Worm.WhBoy.cw

这是"熊猫烧香"病毒的一个变种,它能感染系统中可执行文件与网页文件,
同时它还能通过局域网传播.建议用户及时安装Windows补丁程序
并为登录帐号改一个足够强壮的密码.

1:拷贝文件
病毒运行后,会把自己拷贝到
C:\WINDOWS\System32\Drivers\ncscv32.exe

2:添加注册表自启动
病毒会添加自启动项
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
nvsvc32->C:\WINDOWS\System32\Drivers\ncscv32.exe

3:关闭指定窗口
病毒会寻找桌面所有窗口及其子窗口,关闭标栏题中含有以下字符的程序
天网
防火墙
进程
VirusScan
SymantecAntiVirus
SystemSafetyMonitor
SystemRepairEngineer
WrappedgiftKiller
游戏木马检测大师
超级巡警

4:中止进程
病毒会中止以下进程
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
kvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl132.exe
taskmgr.exe
msconfig.exe
regedit.exe
SREng.EXE
spoclsv.exe
nvscv32.exe
sppoolsv.exe
spo0lsv.exe

其中spoclsv.exe,nvscv32.exe,sppoolsv.exe,spo0lsv.exe这四个进程名是
旧版变种熊猫烧香病毒的进程名

5:修改注册表键值
病毒会删除安全软件在注册表中的键值,使它们不能启动
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
RavTask
KvMonXP
kav
KAVPersonal50
McAfeeUpdaterUI
NetworkAssociatesErrorReportingService
ShStartEXE
YLive.exe
yassistse

并修改以下值不显示隐藏文件
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
CheckedValue->0x00

6:删除服务
病毒会停止并删除以下系统中以下服务:
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
SymantecCoreLC
NPFMntor
MskService
FireSvc

7:感染文件并删除文件
病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部
并在扩展名为htm,html,asp,php,jsp,aspx的文件中添加一隐藏框架,如下

用户一但打开了该文件,IE就会在后台打开该网址,
且该网页有漏洞,新变种的病毒会被下载并运行.
但病毒不会感染以下文件夹名中的文件:
WINDOW
Winnt
SystemVolumeInformation
Recycled
WindowsNT
WindowsUpdate
WindowsMediaPlayer
OutlookExpress
InternetExplorer
NetMeeting
CommonFiles
ComPlusApplications
Messenger
InstallShieldInstallationInformation
MSN
MicrosoftFrontpage
MovieMaker
MSNGaminZone
和文件名为
setup.exe和NTDETECT.COM的文件

病毒会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件
使用户的系统备份文件丢失.

8:感染局域网内其它机器
病毒会枚举局域网内的其它机器,并尝试用字典里面的密码登录,若登录成功,就复制自己到该机器上,
并添加计划任务运行病毒.
用户名字典:
Administrator
Guest
admin
Root

密码字典:
admin
1234
password
6969
harley
123456
golf
pussy
mustang
1111
shadow
1313
fish
5150
7777
qwery
baseball
2112
letmein
12345678
12345
ccc
admin
5201314
qq520
1
12
123
1234567
1234456789
654321
54321
111
000000
abc
pw
11111111
88888888
pass
passwd
database
abcd
abc123
sybase
123qwe
server
computer
520
super
123asd
0
ihavenopass
godblessyou
enable
xp
2002
2003
2600
110
111111
121212
123123
1234qwer
123abc
007
aaa
patrick
pat
administrator
root
sex
god
fuckyou
fuck
test
test123
temp
temp123
win
pc
asdf
pwd
qwer
yxcv
zxcv
home
xxx
owner
login
Login
pw123
love
mypc
mypc123
admin123
mypass
mypass123
901100

9:添加autorun
病毒会把自己复制到每个磁盘的根目录下,命名为setup.exe,
并添加入autorun.inf,使每次打开磁盘都能运行一次病毒体.

建议用户及时补上Windows安全补丁,并为登录帐号设置一个足够安全的密码,
同时不建议开启磁盘自动运行功能.