病毒屬性:蠕蟲病毒危害性:高危害流行程度:高
具體介紹:
病毒特性:此病毒早期採用熊貓頭像作為圖示誘使用戶運行。病毒激活後會自動查找Windows格式的exe執行檔,並進行感染。後來的眾多變體有些已經不感染.exe檔案,檔案圖示也不同於原有熊描的標誌。
可能採用的病毒檔案名稱:spoclsv.exe、svchost.exe、twunk32.exe、exp10er.exe、iexpl0re.exe、GameSetup.exe等
感染方式:
惡意網頁傳播,其它木馬下載,區域網路共享傳播,感染移動存儲設備。
在internet主要通過還有惡意代碼的網頁傳播。
在區域網路內部,試圖用以下口令訪問其他機器感染區域網路檔案:
1234
password
6969
harley
123456
golf
pussy
mustang
1111
shadow
1313
…..
901100
Administrator
Guest
admin
Root
在驅動器根目錄及移動存儲器生成檔案:
X:\setup.exe
X:\autorun.inf
Autorun.inf檔案內容為:
【AutoRun】
OPEN=setup.exe
shellexecute=setup.exe
shell\Auto\command=setup.exe
在註冊表創建啟動項:
Software\Microsoft\Windows\CurrentVersion\Run
svcshare=指向\%system32%\drivers\spoclsv.exe(其他變體可能為exp10er.exe、iexpl0re.exe 等 )
危害:
嘗試關閉如下安全程式:
QQKav
QQAV
天網防火牆進程
VirusScan
網鏢防毒
KILL anti-virus
Rising
Jiangmin
黃山IE
超級兔子
最佳化大師
木馬剋星
木馬清道夫
木馬清道夫
QQ病毒註冊表編輯器
系統配置實用程式
卡巴斯基反病毒
Symantec AntiVirus
Duba
Windows 任務管理器
esteem procs
綠鷹PC
密碼防盜
噬菌體
木馬輔助查找器
System Safety Monitor
Wrapped gift Killer
Winsock Expert
遊戲木馬檢測大師
小沈Q盜殺手
pjf(ustc)
IceSword
嘗試關閉進程
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
KvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl132.exe
刪除以下啟動項
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RavTask
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KvMonXP
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kav
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KAVPersonal50
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\McAfeeUpdaterUI
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Network Associates Error Reporting
ServiceSOFTWARE\Microsoft\Windows\CurrentVersion\Run\ShStatEXE
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\YLive.exe
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\yassistse
禁用以下服務
kavsvc
AVP
AVPkavsvc
McAfeeFramework
McShield
McTaskManager
McAfeeFramework McShield
McTaskManager
navapsvc
KVWSC
KVSrvXP
KVWSC
KVSrvXP
Schedule
sharedaccess
RsCCenter
RsRavMon
RsCCenter
RsRavMon
wscsvc
KPfwSvc
SNDSrvc
無黨派人士roxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec
Core LC
NPFMntor
MskService
FireSvc
搜尋感染除以下目錄外的所有.EXE/.SCR/.PIF/.COM檔案,並記有標記(後期變體可能沒有這個功能)
WINDOWS
Winnt
System Volume Information
Recycled
Windows NT
Windows Update
Windows Media Player
Outlook Express
Internet Explorer
NetMeeting
Common Files
ComPlus
Applications
Messenger
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
MSN Gamin Zone
建議:
安裝系統最新安全補丁(主要是ie補丁),預防通過web方式感染。
區域網路內部取消不必要共享,並對已分享資料夾進行許可權設定。
用戶的登錄系統賬號設定較為強壯的密碼。
清除:
KILL安全胄甲InoculateIT 23.73.71,Vet 30.3.3258及後續版本可檢測/清除此病毒及其後續變體。
相關條目
特洛伊病毒Win32.SillyDl.IQ
Win32.Kipis.A蠕蟲病毒
蠕蟲病毒Win32.Luder.U
特洛伊病毒Win32.Chepvil.C
蠕蟲病毒Win32.Luder.O
蠕蟲病毒Win32.Robzips.M
蠕蟲病毒Win32.Duiskbot.AF
