基本介紹
- 中文名:Worm.WhBoy.dq
- 病毒別名:熊貓燒香
- 處理時間:2007-03-19
- 威脅級別:★
簡介,拷貝檔案,添加註冊表自啟動,關閉指定視窗,中止進程,修改註冊表鍵值,刪除服務,感染檔案並刪除檔案,感染區域網路內其它機器,添加autorun,
簡介
病毒別名:熊貓燒香 處理時間:2007-03-19 威脅級別:★
中文名稱:武漢男生 病毒類型:蠕蟲 影響系統:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行為:
拷貝檔案
病毒運行後,會把自己拷貝到
C:\WINDOWS\System32\Drivers\spoclsv.exe
添加註冊表自啟動
病毒會添加自啟動項
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
nvsvc32 -> C:\WINDOWS\System32\Drivers\ncscv32.exe
關閉指定視窗
病毒會尋找桌面所有視窗及其子視窗,關閉標欄題中含有以下字元的程式
進程
VirusScan
Symantec AntiVirus
System Safety Monitor
System Repair Engineer
Wrapped gift Killer
遊戲木馬檢測大師
中止進程
病毒會中止以下進程
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
kvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl132.exe
taskmgr.exe
msconfig.exe
regedit.exe
SREng.EXE
spoclsv.exe
nvscv32.exe
sppoolsv.exe
spo0lsv.exe
其中spoclsv.exe,nvscv32.exe,sppoolsv.exe,spo0lsv.exe這四個進程名是
舊版變種熊貓燒香病毒的進程名
修改註冊表鍵值
病毒會刪除安全軟體在註冊表中的鍵值,使它們不能啟動
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
RavTask
KvMonXP
kav
KAVPersonal50
McAfeeUpdaterUI
Network Associates Error Reporting Service
ShStartEXE
YLive.exe
yassistse
並修改以下值不顯示隱藏檔案
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
CheckedValue -> 0x00
刪除服務
病毒會停止並刪除以下系統中以下服務:
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec Core LC
NPFMntor
MskService
FireSvc
感染檔案並刪除檔案
病毒會感染擴展名為exe,pif,com,src的檔案,把自己附加到檔案的頭部
並在擴展名為htm,html, asp,php,jsp,aspx的檔案中添加一隱藏框架
用戶一但打開了該檔案,IE就會在後台打開該網址,
且該網頁有漏洞,新變種的病毒會被下載並運行.
但病毒不會感染以下資料夾名中的檔案:
WINDOW
Winnt
System Volume Information
Recycled
Windows NT
WindowsUpdate
Windows Media Player
Outlook Express
Internet Explorer
NetMeeting
Common Files
ComPlus Applications
Messenger
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
MSN Gamin Zone
和檔案名稱為
setup.exe和NTDETECT.COM的檔案
