Hoy encontré algo sobre el virus del panda quemando incienso en Baidu y guardé uno en mi computadora.
Nombre del virus: Worm.WhBoy.h
Nombre chino del virus: Panda Burning Incense (Wuhan Boys)
Tipo de virus: Gusano
Nivel de peligro: ★★★★★
Plataformas afectadas: Win 9x/ME, Win 2000/NT, Win XP, Win 2003
Herramienta de eliminación especializada: eliminación especializada de Kingsoft herramienta Antiy Herramienta de eliminación especializada Jiangmin Herramienta de eliminación especializada Dr. An Herramienta de eliminación especializada Symantec Herramienta de eliminación especializada
Descripción del virus:
"Wuhan Boy", comúnmente conocido como "Panda Burning Incense", Este es un gusano infeccioso que puede infectar exe, com, pif, src, html, asp y otros archivos del sistema. También puede finalizar una gran cantidad de procesos de software antivirus y eliminar archivos con la extensión gho. a Los archivos de copia de seguridad de la herramienta de copia de seguridad del sistema GHOST hacen que se pierdan los archivos de copia de seguridad del sistema del usuario. Todos los archivos ejecutables .exe en el sistema del usuario infectado se modifican para que parezcan un panda sosteniendo tres varitas de incienso.
1: Copiar archivos
Después de que el virus se ejecute, se copiará a sí mismo en C:\WINDOWS\System32\Drivers\spoclsv.exe
2: Agregar Registro de inicio automático de la tabla
El virus agregará el elemento de inicio automático HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe
3 :Comportamiento del virus
a: busque ventanas del escritorio cada 1 segundo y cierre los programas que contengan los siguientes caracteres en el título de la ventana:
QQKav, QQAV, firewall, proceso , VirusScan, Internet Dart, Antivirus, Antivirus, Rising, Jiangmin, Huangshan IE, Super Rabbit, Optimization Master, Trojan Star, Trojan Scavenger, QQ Virus, Editor del Registro, Utilidad de configuración del sistema, Kaspersky Anti-Virus, Symantec AntiVirus, Duba, estima proces, Green Eagle PC, antirrobo de contraseñas, phage, buscador auxiliar de troyanos, monitor de seguridad del sistema, regalo envuelto Killer, Winsock Expert, maestro de detección de troyanos de juegos, msctls_statusbar32, pjf(ustc), IceSword
y uso Método de mapa de teclas para cerrar el software de seguridad IceSword
Agregue el registro para habilitar el inicio automático HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe
Y finalice los siguientes procesos en el sistema:
Mcshield.exe, VsTskMgr.exe, naPrdMgr.exe, UpdaterUI.exe, TBMon.exe, scan32.exe, Ravmond.exe, CCenter .exe, RavTask.exe, Rav.exe, Ravmon.exe, RavmonD.exe, RavStub.exe, KVXP.kxp, kvMonXP.kxp, KVCenter.kxp, KVSrvXP.exe, KRegEx.exe, UIHost.exe, TrojDie. kxp, FrogAgent.exe, Logo1_.exe, Logo_1.exe, Rundl132.exe
b: haga clic en la página web especificada por el autor del virus cada 18 segundos y use la línea de comando para verificar si hay un *** recurso compartido en el sistema,* **Si existe, ejecute el comando net share para cerrar el recurso compartido admin$***
c: descargue el archivo especificado por el autor del virus cada 10 segundos y use la línea de comando para verificar si el *** recurso compartido existe en el sistema,* **Si existe, ejecute el comando net share para cerrar el recurso compartido admin$***
d: Eliminar el valor clave del software de seguridad en el registro cada 6 segundos
Y modifique los siguientes valores No mostrar archivos ocultos HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue -> 0x00
Eliminar los siguientes servicios:
navapsvc, wscsvc, KPfwSvc , SNDSrvc, ccProxy, ccEvtMgr, ccSetMgr, SPBBCSvc, Symantec Core LC, NPFMntor MskService, FireSvc
e: Archivos infectados
El virus infectará archivos con extensiones exe, pif, com, src, se agregará al encabezado del archivo y agregará archivos con extensiones htm, html, asp, Add. una URL a los archivos php, jsp y aspx. Una vez que el usuario abre el archivo, IE continuará haciendo clic en la URL escrita en segundo plano para aumentar la cantidad de clics. Sin embargo, el virus no infectará los siguientes nombres de carpeta. Archivos para:
WINDOW, Winnt, Información del volumen del sistema, Reciclado, Windows NT, WindowsUpdate, Windows Media Player, Outlook Express, Internet Explorer, NetMeeting, Archivos comunes, Aplicaciones ComPlus, Messenger, Información de instalación de InstallShield, MSN , Microsoft Frontpage, Movie Maker, MSN Gamin Zone
g: Eliminar archivos
El virus eliminará archivos con la extensión gho, que es un archivo de copia de seguridad utilizado por GHOST, una copia de seguridad del sistema. herramienta. Los archivos de copia de seguridad del sistema del usuario se pierden.