病毒名称(中文):
熊猫烧香
病毒别名:
武汉男生
威胁级别:
★★★☆☆
病毒类型:
蠕虫病毒
病毒长度:
63440
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是"熊猫烧香"病毒的一个变种,能感染系统中exe,com,pif,src,html,asp,jsp等文件,
它还能中止大量的反病毒软件进程
1:拷贝文件
病毒运行后,会把自己拷贝到
C:\WINDOWS\System32\Drivers\sppoolsv.exe
2:添加注册表自启动
病毒会添加自启动项
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
svcshare->C:\WINDOWS\System32\Drivers\sppoolsv.exe
3:病毒行为
a:每隔1秒
寻找桌面窗口,并关闭窗口标题中含有以下字符的程序
防火墙
进程
VirusScan
NOD32
网镖
杀毒
瑞星
江民
超级兔子
优化大师
木马清道夫
QQ病毒
注册表编辑器
系统配置实用程序
卡巴斯基反病毒
SymantecAntiVirus
Duba
esteemproces
绿鹰PC
密码防盗
噬菌体
木马辅助查找器
SystemSafetyMonitor
WrappedgiftKiller
WinsockExpert
游戏木马检测大师
msctls_statusbar32
pjf(ustc)
IceSword
并使用的键盘映射的方法关闭安全软件IceSword
添加注册表使自己自启动
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
svcshare->C:\WINDOWS\System32\Drivers\sppoolsv.exe
并中止系统中以下的进程:
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
kvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl132.exe
b:每隔18秒
点击病毒作者指定的网页,并用命令行检查系统中是否存在共享
共存在的话就运行netshare命令关闭admin$共享
c:每隔10秒
下载病毒作者指定的文件,并用命令行检查系统中是否存在共享
共存在的话就运行netshare命令关闭admin$共享
d:每隔6秒
删除安全软件在注册表中的键值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
RavTask
KvMonXP
kav
KAVPersonal50
McAfeeUpdaterUI
NetworkAssociatesErrorReportingService
ShStartEXE
YLive.exe
yassistse
并修改以下值不显示隐藏文件
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
CheckedValue->0x00
停止并删除以下服务:
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
SymantecCoreLC
NPFMntor
MskService
FireSvc
e:感染文件
病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部
并在扩展名为htm,html,asp,php,jsp,aspx的文件中添加一网址,
用户一但打开了该文件,IE就会不断的在后台点击写入的网址,达到
增加点击量的目的,且该网页有漏洞,新变种的病毒会被下载并运行.
完成感染后会在当前文件夹中生成一个名为Desktop_.ini的隐藏文件,
里面写入当前的日期.
但病毒不会感染以下文件夹名中的文件:
WINDOW
Winnt
SystemVolumeInformation
Recycled
WindowsNT
WindowsUpdate
WindowsMediaPlayer
OutlookExpress
InternetExplorer
NetMeeting
CommonFiles
ComPlusApplications
Messenger
InstallShieldInstallationInformation
MSN
MicrosoftFrontpage
MovieMaker
MSNGaminZone
g:删除文件
病毒会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件
使用户的系统备份文件丢失.
h:感染局域网内其它机器
病毒会枚举局域网内的其它机器,并尝试登录密码,若登录成功,就复制自己到该机器上,
并添加计划任务运行病毒.
枚举用户名:
Administrator
Guest
admin
Root
枚举密码:
admin
1234
password
6969
harley
123456
golf
pussy
mustang
1111
shadow
1313
fish
5150
7777
qwery
baseball
2112
letmein
12345678
12345
ccc
admin
5201314
qq520
1
12
123
1234567
1234456789
654321
54321
111
000000
abc
pw
11111111
88888888
pass
passwd
database
abcd
abc123
sybase
123qwe
server
computer
520
super
123asd
0
ihavenopass
godblessyou
enable
xp
2002
2003
2600
110
111111
121212
123123
1234qwer
123abc
007
aaa
patrick
pat
administrator
root
sex
god
fuckyou
fuck
test
test123
temp
temp123
win
pc
asdf
pwd
qwer
yxcv
zxcv
home
xxx
owner
login
Login
pw123
love
mypc
mypc123
admin123
mypass
mypass123
901100
i:添加autorun
病毒会把自己复制到每个磁盘的根目录下,命名为setup.exe,
并添加入autorun.inf,使每次打开磁盘都能运行一次病毒体.
