蠕蟲(chóng)病毒熊貓燒香

時(shí)間：2022-02-18 20:30:01 | 來(lái)源：信息時(shí)代

時(shí)間：2022-02-18 20:30:01 來(lái)源：信息時(shí)代

熊貓燒香蠕蟲(chóng)病毒

Worm.WhBoy.（金山稱），Worm.Nimaya.（瑞星稱）

'熊貓燒香'還可以通過(guò)共享文件夾、系統(tǒng)弱口令等多種方式進(jìn)行傳播。

金山分析：這是一個(gè)感染型的蠕蟲(chóng)病毒，它能感染系統(tǒng)中exe,com,pif,src,html,asp等文件，它還能中止大量的反病毒軟件進(jìn)程

病毒運(yùn)行后，會(huì)把自己拷貝到

C:WINDOWSSystem32Driversspoclsv.exe

病毒會(huì)添加自啟動(dòng)項(xiàng)

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun

svcshare->C:WINDOWSSystem32Driversspoclsv.exe

a：每隔1秒

尋找桌面窗口，并關(guān)閉窗口標(biāo)題中含有以下字符的程序

QQKav

QQAV

防火墻

進(jìn)程

VirusScan

網(wǎng)鏢

殺毒

毒霸

瑞星

江民

黃山IE

超級(jí)兔子

優(yōu)化大師

木馬克星

木馬清道夫

QQ病毒

注冊(cè)表編輯器

系統(tǒng)配置實(shí)用程序

卡巴斯基反病毒

SymantecAntiVirus

Duba

esteemproces

綠鷹PC

密碼防盜

噬菌體

木馬輔助查找器

SystemSafetyMonitor

WrappedgiftKiller

WinsockExpert

游戲木馬檢測(cè)大師

msctls_statusbar32

pjf(ustc)

IceSword

并使用的鍵盤映射的方法關(guān)閉安全軟件IceSword

添加注冊(cè)表使自己自啟動(dòng)

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun

svcshare->C:WINDOWSSystem32Driversspoclsv.exe

并中止系統(tǒng)中以下的進(jìn)程：

Mcshield.exe

VsTskMgr.exe

naPrdMgr.exe

UpdaterUI.exe

TBMon.exe

scan32.exe

Ravmond.exe

CCenter.exe

RavTask.exe

Rav.exe

Ravmon.exe

RavmonD.exe

RavStub.exe

KVXP.kxp

kvMonXP.kxp

KVCenter.kxp

KVSrvXP.exe

KRegEx.exe

UIHost.exe

TrojDie.kxp

FrogAgent.exe

Logo1_.exe

Logo_1.exe

Rundl132.exe

b：每隔18秒

點(diǎn)擊病毒作者指定的網(wǎng)頁(yè)，

并用命令行檢查系統(tǒng)中是否存在共享

共享存在的話就運(yùn)行netshare命令關(guān)閉admin

c：每隔10秒

下載病毒作者指定的文件，

并用命令行檢查系統(tǒng)中是否存在共享

共享存在的話就運(yùn)行netshare命令關(guān)閉admin

d：每隔6秒

刪除安全軟件在注冊(cè)表中的鍵值

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

RavTask

KvMonXP

kav

KAVPersonal50

McAfeeUpdaterUI

NetworkAssociatesErrorReportingService

ShStartEXE

YLive.exe

yAssistse

并修改以下值不顯示隱藏文件

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL

CheckedValue->0x00

刪除以下服務(wù)：

navapsvc

wscsvc

KPfwSvc

SNDSrvc

ccProxy

ccEvtMgr

ccSetMgr

SPBBCSvc

SymantecCoreLC

NPFMntor

MskService

FireSvc

e：感染文件

病毒會(huì)感染擴(kuò)展名為exe,pif,com,src的文件，把自己附加到文件的頭部

并在擴(kuò)展名為htm,html,asp,php,jsp,aspx的文件中添加一網(wǎng)址，

用戶一但打開(kāi)了該文件，IE就會(huì)不斷的在后臺(tái)點(diǎn)擊寫入的網(wǎng)址，達(dá)到

增加點(diǎn)擊量的目的，但病毒不會(huì)感染以下文件夾名中的文件：

WINDOW

Winnt

SystemVolumeInformation

Recycled

WindowsNT

WindowsUpdate

WindowsMediaPlayer

OutlookExpress

InternetExplorer

NetMeeting

CommonFiles

ComPlusApplications

Messenger

InstallShieldInstallationInformation

MSN

MicrosoftFrontpage

MovieMaker

MSNGaminZone

g：刪除文件

病毒會(huì)刪除擴(kuò)展名為gho的文件，該文件是一系統(tǒng)備份工具GHOST的備份文件

使用戶的系統(tǒng)備份文件丟失.

瑞星最新病毒分析報(bào)告：'Nimaya（熊貓燒香）'

這是一個(gè)傳染型的DownLoad使用Delphi編寫

傳播途徑

蠕蟲(chóng)一般不采取利用pe格式插入文件的方法，而是復(fù)制自身在互聯(lián)網(wǎng)環(huán)境下進(jìn)行傳播，病毒的傳染能力主要是針對(duì)計(jì)算機(jī)內(nèi)的文件系統(tǒng)而言，而蠕蟲(chóng)病毒的傳染目標(biāo)是互聯(lián)網(wǎng)內(nèi)的所有計(jì)算機(jī).局域網(wǎng)條件下的共享文件夾，電子郵件email，網(wǎng)絡(luò)中的惡意網(wǎng)頁(yè)，大量存在著漏洞的服務(wù)器等都成為蠕蟲(chóng)傳播的良好途徑。網(wǎng)絡(luò)的發(fā)展也使得蠕蟲(chóng)病毒可以在幾個(gè)小時(shí)內(nèi)蔓延全球!而且蠕蟲(chóng)的主動(dòng)攻擊性和突然爆發(fā)性將使得人們手足無(wú)策!本文中將蠕蟲(chóng)病毒分為針對(duì)企業(yè)網(wǎng)絡(luò)和個(gè)人用戶2類，并從企業(yè)用戶和個(gè)人用戶兩個(gè)方面探討蠕蟲(chóng)病毒的特征和一些防范措施。防止系統(tǒng)漏洞類蠕蟲(chóng)病毒的侵害，最好的辦法是打好相應(yīng)的系統(tǒng)補(bǔ)丁，可以應(yīng)用瑞星殺毒軟件的'漏洞掃描'工具，這款工具可以引導(dǎo)用戶打好補(bǔ)丁并進(jìn)行相應(yīng)的安全設(shè)置，徹底杜絕病毒的感染。通過(guò)電子郵件傳播，是病毒作者青睞的方式之一，像'惡鷹'、'網(wǎng)絡(luò)天空'等都是危害巨大的郵件蠕蟲(chóng)病毒。這樣的病毒往往會(huì)頻繁大量的出現(xiàn)變種，用戶中毒后往往會(huì)造成數(shù)據(jù)丟失、個(gè)人信息失竊、系統(tǒng)運(yùn)行變慢等。

蠕蟲(chóng)病毒

防范措施

蠕蟲(chóng)病毒的一般防治方法是：使用具有實(shí)時(shí)監(jiān)控功能的殺毒軟件，防范郵件蠕蟲(chóng)的最好辦法，就是提高自己的安全意識(shí)，不要輕易打開(kāi)帶有附件的電子郵件。另外，可以啟用瑞星殺毒軟件的'郵件發(fā)送監(jiān)控'和'郵件接收監(jiān)控'功能，也可以提高自己對(duì)病毒郵件的防護(hù)能力。

從2004年起，MSN、QQ等聊天軟件開(kāi)始成為蠕蟲(chóng)病毒傳播的途徑之一。'性感烤雞'病毒就通過(guò)MSN軟件傳播，在很短時(shí)間內(nèi)席卷全球，一度造成中國(guó)大陸地區(qū)部分網(wǎng)絡(luò)運(yùn)行異常。

對(duì)于普通用戶來(lái)講，防范聊天蠕蟲(chóng)的主要措施之一，就是提高安全防范意識(shí)，對(duì)于通過(guò)聊天軟件發(fā)送的任何文件，都要經(jīng)過(guò)好友確認(rèn)后再運(yùn)行；不要隨意點(diǎn)擊聊天軟件發(fā)送的網(wǎng)絡(luò)鏈接。

病毒并不是非?？膳碌?，網(wǎng)絡(luò)蠕蟲(chóng)病毒對(duì)個(gè)人用戶的攻擊主要還是通過(guò)社會(huì)工程學(xué)，而不是利用系統(tǒng)漏洞！所以防范此類病毒需要注意以下幾點(diǎn)：

1、選購(gòu)合適的殺毒軟件。網(wǎng)絡(luò)蠕蟲(chóng)病毒的發(fā)展已經(jīng)使傳統(tǒng)的殺毒軟件的'文件級(jí)實(shí)時(shí)監(jiān)控系統(tǒng)'落伍，殺毒軟件必須向內(nèi)存實(shí)時(shí)監(jiān)控和郵件實(shí)時(shí)監(jiān)控發(fā)展！另外，面對(duì)防不勝防的網(wǎng)頁(yè)病毒，也使得用戶對(duì)殺毒軟件的要求越來(lái)越高！

2、經(jīng)常升級(jí)病毒庫(kù)，殺毒軟件對(duì)病毒的查殺是以病毒的特征碼為依據(jù)的，而病毒每天都層出不窮，尤其是在網(wǎng)絡(luò)時(shí)代，蠕蟲(chóng)病毒的傳播速度快、變種多，所以必須隨時(shí)更新病毒庫(kù)，以便能夠查殺最新的病毒。3、提高防殺毒意識(shí)。不要輕易去點(diǎn)擊陌生的站點(diǎn)，有可能里面就含有惡意代碼！

蠕蟲(chóng)病毒

當(dāng)運(yùn)行IE時(shí)，點(diǎn)擊'工具→Internet選項(xiàng)→安全→Internet區(qū)域的安全級(jí)別'，把安全級(jí)別由'中'改為'高'。因?yàn)檫@一類網(wǎng)頁(yè)主要是含有惡意代碼的ActiveX或Applet、JavaScript的網(wǎng)頁(yè)文件，所以在IE設(shè)置中將ActiveX插件和控件、Java腳本等全部禁止，就可以大大減少被網(wǎng)頁(yè)惡意代碼感染的幾率。具體方案是：在IE窗口中點(diǎn)擊'工具'→'Internet選項(xiàng)'，在彈出的對(duì)話框中選擇'安全'標(biāo)簽，再點(diǎn)擊'自定義級(jí)別'按鈕，就會(huì)彈出'安全設(shè)置'對(duì)話框，把其中所有ActiveX插件和控件以及與Java相關(guān)全部選項(xiàng)選擇'禁用'。但是，這樣做在以后的網(wǎng)頁(yè)瀏覽過(guò)程中有可能會(huì)使一些正常應(yīng)用ActiveX的網(wǎng)站無(wú)法瀏覽。

4、不隨意查看陌生郵件，尤其是帶有附件的郵件。由于有的病毒郵件能夠利用ie和outlook的漏洞自動(dòng)執(zhí)行，所以計(jì)算機(jī)用戶需要升級(jí)ie和outlook程序，及常用的其他應(yīng)用程序。

最新蠕蟲(chóng)病毒'蒙面客'被發(fā)現(xiàn)，可泄漏用戶隱私