添加7725位元組的數據,感染後的檔案圖示變成一個大猩猩的圖示。
2. 在註冊表中添加下列啟動項:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Winfuckjp.exe" = %SystemDir%\winfuckjp.exe
這樣,在Windows啟動時,病毒就可以自動執行。
3. 病毒還會在隨身碟/MP3/移動硬碟以及每個硬碟分.區跟目錄下釋放病毒檔案AutoRun.inf和ri.exe,其中AutoRun.inf檔案內容如下:
[AutoRun]
OPEN=ri.exe
這樣當用戶雙擊隨身碟或其它移動存儲設備以及硬碟各個分區的時候就會激活病毒運行。
4. 病毒運行後,會嘗試使用Taskkill /f /im命令關閉以下防毒軟體和安全工具的進程,以達到躲避查殺的目的。
Navapw32.exe
Navapsvc.exe
NMain.exe
navw32.EXE
KVFW.EXE
KAVSvcUI.exe7
KAVPFW.EXE
KAV32.exe
KvXP.kxp
twister.exe
KVSrvXP.exe
KVSrvXP_1.exe
5. 該病毒具有IFEO重定向劫持功能,病.毒通過寫註冊表.中的 IFEO 鍵值,來阻止一些防毒軟體和安全工具的運行。添加的註冊表鍵值例如下列:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\KVCenter.kxp] "Debugger" = c:\winnt\system32\winfuckjp.exe
共阻止100款防毒軟體和安全工具的運行,詳細名單如下:
360rpt.exe
360Safe.exe
360tray.exe
adam.exe
AgentSvr.exe
AppSvc32.exe
autoruns.exe
avgrssvc.exe
AvMonitor.exe
avp.com
avp.exe
CCenter.exe
......
6. 病毒修改作業系統的Hosts表,禁止用戶登入反病毒廠商的網址升級病毒庫。
這樣,中毒用戶就無法登入反病毒廠商的網站升級病毒庫。
7. 該病毒還會修改註冊表相關鍵值,來禁用顯示隱藏檔案的功能。
8. 該病毒還會修改註冊表相關鍵值,來破壞系統的安全模式,這樣中毒用戶就無法進入安全模式下防毒。
9. 在病毒檔案體內,病毒作者還留言,挑戰尚未上市尚在公測時的2008版防毒軟體。病毒運行後,會感染全盤的*.exe 檔案,致使系統中毒後將完全癱瘓,並且占用大量的CPU資源,系統無法啟動,給用戶帶來損失。
在此建議
1. 使用正版的防毒軟體,每天定時升級病毒庫,定時全盤防毒,並開啟所有的監控功能。
2. 禁用系統的自動播放功能,防止病毒從隨身碟、移動硬碟、MP3等移動存儲設備進入到計算機。
禁用Windows 系統的自動播放功能的方法:在運行中輸入 gpedit.msc 後回車,打開組策略編輯器,依次點擊:計算機配置->管理模板->系統->關閉自動播放->已啟用->所有驅動器->確定。
3. 利用Windows Update功能打全系統補丁,尤其是MS06-014和MS07-017這兩個網頁木馬經常使用的系統漏洞,避免病毒從惡意網頁的方式入侵到系統中。
4. 不要隨意接收從QQ、MSN等即時聊天工具傳送過來的執行檔,不要登入來歷不明的網址連線。
