在熊猫作者在病毒程序中留言住手后不久,金山毒霸再次发现新的熊猫烧香病毒变种,看来这个武汉男生注定不想让全国人民过好年了。
新版病毒感染后,会尝试把本机已经感染的旧版熊猫烧香病毒进程结束。病毒生成了新的执行文件。
详细分析报告如下:
| 病毒别名:熊猫烧香 | 处理时间:2007-02-06 | 威胁级别:★★★ |
| 中文名称:武汉男生 | 病毒类型:蠕虫 | 影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003 |
| 病毒行为: | 这是"熊猫烧香"病毒的一个变种,它能感染系统中可执行文件与网页文件,同时它还能通过局域网传播.建议用户及时安装Windows补丁程序,并为登录帐号改一个足够强壮的密码。强烈建议用户参考http://news.duba.net/defence/fangy/2007/01/19/102293.shtml修改系统配置,关闭自动播放功能。
1:拷贝文件
病毒运行后,会把自己拷贝到
C:\WINDOWS\System32\Drivers\ncscv32.exe. (病毒程序改名了,不再是spoolsv.exe。)
2:添加注册表自启动
病毒会添加自启动项,确保病毒能开机自动运行。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
nvsvc32 -> C:\WINDOWS\System32\Drivers\ncscv32.exe
3:关闭指定窗口
病毒会寻找桌面所有窗口及其子窗口,关闭标栏题中含有以下字符的程序,(目的是让用户无法正常调用杀毒软件和系统管理工具。)
天网
防火墙
进程
VirusScan
Symantec AntiVirus
System Safety Monitor
System Repair Engineer (好可怜的小青蛙,不过这一招不灵了,小青蛙的新版,窗口标题已经是随机字符串了)
Wrapped gift Killer
游戏木马检测大师
超级巡警
4:中止进程
病毒会中止以下进程
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
kvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl132.exe
taskmgr.exe
msconfig.exe
regedit.exe
SREng.EXE
spoclsv.exe
nvscv32.exe
sppoolsv.exe
spo0lsv.exe
其中spoclsv.exe,nvscv32.exe,sppoolsv.exe,spo0lsv.exe这四个进程名是旧版变种熊猫烧香病毒的进程名
5:修改注册表键值
病毒会删除安全软件在注册表中的键值,使它们不能启动,(感染熊猫后的一个典型表现是重启,杀毒软件监控不见了。)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
RavTask
KvMonXP
kav
KAVPersonal50
McAfeeUpdaterUI
Network Associates Error Reporting Service
ShStartEXE
YLive.exe(病毒还想帮我们清除yahoo助手呢,你不处理 yahoo的驱动怎么干得掉呢。)
yassistse
并修改以下值不显示隐藏文件,(让你无法查看隐藏的系统文件,为新病毒传播作准备)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
CheckedValue -> 0x00
6:删除服务
病毒会停止并删除以下系统中以下服务:(杀毒软件服务被删除,监控想起来也不能了。就算病毒清除掉,杀毒软件还得修复安装一遍)
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec Core LC
NPFMntor
MskService
FireSvc
7:感染文件并删除文件
病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部,并在扩展名为htm,html, asp,php,jsp,aspx的文件中添加一隐藏框架,用户一但打开了该文件,IE就会在后台打开该网址,且该网页有漏洞,新变种的病毒会被下载并运行(修复IE漏洞非常重要,如果你的系统不能升级IE,就建议用FIREFOX吧。)
但病毒不会感染以下文件夹名中的文件:
WINDOW
Winnt
System Volume Information
Recycled
Windows NT
WindowsUpdate
Windows Media Player
Outlook Express
Internet Explorer
NetMeeting
Common Files
ComPlus Applications
Messenger
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
MSN Gamin Zone
和文件名为
setup.exe和NTDETECT.COM的文件
病毒会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件,使用户的系统备份文件丢失.
8:感染局域网内其它机器
病毒会枚举局域网内的其它机器,并尝试用字典里面的密码登录,若登录成功,就复制自己到该机器上,并添加计划任务运行病毒.
用户名字典:
Administrator
Guest
admin
Root
密码字典:(看看你有没有用下面的密码,如果有,马上去改成复杂点儿的)
admin
1234
password
6969
harley
123456
golf
pussy
mustang
1111
shadow
1313
fish
5150
7777
qwery
baseball
2112
letmein
12345678
12345
ccc
admin
5201314
qq520
1
12
123
1234567
1234456789
654321
54321
111
000000
abc
pw
11111111
88888888
pass
passwd
database
abcd
abc123
sybase
123qwe
server
computer
520
super
123asd
0
ihavenopass
godblessyou
enable
xp
2002
2003
2600
110
111111
121212
123123
1234qwer
123abc
007
aaa
patrick
pat
administrator
root
sex
god
fuckyou
fuck
test
test123
temp
temp123
win
pc
asdf
pwd
qwer
yxcv
zxcv
home
xxx
owner
login
Login
pw123
love
mypc
mypc123
admin123
mypass
mypass123
901100
9:添加autorun,(一定要改变双击打开磁盘的习惯,用资源管理器吧右键打开吧。)
病毒会把自己复制到每个磁盘的根目录下,命名为setup.exe,并添加入autorun.inf,使每次打开磁盘都能运行一次病毒体。 |
|
