鸿 网 互 联 www.68idc.cn

警惕—VB版“熊猫烧香”推荐

来源:互联网 作者:佚名 时间:2018-02-10 16:36
样本来至卡饭,VB写的“熊猫烧香”....... 文件名称:SETUP.EXE文件大小:15851 byte AV命名:Virus.Win32.VB.dv(卡吧斯基)依赖平台:Windows(9X以上系统)加壳方式:MEW 11 1.2编写语言:Microsoft Visual Basic 5.0 / 6.0病毒类型:Virus.Win32文件MD5:
样本来至卡饭,VB写的“熊猫烧香”.......   文件名称:SETUP.EXE 文件大小:15851 byte AV命名:Virus.Win32.VB.dv(卡吧斯基) 依赖平台:Windows(9X以上系统) 加壳方式:MEW 11 1.2 编写语言:Microsoft Visual Basic 5.0 / 6.0 病毒类型:Virus.Win32 文件MD5:73d6fd3e3f75f5bf973b59933a13d3fb 传播方式:网络,文件。   病毒行为:   1、释放病毒副本:   %systemroot%\system32\DRIVERS\WINLOGON.EXE %systemroot%\system32\DRIVERS\Services.exe   查找可以用的磁盘,并在其目录下生成:Autorun.inf和Setup.exe   Autorun.inf内容:   [AutoRun]
OPEN=SETUP.EXE -0
Shell\Open=打开( O)
Shell\Open\Command=SETUP.EXE -O
Shell\Explore=资源管理器( X)
Shell\Explore\Command="SETUP.EXE -E"   2、修改.msi、.reg、.vbs文件关联,成:   txtfile 即文本格式。   3、破坏显示隐藏文件:   …………\Folder\Hidden\SHOWALL\CheckedValue   值修改为0 4、禁用注册表、任务管理器、CMD等(未实现):   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFind
NoFind = REG_DWORD, 1   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system\DisableTaskMgr
DisableTaskMgr = REG_DWORD, 1   上面工作都是由常驻进程%systemroot%\system32\DRIVERS\WINLOGON.EXE完成的。   Services.exe则负责“感染”(牵强了点)   5、Services.exe释放Autorun.inf、Setup.exe后开始工作。   首先跳过系统文件夹和DOCUMENTS AND SETTINGS目录、COMMAND.COM、NTDETECT.COM文件。 后查找所有文件夹和文件,并在其目录生成原病毒文件。(非覆盖) 例如:Winnt(文件夹)—Winnt.exe Winrar.rar(文件)—Winrar.rar.exe(病毒文件)   如遇到下列扩展名则删除:
".SCF" ".KXP" ".PIF" ".BAK" ".BIN" ".CAB" ".GHO"(汗``) ".IMG" ".ISO" ".MSI" ".REG" ".VBS"   6、在“感染”过的文件夹目录生成System.ini,为当天的感染标记   (避免反复感染)   解决方法:   推荐:升级下杀软,就可以全部杀了。   手工清除:   下载冰刃和SReng:   [url]http://gudugengkekao.ys168.com/[/url]   1、冰刃删除:   %systemroot%\system32\DRIVERS\WINLOGON.EXE %systemroot%\system32\DRIVERS\Services.exe 和每个分区下的Autorun.inf、Setup.exe   2、SREng删除:   [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
  load C:\winnt\system32\DRIVERS\WINLOGON.EXE   []   并修复文件关联。   3、打开所有文件夹,挨个删病毒吧``=。=   (用杀软会比较快)  
网友评论
<