Red de conocimiento informático - Espacio del host - Hoy encontré algo sobre el virus del panda quemando incienso en Baidu y guardé uno en mi computadora.

Hoy encontré algo sobre el virus del panda quemando incienso en Baidu y guardé uno en mi computadora.

Nombre del virus: Worm.WhBoy.h

Nombre chino del virus: Panda Burning Incense (Wuhan Boys)

Tipo de virus: Gusano

Nivel de peligro: ★★★★★

Plataformas afectadas: Win 9x/ME, Win 2000/NT, Win XP, Win 2003

Herramienta de eliminación especializada: eliminación especializada de Kingsoft herramienta Antiy Herramienta de eliminación especializada Jiangmin Herramienta de eliminación especializada Dr. An Herramienta de eliminación especializada Symantec Herramienta de eliminación especializada

Descripción del virus:

"Wuhan Boy", comúnmente conocido como "Panda Burning Incense", Este es un gusano infeccioso que puede infectar exe, com, pif, src, html, asp y otros archivos del sistema. También puede finalizar una gran cantidad de procesos de software antivirus y eliminar archivos con la extensión gho. a Los archivos de copia de seguridad de la herramienta de copia de seguridad del sistema GHOST hacen que se pierdan los archivos de copia de seguridad del sistema del usuario. Todos los archivos ejecutables .exe en el sistema del usuario infectado se modifican para que parezcan un panda sosteniendo tres varitas de incienso.

1: Copiar archivos

Después de que el virus se ejecute, se copiará a sí mismo en C:\WINDOWS\System32\Drivers\spoclsv.exe

2: Agregar Registro de inicio automático de la tabla

El virus agregará el elemento de inicio automático HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe

3 :Comportamiento del virus

a: busque ventanas del escritorio cada 1 segundo y cierre los programas que contengan los siguientes caracteres en el título de la ventana:

QQKav, QQAV, firewall, proceso , VirusScan, Internet Dart, Antivirus, Antivirus, Rising, Jiangmin, Huangshan IE, Super Rabbit, Optimization Master, Trojan Star, Trojan Scavenger, QQ Virus, Editor del Registro, Utilidad de configuración del sistema, Kaspersky Anti-Virus, Symantec AntiVirus, Duba, estima proces, Green Eagle PC, antirrobo de contraseñas, phage, buscador auxiliar de troyanos, monitor de seguridad del sistema, regalo envuelto Killer, Winsock Expert, maestro de detección de troyanos de juegos, msctls_statusbar32, pjf(ustc), IceSword

y uso Método de mapa de teclas para cerrar el software de seguridad IceSword

Agregue el registro para habilitar el inicio automático HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe

Y finalice los siguientes procesos en el sistema:

Mcshield.exe, VsTskMgr.exe, naPrdMgr.exe, UpdaterUI.exe, TBMon.exe, scan32.exe, Ravmond.exe, CCenter .exe, RavTask.exe, Rav.exe, Ravmon.exe, RavmonD.exe, RavStub.exe, KVXP.kxp, kvMonXP.kxp, KVCenter.kxp, KVSrvXP.exe, KRegEx.exe, UIHost.exe, TrojDie. kxp, FrogAgent.exe, Logo1_.exe, Logo_1.exe, Rundl132.exe

b: haga clic en la página web especificada por el autor del virus cada 18 segundos y use la línea de comando para verificar si hay un *** recurso compartido en el sistema,* **Si existe, ejecute el comando net share para cerrar el recurso compartido admin$***

c: descargue el archivo especificado por el autor del virus cada 10 segundos y use la línea de comando para verificar si el *** recurso compartido existe en el sistema,* **Si existe, ejecute el comando net share para cerrar el recurso compartido admin$***

d: Eliminar el valor clave del software de seguridad en el registro cada 6 segundos

Y modifique los siguientes valores No mostrar archivos ocultos HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue -> 0x00

Eliminar los siguientes servicios:

navapsvc, wscsvc, KPfwSvc , SNDSrvc, ccProxy, ccEvtMgr, ccSetMgr, SPBBCSvc, Symantec Core LC, NPFMntor MskService, FireSvc

e: Archivos infectados

El virus infectará archivos con extensiones exe, pif, com, src, se agregará al encabezado del archivo y agregará archivos con extensiones htm, html, asp, Add. una URL a los archivos php, jsp y aspx. Una vez que el usuario abre el archivo, IE continuará haciendo clic en la URL escrita en segundo plano para aumentar la cantidad de clics. Sin embargo, el virus no infectará los siguientes nombres de carpeta. Archivos para:

WINDOW, Winnt, Información del volumen del sistema, Reciclado, Windows NT, WindowsUpdate, Windows Media Player, Outlook Express, Internet Explorer, NetMeeting, Archivos comunes, Aplicaciones ComPlus, Messenger, Información de instalación de InstallShield, MSN , Microsoft Frontpage, Movie Maker, MSN Gamin Zone

g: Eliminar archivos

El virus eliminará archivos con la extensión gho, que es un archivo de copia de seguridad utilizado por GHOST, una copia de seguridad del sistema. herramienta. Los archivos de copia de seguridad del sistema del usuario se pierden.