定義
武漢男生病毒,名字win32.troj.whboy2005.j,此病毒是“武漢男生”的一系列新變種,利用QQ聊天工具進行傳播,定時給QQ網友傳送包含網址的信息誘使用戶點擊,利用IE的Object Data漏洞下載並運行。該變種的特點是,病毒運行後定時發給QQ網友同樣網址,還趁機盜取“傳奇”遊戲的帳戶、密碼以及其他信息,並以郵件形式發給盜密碼者,還結束反病毒軟體。如果點擊病毒網頁將顯示美女圖片,同時彈出標題為“ASP空間”的不可見視窗。此網頁利用IE漏洞,下載並運行leoexe.gif和leo.asp檔案,其中leoexe.gif是exe類型的病毒體,leo.asp是病毒釋放器;每隔一段時間給QQ網友傳送信息,病毒運行後複製自身到系統目錄下,檔案名稱是updater.exe、Systary.exe、sysnot.exe,修改文本檔案(*.txt)關聯和執行檔關聯,用戶運行任意的txt檔案和exe檔案都會激活病毒。病毒在計算機中搜尋傳奇遊戲的帳戶密碼以及其他信息,傳送到指定信箱。清除病毒
刪除病毒在系統目錄下釋放的病毒檔案,刪除病毒在註冊表下生成的鍵值,運行防毒軟體,對病毒進行全面清除。
支持熊貓燒香所有變種的查殺,請重啟系統到帶網路連線的安全模式下使用專殺工具查殺。如果已經中毒,直接運行專殺工具也會失敗,病毒會阻止專殺工具啟動,請重啟系統時,按F8,選擇安全模式,再運行專殺工具處理。
“熊貓燒香”,又稱“武漢男生”,這是一個感染型的蠕蟲病毒,它能感染系統中exe,com,pif,src,html,asp等檔案,它還能中止大量的反病毒軟體進程並且會刪除擴展名為gho的檔案,該檔案是一系統備份工具GHOST的備份檔案,使用戶的系統備份檔案丟失。
病毒特性:
此病毒是“武漢男生”的一系列新變種,病毒發作後會利用QQ聊天工具進行傳播,定時給QQ網友傳送包含網址的信息來誘使用戶點擊,該網頁利用了IE的Object Data漏洞下載並運行病毒本身,該漏洞是由HTML中OBJECT的DATA標籤引起的。對於DATA所標記的URL,IE會根據伺服器返回的HTTP頭來處理數據。如果HTTP頭中返回的URL類型Content-Type是Application/hta,那么該URL指定的檔案就能夠執行,無論IE設定的安全級別有多高。該變種較明顯的特點是,病毒運行後,除定時發給QQ網友同樣的網址外還會趁機盜取“傳奇”遊戲的帳戶、密碼以及其他信息,並以郵件形式發給盜密碼者,還會結束多種反病毒軟體,以保護自身不被清除。
(1)如果點擊病毒網頁,將會顯示美女圖片,而同時彈出一個標題為“asp空間”的不可見視窗。此網頁利用IE漏洞,下載並運行leoexe.gif和leo.asp檔案,其中leoexe.gif並不是圖像檔案,而是exe類型的病毒體,leo.asp是病毒釋放器;
(2)病毒一旦運行,將結束大部分防毒軟體、防火牆以及某些病毒專殺工具;
(3)每隔一段時間給QQ網友傳送信息
(4)病毒運行後會複製自身到系統目錄下,檔案名稱是updater.exe、Systary.exe、sysnot.exe,並在註冊表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices中添加:“windows update” = “%安裝目錄%\system\updater.exe” %安裝目錄% 是Windows 系統的安裝目錄,在不同系統下該目標表現可能不同,可能的有:c:\windows;c:\winnt 等。
(5)修改文本檔案(*.txt)關聯和執行檔關聯,直接指向病毒本身,如果用戶運行任意的txt檔案和exe檔案都會激活病毒。
(6)病毒會在計算機中搜尋傳奇遊戲的帳戶、密碼以及其他信息,傳送到指定的E-Mail信箱。
