| 订阅 | 在线投稿
分享
 
 
 

Worm.WhBoy.ca

来源:互联网  宽屏版  评论
2008-08-14 22:55:51

病毒名称(中文):

熊猫烧香

病毒别名:

武汉男生

威胁级别:

★★★☆☆

病毒类型:

蠕虫病毒

病毒长度:

63440

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

这是"熊猫烧香"病毒的一个变种,能感染系统中exe,com,pif,src,html,asp,jsp等文件,

它还能中止大量的反病毒软件进程

1:拷贝文件

病毒运行后,会把自己拷贝到

C:\WINDOWS\System32\Drivers\sppoolsv.exe

2:添加注册表自启动

病毒会添加自启动项

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

svcshare->C:\WINDOWS\System32\Drivers\sppoolsv.exe

3:病毒行为

a:每隔1秒

寻找桌面窗口,并关闭窗口标题中含有以下字符的程序

防火墙

进程

VirusScan

NOD32

网镖

杀毒

瑞星

江民

超级兔子

优化大师

木马清道夫

QQ病毒

注册表编辑器

系统配置实用程序

卡巴斯基反病毒

SymantecAntiVirus

Duba

esteemproces

绿鹰PC

密码防盗

噬菌体

木马辅助查找器

SystemSafetyMonitor

WrappedgiftKiller

WinsockExpert

游戏木马检测大师

msctls_statusbar32

pjf(ustc)

IceSword

并使用的键盘映射的方法关闭安全软件IceSword

添加注册表使自己自启动

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

svcshare->C:\WINDOWS\System32\Drivers\sppoolsv.exe

并中止系统中以下的进程:

Mcshield.exe

VsTskMgr.exe

naPrdMgr.exe

UpdaterUI.exe

TBMon.exe

scan32.exe

Ravmond.exe

CCenter.exe

RavTask.exe

Rav.exe

Ravmon.exe

RavmonD.exe

RavStub.exe

KVXP.kxp

kvMonXP.kxp

KVCenter.kxp

KVSrvXP.exe

KRegEx.exe

UIHost.exe

TrojDie.kxp

FrogAgent.exe

Logo1_.exe

Logo_1.exe

Rundl132.exe

b:每隔18秒

点击病毒作者指定的网页,并用命令行检查系统中是否存在共享

共存在的话就运行netshare命令关闭admin$共享

c:每隔10秒

下载病毒作者指定的文件,并用命令行检查系统中是否存在共享

共存在的话就运行netshare命令关闭admin$共享

d:每隔6秒

删除安全软件在注册表中的键值

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

RavTask

KvMonXP

kav

KAVPersonal50

McAfeeUpdaterUI

NetworkAssociatesErrorReportingService

ShStartEXE

YLive.exe

yassistse

并修改以下值不显示隐藏文件

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

CheckedValue->0x00

停止并删除以下服务:

navapsvc

wscsvc

KPfwSvc

SNDSrvc

ccProxy

ccEvtMgr

ccSetMgr

SPBBCSvc

SymantecCoreLC

NPFMntor

MskService

FireSvc

e:感染文件

病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部

并在扩展名为htm,html,asp,php,jsp,aspx的文件中添加一网址,

用户一但打开了该文件,IE就会不断的在后台点击写入的网址,达到

增加点击量的目的,且该网页有漏洞,新变种的病毒会被下载并运行.

完成感染后会在当前文件夹中生成一个名为Desktop_.ini的隐藏文件,

里面写入当前的日期.

但病毒不会感染以下文件夹名中的文件:

WINDOW

Winnt

SystemVolumeInformation

Recycled

WindowsNT

WindowsUpdate

WindowsMediaPlayer

OutlookExpress

InternetExplorer

NetMeeting

CommonFiles

ComPlusApplications

Messenger

InstallShieldInstallationInformation

MSN

MicrosoftFrontpage

MovieMaker

MSNGaminZone

g:删除文件

病毒会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件

使用户的系统备份文件丢失.

h:感染局域网内其它机器

病毒会枚举局域网内的其它机器,并尝试登录密码,若登录成功,就复制自己到该机器上,

并添加计划任务运行病毒.

枚举用户名:

Administrator

Guest

admin

Root

枚举密码:

admin

1234

password

6969

harley

123456

golf

pussy

mustang

1111

shadow

1313

fish

5150

7777

qwery

baseball

2112

letmein

12345678

12345

ccc

admin

5201314

qq520

1

12

123

1234567

1234456789

654321

54321

111

000000

abc

pw

11111111

88888888

pass

passwd

database

abcd

abc123

sybase

123qwe

server

computer

520

super

123asd

0

ihavenopass

godblessyou

enable

xp

2002

2003

2600

110

111111

121212

123123

1234qwer

123abc

007

aaa

patrick

pat

administrator

root

sex

god

fuckyou

fuck

test

test123

temp

temp123

win

pc

asdf

pwd

qwer

yxcv

zxcv

home

xxx

owner

login

Login

pw123

love

mypc

mypc123

admin123

mypass

mypass123

901100

i:添加autorun

病毒会把自己复制到每个磁盘的根目录下,命名为setup.exe,

并添加入autorun.inf,使每次打开磁盘都能运行一次病毒体.

 
病毒名称(中文): 熊猫烧香 病毒别名: 武汉男生 威胁级别: ★★★☆☆ 病毒类型: 蠕虫病毒 病毒长度: 63440 影响系统: Win9xWinMeWinNTWin2000WinXPWin2003 病毒行为: 这是"熊猫烧香"病毒的一个变种,能感染系统中exe,com,pif,src,html,asp,jsp等文件, 它还能中止大量的反病毒软件进程 1:拷贝文件 病毒运行后,会把自己拷贝到 C:\WINDOWS\System32\Drivers\sppoolsv.exe 2:添加注册表自启动 病毒会添加自启动项 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare->C:\WINDOWS\System32\Drivers\sppoolsv.exe 3:病毒行为 a:每隔1秒 寻找桌面窗口,并关闭窗口标题中含有以下字符的程序 防火墙 进程 VirusScan NOD32 网镖 杀毒 瑞星 江民 超级兔子 优化大师 木马清道夫 QQ病毒 注册表编辑器 系统配置实用程序 卡巴斯基反病毒 SymantecAntiVirus Duba esteemproces 绿鹰PC 密码防盗 噬菌体 木马辅助查找器 SystemSafetyMonitor WrappedgiftKiller WinsockExpert 游戏木马检测大师 msctls_statusbar32 pjf(ustc) IceSword 并使用的键盘映射的方法关闭安全软件IceSword 添加注册表使自己自启动 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare->C:\WINDOWS\System32\Drivers\sppoolsv.exe 并中止系统中以下的进程: Mcshield.exe VsTskMgr.exe naPrdMgr.exe UpdaterUI.exe TBMon.exe scan32.exe Ravmond.exe CCenter.exe RavTask.exe Rav.exe Ravmon.exe RavmonD.exe RavStub.exe KVXP.kxp kvMonXP.kxp KVCenter.kxp KVSrvXP.exe KRegEx.exe UIHost.exe TrojDie.kxp FrogAgent.exe Logo1_.exe Logo_1.exe Rundl132.exe b:每隔18秒 点击病毒作者指定的网页,并用命令行检查系统中是否存在共享 共存在的话就运行netshare命令关闭admin$共享 c:每隔10秒 下载病毒作者指定的文件,并用命令行检查系统中是否存在共享 共存在的话就运行netshare命令关闭admin$共享 d:每隔6秒 删除安全软件在注册表中的键值 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run RavTask KvMonXP kav KAVPersonal50 McAfeeUpdaterUI NetworkAssociatesErrorReportingService ShStartEXE YLive.exe yassistse 并修改以下值不显示隐藏文件 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue->0x00 停止并删除以下服务: navapsvc wscsvc KPfwSvc SNDSrvc ccProxy ccEvtMgr ccSetMgr SPBBCSvc SymantecCoreLC NPFMntor MskService FireSvc e:感染文件 病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部 并在扩展名为htm,html,asp,php,jsp,aspx的文件中添加一网址, 用户一但打开了该文件,IE就会不断的在后台点击写入的网址,达到 增加点击量的目的,且该网页有漏洞,新变种的病毒会被下载并运行. 完成感染后会在当前文件夹中生成一个名为Desktop_.ini的隐藏文件, 里面写入当前的日期. 但病毒不会感染以下文件夹名中的文件: WINDOW Winnt SystemVolumeInformation Recycled WindowsNT WindowsUpdate WindowsMediaPlayer OutlookExpress InternetExplorer NetMeeting CommonFiles ComPlusApplications Messenger InstallShieldInstallationInformation MSN MicrosoftFrontpage MovieMaker MSNGaminZone g:删除文件 病毒会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件 使用户的系统备份文件丢失. h:感染局域网内其它机器 病毒会枚举局域网内的其它机器,并尝试登录密码,若登录成功,就复制自己到该机器上, 并添加计划任务运行病毒. 枚举用户名: Administrator Guest admin Root 枚举密码: admin 1234 password 6969 harley 123456 golf pussy mustang 1111 shadow 1313 fish 5150 7777 qwery baseball 2112 letmein 12345678 12345 ccc admin 5201314 qq520 1 12 123 1234567 1234456789 654321 54321 111 000000 abc pw 11111111 88888888 pass passwd database abcd abc123 sybase 123qwe server computer 520 super 123asd 0 ihavenopass godblessyou enable xp 2002 2003 2600 110 111111 121212 123123 1234qwer 123abc 007 aaa patrick pat administrator root sex god fuckyou fuck test test123 temp temp123 win pc asdf pwd qwer yxcv zxcv home xxx owner login Login pw123 love mypc mypc123 admin123 mypass mypass123 901100 i:添加autorun 病毒会把自己复制到每个磁盘的根目录下,命名为setup.exe, 并添加入autorun.inf,使每次打开磁盘都能运行一次病毒体.
󰈣󰈤
 
 
 
>>返回首页<<
 
 热帖排行
 
 
 
静静地坐在废墟上,四周的荒凉一望无际,忽然觉得,凄凉也很美
©2005- 王朝网络 版权所有