熊猫烧香病毒变种spoclsv.exe _生活百科

熊猫烧香病毒变种spoclsv.exe简介熊猫病毒大小：22,886 位元组加壳方式：UPack 样本MD5：9749216a37d57cf4b2e528c027252062 样本SHA1：5d3222d8ab6fc11f899eff32c2c8d3cd50cbd755 发现时间：2006.11 更新时间：2006.11 传播方式：通过恶意网页传播，其它木马下载，可通过区域网路、移动存储设备等传播技术分析又是“熊猫烧香”FuckJacks.exe的变种，和之前的变种一样使用白底熊猫烧香图示，病毒运行后複製自身到系统目录下： %System%\drivers\spoclsv.exe 创建启动项： [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "svcshare"="%System%\drivers\spoclsv.exe" 修改注册表信息干扰“显示所有档案和资料夹”设定： [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000000 在各分区根目录生成副本： X:\setup.exe X:\autorun.inf autorun.inf内容： [AutoRun] OPEN=setup.exe shellexecute=setup.exe shell\Auto\command=setup.exe 尝试关闭下列视窗： QQKav QQAV VirusScan Symantec AntiVirus Duba Windows esteem procs System Safety Monitor Wrapped gift Killer Winsock Expert msctls_statusbar32 pjf(ustc) IceSword 结束一些对头的进程： Mcshield.exe VsTskMgr.exe naPrdMgr.exe UpdaterUI.exe TBMon.exe scan32.exe Ravmond.exe CCenter.exe RavTask.exe Rav.exe Ravmon.exe RavmonD.exe RavStub.exe KVXP.kxp KvMonXP.kxp KVCenter.kxp KVSrvXP.exe KRegEx.exe UIHost.exe TrojDie.kxp FrogAgent.exe Logo1_.exe Logo_1.exe Rundl132.exe 禁用一系列服务： Schedule sharedaccess RsCCenter RsRavMon RsCCenter RsRavMon KVWSC KVSrvXP kavsvc AVP McAfeeFramework McShield McTaskManager navapsvc wscsvc KPfwSvc SNDSrvc ccProxy ccEvtMgr ccSetMgr SPBBCSvc Symantec Core LC NPFMntor MskService FireSvc 删除若干安全软体启动项信息： RavTask KvMonXP kav KAVPersonal50 McAfeeUpdaterUI Network Associates Error Reporting Service ShStatEXE YLive.exe yassistse 使用net share命令删除管理共享： net share X$ /del /y net share admin$ /del /y net share IPC$ /del /y 遍历目录，感染除以下系统目录外其它目录中的exe、com、scr、pif档案： X:\WINDOWS X:\Winnt X:\System Volume Information X:\Recycled %ProgramFiles%\Windows NT %ProgramFiles%\WindowsUpdate %ProgramFiles%\Windows Media Player %ProgramFiles%\Outlook Express %ProgramFiles%\Internet Explorer %ProgramFiles%\NetMeeting %ProgramFiles%\Common Files%ProgramFiles%\ComPlus Applications %ProgramFiles%\Messenger %ProgramFiles%\InstallShield Installation Information %ProgramFiles%\MSN %ProgramFiles%\Microsoft Frontpage %ProgramFiles%\Movie Maker %ProgramFiles%\MSN Gamin Zone 将自身捆绑在被感染档案前端，并在尾部添加标记信息： .WhBoy{原档案名称}.exe.{原档案大小}. 与之前变种不同的是，这个病毒体虽然是22886位元组，但是捆绑在档案前段的只有22838位元组，被感染档案运行后会出错，而不会像之前变种那样释放出{原档案名称}.exe的原始正常档案。另外还发现病毒会覆盖少量exe，删除.gho档案。病毒还尝试使用弱密码访问区域网路内其它计算机： password harley golf pussy mustang shadow fish qwerty baseball letmein ccc admin abc pass passwd database abcd abc123 sybase 123qwe server computer super 123asd ihavenopass godblessyou enable alpha 1234qwer 123abc aaa patrick pat administrator root sex god foobar secret test test123 temp temp123 win asdf pwd qwer yxcv zxcv home xxx ownerlogin Login love mypc mypc123 admin123 mypass mypass123 Administrator Guest admin Root