请输入您要查询的百科知识:

 

词条 Worm.WhBoy.am
释义

这是"熊猫烧香"病毒的一个变种,能感染系统中exe,com,pif,src,html,asp,jsp等文件, 它还能中止大量的反病毒软件进程

资料

病毒别名:武汉男生 处理时间:2007-01-15 威胁级别:★★★

中文名称:熊猫烧香 病毒类型:蠕虫

影响系统

影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003

病毒行为

这是"熊猫烧香"病毒的一个变种,能感染系统中exe,com,pif,src,html,asp,jsp等文件,

它还能中止大量的反病毒软件进程

1:拷贝文件

病毒运行后,会把自己拷贝到

C:\\WINDOWS\\System32\\Drivers\\spcolsv.exe

2:添加注册表自启动

病毒会添加自启动项

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

svcshare -> C:\\WINDOWS\\System32\\Drivers\\spoclsv.exe

3:病毒行为

a:每隔1秒

寻找桌面窗口,并关闭窗口标题中含有以下字符的程序

QQKav

QQAV

防火墙

进程

VirusScan

网镖

杀毒

毒霸

瑞星

江民

黄山IE

超级兔子

优化大师

木马克星

木马清道夫

QQ病毒

注册表编辑器

系统配置实用程序

卡巴斯基反病毒

Symantec AntiVirus

Duba

esteem proces

绿鹰PC

密码防盗

噬菌体

木马辅助查找器

System Safety Monitor

Wrapped gift Killer

Winsock Expert

游戏木马检测大师

msctls_statusbar32

pjf(ustc)

IceSword

并使用的键盘映射的方法关闭安全软件IceSword

添加注册表使自己自启动

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

svcshare -> C:\\WINDOWS\\System32\\Drivers\\spoclsv.exe

并中止系统中以下的进程:

Mcshield.exe

VsTskMgr.exe

naPrdMgr.exe

UpdaterUI.exe

TBMon.exe

scan32.exe

Ravmond.exe

CCenter.exe

RavTask.exe

Rav.exe

Ravmon.exe

RavmonD.exe

RavStub.exe

KVXP.kxp

kvMonXP.kxp

KVCenter.kxp

KVSrvXP.exe

KRegEx.exe

UIHost.exe

TrojDie.kxp

FrogAgent.exe

Logo1_.exe

Logo_1.exe

Rundl132.exe

b:每隔18秒

点击病毒作者指定的网页,并用命令行检查系统中是否存在共享

共存在的话就运行net share命令关闭admin$共享

c:每隔10秒

下载病毒作者指定的文件,并用命令行检查系统中是否存在共享

共存在的话就运行net share命令关闭admin$共享

d:每隔6秒

删除安全软件在注册表中的键值

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

RavTask

KvMonXP

kav

KAVPersonal50

McAfeeUpdaterUI

Network Associates Error Reporting Service

ShStartEXE

YLive.exe

yassistse

并修改以下值不显示隐藏文件

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\\SHOWALL

CheckedValue -> 0x00

停止并删除以下服务:

navapsvc

wscsvc

KPfwSvc

SNDSrvc

ccProxy

ccEvtMgr

ccSetMgr

SPBBCSvc

Symantec Core LC

NPFMntor

MskService

FireSvc

e:感染文件

病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部

并在扩展名为htm,html, asp,php,jsp,aspx的文件中添加一网址,

用户一但打开了该文件,IE就会不断的在后台点击写入的网址,达到

增加点击量的目的,且该网页有漏洞,新变种的病毒会被下载并运行.

但病毒不会感染以下文件夹名中的文件:

WINDOW

Winnt

System Volume Information

Recycled

Windows NT

WindowsUpdate

Windows Media Player

Outlook Express

Internet Explorer

NetMeeting

Common Files

ComPlus Applications

Messenger

InstallShield Installation Information

MSN

Microsoft Frontpage

Movie Maker

MSN Gamin Zone

g:删除文件

病毒会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件

使用户的系统备份文件丢失.

h:感染局域网内其它机器

病毒会枚举局域网内的其它机器,并尝试登录密码,若登录成功,就复制自己到该机器上,

并添加计划任务运行病毒.

枚举用户名:

Administrator

Guest

admin

Root

枚举密码:

admin

1234

password

6969

harley

123456

golf

pussy

mustang

1111

shadow

1313

fish

5150

7777

qwery

baseball

2112

letmein

12345678

12345

ccc

admin

5201314

qq520

1

12

123

1234567

1234456789

654321

54321

111

000000

abc

pw

11111111

88888888

pass

passwd

database

abcd

abc123

sybase

123qwe

server

computer

520

super

123asd

0

ihavenopass

godblessyou

enable

xp

2002

2003

2600

110

111111

121212

123123

1234qwer

123abc

007

aaa

patrick

pat

administrator

root

sex

god

fuckyou

fuck

test

test123

temp

temp123

win

pc

asdf

pwd

qwer

yxcv

zxcv

home

xxx

owner

login

Login

pw123

love

mypc

mypc123

admin123

mypass

mypass123

901100

i:添加autorun

病毒会把自己复制到每个磁盘的根目录下,命名为setup.exe,

并添加入autorun.inf,使每次打开磁盘都能运行一次病毒体.

建议

建议用户及时补上Windows安全补丁,并为登录帐号设置一个足够安全的密码,

同时不建议开启磁盘自动运行功能.

随便看

 

百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。

 

Copyright © 2004-2023 Cnenc.net All Rights Reserved
更新时间:2024/12/23 19:21:44