“Win32/DaXingXing.a”的意思、由来-中文百科全书

详细的技术分析如下：

病毒名称：Win32/DaXingXing.a

中文名：大猩猩病毒

病毒类型：文件型

危害等级：★★★

影响平台：Win 9X/ME/NT/2000/XP/2003

病毒样本MD5值为：60f66f0b7312e6eb9a5f2f823c5ff316

文件大小为：819829字节

病毒运行特征：字串6

1. Win32/DaXingXing.a 大猩猩病毒是一个采用易.语言编.写的文件型病毒，病毒运行后，创建病毒进程winfuckjp.exe ，该进程采用RootKit技术隐藏自身，用Windows自带的任务管理器察看不到。

字串2

释放病毒文件：

字串2

%WinDir%\\System32\\winfuckjp.exe, 819829字节

字串1

该病毒还会感染全盘所有的*.exe文件，向文件头.部添加7725字节.的数据，感染后的文件图标变成一个大猩猩的图标，如下图：字串3

2. 在注册表中添加下列启动项：

字串5

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run] 字串7

"Winfuckjp.exe" = %SystemDir%\\winfuckjp.exe 字串7

这样，在Windows启动时，病毒就可以自动执行。

字串3

字串6

3. 病毒还会在U盘/MP3/移动硬盘以及每个硬盘分.区跟目录下.释放病毒文件AutoRun.inf和ri.exe，其中AutoRun.inf文件内容如下：

字串9

[AutoRun]

字串3

OPEN=ri.exe 字串4

这样当用户双击U盘或其它移动存储设备以及硬盘各个分区的时候就会激活病毒运行。

字串3

字串6

4. 病毒运行后，会尝.试使用Taskkill /f /im命令关.闭以下杀毒软件和安全工具的进程，以达到躲避查杀的目的。字串8

字串7

Navapw32.exe

字串5

Navapsvc.exe 字串8

NMain.exe

字串4

navw32.EXE 字串1

KVFW.EXE

字串5

KAVSvcUI.exe

字串9

KAVPFW.EXE 字串8

KAV32.exe

字串9

KvXP.kxp

字串8

twister.exe 字串2

KVSrvXP.exe

字串4

KVSrvXP_1.exe

字串9

......

字串7

5. 该病毒具有IFEO重定向劫持功能，病.毒通过写注册表.中的 IFEO 键值，来阻止一些杀毒软件和安全工具的运行，字串4

添加的注册表键值例如下列：

字串6

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\WindowsNT\\CurrentVersion\\Image File Execution Options\\KVCenter.kxp]

字串1

"Debugger" = c:\\winnt\\system32\\winfuckjp.exe 字串4

共阻止100款杀毒软件和安全工具的运行，详细名单如下：

字串5

360rpt.exe 字串1

360Safe.exe

字串4

360tray.exe

字串4

adam.exe 字串8

AgentSvr.exe 字串6

AppSvc32.exe

字串6

autoruns.exe

字串3

avgrssvc.exe 字串1

AvMonitor.exe

字串6

avp.com 字串7

avp.exe

字串8

CCenter.exe

字串1

...... 字串1

6. 病毒修改操作系统的Hosts表，禁止用户登陆反病毒厂商的网址升级病毒库，被修改后的Hosts表文件如下：

字串8

字串9

127.0.0.1 www.trendmicro.com 字串6

127.0.0.1 rads.mcafee.com

字串8

127.0.0.1 www.rising.com.cn

字串3

127.0.0.1 bbs.2dai.com 字串8

127.0.0.1 bbs.abcbit.com

字串1

127.0.0.1 www.freekv.net 字串5

......

字串5

这样，中毒用户就无法登陆反病毒厂商的网站升级病毒库。字串7

7. 该病毒还会修改注册表相关键值，来禁用显示隐藏文件的功能。

字串6

8. 该病毒还会修改注册表相关键值，来破坏系统的安全模式，这样中毒用户就无法进入安全模式下杀毒。

字串7

9. 在病毒文件体内，病毒作者还留言，挑战尚未上市尚在公测时的2008版杀毒软件。如下图

字串9

病毒运行后，会感染全盘的*.exe 文件，致使系统中毒后将完全瘫痪，并且占用大量的CPU资源，系统无法启动，给用户带来损失。字串5

针对此病毒，江民科技已经升级了病毒库，只要升级到8月24日的病毒库，即可拦截此病毒的入侵。

字串1

字串8

该病毒目前并未发现大范围传播，仅有个别用户反映中毒。

字串8

被感染后的文件可以通过KV2007杀毒软件清除恢复，在此建议广大用户：

字串9

1. 安装KV2007的杀毒软件，每天定时升级病毒库，定时全盘杀毒，并开启所有的监控功能。字串5

2. 禁用系统的自动播放功能，防止病毒从U盘、移动硬盘、MP3等移动存储设备进入到计算机。

字串3

禁用Windows 系统的自动播放功能的方法：在运行中输入 gpedit.msc 后回车，打开组策略编辑器，依次点击：计算机配置－>管理模板－>系统－>关闭自动播放－>已启用－>所有驱动器－>确定。字串5

3. 利用Windows Update功能打全系统补丁，尤其是MS06-014和MS07-017这两个网页木马经常使用的系统漏洞，避免病毒从恶意网页的方式入侵到系统中。字串5

4. 不要随意接收从QQ、MSN等即时聊天工具发送过来的可执行文件，不要登陆来历不明的网址连接。字

词条	Win32/DaXingXing.a
释义	近日，在网络上出现了一种大猩猩病毒，与“熊猫烧香”、“小浩”病毒类似的是，该病毒也会感染.exe文件，还可以通过U盘传播，并且病毒运行时，会占用大量的CPU资源，导致中毒的系统瘫痪，无法启动，详细的技术分析如下：病毒名称：Win32/DaXingXing.a 中文名：大猩猩病毒病毒类型：文件型危害等级：★★★ 影响平台：Win 9X/ME/NT/2000/XP/2003 病毒样本MD5值为：60f66f0b7312e6eb9a5f2f823c5ff316 文件大小为：819829字节病毒运行特征：字串6 1. Win32/DaXingXing.a 大猩猩病毒是一个采用易.语言编.写的文件型病毒，病毒运行后，创建病毒进程winfuckjp.exe ，该进程采用RootKit技术隐藏自身，用Windows自带的任务管理器察看不到。字串2 释放病毒文件：字串2 %WinDir%\\System32\\winfuckjp.exe, 819829字节字串1 该病毒还会感染全盘所有的.exe文件，向文件头.部添加7725字节.的数据，感染后的文件图标变成一个大猩猩的图标，如下图：字串3 2. 在注册表中添加下列启动项：字串5 [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run] 字串7 "Winfuckjp.exe" = %SystemDir%\\winfuckjp.exe 字串7 这样，在Windows启动时，病毒就可以自动执行。字串3 字串6 3. 病毒还会在U盘/MP3/移动硬盘以及每个硬盘分.区跟目录下.释放病毒文件AutoRun.inf和ri.exe，其中AutoRun.inf文件内容如下：字串9 [AutoRun] 字串3 OPEN=ri.exe 字串4 这样当用户双击U盘或其它移动存储设备以及硬盘各个分区的时候就会激活病毒运行。字串3 字串6 4. 病毒运行后，会尝.试使用Taskkill /f /im命令关.闭以下杀毒软件和安全工具的进程，以达到躲避查杀的目的。字串8 字串7 Navapw32.exe 字串5 Navapsvc.exe 字串8 NMain.exe 字串4 navw32.EXE 字串1 KVFW.EXE 字串5 KAVSvcUI.exe 字串9 KAVPFW.EXE 字串8 KAV32.exe 字串9 KvXP.kxp 字串8 twister.exe 字串2 KVSrvXP.exe 字串4 KVSrvXP_1.exe 字串9 ...... 字串7 5. 该病毒具有IFEO重定向劫持功能，病.毒通过写注册表.中的 IFEO 键值，来阻止一些杀毒软件和安全工具的运行，字串4 添加的注册表键值例如下列：字串6 [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\WindowsNT\\CurrentVersion\\Image File Execution Options\\KVCenter.kxp] 字串1 "Debugger" = c:\\winnt\\system32\\winfuckjp.exe 字串4 共阻止100款杀毒软件和安全工具的运行，详细名单如下：字串5 360rpt.exe 字串1 360Safe.exe 字串4 360tray.exe 字串4 adam.exe 字串8 AgentSvr.exe 字串6 AppSvc32.exe 字串6 autoruns.exe 字串3 avgrssvc.exe 字串1 AvMonitor.exe 字串6 avp.com 字串7 avp.exe 字串8 CCenter.exe 字串1 ...... 字串1 6. 病毒修改操作系统的Hosts表，禁止用户登陆反病毒厂商的网址升级病毒库，被修改后的Hosts表文件如下：字串8 字串9 127.0.0.1 www.trendmicro.com 字串6 127.0.0.1 rads.mcafee.com 字串8 127.0.0.1 www.rising.com.cn 字串3 127.0.0.1 bbs.2dai.com 字串8 127.0.0.1 bbs.abcbit.com 字串1 127.0.0.1 www.freekv.net 字串5 ...... 字串5 这样，中毒用户就无法登陆反病毒厂商的网站升级病毒库。字串7 7. 该病毒还会修改注册表相关键值，来禁用显示隐藏文件的功能。字串6 8. 该病毒还会修改注册表相关键值，来破坏系统的安全模式，这样中毒用户就无法进入安全模式下杀毒。字串7 9. 在病毒文件体内，病毒作者还留言，挑战尚未上市尚在公测时的2008版杀毒软件。如下图字串9 病毒运行后，会感染全盘的*.exe 文件，致使系统中毒后将完全瘫痪，并且占用大量的CPU资源，系统无法启动，给用户带来损失。字串5 针对此病毒，江民科技已经升级了病毒库，只要升级到8月24日的病毒库，即可拦截此病毒的入侵。字串1 字串8 该病毒目前并未发现大范围传播，仅有个别用户反映中毒。字串8 被感染后的文件可以通过KV2007杀毒软件清除恢复，在此建议广大用户：字串9 1. 安装KV2007的杀毒软件，每天定时升级病毒库，定时全盘杀毒，并开启所有的监控功能。字串5 2. 禁用系统的自动播放功能，防止病毒从U盘、移动硬盘、MP3等移动存储设备进入到计算机。字串3 禁用Windows 系统的自动播放功能的方法：在运行中输入 gpedit.msc 后回车，打开组策略编辑器，依次点击：计算机配置－>管理模板－>系统－>关闭自动播放－>已启用－>所有驱动器－>确定。字串5 3. 利用Windows Update功能打全系统补丁，尤其是MS06-014和MS07-017这两个网页木马经常使用的系统漏洞，避免病毒从恶意网页的方式入侵到系统中。字串5 4. 不要随意接收从QQ、MSN等即时聊天工具发送过来的可执行文件，不要登陆来历不明的网址连接。字
随便看	有闲经济有闲俱乐部有弦相聚有献不死之药于荆王者有腺凸轴蕨有腺猪笼草有限有限保证的鉴证业务有限差方程有限差分法有限差分水质模型有限产权有限产权房有限单群有限单群分类定理有限单元法有限单元法程序设计有限单元法导论有限单元法基本原理和数值方法有限动画有限法偿有限风险再保险有限服务批发商有限覆盖定理有限公司