金山毒霸2009
金山清理专家
专杀工具
在线杀毒
密保
网盾
系统急救箱
ARP防火墙
本病毒所有命名:
影响系统:
Win9x,WinMe,Linux
简介:
1.判断当前启动路径是不是%sys32dir%driverssuchost.exe,是的话释放资源到c:go.sys恢复SSDT,注册的服务名为ressdt. 2.运行成功后删除服务ressdt和c:go.sys
行为分析:
这是一个熊猫烧香病毒的变种。它会尝试映像劫持或直接删除杀毒软件的进程,并把自己的图标伪装成杀毒软件,以此躲避用户的注意。顺利运行后会下载大量的其它木马文件到电脑中运行。
:
影响系统:
Win9x,WinMe,Linux
简介:
1.判断当前启动路径是不是%sys32dir%driverssuchost.exe,是的话释放资源到c:go.sys恢复SSDT,注册的服务名为ressdt. 2.运行成功后删除服务ressdt和c:go.sys
行为分析:
这是一个熊猫烧香病毒的变种。它会尝试映像劫持或直接删除杀毒软件的进程,并把自己的图标伪装成杀毒软件,以此躲避用户的注意。顺利运行后会下载大量的其它木马文件到电脑中运行。
描述:
1.判断当前启动路径是不是%sys32dir%driverssuchost.exe,是的话释放资源到c:go.sys恢复SSDT,注册的服务名为ressdt.
2.运行成功后删除服务ressdt和c:go.sys
3.判断当前运行的文件名是不是原始的" .exe",若是的话调用explorer打开当前目录,并向含有"我的电脑""我的電腦""My Computer"字符的窗口发送wm_close消息。
4.搜索当前运行目录下是否存在"Desk_top_.ini",存在则删除,
5.将自己复制到%sys32dir%driverssuchost.exe,并运行。
6.每隔6秒停止以下安全软件服务
Schedule sharedaccess kacsvc avp McAfeeFramework McShield RsCCenter RsRavMon
删除以下安全软件服务
avp RsRavMon RsCCenter FireSvc MskService NpfMntor Symantec Core Lc Spbbcsvc ccSetMgr ccProxy SndSrvc KpfwSvc wscsvc navapsvc McAfeeFramework McShield
删除以下安全软件开机启动
kav kavpersonal50 avp McAfeeUpdaterUi Network Associates ShStatEXE
7.每1秒添加自己的启动项,并将文件隐藏显示破坏。
HKCUSoftwareMicrosoftWindowsCurrentVersionRun
Explorer "C:WINDOWSsystem32driverssuchost.exe"
HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL
CheckedValue 修改为0,表示不显示隐藏文件。
8.每半个小时下载一次木马
http://www.daohang08.com/down/down.txt
9.每10秒关闭以下进程,并添加映像劫持,指向ntsd -d
avp.exe rav.exe rsagent.exe ravmon.exe ravmond.exe ravstub.exe ravtask.exe ccenter.exe 360tray.exe 360safe.exe
10.用命令行检查系统中是否存在共享,共享存在的话就运行net share命令关闭admin$共享
11.创建以藏的IE进程,并将下载代码注入,下载木马。并修改注册表
HKLMSOFTWAREClassesHTTPshellopencommand
默认键值改为"%ProgramFiles%InternetExploreriexplore.exe" -nohome,使IE打开时不打开主页。
12.每隔6秒在每个驱动器下(A和B驱动器除外),删除所在的autorun.inf文件或文件夹,并创建autorun.inf和对应的 .exe文件。并修改
HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer
NoDriveTypeAutoRun 为 0x00000080,表示允许使用自动运行。
13.感染文件
病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部
并在扩展名为htm,html, asp,php,jsp,aspx的文件中添加一网址,
用户一但打开了该文件,IE就会不断的在后台点击写入的网址,达到
增加点击量的目的,且该网页有漏洞,新变种的病毒会被下载并运行.
但排除以下文件夹中的文件
WINDOW
Winnt
winrar
system32
Documents and Settings
System Volume Information
Recycled
Windows NT
WindowsUpdate
Windows Media Player
Outlook Express
Internet Explorer
NetMeeting
Common Files
ComPlus Applications
Messenger
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
MSN Gamin Zone
也不感染NTDETECT.COM和rar后缀的文件
感染后会在感染目录下创建Desk_top_.ini文件,其内写入当前系统时间。
1.判断当前启动路径是不是%sys32dir%driverssuchost.exe,是的话释放资源到c:go.sys恢复SSDT,注册的服务名为ressdt.
2.运行成功后删除服务ressdt和c:go.sys
3.判断当前运行的文件名是不是原始的" .exe",若是的话调用explorer打开当前目录,并向含有"我的电脑""我的電腦""My Computer"字符的窗口发送wm_close消息。
4.搜索当前运行目录下是否存在"Desk_top_.ini",存在则删除,
5.将自己复制到%sys32dir%driverssuchost.exe,并运行。
6.每隔6秒停止以下安全软件服务
Schedule sharedaccess kacsvc avp McAfeeFramework McShield RsCCenter RsRavMon
删除以下安全软件服务
avp RsRavMon RsCCenter FireSvc MskService NpfMntor Symantec Core Lc Spbbcsvc ccSetMgr ccProxy SndSrvc KpfwSvc wscsvc navapsvc McAfeeFramework McShield
删除以下安全软件开机启动
kav kavpersonal50 avp McAfeeUpdaterUi Network Associates ShStatEXE
7.每1秒添加自己的启动项,并将文件隐藏显示破坏。
HKCUSoftwareMicrosoftWindowsCurrentVersionRun
Explorer "C:WINDOWSsystem32driverssuchost.exe"
HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL
CheckedValue 修改为0,表示不显示隐藏文件。
8.每半个小时下载一次木马
http://www.daohang08.com/down/down.txt
9.每10秒关闭以下进程,并添加映像劫持,指向ntsd -d
avp.exe rav.exe rsagent.exe ravmon.exe ravmond.exe ravstub.exe ravtask.exe ccenter.exe 360tray.exe 360safe.exe
10.用命令行检查系统中是否存在共享,共享存在的话就运行net share命令关闭admin$共享
11.创建以藏的IE进程,并将下载代码注入,下载木马。并修改注册表
HKLMSOFTWAREClassesHTTPshellopencommand
默认键值改为"%ProgramFiles%InternetExploreriexplore.exe" -nohome,使IE打开时不打开主页。
12.每隔6秒在每个驱动器下(A和B驱动器除外),删除所在的autorun.inf文件或文件夹,并创建autorun.inf和对应的 .exe文件。并修改
HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer
NoDriveTypeAutoRun 为 0x00000080,表示允许使用自动运行。
13.感染文件
病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部
并在扩展名为htm,html, asp,php,jsp,aspx的文件中添加一网址,
用户一但打开了该文件,IE就会不断的在后台点击写入的网址,达到
增加点击量的目的,且该网页有漏洞,新变种的病毒会被下载并运行.
但排除以下文件夹中的文件
WINDOW
Winnt
winrar
system32
Documents and Settings
System Volume Information
Recycled
Windows NT
WindowsUpdate
Windows Media Player
Outlook Express
Internet Explorer
NetMeeting
Common Files
ComPlus Applications
Messenger
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
MSN Gamin Zone
也不感染NTDETECT.COM和rar后缀的文件
感染后会在感染目录下创建Desk_top_.ini文件,其内写入当前系统时间。
