蠕虫病毒熊猫烧香
时间:2022-02-18 20:30:01 | 来源:信息时代
时间:2022-02-18 20:30:01 来源:信息时代
熊猫烧香蠕虫病毒
Worm.WhBoy.(金山称),Worm.Nimaya.(瑞星称)
'熊猫烧香'还可以通过共享文件夹、系统弱口令等多种方式进行传播。
金山分析:这是一个感染型的蠕虫病毒,它能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程
病毒运行后,会把自己拷贝到
C:WINDOWSSystem32Driversspoclsv.exe
病毒会添加自启动项
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
svcshare->C:WINDOWSSystem32Driversspoclsv.exe
a:每隔1秒
寻找桌面窗口,并关闭窗口标题中含有以下字符的程序
QQKav
QQAV
防火墙
进程
VirusScan
网镖
杀毒
毒霸
瑞星
江民
黄山IE
超级兔子
优化大师
木马克星
木马清道夫
QQ病毒
注册表编辑器
系统配置实用程序
卡巴斯基反病毒
SymantecAntiVirus
Duba
esteemproces
绿鹰PC
密码防盗
噬菌体
木马辅助查找器
SystemSafetyMonitor
WrappedgiftKiller
WinsockExpert
游戏木马检测大师
msctls_statusbar32
pjf(ustc)
IceSword
并使用的键盘映射的方法关闭安全软件IceSword
添加注册表使自己自启动
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
svcshare->C:WINDOWSSystem32Driversspoclsv.exe
并中止系统中以下的进程:
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
kvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl132.exe
b:每隔18秒
点击病毒作者指定的网页,
并用命令行检查系统中是否存在共享
共享存在的话就运行netshare命令关闭admin
c:每隔10秒
下载病毒作者指定的文件,
并用命令行检查系统中是否存在共享
共享存在的话就运行netshare命令关闭admin
d:每隔6秒
删除安全软件在注册表中的键值
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
RavTask
KvMonXP
kav
KAVPersonal50
McAfeeUpdaterUI
NetworkAssociatesErrorReportingService
ShStartEXE
YLive.exe
yAssistse
并修改以下值不显示隐藏文件
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL
CheckedValue->0x00
删除以下服务:
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
SymantecCoreLC
NPFMntor
MskService
FireSvc
e:感染文件
病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部
并在扩展名为htm,html,asp,php,jsp,aspx的文件中添加一网址,
用户一但打开了该文件,IE就会不断的在后台点击写入的网址,达到
增加点击量的目的,但病毒不会感染以下文件夹名中的文件:
WINDOW
Winnt
SystemVolumeInformation
Recycled
WindowsNT
WindowsUpdate
WindowsMediaPlayer
OutlookExpress
InternetExplorer
NetMeeting
CommonFiles
ComPlusApplications
Messenger
InstallShieldInstallationInformation
MSN
MicrosoftFrontpage
MovieMaker
MSNGaminZone
g:删除文件
病毒会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件
使用户的系统备份文件丢失.
瑞星最新病毒分析报告:'Nimaya(熊猫烧香)'
这是一个传染型的DownLoad使用Delphi编写
传播途径
蠕虫一般不采取利用pe格式插入文件的方法,而是复制自身在互联网环境下进行传播,病毒的传染能力主要是针对计算机内的文件系统而言,而蠕虫病毒的传染目标是互联网内的所有计算机.局域网条件下的共享文件夹,电子邮件email,网络中的恶意网页,大量存在着漏洞的服务器等都成为蠕虫传播的良好途径。网络的发展也使得蠕虫病毒可以在几个小时内蔓延全球!而且蠕虫的主动攻击性和突然爆发性将使得人们手足无策!本文中将蠕虫病毒分为针对企业网络和个人用户2类,并从企业用户和个人用户两个方面探讨蠕虫病毒的特征和一些防范措施。防止系统漏洞类蠕虫病毒的侵害,最好的办法是打好相应的系统补丁,可以应用瑞星杀毒软件的'漏洞扫描'工具,这款工具可以引导用户打好补丁并进行相应的安全设置,彻底杜绝病毒的感染。通过电子邮件传播,是病毒作者青睐的方式之一,像'恶鹰'、'网络天空'等都是危害巨大的邮件蠕虫病毒。这样的病毒往往会频繁大量的出现变种,用户中毒后往往会造成数据丢失、个人信息失窃、系统运行变慢等。
蠕虫病毒
防范措施
蠕虫病毒的一般防治方法是:使用具有实时监控功能的杀毒软件,防范邮件蠕虫的最好办法,就是提高自己的安全意识,不要轻易打开带有附件的电子邮件。另外,可以启用瑞星杀毒软件的'邮件发送监控'和'邮件接收监控'功能,也可以提高自己对病毒邮件的防护能力。
从2004年起,MSN、QQ等聊天软件开始成为蠕虫病毒传播的途径之一。'性感烤鸡'病毒就通过MSN软件传播,在很短时间内席卷全球,一度造成中国大陆地区部分网络运行异常。
对于普通用户来讲,防范聊天蠕虫的主要措施之一,就是提高安全防范意识,对于通过聊天软件发送的任何文件,都要经过好友确认后再运行;不要随意点击聊天软件发送的网络链接。
病毒并不是非常可怕的,网络蠕虫病毒对个人用户的攻击主要还是通过社会工程学,而不是利用系统漏洞!所以防范此类病毒需要注意以下几点:
1、选购合适的杀毒软件。网络蠕虫病毒的发展已经使传统的杀毒软件的'文件级实时监控系统'落伍,杀毒软件必须向内存实时监控和邮件实时监控发展!另外,面对防不胜防的网页病毒,也使得用户对杀毒软件的要求越来越高!
2、经常升级病毒库,杀毒软件对病毒的查杀是以病毒的特征码为依据的,而病毒每天都层出不穷,尤其是在网络时代,蠕虫病毒的传播速度快、变种多,所以必须随时更新病毒库,以便能够查杀最新的病毒。3、提高防杀毒意识。不要轻易去点击陌生的站点,有可能里面就含有恶意代码!
蠕虫病毒
当运行IE时,点击'工具→Internet选项→安全→Internet区域的安全级别',把安全级别由'中'改为'高'。因为这一类网页主要是含有恶意代码的ActiveX或Applet、JavaScript的网页文件,所以在IE设置中将ActiveX插件和控件、Java脚本等全部禁止,就可以大大减少被网页恶意代码感染的几率。具体方案是:在IE窗口中点击'工具'→'Internet选项',在弹出的对话框中选择'安全'标签,再点击'自定义级别'按钮,就会弹出'安全设置'对话框,把其中所有ActiveX插件和控件以及与Java相关全部选项选择'禁用'。但是,这样做在以后的网页浏览过程中有可能会使一些正常应用ActiveX的网站无法浏览。
4、不随意查看陌生邮件,尤其是带有附件的邮件。由于有的病毒邮件能够利用ie和outlook的漏洞自动执行,所以计算机用户需要升级ie和outlook程序,及常用的其他应用程序。
最新蠕虫病毒'蒙面客'被发现,可泄漏用户隐私