¿Qué tipo de virus es Panda Quemando Incienso y cuáles son sus síntomas?
Nombre del virus: Worm.WhBoy.h
Nombre chino del virus: Panda Burning Incense (Wuhan Boys)
Tipo de virus: Gusano
Nivel de peligro: ★★★★★
Plataformas afectadas: Win 9x/ME, Win 2000/NT, Win XP, Win 2003
Descripción del virus:
"Wuhan Boy", comúnmente conocido como "Panda Burning Incense", es un gusano infeccioso que puede infectar exe, com, pif, src, html, asp y otros archivos del sistema. También puede terminar una gran cantidad de archivos. Los procesos del software antivirus y el archivo con la extensión gho se eliminarán. Este archivo es el archivo de copia de seguridad de GHOST, una herramienta de copia de seguridad del sistema, lo que provoca que se pierda el archivo de copia de seguridad del sistema del usuario. Todos los archivos ejecutables .exe en el sistema del usuario infectado se modifican para que parezcan un panda sosteniendo tres varitas de incienso.
1: Copiar archivos
Después de que el virus se ejecute, se copiará a sí mismo en C:\WINDOWS\System32\Drivers\spoclsv.exe
2: Agregar Registro de inicio automático de la tabla
El virus agregará el elemento de inicio automático HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe
3 :Comportamiento del virus
a: busque ventanas del escritorio cada 1 segundo y cierre los programas que contengan los siguientes caracteres en el título de la ventana:
QQKav, QQAV, firewall, proceso , VirusScan, Internet Dart, Antivirus, Antivirus, Rising, Jiangmin, Huangshan IE, Super Rabbit, Optimization Master, Trojan Star, Trojan Scavenger, QQ Virus, Editor del Registro, Utilidad de configuración del sistema, Kaspersky Anti-Virus, Symantec AntiVirus, Duba, estima proces, Green Eagle PC, antirrobo de contraseñas, phage, buscador auxiliar de troyanos, monitor de seguridad del sistema, regalo envuelto Killer, Winsock Expert, maestro de detección de troyanos de juegos, msctls_statusbar32, pjf(ustc), IceSword
y uso Método de mapa de teclas para cerrar el software de seguridad IceSword
Agregue el registro para habilitar el inicio automático HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe
Y finalice los siguientes procesos en el sistema:
Mcshield.exe, VsTskMgr.exe, naPrdMgr.exe, UpdaterUI.exe, TBMon.exe, scan32.exe, Ravmond.exe, CCenter .exe, RavTask.exe, Rav.exe, Ravmon.exe, RavmonD.exe, RavStub.exe, KVXP.kxp, kvMonXP.kxp, KVCenter.kxp, KVSrvXP.exe, KRegEx.exe, UIHost.exe, TrojDie. kxp, FrogAgent.exe, Logo1_.exe, Logo_1.exe, Rundl132.exe
b: haga clic en la página web especificada por el autor del virus cada 18 segundos y use la línea de comando para verificar si hay un *** recurso compartido en el sistema,* **Si existe, ejecute el comando net share para cerrar el recurso compartido admin$***
c: descargue el archivo especificado por el autor del virus cada 10 segundos y use la línea de comando para verificar si el *** recurso compartido existe en el sistema,* **Si existe, ejecute el comando net share para cerrar el recurso compartido admin$***
d: Eliminar el valor clave del software de seguridad en el registro cada 6 segundos
Y modifique los siguientes valores No mostrar archivos ocultos HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue -> 0x00
Eliminar los siguientes servicios:
navapsvc, wscsvc, KPfwSvc , SNDSrvc, ccProxy, ccEvtMgr, ccSetMgr, SPBBCSvc, Symantec Core LC, NPFMntor MskService, FireSvc
<p>e: Archivos infectados
El virus infectará archivos con extensiones exe, pif, com, src, se agregará al encabezado del archivo y agregará archivos con extensiones htm, html, asp, php. agregue una URL al archivo jsp, aspx, una vez que el usuario abra el archivo, IE continuará haciendo clic en la URL escrita en segundo plano para aumentar la cantidad de clics, pero el virus no infectará los siguientes nombres de carpeta Archivos:
VENTANA, Winnt, Información del volumen del sistema, Reciclado, Windows NT, WindowsUpdate, Windows Media Player, Outlook Express, Internet Explorer, NetMeeting, Archivos comunes, Aplicaciones ComPlus, Messenger, Información de instalación de InstallShield, MSN, Microsoft Frontpage, Película Maker, MSN Gamin Zone
g: Eliminar archivos
El virus eliminará archivos con la extensión gho. Este archivo es un archivo de copia de seguridad de GHOST, una herramienta de copia de seguridad del sistema que convierte a los usuarios en The. Faltan archivos de copia de seguridad del sistema.