“Worm.WhBoy.d”的意思、由来-中文百科全书

Worm.WhBoy.d 基本信息

病毒别名：熊猫烧香处理时间：2007-03-19 威胁级别：★

中文名称：武汉男生病毒类型：蠕虫影响系统：Win 9x/ME,Win 2000/NT,Win XP,Win 2003

病毒行为:

1:拷贝文件

病毒运行后,会把自己拷贝到

C:\\WINDOWS\\System32\\Drivers\\spoclsv.exe

2:添加注册表自启动

病毒会添加自启动项

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

nvsvc32 -> C:\\WINDOWS\\System32\\Drivers\cscv32.exe

3:关闭指定窗口

病毒会寻找桌面所有窗口及其子窗口,关闭标栏题中含有以下字符的程序

天网

防火墙

进程

VirusScan

Symantec AntiVirus

System Safety Monitor

System Repair Engineer

Wrapped gift Killer

游戏木马检测大师

超级巡警

4:中止进程

病毒会中止以下进程

Mcshield.exe

VsTskMgr.exe

naPrdMgr.exe

UpdaterUI.exe

TBMon.exe

scan32.exe

Ravmond.exe

CCenter.exe

RavTask.exe

Rav.exe

Ravmon.exe

RavmonD.exe

RavStub.exe

KVXP.kxp

kvMonXP.kxp

KVCenter.kxp

KVSrvXP.exe

KRegEx.exe

UIHost.exe

TrojDie.kxp

FrogAgent.exe

Logo1_.exe

Logo_1.exe

Rundl132.exe

taskmgr.exe

msconfig.exe

regedit.exe

SREng.EXE

spoclsv.exe

nvscv32.exe

sppoolsv.exe

spo0lsv.exe

其中spoclsv.exe,nvscv32.exe,sppoolsv.exe,spo0lsv.exe这四个进程名是

旧版变种熊猫烧香病毒的进程名

5:修改注册表键值

病毒会删除安全软件在注册表中的键值,使它们不能启动

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

RavTask

KvMonXP

kav

KAVPersonal50

McAfeeUpdaterUI

Network Associates Error Reporting Service

ShStartEXE

YLive.exe

yassistse

并修改以下值不显示隐藏文件

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\\SHOWALL

CheckedValue -> 0x00

6:删除服务

病毒会停止并删除以下系统中以下服务:

navapsvc

wscsvc

KPfwSvc

SNDSrvc

ccProxy

ccEvtMgr

ccSetMgr

SPBBCSvc

Symantec Core LC

NPFMntor

MskService

FireSvc

7:感染文件并删除文件

病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部

并在扩展名为htm,html, asp,php,jsp,aspx的文件中添加一隐藏框架

用户一但打开了该文件,IE就会在后台打开该网址,

且该网页有漏洞,新变种的病毒会被下载并运行.

但病毒不会感染以下文件夹名中的文件:

WINDOW

Winnt

System Volume Information

Recycled

Windows NT

WindowsUpdate

Windows Media Player

Outlook Express

Internet Explorer

NetMeeting

Common Files

ComPlus Applications

Messenger

InstallShield Installation Information

MSN

Microsoft Frontpage

Movie Maker

MSN Gamin Zone

和文件名为

setup.exe和NTDETECT的文件

病毒会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件

使用户的系统备份文件丢失.

8:感染局域网内其它机器

病毒会枚举局域网内的其它机器,并尝试用常用的弱密码登录,若登录成功,就复制自己到该机器上,

并添加计划任务运行病毒.

9:添加autorun

病毒会把自己复制到每个磁盘的根目录下,命名为setup.exe,

并添加入autorun.inf,使每次打开磁盘都能运行一次病毒体.

建议用户及时补上Windows安全补丁,并为登录帐号设置一个足够安全的密码,

同时不建议开启磁盘自动运行功能.

词条	Worm.WhBoy.d
释义	Worm.WhBoy.d，是"熊猫烧香"病毒的一个变种。它能感染系统中可执行文件与网页文件，同时它还能通过局域网传播。建议用户及时安装Windows补丁程序，并为登录帐号改一个足够强壮的密码。 Worm.WhBoy.d 基本信息病毒行为: Worm.WhBoy.d 基本信息病毒别名：熊猫烧香处理时间：2007-03-19 威胁级别：★ 中文名称：武汉男生病毒类型：蠕虫影响系统：Win 9x/ME,Win 2000/NT,Win XP,Win 2003 病毒行为: 1:拷贝文件病毒运行后,会把自己拷贝到 C:\\WINDOWS\\System32\\Drivers\\spoclsv.exe 2:添加注册表自启动病毒会添加自启动项 HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run nvsvc32 -> C:\\WINDOWS\\System32\\Drivers\cscv32.exe 3:关闭指定窗口病毒会寻找桌面所有窗口及其子窗口,关闭标栏题中含有以下字符的程序天网防火墙进程 VirusScan Symantec AntiVirus System Safety Monitor System Repair Engineer Wrapped gift Killer 游戏木马检测大师超级巡警 4:中止进程病毒会中止以下进程 Mcshield.exe VsTskMgr.exe naPrdMgr.exe UpdaterUI.exe TBMon.exe scan32.exe Ravmond.exe CCenter.exe RavTask.exe Rav.exe Ravmon.exe RavmonD.exe RavStub.exe KVXP.kxp kvMonXP.kxp KVCenter.kxp KVSrvXP.exe KRegEx.exe UIHost.exe TrojDie.kxp FrogAgent.exe Logo1_.exe Logo_1.exe Rundl132.exe taskmgr.exe msconfig.exe regedit.exe SREng.EXE spoclsv.exe nvscv32.exe sppoolsv.exe spo0lsv.exe 其中spoclsv.exe,nvscv32.exe,sppoolsv.exe,spo0lsv.exe这四个进程名是旧版变种熊猫烧香病毒的进程名 5:修改注册表键值病毒会删除安全软件在注册表中的键值,使它们不能启动 HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run RavTask KvMonXP kav KAVPersonal50 McAfeeUpdaterUI Network Associates Error Reporting Service ShStartEXE YLive.exe yassistse 并修改以下值不显示隐藏文件 HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\\SHOWALL CheckedValue -> 0x00 6:删除服务病毒会停止并删除以下系统中以下服务: navapsvc wscsvc KPfwSvc SNDSrvc ccProxy ccEvtMgr ccSetMgr SPBBCSvc Symantec Core LC NPFMntor MskService FireSvc 7:感染文件并删除文件病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部并在扩展名为htm,html, asp,php,jsp,aspx的文件中添加一隐藏框架用户一但打开了该文件,IE就会在后台打开该网址, 且该网页有漏洞,新变种的病毒会被下载并运行. 但病毒不会感染以下文件夹名中的文件: WINDOW Winnt System Volume Information Recycled Windows NT WindowsUpdate Windows Media Player Outlook Express Internet Explorer NetMeeting Common Files ComPlus Applications Messenger InstallShield Installation Information MSN Microsoft Frontpage Movie Maker MSN Gamin Zone 和文件名为 setup.exe和NTDETECT的文件病毒会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件使用户的系统备份文件丢失. 8:感染局域网内其它机器病毒会枚举局域网内的其它机器,并尝试用常用的弱密码登录,若登录成功,就复制自己到该机器上, 并添加计划任务运行病毒. 9:添加autorun 病毒会把自己复制到每个磁盘的根目录下,命名为setup.exe, 并添加入autorun.inf,使每次打开磁盘都能运行一次病毒体. 建议用户及时补上Windows安全补丁,并为登录帐号设置一个足够安全的密码, 同时不建议开启磁盘自动运行功能.
随便看	上海茶恬园国际旅行社上海茶叶有限公司上海柴油发电机组上海柴油机股份有限公司上海昌东股权投资有限公司上海昌福中兴商贸有限公司上海昌平路莫泰连锁旅店上海昌誉电子科技有限公司上海昌铄照明科技有限公司上海常菲通讯器材有限公司上海常思网络科技有限公司上海长安妇科医院上海长搏金属材料有限公司上海长城假日酒店上海长城减速机厂有限公司上海长城宽带上海长城宽带网络服务有限公司上海长岛中学上海长发国际货运有限公司上海长发证券投资有限公司上海长风地块上海长风公园上海长风海洋世界上海长风物业有限公司上海长海医院