网络安全参考 | UNIX参考 | GPS参考 | 无线参考 | 在线手册 | OSBUG.ORG | SUNNY-NETWORK.COM
网站地图 RSS订阅
高级搜索 收藏本站
Home | 业界动态 | 防火墙 | IDS/IPS | VPN | PKI | Honeypot | Hacker/Intruder | 黑客技术 | 破解技术 | 加密技术 | 病毒防护 | 木马 | 反垃圾邮件 | 反流氓软件 | 漏洞 | 无线安全 | UNIX | Windows | 安全编程 | 安全软件 | TPM/TCG | 数据恢复 | 企业信息安全 | 个人信息安全
 当前位置: Home > 病毒防护 > 文章  
“熊猫烧香”病毒的病毒描述和发作行为
文章来源: 天极安全 文章作者: 未知 发布时间: 2007-01-16   字体: [ ]
 

  “武汉男生”,俗称“熊猫烧香”,这是一个感染型的蠕虫病毒,它能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件,使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。

  1:拷贝文件

  病毒运行后,会把自己拷贝到C:\WINDOWS\System32\Drivers\spoclsv.exe

  2:添加注册表自启动

  病毒会添加自启动项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe

  3:病毒行为

  a:每隔1秒寻找桌面窗口,并关闭窗口标题中含有以下字符的程序:

  QQKav、QQAV、防火墙、进程、VirusScan、网镖、杀毒、毒霸、瑞星、江民、黄山IE、超级兔子、优化大师、木马克星、木马清道夫、QQ病毒、注册表编辑器、系统配置实用程序、卡巴斯基反病毒、Symantec AntiVirus、Duba、esteem proces、绿鹰PC、密码防盗、噬菌体、木马辅助查找器、System Safety Monitor、Wrapped gift Killer、Winsock Expert、游戏木马检测大师、msctls_statusbar32、pjf(ustc)、IceSword

  并使用的键盘映射的方法关闭安全软件IceSword

  添加注册表使自己自启动 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe

  并中止系统中以下的进程:

  Mcshield.exe、VsTskMgr.exe、naPrdMgr.exe、UpdaterUI.exe、TBMon.exe、scan32.exe、Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、RavmonD.exe、RavStub.exe、KVXP.kxp、kvMonXP.kxp、KVCenter.kxp、KVSrvXP.exe、KRegEx.exe、UIHost.exe、TrojDie.kxp、FrogAgent.exe、Logo1_.exe、Logo_1.exe、Rundl132.exe

  b:每隔18秒点击病毒作者指定的网页,并用命令行检查系统中是否存在共享,共存在的话就运行net share命令关闭admin$共享

  c:每隔10秒下载病毒作者指定的文件,并用命令行检查系统中是否存在共享,共存在的话就运行net share命令关闭admin$共享

  d:每隔6秒删除安全软件在注册表中的键值

  并修改以下值不显示隐藏文件 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue -> 0x00

  删除以下服务:

  navapsvc、wscsvc、KPfwSvc、SNDSrvc、ccProxy、ccEvtMgr、ccSetMgr、SPBBCSvc、Symantec Core LC、NPFMntor MskService、FireSvc

  e:感染文件

  病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部,并在扩展名为htm,html, asp,php,jsp,aspx的文件中添加一网址,用户一但打开了该文件,IE就会不断的在后台点击写入的网址,达到增加点击量的目的,但病毒不会感染以下文件夹名中的文件:

  WINDOW、Winnt、System Volume Information、Recycled、Windows NT、WindowsUpdate、Windows Media Player、Outlook Express、Internet Explorer、NetMeeting、Common Files、ComPlus Applications、Messenger、InstallShield Installation Information、MSN、Microsoft Frontpage、Movie Maker、MSN Gamin Zone

  g:删除文件

  病毒会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件使用户的系统备份文件丢失。

  (参考链接: http://soft.yesky.com/security/82/3043582.shtml)

 
推荐文章
·实测:熊猫烧香考验五大杀毒软件
·实测!NOD32真的没有登录前保护功
·17款杀毒软件测试:微软OneCare
·一盘在手杀毒无忧 DIY超完美杀毒
·看清手中的安全利器:五大杀毒引
·查杀exploit-dropper.1 table
·技术分析系列之详解来自Autorun
·病毒导致双击无法打开硬盘的解决
·小心 “Ajax”也能编写“熊猫烧
·AVAST杀毒软件
·时尚的免费杀毒软件Avast!超酷
·小心:中了熊猫烧香 谨慎重安系
·熊猫烧香病毒幕后黑手曝光 曾造2
·熊猫烧香来源追查,从病毒行为中
 
 
↑返回顶部   打印本页   关闭窗口↓  

Google
 
Web oldhand.org unixreference.net meshmea.org
热点文章
·最新的2006版AVAST中文
·wsctf.exe和EXPLORER.EX
·双击无法打开硬盘之COMM
·Adware.Roogoo 恶意广告
·警惕adware.Roogoo 恶性
·AVAST杀毒软件
·实测:熊猫烧香考验五大
·绝对值得一看的杀毒软件
相关分类
相关文章
·揭秘“熊猫烧香”肆虐内
·怎样预防“熊猫烧香”系
·熊猫烧香病毒幕后黑手曝
·熊猫烧香病毒作者留名“
·熊猫烧香来源追查,从病
·评论:“熊猫烧香”究竟
·共享成果:杀熊猫烧香10
·熊猫烧香病毒分析与解决
更多...
 
 

Copyright(c) 2001-2008 OLDHAND ORGANIZATION, All Rights reserved.
Power by DedeCms 织梦内容管理系统
$Id: article_article.html,v 1.3 2007/02/10 12:00:37 yjs Exp $