摘要:
熊猫烧香病毒已成为2006年计算机病毒最大威胁,熊猫烧香病毒主要通过互联网传播,熊猫烧香变种主要症状,有些人给这个病毒的命名为维金Viking的变种,而大部分人则认为是熊猫烧香。关键字:
熊猫烧香 病毒 正文:
1月15日,国内计算机反病毒软件厂商江民科技继去年12月27日发布“熊猫烧香”病毒紧急警报后,再次发布该病毒警报。据江民反病毒中心监测发现,“熊猫烧香”病毒近期正在加速传播,多家IT门户以及专业网站被种植该病毒,IE浏览器存在漏洞的用户浏览网页即会“中招”。
由于被种植“熊猫烧香”病毒的网站全球排名均在前300名之列,因此估计至少上百万人受此病毒威胁。 上周,江民科技发布2006年计算机病毒疫情显示,“熊猫烧香”(“威金”病毒变种)已成为2006年计算机病毒最大威胁,截止至去年12月份,已有超过50万台计算机受此病毒感染,而受害企业用户更是达到上千家。病毒疫情十分严重。 江民反病毒专家指出,“熊猫烧香”病毒主要通过互联网传播,因此用户在上网时务必不要随意点击不明链接。由于病毒已经攻破多家知名网站传播自身,因此即使在浏览正常网站时,也要开启杀毒软件的“网页监控”功能再上网。针对病毒攻击计算机弱口令以及利用微软自动播放功能等特征,专家建议电脑用户给计算机加上复杂一些的登陆密码,并暂时关闭微软“自动播放”功能。 一、病毒描述: 含有病毒体的文件被运行后,病毒将自身拷贝至系统目录,同时修改注册表将自身设置为开机启动项,并遍历各个驱动器,将自身写入磁盘根目录下,增加一个Autorun.inf文件,使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染,同时开另外一个线程连接某网站下载ddos程序进行发动恶意攻击。 二、病毒基本情况: [文件信息] 病毒名: Virus.Win32.EvilPanda.a.ex$
大 小: 0xDA00 (55808), (disk) 0xDA00 (55808)
SHA1 : F0C3DA82E1620701AD2F0C8B531EEBEA0E8AF69D
壳信息: 未知
危害级别:高 病毒名: Flooder.Win32.FloodBots.a.ex$
大 小: 0xE800 (59392), (disk) 0xE800 (59392)
SHA1 : B71A7EF22A36DBE27E3830888DAFC3B2A7D5DA0D
壳信息: UPX 0.89.6 - 1.02 / 1.05 - 1.24
危害级别:高 三、病毒行为: Virus.Win32.EvilPanda.a.ex$ : 1、病毒体执行后,将自身拷贝到系统目录: %SystemRoot%\system32\FuckJacks.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Userinit "C:\WIN2K\system32\SVCH0ST.exe"
2、添加注册表启动项目确保自身在系统重启动后被加载: 键路径:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键名:FuckJacks
键值:"C:\WINDOWS\system32\FuckJacks.exe" 键路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键名:svohost
键值:"C:\WINDOWS\system32\FuckJacks.exe" 3、拷贝自身到所有驱动器根目录,命名为Setup.exe,并生成一个autorun.inf使得用户打开该盘运行病毒,并将这两个文件属性设置为隐藏、只读、系统。 C:\autorun.inf 1KB RHS
C:\setup.exe 230KB RHS 4、关闭众多杀毒软件和安全工具。
5、连接*****.3322.org下载某文件,并根据该文件记录的地址,去www.****.com下载某ddos程序,下载成功后执行该程序。
6、刷新bbs.qq.com,某QQ秀链接。
7、循环遍历磁盘目录,感染文件,对关键系统文件跳过,不感染Windows媒体播放器、MSN、IE 等程序。 Flooder.Win32.FloodBots.a.ex$ : 1、病毒体执行后,将自身拷贝到系统目录: %SystemRoot%\SVCH0ST.EXE
%SystemRoot%\system32\SVCH0ST.EXE 2、该病毒后下载运行后,添加注册表启动项目确保自身在系统重启动后被加载: 键路径:HKEY_
[1][2]
