病毒简介

病毒行为(概述 详细行为)

病毒简介

处理时间：2007-04-06 威胁级别：★★

中文名称：金刚

病毒类型：蠕虫

影响系统：Win 9x/ME,Win 2000/NT,Win XP,Win 2003

病毒行为

概述

这是Windows平台下的感染型病毒，感染后缀名为.exe .scr .com .pif .htm .html .asp .php .jsp .aspx的文件。病毒会连接网络，下载其他大量木马病毒。该病毒会通过ANI漏洞传播、U盘传播，另外，病毒自带密码字典，尝试通过局域网传播。

详细行为

1、释放病毒文件到如下路径：

%system%\\kingbox.exe

%system%\\kingbox.pci

释放密码字典到

c:\\pass.dic

2、循环修改注册表，不显示隐藏文件：

[HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\\SHOWALL]

"CheckedValue"=0x0

3、关闭如下安全软件窗口：

Symantec AntiVirus 企业版

江民杀毒软件 KV2006：实时监视

RavMonClass

TfLockDownMain

ZoneAlarm

天网防火墙个人版

天网防火墙企业版

VirusScan

Symantec AntiVirus

Duba

Wrapped gift Killer

IceSword

pjf(ustc)

防火墙

关闭如下安全进程：

EGHOST.EXE

MAILMON.EXE

KAVPFW.EXE

IPARMOR.EXE

_AVP32.EXE

_AVPCC.EXE

_AVPM.EXE

AVP32.EXE

AVPCC.EXE

AVPM.EXE

AVP.EXE

NAVAPW32.EXE

NAVW32.EXE

nod32kui.exe

nod32kru.exe

PFW.exe

Kfw.exe

KAVPFW.exe

vsmon.exe

Mcshield.exe

VsTskMgr.exe

naPrdMgr.exe

UpdaterUI.exe

TBMon.exe

scan32.exe

Ravmond.exe

CCenter.exe

RavTask.exe

Rav.exe

Ravmon.exe

RavmonD.exe

RavStub.exe

KVXP.kxp

KvMonXP.kxp

KVCenter.kxp

KVSrvXP.exe

KRegEx.exe

UIHost.exe

TrojDie.kxp

360Safe.exe

360tray.kxp

FrogAgent.exe

FYFireWall.exe

关闭如下病毒进程，防止冲突：

Logo1_.exe

Logo_1.exe

Rundl132.exe

关闭“熊猫烧香”病毒进程并删除其文件：

spoolsv.exe

4、启动OUTLOOK进程，连接网络，从如下网址下载病毒并运行：

http://www.18**m.com/down1/1.exe

http://www.18**m.com/down1/2.exe

http://www.18**m.com/down1/3.exe

http://www.18**m.com/down1/4.exe

http://www.18**m.com/down1/5.exe

http://www.18**m.com/down1/6.exe

http://www.18**m.com/down1/7.exe

http://www.18**m.com/down1/8.exe

http://www.18**m.com/down1/9.exe

http://www.18**m.com/down1/10.exe

5、启动IE进程，访问如下网页：

http://www.18**m.com/tongji/1.htm

6、在磁盘根目录下生成autorun.inf及kingbox.exe病毒文件，当用户双击磁盘时，激活病毒，并利用此方式通过U盘传播。

7、遍历磁盘（跳过A、B盘），搜索所有如下后缀名的文件，感染：

.exe .scr .com .pif .htm .html .asp .php .jsp .aspx

8、遍历局域网，利用自身的密码字典，尝试通过IPC连接感染局域网。

9、感染后的脚本文件会通过ANI漏洞下载病毒文件。