熊猫烧香病毒特征
1、这个病毒关闭众多杀毒软件和安全工具。 2、循环遍历磁盘目录,感染文件,对关键系统文件跳过。 3、感染所有EXE、SCR、PIF、COM文件,并更改图标为烧香熊猫。 4、感染所有.htm/.html/.asp/.php/.jsp/.aspx文件,添加木马恶意代码。 5、自动删除*.gho文件。
病毒行为:
这是一个感染型的蠕虫病毒,它能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程1:拷贝文件病毒运行后,会把自己拷贝到C:\WINDOWS\System32\Drivers\spoclsv.exe2:添加注册表自启动病毒会添加自启动项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runsvcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe3:病毒行为a:每隔1秒寻找桌面窗口,并关闭窗口标题中含有以下字符的程序QQKavQQAV防火墙进程VirusScan网镖杀毒毒霸瑞星江民黄山IE超级兔子优化大师木马克星木马清道夫QQ病毒注册表编辑器系统配置实用程序卡巴斯基反病毒Symantec AntiVirusDubaesteem proces绿鹰PC密码防盗噬菌体木马辅助查找器System Safety MonitorWrapped gift KillerWinsock Expert游戏木马检测大师msctls_statusbar32pjf(ustc)IceSword并使用的键盘映射的方法关闭安全软件IceSword添加注册表使自己自启动HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runsvcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe并中止系统中以下的进程:Mcshield.exeVsTskMgr.exenaPrdMgr.exeUpdaterUI.exeTBMon.exescan32.exeRavmond.exeCCenter.exeRavTask.exeRav.exeRavmon.exeRavmonD.exeRavStub.exeKVXP.kxpkvMonXP.kxpKVCenter.kxpKVSrvXP.exeKRegEx.exeUIHost.exeTrojDie.kxpFrogAgent.exeLogo1_.exeLogo_1.exeRundl132.exeb:每隔18秒点击病毒作者指定的网页,并用命令行检查系统中是否存在共享共存在的话就运行net share命令关闭admin$共享c:每隔10秒下载病毒作者指定的文件,并用命令行检查系统中是否存在共享共存在的话就运行net share命令关闭admin$共享d:每隔6秒删除安全软件在注册表中的键值HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunRavTaskKvMonXPkavKAVPersonal50McAfeeUpdaterUINetwork Associates Error Reporting ServiceShStartEXEYLive.exeyassistse并修改以下值不显示隐藏文件HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALLCheckedValue -> 0x00删除以下服务:navapsvcwscsvcKPfwSvcSNDSrvcccProxyccEvtMgrccSetMgrSPBBCSvcSymantec Core LCNPFMntorMskServiceFireSvce:感染文件病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部并在扩展名为htm,html, asp,php,jsp,aspx的文件中添加一网址,用户一但打开了该文件,IE就会不断的在后台点击写入的网址,达到增加点击量的目的,但病毒不会感染以下文件夹名中的文件:WINDOWWinntSystem Volume InformationRecycledWindows NTWindowsUpdateWindows Media PlayerOutlook ExpressInternet ExplorerNetMeetingCommon FilesComPlus ApplicationsMessengerInstallShield Installation InformationMSNMicrosoft FrontpageMovie MakerMSN Gamin Zoneg:删除文件病毒会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件使用户的系统备份文件丢失.