| 導購 | 订阅 | 在线投稿
分享
 
 
 

Worm.WhBoy.ca

來源:互聯網  2008-08-14 22:55:51  評論

病毒名稱(中文):

熊貓燒香

病毒別名:

武漢男生

威脅級別:

★★★☆☆

病毒類型:

蠕蟲病毒

病毒長度:

63440

影響系統:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行爲:

這是"熊貓燒香"病毒的一個變種,能感染系統中exe,com,pif,src,html,asp,jsp等文件,

它還能中止大量的反病毒軟件進程

1:拷貝文件

病毒運行後,會把自己拷貝到

C:\WINDOWS\System32\Drivers\sppoolsv.exe

2:添加注冊表自啓動

病毒會添加自啓動項

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

svcshare->C:\WINDOWS\System32\Drivers\sppoolsv.exe

3:病毒行爲

a:每隔1秒

尋找桌面窗口,並關閉窗口標題中含有以下字符的程序

防火牆

進程

VirusScan

NOD32

網镖

殺毒

瑞星

江民

超級兔子

優化大師

木馬清道夫

QQ病毒

注冊表編輯器

系統配置實用程序

卡巴斯基反病毒

SymantecAntiVirus

Duba

esteemproces

綠鷹PC

密碼防盜

噬菌體

木馬輔助查找器

SystemSafetyMonitor

WrappedgiftKiller

WinsockExpert

遊戲木馬檢測大師

msctls_statusbar32

pjf(ustc)

IceSword

並使用的鍵盤映射的方法關閉安全軟件IceSword

添加注冊表使自己自啓動

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

svcshare->C:\WINDOWS\System32\Drivers\sppoolsv.exe

並中止系統中以下的進程:

Mcshield.exe

VsTskMgr.exe

naPrdMgr.exe

UpdaterUI.exe

TBMon.exe

scan32.exe

Ravmond.exe

CCenter.exe

RavTask.exe

Rav.exe

Ravmon.exe

RavmonD.exe

RavStub.exe

KVXP.kxp

kvMonXP.kxp

KVCenter.kxp

KVSrvXP.exe

KRegEx.exe

UIHost.exe

TrojDie.kxp

FrogAgent.exe

Logo1_.exe

Logo_1.exe

Rundl132.exe

b:每隔18秒

點擊病毒作者指定的網頁,並用命令行檢查系統中是否存在共享

共存在的話就運行netshare命令關閉admin$共享

c:每隔10秒

下載病毒作者指定的文件,並用命令行檢查系統中是否存在共享

共存在的話就運行netshare命令關閉admin$共享

d:每隔6秒

刪除安全軟件在注冊表中的鍵值

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

RavTask

KvMonXP

kav

KAVPersonal50

McAfeeUpdaterUI

NetworkAssociatesErrorReportingService

ShStartEXE

YLive.exe

yassistse

並修改以下值不顯示隱藏文件

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

CheckedValue->0x00

停止並刪除以下服務:

navapsvc

wscsvc

KPfwSvc

SNDSrvc

ccProxy

ccEvtMgr

ccSetMgr

SPBBCSvc

SymantecCoreLC

NPFMntor

MskService

FireSvc

e:感染文件

病毒會感染擴展名爲exe,pif,com,src的文件,把自己附加到文件的頭部

並在擴展名爲htm,html,asp,php,jsp,aspx的文件中添加一網址,

用戶一但打開了該文件,IE就會不斷的在後台點擊寫入的網址,達到

增加點擊量的目的,且該網頁有漏洞,新變種的病毒會被下載並運行.

完成感染後會在當前文件夾中生成一個名爲Desktop_.ini的隱藏文件,

裏面寫入當前的日期.

但病毒不會感染以下文件夾名中的文件:

WINDOW

Winnt

SystemVolumeInformation

Recycled

WindowsNT

WindowsUpdate

WindowsMediaPlayer

OutlookExpress

InternetExplorer

NetMeeting

CommonFiles

ComPlusApplications

Messenger

InstallShieldInstallationInformation

MSN

MicrosoftFrontpage

MovieMaker

MSNGaminZone

g:刪除文件

病毒會刪除擴展名爲gho的文件,該文件是一系統備份工具GHOST的備份文件

使用戶的系統備份文件丟失.

h:感染局域網內其它機器

病毒會枚舉局域網內的其它機器,並嘗試登錄密碼,若登錄成功,就複制自己到該機器上,

並添加計劃任務運行病毒.

枚舉用戶名:

Administrator

Guest

admin

Root

枚舉密碼:

admin

1234

password

6969

harley

123456

golf

pussy

mustang

1111

shadow

1313

fish

5150

7777

qwery

baseball

2112

letmein

12345678

12345

ccc

admin

5201314

qq520

1

12

123

1234567

1234456789

654321

54321

111

000000

abc

pw

11111111

88888888

pass

passwd

database

abcd

abc123

sybase

123qwe

server

computer

520

super

123asd

0

ihavenopass

godblessyou

enable

xp

2002

2003

2600

110

111111

121212

123123

1234qwer

123abc

007

aaa

patrick

pat

administrator

root

sex

god

fuckyou

fuck

test

test123

temp

temp123

win

pc

asdf

pwd

qwer

yxcv

zxcv

home

xxx

owner

login

Login

pw123

love

mypc

mypc123

admin123

mypass

mypass123

901100

i:添加autorun

病毒會把自己複制到每個磁盤的根目錄下,命名爲setup.exe,

並添加入autorun.inf,使每次打開磁盤都能運行一次病毒體.

病毒名稱(中文): 熊貓燒香 病毒別名: 武漢男生 威脅級別: ★★★☆☆ 病毒類型: 蠕蟲病毒 病毒長度: 63440 影響系統: Win9xWinMeWinNTWin2000WinXPWin2003 病毒行爲: 這是"熊貓燒香"病毒的一個變種,能感染系統中exe,com,pif,src,html,asp,jsp等文件, 它還能中止大量的反病毒軟件進程 1:拷貝文件 病毒運行後,會把自己拷貝到 C:\WINDOWS\System32\Drivers\sppoolsv.exe 2:添加注冊表自啓動 病毒會添加自啓動項 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare->C:\WINDOWS\System32\Drivers\sppoolsv.exe 3:病毒行爲 a:每隔1秒 尋找桌面窗口,並關閉窗口標題中含有以下字符的程序 防火牆 進程 VirusScan NOD32 網镖 殺毒 瑞星 江民 超級兔子 優化大師 木馬清道夫 QQ病毒 注冊表編輯器 系統配置實用程序 卡巴斯基反病毒 SymantecAntiVirus Duba esteemproces 綠鷹PC 密碼防盜 噬菌體 木馬輔助查找器 SystemSafetyMonitor WrappedgiftKiller WinsockExpert 遊戲木馬檢測大師 msctls_statusbar32 pjf(ustc) IceSword 並使用的鍵盤映射的方法關閉安全軟件IceSword 添加注冊表使自己自啓動 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare->C:\WINDOWS\System32\Drivers\sppoolsv.exe 並中止系統中以下的進程: Mcshield.exe VsTskMgr.exe naPrdMgr.exe UpdaterUI.exe TBMon.exe scan32.exe Ravmond.exe CCenter.exe RavTask.exe Rav.exe Ravmon.exe RavmonD.exe RavStub.exe KVXP.kxp kvMonXP.kxp KVCenter.kxp KVSrvXP.exe KRegEx.exe UIHost.exe TrojDie.kxp FrogAgent.exe Logo1_.exe Logo_1.exe Rundl132.exe b:每隔18秒 點擊病毒作者指定的網頁,並用命令行檢查系統中是否存在共享 共存在的話就運行netshare命令關閉admin$共享 c:每隔10秒 下載病毒作者指定的文件,並用命令行檢查系統中是否存在共享 共存在的話就運行netshare命令關閉admin$共享 d:每隔6秒 刪除安全軟件在注冊表中的鍵值 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run RavTask KvMonXP kav KAVPersonal50 McAfeeUpdaterUI NetworkAssociatesErrorReportingService ShStartEXE YLive.exe yassistse 並修改以下值不顯示隱藏文件 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue->0x00 停止並刪除以下服務: navapsvc wscsvc KPfwSvc SNDSrvc ccProxy ccEvtMgr ccSetMgr SPBBCSvc SymantecCoreLC NPFMntor MskService FireSvc e:感染文件 病毒會感染擴展名爲exe,pif,com,src的文件,把自己附加到文件的頭部 並在擴展名爲htm,html,asp,php,jsp,aspx的文件中添加一網址, 用戶一但打開了該文件,IE就會不斷的在後台點擊寫入的網址,達到 增加點擊量的目的,且該網頁有漏洞,新變種的病毒會被下載並運行. 完成感染後會在當前文件夾中生成一個名爲Desktop_.ini的隱藏文件, 裏面寫入當前的日期. 但病毒不會感染以下文件夾名中的文件: WINDOW Winnt SystemVolumeInformation Recycled WindowsNT WindowsUpdate WindowsMediaPlayer OutlookExpress InternetExplorer NetMeeting CommonFiles ComPlusApplications Messenger InstallShieldInstallationInformation MSN MicrosoftFrontpage MovieMaker MSNGaminZone g:刪除文件 病毒會刪除擴展名爲gho的文件,該文件是一系統備份工具GHOST的備份文件 使用戶的系統備份文件丟失. h:感染局域網內其它機器 病毒會枚舉局域網內的其它機器,並嘗試登錄密碼,若登錄成功,就複制自己到該機器上, 並添加計劃任務運行病毒. 枚舉用戶名: Administrator Guest admin Root 枚舉密碼: admin 1234 password 6969 harley 123456 golf pussy mustang 1111 shadow 1313 fish 5150 7777 qwery baseball 2112 letmein 12345678 12345 ccc admin 5201314 qq520 1 12 123 1234567 1234456789 654321 54321 111 000000 abc pw 11111111 88888888 pass passwd database abcd abc123 sybase 123qwe server computer 520 super 123asd 0 ihavenopass godblessyou enable xp 2002 2003 2600 110 111111 121212 123123 1234qwer 123abc 007 aaa patrick pat administrator root sex god fuckyou fuck test test123 temp temp123 win pc asdf pwd qwer yxcv zxcv home xxx owner login Login pw123 love mypc mypc123 admin123 mypass mypass123 901100 i:添加autorun 病毒會把自己複制到每個磁盤的根目錄下,命名爲setup.exe, 並添加入autorun.inf,使每次打開磁盤都能運行一次病毒體.
󰈣󰈤
王朝萬家燈火計劃
期待原創作者加盟
 
 
 
>>返回首頁<<
 
 
 
 
 熱帖排行
 
王朝網路微信公眾號
微信掃碼關註本站公眾號 wangchaonetcn
 
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有