通信人家园

标题: 【公告】本周5星病毒通告,请大家小心(3楼有专杀)  [查看完整版帖子] [打印本页]

时间:  2007-1-15 10:42
作者: 家园副管02     标题: 【公告】本周5星病毒通告,请大家小心(3楼有专杀)

熊猫烧香病毒攻击专业网站 用户应小心提防

1月12日、13日、14日,江民相继接到专业网站的报告,称被蔓延两周之久的威金病毒变种“熊猫烧香”攻击。

江民科技对外发言人曹凌翔昨天向记者表示,“熊猫烧香”进一步攻陷企业局域网,上千家企业被该病毒攻击,一些防备很严密的互联网专业网站也未能幸免。曹凌翔表示,该病毒会在中毒电脑中所有的网页文件尾部添加病毒代码。一些网站编辑人员的电脑如被该病毒感染,上传网页到网站后,就会导致用户浏览这些网站时也被病毒感染。

国家计算机病毒应急处理中心昨天发布预报说,1月15日至21日一周内要提防“威金”病毒的新变种。

[此贴子已经被家园副管02于2007-1-17 11:13:05编辑过]


时间:  2007-1-15 13:23
作者: jasmine1118

啊?

恐怖!
时间:  2007-1-16 08:56
作者: qqqq



病毒名称:Worm.WhBoy.h
病毒中文名:熊猫烧香(武汉男生)
病毒类型:蠕虫
危险级别:★★★★★
影响平台:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
专杀工具:
金山专杀工具
     
安天专杀工具
      
江民专杀工具
      
安博士专杀工具

病毒描述:
“武汉男生”,俗称“熊猫烧香”,这是一个感染型的蠕虫病毒,它能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件,使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。
1:拷贝文件
病毒运行后,会把自己拷贝到C:\WINDOWS\System32\Drivers\spoclsv.exe
2:添加注册表自启动
病毒会添加自启动项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe
3:病毒行为
a:每隔1秒寻找桌面窗口,并关闭窗口标题中含有以下字符的程序:
QQKav、QQAV、防火墙、进程、VirusScan、网镖、杀毒、毒霸、瑞星、江民、黄山IE、超级兔子、优化大师、木马克星、木马清道夫、QQ病毒、注册表编辑器、系统配置实用程序、卡巴斯基反病毒、Symantec AntiVirus、Duba、esteem proces、绿鹰PC、密码防盗、噬菌体、木马辅助查找器、System Safety Monitor、Wrapped gift Killer、Winsock Expert、游戏木马检测大师、msctls_statusbar32、pjf(ustc)、IceSword
并使用的键盘映射的方法关闭安全软件IceSword
添加注册表使自己自启动 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe
并中止系统中以下的进程:
Mcshield.exe、VsTskMgr.exe、naPrdMgr.exe、UpdaterUI.exe、TBMon.exe、scan32.exe、Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、RavmonD.exe、RavStub.exe、KVXP.kxp、kvMonXP.kxp、KVCenter.kxp、KVSrvXP.exe、KRegEx.exe、UIHost.exe、TrojDie.kxp、FrogAgent.exe、Logo1_.exe、Logo_1.exe、Rundl132.exe
b:每隔18秒点击病毒作者指定的网页,并用命令行检查系统中是否存在共享,共存在的话就运行net share命令关闭admin$共享
c:每隔10秒下载病毒作者指定的文件,并用命令行检查系统中是否存在共享,共存在的话就运行net share命令关闭admin$共享
d:每隔6秒删除安全软件在注册表中的键值
并修改以下值不显示隐藏文件 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue -> 0x00
删除以下服务:
navapsvc、wscsvc、KPfwSvc、SNDSrvc、ccProxy、ccEvtMgr、ccSetMgr、SPBBCSvc、Symantec Core LC、NPFMntor MskService、FireSvc
e:感染文件
病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部,并在扩展名为htm,html, asp,php,jsp,aspx的文件中添加一网址,用户一但打开了该文件,IE就会不断的在后台点击写入的网址,达到增加点击量的目的,但病毒不会感染以下文件夹名中的文件:
WINDOW、Winnt、System Volume Information、Recycled、Windows NT、WindowsUpdate、Windows Media Player、Outlook Express、Internet Explorer、NetMeeting、Common Files、ComPlus Applications、Messenger、InstallShield Installation Information、MSN、Microsoft Frontpage、Movie Maker、MSN Gamin Zone
g:删除文件
病毒会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件使用户的系统备份文件丢失。
时间:  2007-1-16 16:46
作者: 恋雨的咖啡

要小心啊!不知道卡巴斯基管用不?
时间:  2007-1-16 18:04
作者: myheart527

啊,我见过这个!!!
就是这个病毒把我的电脑搞的一个礼拜重装了5次,而且把卡巴斯基也搞死的。
时间:  2007-1-17 15:30
作者: 恋雨的咖啡

这么强啊!
时间:  2007-1-17 20:52
作者: 紅塵の蓝陌

我这两天也是苦恼这事呢,公司刚买的新电脑,我还以为我装机时出了问题,结果他们把U盘到处插,感染了!
时间:  2007-1-18 18:03
作者: 恋雨的咖啡

晕倒,最讨厌重装系统!
时间:  2007-1-21 15:46
作者: luqa511

<p>已经搞定了</p><p>还是谢谢</p>




通信人家园 (https://www.txrjy.com/) Powered by C114