Worm.Kingbox
病毒名称(中文):
金刚
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
蠕虫病毒
病毒长度:
58503
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是Windows平台下的感染型病毒,感染后缀名为.exe.scr.com.pif.htm.html.asp.php.jsp.aspx的文件。病毒会连接网络,下载其他大量木马病毒。该病毒会通过ANI漏洞传播、U盘传播,另外,病毒自带密码字典,尝试通过局域网传播。
1、释放病毒文件到如下路径:
%system%\kingbox.exe
%system%\kingbox.pci
释放密码字典到
c:\pass.dic
2、循环修改注册表,不显示隐藏文件:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=0x0
3、关闭如下安全软件窗口:
SymantecAntiVirus企业版
江民杀毒软件KV2006:实时监视
RavMonClass
TfLockDownMain
ZoneAlarm
天网防火墙个人版
天网防火墙企业版
VirusScan
SymantecAntiVirus
Duba
WrappedgiftKiller
IceSword
pjf(ustc)
防火墙
关闭如下安全进程:
EGHOST.EXE
MAILMON.EXE
KAVPFW.EXE
IPARMOR.EXE
_AVP32.EXE
_AVPCC.EXE
_AVPM.EXE
AVP32.EXE
AVPCC.EXE
AVPM.EXE
AVP.EXE
NAVAPW32.EXE
NAVW32.EXE
nod32kui.exe
nod32kru.exe
PFW.exe
Kfw.exe
KAVPFW.exe
vsmon.exe
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
KvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
360Safe.exe
360tray.kxp
FrogAgent.exe
FYFireWall.exe
关闭如下病毒进程,防止冲突:
Logo1_.exe
Logo_1.exe
Rundl132.exe
关闭“熊猫烧香”病毒进程并删除其文件:
spoolsv.exe
4、启动OUTLOOK进程,连接网络,从如下网址下载病毒并运行:
http://www.18**m.com/down1/1.exe
http://www.18**m.com/down1/2.exe
http://www.18**m.com/down1/3.exe
http://www.18**m.com/down1/4.exe
http://www.18**m.com/down1/5.exe
http://www.18**m.com/down1/6.exe
http://www.18**m.com/down1/7.exe
http://www.18**m.com/down1/8.exe
http://www.18**m.com/down1/9.exe
http://www.18**m.com/down1/10.exe
5、启动IE进程,访问如下网页:
http://www.18**m.com/tongji/1.htm
6、在磁盘根目录下生成autorun.inf及kingbox.exe病毒文件,当用户双击磁盘时,激活病毒,并利用此方式通过U盘传播。
7、遍历磁盘(跳过A、B盘),搜索所有如下后缀名的文件,感染:
.exe.scr.com.pif.htm.html.asp.php.jsp.aspx
8、遍历局域网,利用自身的密码字典,尝试通过IPC连接感染局域网。
9、感染后的脚本文件会通过ANI漏洞下载病毒文件。
