病毒別名
處理時間
2007-02-06
威脅級別
★★★
中文名稱
病毒類型
蠕蟲
影響系統
Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行為
這是"熊貓燒香"病毒的一個變種,它能感染系統中可執行檔案與網頁檔案,
同時它還能通過區域網路傳播.建議用戶及時安裝Windows補丁程式
並為登錄帳號改一個足夠強壯的密碼.
1:拷貝檔案
病毒運行後,會把自己拷貝到
C:\WINDOWS\System32\Drivers\ncscv32.exe
2:添加註冊表自啟動
病毒會添加自啟動項
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
nvsvc32 -> C:\WINDOWS\System32\Drivers\ncscv32.exe
3:關閉指定視窗
病毒會尋找桌面所有視窗及其子視窗,關閉標欄題中含有以下字元的程式
天網
進程
VirusScan
Symantec AntiVirus
System Safety Monitor
System Repair Engineer
Wrapped gift Killer
遊戲木馬檢測大師
超級巡警
4:中止進程
病毒會中止以下進程
Mcshield.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
kvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl132.exe
taskmgr.exe
msconfig.exe
regedit.exe
SREng.EXE
spoclsv.exe
nvscv32.exe
sppoolsv.exe
spo0lsv.exe
其中spoclsv.exe,nvscv32.exe,sppoolsv.exe,spo0lsv.exe這四個進程名是
舊版變種熊貓燒香病毒的進程名
5:修改註冊表鍵值
病毒會刪除安全軟體在註冊表中的鍵值,使它們不能啟動
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
RavTask
KvMonXP
kav
KAVPersonal50
McAfeeUpdaterUI
Network Associates Error Reporting Service
ShStartEXE
YLive.exe
yassistse
並修改以下值不顯示隱藏檔案
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
CheckedValue -> 0x00
6:刪除服務
病毒會停止並刪除以下系統中以下服務:
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec Core LC
NPFMntor
MskService
FireSvc
7:感染檔案並刪除檔案
病毒會感染擴展名為exe,pif,com,src的檔案,把自己附加到檔案的頭部
並在擴展名為htm,html, asp,php,jsp,aspx的檔案中添加一隱藏框架,如下
用戶一但打開了該檔案,IE就會在後台打開該網址,
且該網頁有漏洞,新變種的病毒會被下載並運行.
但病毒不會感染以下資料夾名中的檔案:
WINDOW
Winnt
System Volume Information
Recycled
Windows NT
WindowsUpdate
Windows Media Player
Outlook Express
Internet Explorer
NetMeeting
Common Files
ComPlus Applications
Messenger
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
MSN Gamin Zone
和檔案名稱為
setup.exe和NTDETECT.COM的檔案
病毒會刪除擴展名為gho的檔案,該檔案是一系統備份工具GHOST的備份檔案
使用戶的系統備份檔案丟失.
8:感染區域網路內其它機器
病毒會枚舉區域網路內的其它機器,並嘗試用字典裡面的密碼登錄,若登錄成功,就複製自己到該機器上,
並添加計畫任務運行病毒.
用戶名字典:
Administrator
Guest
admin
Root
密碼字典:
admin
1234
password
6969
harley
123456
golf
pussy
mustang
1111
shadow
1313
fish
5150
7777
qwery
baseball
2112
letmein
12345678
12345
ccc
admin
5201314
qq520
1
12
123
1234567
1234456789
654321
54321
111
000000
abc
pw
11111111
88888888
pass
passwd
database
abcd
abc123
sybase
123qwe
server
computer
520
super
123asd
0
ihavenopass
godblessyou
enable
xp
2002
2003
2600
110
111111
121212
123123
1234qwer
123abc
007
aaa
patrick
pat
administrator
root
sex
god
fuckyou
fuck
test
test123
temp
temp123
win
pc
asdf
pwd
qwer
yxcv
zxcv
home
xxx
owner
login
Login
pw123
love
mypc
mypc123
admin123
mypass
mypass123
901100
9:添加autorun
病毒會把自己複製到每個磁碟的根目錄下,命名為setup.exe,
並添加入autorun.inf,使每次打開磁碟都能運行一次病毒體.
建議用戶及時補上Windows安全補丁,並為登錄帳號設定一個足夠安全的密碼,
同時不建議開啟磁碟自動運行功能.
