Worm.WhBoy.am基本資料
病毒別名:武漢男生 處理時間:2007-01-15 威脅級別:★★★
中文名稱:熊貓燒香 病毒類型:蠕蟲 影響系統:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行為
這是"熊貓燒香"病毒的一個變種,能感染系統中exe,com,pif,src,html,asp,jsp等檔案,
它還能中止大量的反病毒軟體進程
1:拷貝檔案
病毒運行後,會把自己拷貝到
C:\WINDOWS\System32\Drivers\spcolsv.exe
2:添加註冊表自啟動
病毒會添加自啟動項
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe
3:病毒行為
a:每隔1秒
尋找桌面視窗,並關閉視窗標題中含有以下字元的程式
木馬剋星
木馬清道夫
QQ病毒
註冊表編輯器
系統配置實用程式
卡巴斯基反病毒
Symantec AntiVirus
Duba
esteem proces
噬菌體
木馬輔助查找器
System Safety Monitor
Wrapped gift Killer
Winsock Expert
遊戲木馬檢測大師
msctls_statusbar32
pjf(ustc)
IceSword
並使用的鍵盤映射的方法關閉安全軟體IceSword
添加註冊表使自己自啟動
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe
並中止系統中以下的進程:
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
kvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl132.exe
b:每隔18秒
點擊病毒作者指定的網頁,並用命令行檢查系統中是否存在共享
共存在的話就運行net share命令關閉admin$共享
c:每隔10秒
下載病毒作者指定的檔案,並用命令行檢查系統中是否存在共享
共存在的話就運行net share命令關閉admin$共享
d:每隔6秒
刪除安全軟體在註冊表中的鍵值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
RavTask
KvMonXP
kav
KAVPersonal50
McAfeeUpdaterUI
Network Associates Error Reporting Service
ShStartEXE
YLive.exe
yassistse
並修改以下值不顯示隱藏檔案
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
CheckedValue -> 0x00
停止並刪除以下服務:
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec Core LC
NPFMntor
MskService
FireSvc
e:感染檔案
病毒會感染擴展名為exe,pif,com,src的檔案,把自己附加到檔案的頭部
並在擴展名為htm,html, asp,php,jsp,aspx的檔案中添加一網址,
用戶一但打開了該檔案,IE就會不斷的在後台點擊寫入的網址,達到
增加點擊量的目的,且該網頁有漏洞,新變種的病毒會被下載並運行.
但病毒不會感染以下資料夾名中的檔案:
WINDOW
Winnt
System Volume Information
Recycled
Windows NT
WindowsUpdate
Windows Media Player
Outlook Express
Internet Explorer
NetMeeting
Common Files
ComPlus Applications
Messenger
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
MSN Gamin Zone
g:刪除檔案
病毒會刪除擴展名為gho的檔案,該檔案是一系統備份工具GHOST的備份檔案
使用戶的系統備份檔案丟失.
h:感染區域網路內其它機器
病毒會枚舉區域網路內的其它機器,並嘗試登錄密碼,若登錄成功,就複製自己到該機器上,
並添加計畫任務運行病毒.
枚舉用戶名:
Administrator
Guest
admin
Root
枚舉密碼:
admin
1234
password
6969
harley
123456
golf
pussy
mustang
1111
shadow
1313
fish
5150
7777
qwery
baseball
2112
letmein
12345678
12345
ccc
admin
5201314
qq520
1
12
123
1234567
1234456789
654321
54321
111
000000
abc
pw
11111111
88888888
pass
passwd
database
abcd
abc123
sybase
123qwe
server
computer
520
super
123asd
0
ihavenopass
godblessyou
enable
xp
2002
2003
2600
110
111111
121212
123123
1234qwer
123abc
007
aaa
patrick
pat
administrator
root
sex
god
fuckyou
fuck
test
test123
temp
temp123
win
pc
asdf
pwd
qwer
yxcv
zxcv
home
xxx
owner
login
Login
pw123
love
mypc
mypc123
admin123
mypass
mypass123
901100
i:添加autorun病毒會把自己複製到每個磁碟的根目錄下,命名為setup.exe,
並添加入autorun.inf,使每次打開磁碟都能運行一次病毒體.
專家建議
建議用戶及時補上Windows安全補丁,並為登錄帳號設定一個足夠安全的密碼,
同時不建議開啟磁碟自動運行功能.