Red de conocimiento informático - Conocimiento sistemático - ¿Qué tipo de virus es el saludo de Año Nuevo Panda?

¿Qué tipo de virus es el saludo de Año Nuevo Panda?

Nombre del virus: gusano. WhBoy.h

Nombre chino del virus: Panda Burning Incense (Wuhan Boy)

Tipo de virus: Gusano

Nivel de peligro: ★★

Plataformas afectadas: win9x/me, win2000/nt, winxp, win2003.

Herramientas de matanza especializadas: Herramienta de matanza especializada de Jinshan Herramienta de matanza especializada de Yasuda Herramienta de matanza especializada de Jiang Min

Descripción del virus:

"Wuhan Boy", comúnmente conocido como " Panda Burning Incense" ”, es un gusano contagioso. Puede infectar exe, com, pif, src, html, asp y otros archivos del sistema. También puede detener una gran cantidad de procesos de software antivirus y eliminar archivos con extensión gho. Este archivo es un archivo de copia de seguridad de la herramienta de copia de seguridad del sistema GHOST, lo que provoca que se pierda el archivo de copia de seguridad del sistema del usuario. todo. El archivo ejecutable exe en el sistema del usuario infectado se ha modificado para que parezca un panda sosteniendo tres varitas de incienso.

1: Copiar archivos

Después de que el virus se ejecute, se copiará a sí mismo en C:\Windows\System32\drivers\spoclsv.exe.

2: Agregar inicio de registro

El virus se agregará al elemento de inicio HKEY_Current_User\Software\Microsoft\Windows\Current Version\Run SVC Share-> C:\Windows\System32 \ Drivers \ spoclsv .exe

3. Comportamiento del virus

Respuesta: Busque la ventana del escritorio cada 1 segundo, cierre el programa y aparecerán los siguientes caracteres en el título de la ventana:

QQKav, QQAV, firewall, proceso, escaneo de virus, dardos de Internet, antivirus, virus tirano, estrella en ascenso, Jiang Min, Huangshan IE, Super Rabbit, Optimization Master, Trojan Nemesis, Trojan Scavenger, virus QQ, registro Editor, Utilidad de configuración del sistema, Kaspersky Anti-Virus, Symantec Anti-Virus, Duba, Premium Process, Green Eagle PC, Antirrobo de contraseñas, Phage. Buscador auxiliar de troyanos, monitor de seguridad del sistema, negro envuelto para regalo, experto en Winsock, maestro de detección de troyanos en juegos, msctls_statusbar32, pjf(ustc), IceSword.

Y utilice el método de asignación de teclado para cerrar el software de seguridad IceSword.

Agregue el registro para iniciar HKEY_Current_User\Software\Microsoft\Windows\Current Version\Running SVC Share -> C:\Windows\System32\Drivers\spoclsv.exe

Y detenga el siguientes procesos en el sistema:

Mcshield.exe, VsTskMgr.exe, naPrdMgr.exe, UpdaterUI.exe, TBMon.exe, scan32.exe, Ravmond.exe, CCenter.exe, RavTask .exe, Rav .exe, RavmonD.exe, RavStub.exe, KVXP.kxp, KVCenter.kxp, KVSrvXP.exe, KRegEx.exe, UIHost. exe, Logo_1.exe, Rundl132.exe

b: haga clic en la página web especificada por el autor del virus cada 18 segundos y use la línea de comando para verificar si hay * * * disfrute en el sistema. Si hay * * *, ejecute el comando net share para cerrar el administrador $ * * * disfrute.

c: descargue el archivo especificado por el autor del virus cada 10 segundos y use la línea de comando para verificar si hay * * * disfrute en el sistema. Si * * * existe, ejecute el comando net share para cerrar el administrador $ * * * disfrute.

d: Elimina el valor clave del software de seguridad en el registro cada 6 segundos.

Y modifique el siguiente valor para no mostrar archivos ocultos HKEY_Local_Machine\Software\Microsoft\Windows\Current Version\Explorer\Advanced\Folder\Hide\Show All Check Value -> 0x00

Elimina los siguientes servicios:

navapsvc, wscsvc, KPfwSvc, SNDSrvc, ccProxy, ccEvtMgr, ccSetMgr, SPBBCSvc, Symantec Core LC, NPFMntor MskService, FireSvc

e: Archivos infectados

El virus infectará archivos con extensiones como EXE, PIF, COM, SRC, etc., se adjuntará al encabezado del archivo y agregará archivos con extensiones como HTM, HTML, ASP, PHP, JSP, Los archivos aspx, etc. agregan una URL. Una vez que el usuario abre el archivo, IE continuará haciendo clic en la URL escrita en segundo plano para aumentar el número de clics, pero el virus no infectará archivos con los siguientes nombres de carpeta:

Windows, Winnt, información del volumen del sistema, Papelera de reciclaje, Windows NT, WindowsUpdate, Windows Media Player, Outlook Express, Internet Explorer, NetMeeting, Archivos públicos, Aplicaciones ComPlus, Messenger, Información de instalación de InstallShield, MSN, Microsoft Frontpage, Movie Maker, MSN Gamin Zone

g: Eliminar archivos

El virus eliminará archivos con la extensión gho, que es un archivo de copia de seguridad de la herramienta de copia de seguridad del sistema GHOST, lo que provocará la pérdida de los archivos de copia de seguridad del sistema del usuario.

上篇: Cuando voy a un hotel a altas horas de la noche, obviamente hay habitaciones disponibles, pero ¿por qué la recepción siempre dice "no hay habitaciones disponibles"? 下篇: ¿Dónde están las ubicaciones de las brigadas de policía de tránsito en cada distrito de Shenyang? ¿Cuál es el número de teléfono?

Artículos populares