[会员中心]  [发布文章][发布软件]  [中文繁體] 
 文章·资料  电脑软件  手机软件  网站源码
   本 站 搜 索
[选项]
   推 荐 文 章       More...
华硕易电脑(ASUS Eee PC 1025C)驱动程序(Windows XP)安装参考(图) 华硕易电脑(ASUS Eee PC 1025C..
先来段开场白:为了外出携带方便..
Acronis True Image 使用说明 Acronis True Image 使用说明
  一款可以在Windows下使用..
Norton Ghost 使用详解 Norton Ghost 使用详解
一、分区备份   使用Ghost..
   阅 读 排 行
Windows 系统安装或备份时 ISO,GHO,WIM,ESD,PMF 都是什么文件类型 Windows 系统安装或备份时 ISO,GH..
【ISO 文件】 ISO 文件其实就..
使用“自动点击器”APP 在抖音直播间自动点赞 使用“自动点击器”APP 在抖音直..
看过抖音直播的朋友都知道,进入..
OPPO 手机的锁屏时间设置成横向显示 OPPO 手机的锁屏时间设置成横向..
第一次使用 OPPO 手机,桌面和锁..
电脑机箱(主板)前面板 USB 数据线的接线参考(图) 电脑机箱(主板)前面板 USB 数据..
  一、概述   因为每个 US..
抖音直播录屏的草稿保存位置 抖音直播录屏的草稿保存位置
抖音直播录屏,保存为“草稿”后,..
微信收到 flv 格式视频,如何播放? 微信收到 flv 格式视频,如何播放?
  微信上收到一个 flv 格式视频..
TrustAsia/DigiCert/Let s Encrypt 的免费 SSL 证书,多款网页浏览器都无法正常打开 TrustAsia/DigiCert/Let s Encryp..
云服务器安装了 Windows Server 2..
三星打印机(SCX-4521)提示“墨粉不足”设置 三星打印机(SCX-4521)提示“墨粉..
  三星打印机(SCX-4521)在添加..
文 章 信 息
关于熊猫烧香图标病毒
评论()][留言][收藏
[文章分类:电脑·手机·网络 / 网络安全·设置][阅读选项


  被感染的用户系统中所有.exe 可执行文件全部被改成熊猫举着三根香的模样。

  病毒行为:

  这是一个感染型的蠕虫病毒,它能感染系统中exe,com,pif,src,html,asp 等文件,它还能中止大量的反病毒软件进程

  1、拷贝文件

  病毒运行后,会把自己拷贝到:C:\WINDOWS\System32\Drivers\spoclsv.exe

  2、添加注册表自启动

  病毒会添加自启动项:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe

  3、病毒行为

  a、每隔1秒,寻找桌面窗口,并关闭窗口标题中含有以下字符的程序:
  QQKav
  QQAV
  防火墙
  进程
  VirusScan
  网镖
  杀毒
  毒霸
  瑞星
  江民
  黄山IE
  超级兔子
  优化大师
  木马克星
  木马清道夫
  QQ病毒
  注册表编辑器
  系统配置实用程序
  卡巴斯基反病毒
  Symantec AntiVirus
  Duba
  esteem proces
  绿鹰PC
  密码防盗
  噬菌体
  木马辅助查找器
  System Safety Monitor
  Wrapped gift Killer
  Winsock Expert
  游戏木马检测大师
  msctls_statusbar32
  pjf(ustc)
  IceSword

  并使用的键盘映射的方法关闭安全软件 IceSword

  添加注册表使自己自启动:
  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe

  并中止系统中以下的进程:
  Mcshield.exe
  VsTskMgr.exe
  naPrdMgr.exe
  UpdaterUI.exe
  TBMon.exe
  scan32.exe
  Ravmond.exe
  CCenter.exe
  RavTask.exe
  Rav.exe
  Ravmon.exe
  RavmonD.exe
  RavStub.exe
  KVXP.kxp
  kvMonXP.kxp
  KVCenter.kxp
  KVSrvXP.exe
  KRegEx.exe
  UIHost.exe
  TrojDie.kxp
  FrogAgent.exe
  Logo1_.exe
  Logo_1.exe
  Rundl132.exe

  b、每隔18秒,点击病毒作者指定的网页,并用命令行检查系统中是否存在共享,共存在的话就运行 net share 命令关闭 admin$ 共享

  c、每隔10秒,下载病毒作者指定的文件,并用命令行检查系统中是否存在共享,共存在的话就运行 net share 命令关闭 admin$ 共享

  d、每隔6秒,删除安全软件在注册表中的键值

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  RavTask
  KvMonXP
  kav
  KAVPersonal50
  McAfeeUpdaterUI
  Network Associates Error Reporting Service
  ShStartEXE
  YLive.exe
  yassistse

  并修改以下值不显示隐藏文件
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
  CheckedValue -> 0x00

  删除以下服务:
  navapsvc
  wscsvc
  KPfwSvc
  SNDSrvc
  ccProxy
  ccEvtMgr
  ccSetMgr
  SPBBCSvc
  Symantec Core LC
  NPFMntor
  MskService
  FireSvc

  e、感染文件,病毒会感染扩展名为 exe,pif,com,src 的文件,把自己附加到文件的头部并在扩展名为 htm,html,asp,php,jsp,aspx 的文件中添加一网址,用户一但打开了该文件,IE就会不断的在后台点击写入的网址,达到增加点击量的目的,但病毒不会感染以下文件夹名中的文件:
  WINDOW
  Winnt
  System Volume Information
  Recycled
  Windows NT
  WindowsUpdate
  Windows Media Player
  Outlook Express
  Internet Explorer
  NetMeeting
  Common Files
  ComPlus Applications
  Messenger
  InstallShield Installation Information
  MSN
  Microsoft Frontpage
  Movie Maker
  MSN Gamin Zone

  g、删除文件,病毒会删除扩展名为.gho 的文件,该类型文件是一系统备份工具 GHOST 的备份文件,使用户的系统备份文件丢失。

文章作者:未知  更新日期:2007-01-27
[文章浏览:][打印文章][发送文章
阅读说明
·本站大部分文章转载于网络,如有侵权请留言告知,本站即做删除处理。
·本站法律法规类文章转载自[中国政府网(www.org.cn)],相关法律法规如有修订,请浏览[中国政府网]网站。
·本站转载的文章,不为其有效性,实效性,安全性,可用性等做保证。
·如果有什么问题,或者意见建议,请联系[网站管理员]
  原“浪人文章”和“浪人下载”网站已合并为“老若尔文章软件站”,域名:https://lre.cn
  本站使用【啊估文章软件站】网站系统    网站管理员留言簿〗〖捐助     闽ICP备08009617号