Worm.WhBoy.ca

影響系統

Win 9x/ME,Win 2000/NT,Win XP,Win 2003

1：拷貝檔案

病毒運行後，會把自己拷貝到

C:\WINDOWS\System32\Drivers\sppoolsv.exe

2：添加註冊表自啟動

病毒會添加自啟動項

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

svcshare -> C:\WINDOWS\System32\Drivers\sppoolsv.exe

3：病毒行為

a：每隔1秒

尋找桌面視窗，並關閉視窗標題中含有以下字元的程式

進程

VirusScan

NOD32

網鏢

防毒

最佳化大師

木馬清道夫

QQ病毒

系統配置實用程式

卡巴斯基反病毒

Symantec AntiVirus

Duba

esteem proces

綠鷹PC

密碼防盜

噬菌體

木馬輔助查找器

System Safety Monitor

Wrapped gift Killer

Winsock Expert

遊戲木馬檢測大師

msctls_statusbar32

pjf(ustc)

IceSword

並使用的鍵盤映射的方法關閉安全軟體IceSword

添加註冊表使自己自啟動

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

svcshare -> C:\WINDOWS\System32\Drivers\sppoolsv.exe

並中止系統中以下的進程：

Mcshield.exe

VsTskMgr.exe

naPrdMgr.exe

UpdaterUI.exe

TBMon.exe

scan32.exe

Ravmond.exe

CCenter.exe

RavTask.exe

Rav.exe

Ravmon.exe

RavmonD.exe

RavStub.exe

KVXP.kxp

kvMonXP.kxp

KVCenter.kxp

KVSrvXP.exe

KRegEx.exe

UIHost.exe

TrojDie.kxp

FrogAgent.exe

Logo1_.exe

Logo_1.exe

Rundl132.exe

b：每隔18秒

點擊病毒作者指定的網頁，並用命令行檢查系統中是否存在共享

共存在的話就運行net share命令關閉admin$共享

c：每隔10秒

下載病毒作者指定的檔案，並用命令行檢查系統中是否存在共享

共存在的話就運行net share命令關閉admin$共享

d：每隔6秒

刪除安全軟體在註冊表中的鍵值

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

RavTask

KvMonXP

kav

KAVPersonal50

McAfeeUpdaterUI

Network Associates Error Reporting Service

ShStartEXE

YLive.exe

yassistse

並修改以下值不顯示隱藏檔案

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

CheckedValue -> 0x00

停止並刪除以下服務：

navapsvc

wscsvc

KPfwSvc

SNDSrvc

ccProxy

ccEvtMgr

ccSetMgr

SPBBCSvc

Symantec Core LC

NPFMntor

MskService

FireSvc

e：感染檔案

病毒會感染擴展名為exe,pif,com,src的檔案，把自己附加到檔案的頭部

並在擴展名為htm,html,asp,php,jsp,aspx的檔案中添加一網址，

用戶一但打開了該檔案，IE就會不斷的在後台點擊寫入的網址，達到

增加點擊量的目的，且該網頁有漏洞，新變種的病毒會被下載並運行.

完成感染後會在當前資料夾中生成一個名為Desktop_.ini的隱藏檔案,

裡面寫入當前的日期.

但病毒不會感染以下資料夾名中的檔案：

WINDOW

Winnt

System Volume Information

Recycled

Windows NT

WindowsUpdate

Windows Media Player

Outlook Express

Internet Explorer

NetMeeting

Common Files

ComPlus Applications

Messenger

InstallShield Installation Information

MSN

Microsoft Frontpage

Movie Maker

MSN Gamin Zone

g:刪除檔案

病毒會刪除擴展名為gho的檔案，該檔案是一系統備份工具GHOST的備份檔案

使用戶的系統備份檔案丟失.

h：感染區域網路內其它機器

病毒會枚舉區域網路內的其它機器，並嘗試登錄密碼，若登錄成功，就複製自己到該機器上，

並添加計畫任務運行病毒.

枚舉用戶名：

Administrator

Guest

admin

Root

枚舉密碼：

admin

1234

password

6969

harley

123456

golf

pussy

mustang

1111

shadow

1313

fish

5150

7777

qwery

baseball

2112

letmein

12345678

12345

ccc

admin

5201314

qq520

1

12

123

1234567

1234456789

654321

54321

111

000000

abc

pw

11111111

88888888

pass

passwd

database

abcd

abc123

sybase

123qwe

server

computer

520

super

123asd

0

ihavenopass

godblessyou

enable

xp

2002

2003

2600

110

111111

121212

123123

1234qwer

123abc

007

aaa

patrick

pat

administrator

root

sex

god

fuckyou

fuck

test

test123

temp

temp123

win

pc

asdf

pwd

qwer

yxcv

zxcv

home

xxx

owner

login

Login

pw123

love

mypc

mypc123

admin123

mypass

mypass123

901100

i：添加autorun

病毒會把自己複製到每個磁碟的根目錄下，命名為setup.exe,

並添加入autorun.inf，使每次打開磁碟都能運行一次病毒體.