Worm.WhBoy.h

Worm.WhBoy.h

Worm.WhBoy.h,“武漢男生”,俗稱“熊貓燒香”,這是一個感染型的蠕蟲病毒,它能感染系統中exe,com,pif,src,html,asp等檔案,它還能中止大量的反病毒軟體進程並且會刪除擴展名為gho的檔案,該檔案是一系統備份工具GHOST的備份檔案,使用戶的系統備份檔案丟失。被感染的用戶系統中所有。exe執行檔全部被改成熊貓舉著三根香的模樣。

Worm.WhBoy.h 

病毒名稱:

Worm.WhBoy.h

病毒中文名:

熊貓燒香( 武漢男生)

病毒類型:

蠕蟲

危險級別:

★★★★★

影響平台:

Win 9x/ME,Win 2000/NT,Win XP,Win 2003

專殺工具:

金山專殺工具      安天專殺工具       江民專殺工具       安博士專殺工具       賽門鐵克專殺工具

病毒描述:

“武漢男生”,俗稱“熊貓燒香”,這是一個 感染型的 蠕蟲病毒,它能感染系統中exe,com,pif,src,html,asp等檔案,它還能中止大量的反病毒軟體進程並且會刪除擴展名為gho的檔案,該檔案是一系統備份工具GHOST的備份檔案,使用戶的系統備份檔案丟失。被感染的用戶系統中所有.exe執行檔全部被改成熊貓舉著三根香的模樣。
1:拷貝檔案
病毒運行後,會把自己拷貝到C:\WINDOWS\System32\Drivers\spoclsv.exe
2:添加註冊表自啟動
病毒會添加自啟動項HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe
3:病毒行為
a:每隔1秒尋找桌面視窗,並關閉視窗標題中含有以下字元的程式:
QQKav、QQAV、防火牆、進程、VirusScan、 網鏢防毒毒霸瑞星江民、黃山IE、超級兔子、最佳化大師、木馬剋星、木馬清道夫、QQ病毒、註冊表編輯器、系統配置實用程式、卡巴斯基反病毒、Symantec AntiVirus、Duba、esteem proces、綠鷹PC、密碼防盜、噬菌體、木馬輔助查找器、 System Safety Monitor、Wrapped gift Killer、Winsock Expert、遊戲木馬檢測大師、msctls_statusbar32、pjf(ustc)、IceSword
並使用的鍵盤映射的方法關閉安全軟體IceSword
添加註冊表使自己自啟動 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe
並中止系統中以下的進程:
Mcshield.exe、 vstskmgr.exenaprdmgr.exe、UpdaterUI.exe、TBMon.exe、scan32.exe、Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、RavmonD.exe、 RavStub.exe、KVXP.kxp、kvMonXP.kxp、KVCenter.kxp、KVSrvXP.exe、KRegEx.exe、 uihost.exe、TrojDie.kxp、FrogAgent.exe、Logo1_.exe、Logo_1.exe、Rundl132.exe
b:每隔18秒點擊病毒作者指定的網頁,並用命令行檢查系統中是否存在共享,共存在的話就運行net share命令關閉admin$共享
c:每隔10秒下載病毒作者指定的檔案,並用命令行檢查系統中是否存在 共享,共存在的話就運行net share命令關閉admin$共享
d:每隔6 秒刪除安全軟體在 註冊表中的鍵值
並修改以下值不顯示隱藏檔案 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue -> 0x00
刪除以下服務:
navapsvc、wscsvc、 kpfwsvc、SNDSrvc、ccProxy、ccEvtMgr、 CCSETMGR、SPBBCSvc、Symantec Core LC、NPFMntor MskService、FireSvc
e:感染檔案
病毒會感染擴展名為exe,pif,com,src的檔案,把自己附加到檔案的頭部,並在擴展名為htm,html, asp,php,jsp,aspx的檔案中添 加一網址,用戶一但打開了該檔案,IE就會不斷的在後台點擊寫入的網址,達到增加點擊量的目的,但病毒不會感染以下資料夾名中的檔案:
WINDOW、Winnt、System Volume Information、Recycled、Windows NT、WindowsUpdate、Windows Media Player、Outlook Express、Internet Explorer、NetMeeting、Common Files、ComPlus Applications、Messenger、InstallShield Installation Information、MSN、Microsoft Frontpage、Movie Maker、MSN Gamin Zone
g:刪除檔案
病毒會刪除擴展名為gho的檔案,該檔案是一系統備份工具GHOST的備份檔案使用戶的系統備份檔案丟失。

相關詞條

相關搜尋

熱門詞條

聯絡我們