這是Windows平台下的感染型病毒,感染後綴名為·exe .scr .com .pif .htm .html .asp .php .jsp .aspx的檔案。病毒會連線網路,下載其他大量木馬病毒。該病毒會通過ANI漏洞傳播、隨身碟傳播,另外,病毒自帶密碼字典,嘗試通過區域網路傳播。
基本介紹
- 中文名:Worm.Kingbox
- 處理時間:2007-04-06
- 中文名稱:金剛
- 病毒類型:蠕蟲
病毒簡介,病毒行為,
病毒簡介
處理時間:2威脅級007-04-06別:★★
中文名稱:金剛
病毒類型:蠕蟲
影響系統:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行為
1、釋放病毒檔案到如下路徑:
%system%\kingbox.exe
%system%\kingbox.pci
釋放密碼字典到
c:\pass.dic
2、循環修改註冊表,不顯示隱藏檔案:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=0x0
3、關閉如下安全軟體視窗:
Symantec AntiVirus 企業版
江民防毒軟體 KV2006:實時監視
RavMonClass
TfLockDownMain
ZoneAlarm
天網防火牆個人版
天網防火牆企業版
VirusScan
Symantec AntiVirus
Duba
Wrapped gift Killer
IceSword
pjf(ustc)
關閉如下安全進程:
EGHOST.EXE
MAILMON.EXE
KAVPFW.EXE
IPARMOR.EXE
_AVP32.EXE
_AVPCC.EXE
_AVPM.EXE
AVP32.EXE
AVPCC.EXE
AVPM.EXE
AVP.EXE
NAVAPW32.EXE
NAVW32.EXE
nod32kui.exe
nod32kru.exe
PFW.exe
Kfw.exe
KAVPFW.exe
vsmon.exe
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
KvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
360Safe.exe
360tray.kxp
FrogAgent.exe
FYFireWall.exe
關閉如下病毒進程,防止衝突:
Logo1_.exe
Logo_1.exe
Rundl132.exe
關閉“熊貓燒香”病毒進程並刪除其檔案:
spoolsv.exe
5、在磁碟根目錄下生成autorun.inf及kingbox.exe病毒檔案,當用戶雙擊磁碟時,激活病毒,並利用此方式通過隨身碟傳播。
6、遍歷磁碟(跳過A、B盤),搜尋所有如下後綴名的檔案,感染:
.exe .scr .com .pif .htm .html .asp .php .jsp .aspx
7、遍曆局域網,利用自身的密碼字典,嘗試通過IPC連線感染區域網路。
8、感染後的腳本檔案會通過ANI漏洞下載病毒檔案。
