我来我网
https://5come5.cn
 
您尚未 登录  注册 | 菠菜 | 软件站 | 音乐站 | 邮箱1 | 邮箱2 | 风格选择 | 更多 » 
 

本页主题: 病毒专杀(熊猫烧香,又称武汉男生) 显示签名 | 打印 | 加为IE收藏 | 收藏主题 | 上一主题 | 下一主题

iguard



贝尔诺勋章 自信之戒
性别: 帅哥 状态: 该用户目前不在线
头衔: 要走了
等级: 版主
家族: 战略研究所
发贴: 11259
威望: 5
浮云: 407
在线等级:
注册时间: 2005-12-07
最后登陆: 2009-11-04

5come5帮你背单词 [ behind /bi'haind/ prep. 在…后面,迟于,落后于;ad. 在后,迟,慢 ]


病毒专杀(熊猫烧香,又称武汉男生)

病毒名称:Worm.WhBoy.h

病毒中文名:熊猫烧香(武汉男生)

病毒类型:蠕虫

危险级别:★★

影响平台:Win 9x/ME,Win 2000/NT,Win XP,Win 2003

专杀工具:金山专杀工具   安天专杀工具     江民专杀工具

病毒描述:

“武汉男生”,俗称“熊猫烧香”,这是一个感染型的蠕虫病毒,它能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件,使用户的系统备份文件丢失。被感染的用户系统中所有. exe可执行文件全部被改成熊猫举着三根香的模样。

1:拷贝文件

病毒运行后,会把自己拷贝到C:\WINDOWS\System32\Drivers\spoclsv.exe

2:添加注册表自启动

病毒会添加自启动项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe

3:病毒行为

a:每隔1秒寻找桌面窗口,并关闭窗口标题中含有以下字符的程序:

QQKav、QQAV、防火墙、进程、VirusScan、网镖、杀毒、毒霸、瑞星、江民、黄山IE、超级兔子、优化大师、木马克星、木马清道夫、QQ病毒、注册表编辑器、系统配置实用程序、卡巴斯基反病毒、Symantec AntiVirus、Duba、esteem proces、绿鹰PC、密码防盗、噬菌体、木马辅助查找器、System Safety Monitor、Wrapped gift Killer、Winsock Expert、游戏木马检测大师、msctls_statusbar32、pjf(ustc)、IceSword

并使用的键盘映射的方法关闭安全软件IceSword

添加注册表使自己自启动 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe

并中止系统中以下的进程:

Mcshield.exe、VsTskMgr.exe、naPrdMgr.exe、UpdaterUI.exe、TBMon.exe、 scan32.exe、Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、 RavmonD.exe、RavStub.exe、KVXP.kxp、kvMonXP.kxp、KVCenter.kxp、KVSrvXP.exe、 KRegEx.exe、UIHost.exe、TrojDie.kxp、FrogAgent.exe、Logo1_.exe、Logo_1.exe、 Rundl132.exe

b:每隔18秒点击病毒作者指定的网页,并用命令行检查系统中是否存在共享,共存在的话就运行net share命令关闭admin$共享

c:每隔10秒下载病毒作者指定的文件,并用命令行检查系统中是否存在共享,共存在的话就运行net share命令关闭admin$共享

d:每隔6秒删除安全软件在注册表中的键值

并修改以下值不显示隐藏文件 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue -> 0x00

删除以下服务:

navapsvc、wscsvc、KPfwSvc、SNDSrvc、ccProxy、ccEvtMgr、ccSetMgr、SPBBCSvc、Symantec Core LC、NPFMntor MskService、FireSvc

e:感染文件

病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部,并在扩展名为htm,html, asp,php,jsp,aspx的文件中添加一网址,用户一但打开了该文件,IE就会不断的在后台点击写入的网址,达到增加点击量的目的,但病毒不会感染以下文件夹名中的文件:

WINDOW、Winnt、System Volume Information、Recycled、Windows NT、WindowsUpdate、Windows Media Player、Outlook Express、Internet Explorer、NetMeeting、Common Files、ComPlus Applications、Messenger、InstallShield Installation Information、MSN、Microsoft Frontpage、Movie Maker、MSN Gamin Zone

g:删除文件

病毒会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件使用户的系统备份文件丢失。
顶端 Posted: 2007-01-13 18:07 | [楼 主]
X



社区建设奖
性别: 帅哥 状态: 该用户目前不在线
头衔: 这一刻,我......
等级: 管理员
家族: 活动仔
发贴: 22586
威望: 10
浮云: 142
在线等级:
注册时间: 2005-10-10
最后登陆: 2024-04-15

5come5帮你背单词 [ distress /dis'tres/ n. 苦恼,痛苦,不舒适,不幸,危难;vt. 使悲痛 ]


顶端 Posted: 2007-01-13 18:22 | [1 楼]
hjxu



性别: 帅哥 状态: 该用户目前不在线
等级: 栋梁之材
发贴: 926
威望: 0
浮云: 1125
在线等级:
注册时间: 2006-11-21
最后登陆: 2009-03-12

5come5帮你背单词 [ story /'sto:ri/ n. 故事,传说,小说,新闻报道 ]


谢谢提醒。。。。。。。。。。。。
顶端 Posted: 2007-01-13 18:31 | [2 楼]
sdmnkt



性别: 保密 状态: 该用户目前不在线
头衔: 痴心第二
等级: 荣誉会员
发贴: 11237
威望: 3
浮云: 422
在线等级:
注册时间: 2005-03-23
最后登陆: 2010-12-23

5come5帮你背单词 [ photograph /'fəutəgra:f/ n. 照片 ]


GHOST也危险了...现在的病毒真洋气
顶端 Posted: 2007-01-13 18:43 | [3 楼]
iguard



贝尔诺勋章 自信之戒
性别: 帅哥 状态: 该用户目前不在线
头衔: 要走了
等级: 版主
家族: 战略研究所
发贴: 11259
威望: 5
浮云: 407
在线等级:
注册时间: 2005-12-07
最后登陆: 2009-11-04

5come5帮你背单词 [ moderate /'modərit/ a. 中等的,适度的,温和的,有节制的;n. 温和主义者 ]


Quote:
引用第3楼sdmnkt于2007-01-13 18:43发表的:
GHOST也危险了...现在的病毒真洋气


这一点太[屏蔽]可恶了

辛辛苦苦整的备份文件如果丢了,根本无法还原。

提醒各位裸奔的蝈蝈:遇到这样的病毒,ghost也没办法了,还是装一个杀毒软件吧。
顶端 Posted: 2007-01-13 19:34 | [4 楼]
扫落叶



性别: 帅哥 状态: 该用户目前不在线
等级: 鹤立鸡群
家族: 跳楼要在华为跳
发贴: 1351
威望: 0
浮云: 1143
在线等级:
注册时间: 2006-04-16
最后登陆: 2008-06-29

5come5帮你背单词 [ really /'riəli/ ad. 真正地,确实地 ]


磕头一个,今天中了熊猫,刚刚把它灭了。
本帖最近评分记录:
  • 浮云:-3 (by wisdom) | 理由: 对不起,加错了.
  • 浮云:3 (by wisdom) | 理由: 谢谢提醒!
  • 顶端 Posted: 2007-01-13 20:10 | [5 楼]
    snowcuso4





    性别: 帅哥 状态: 该用户目前不在线
    等级: 栋梁之材
    发贴: 873
    威望: 0
    浮云: 2361
    在线等级:
    注册时间: 2005-11-30
    最后登陆: 2010-10-08

    5come5帮你背单词 [ pitch /pit/ B n. 沥青 ]


    中毒三天,今天终于把系统搞定了!直郁闷,所有ghost的备份都没了,气死我了!
    还有这个病毒会在每个盘的根目录下填加一个setup.exe和一个autorun.inf文件,不晓得是干什么的,但是可以肯定的是你一双击某一个盘就会加深一次感染.
    前两天同学的MM中了毒,我电话指挥了半天都没搞定.丢脸了~
    本帖最近评分记录:
  • 浮云:3 (by wisdom) | 理由: 谢谢提醒!
  • 顶端 Posted: 2007-01-13 20:30 | [6 楼]
    震月



    年度之星奖 社区建设奖 终身成就奖
    性别: 帅哥 状态: 该用户目前不在线
    等级: 幕后精英
    家族: 坛猪弹劾组
    发贴: 16349
    威望: 13
    浮云: 85107
    在线等级:
    注册时间: 2006-03-28
    最后登陆: 2024-07-10

    5come5帮你背单词 [ plague /pleig/ n. 瘟疫,灾祸,祸患;vt. 使染瘟疫,折磨,烦扰 ]


    谁有样本可不可以发给我一份,想研究一下这玩意
    顶端 Posted: 2007-01-14 14:41 | [7 楼]
    wesin



    社区建设奖 年度之星奖 特殊贡献奖 爱心大使勋章
    性别: 帅哥 状态: 该用户目前不在线
    头衔: 幕后黑手
    等级: 幕后精英
    家族: 水族馆
    发贴: 69325
    威望: 12
    浮云: 186283
    在线等级:
    注册时间: 2005-10-30
    最后登陆: 2023-10-01

    5come5帮你背单词 [ recognition /rekəg'niən/ n. 承认,认可,认出,识别 ]


    Quote:
    引用第7楼震月于2007-01-14 14:41发表的:
    谁有样本可不可以发给我一份,想研究一下这玩意

    看沙发
    顶端 Posted: 2007-01-14 15:14 | [8 楼]
    iguard



    贝尔诺勋章 自信之戒
    性别: 帅哥 状态: 该用户目前不在线
    头衔: 要走了
    等级: 版主
    家族: 战略研究所
    发贴: 11259
    威望: 5
    浮云: 407
    在线等级:
    注册时间: 2005-12-07
    最后登陆: 2009-11-04

    5come5帮你背单词 [ boiler /'boilə/ n. 煮器,锅炉 ]


    顶端 Posted: 2007-01-14 15:15 | [9 楼]
    震月



    年度之星奖 社区建设奖 终身成就奖
    性别: 帅哥 状态: 该用户目前不在线
    等级: 幕后精英
    家族: 坛猪弹劾组
    发贴: 16349
    威望: 13
    浮云: 85107
    在线等级:
    注册时间: 2006-03-28
    最后登陆: 2024-07-10

    5come5帮你背单词 [ consul /'konsəl/ n. 领事 ]


    Quote:
    引用第9楼iguard于2007-01-14 15:15发表的:
    病毒样本:
    http://192.168.2.8/bbs/read.php?tid=418434&keyword=%B2%A1%B6%BE#3
    3楼


    谢谢。体验了一下,感觉不错
    顶端 Posted: 2007-01-14 15:29 | [10 楼]
    iguard



    贝尔诺勋章 自信之戒
    性别: 帅哥 状态: 该用户目前不在线
    头衔: 要走了
    等级: 版主
    家族: 战略研究所
    发贴: 11259
    威望: 5
    浮云: 407
    在线等级:
    注册时间: 2005-12-07
    最后登陆: 2009-11-04

    5come5帮你背单词 [ reader /'ri:də/ n. 读者,读本,读物 ]


    Quote:
    引用第10楼震月于2007-01-14 15:29发表的:


    谢谢。体验了一下,感觉不错

    我也体验了一下,NOD32也被干掉了。

    貌似这个病毒会自动结束自己的进程。
    顶端 Posted: 2007-01-14 15:33 | [11 楼]
    震月



    年度之星奖 社区建设奖 终身成就奖
    性别: 帅哥 状态: 该用户目前不在线
    等级: 幕后精英
    家族: 坛猪弹劾组
    发贴: 16349
    威望: 13
    浮云: 85107
    在线等级:
    注册时间: 2006-03-28
    最后登陆: 2024-07-10

    5come5帮你背单词 [ patriot /'peitriət/ n. 爱国者 ]


    Quote:
    引用第11楼iguard于2007-01-14 15:33发表的:

    我也体验了一下,NOD32也被干掉了。

    貌似这个病毒会自动结束自己的进程。


    我没装杀毒软件。

    刚才建了个“系统配置实用程序.txt”一打开就被关了,还临时vb写了个ccenter.exe(好像这是瑞星的监视器)关spoclsv,抢不过我的timer 1ms被关了
    顶端 Posted: 2007-01-14 15:41 | [12 楼]
    我来我网·5come5 Forum » 电脑F.A.Q.

    Total 0.013441(s) query 5, Time now is:11-27 12:30, Gzip enabled
    Powered by PHPWind v5.3, Localized by 5come5 Tech Team, 黔ICP备16009856号