Hoy encontré imágenes sobre el virus del panda quemando incienso en Baidu y guardé una de ellas en mi computadora.
Nombre del virus: Worm.WhBoy.h
Nombre chino del virus: Panda Burning Incense (Wuhan Boys)
Tipo de virus: Gusano
Nivel de peligro: ★★★★★
Plataformas afectadas: Win 9x/ME, Win 2000/NT, Win XP, Win 2003
Herramienta de eliminación especializada: eliminación especializada de Kingsoft herramienta Antiy Herramienta de eliminación especializada Jiangmin Herramienta de eliminación especializada Dr. An Herramienta de eliminación especializada Symantec Herramienta de eliminación especializada
Descripción del virus:
"Wuhan Boy", comúnmente conocido como "Panda Burning Incense", Este es un gusano infeccioso que puede infectar exe, com, pif, src, html, asp y otros archivos del sistema. También puede finalizar una gran cantidad de procesos de software antivirus y eliminar archivos con la extensión gho. a Los archivos de copia de seguridad de la herramienta de copia de seguridad del sistema GHOST hacen que se pierdan los archivos de copia de seguridad del sistema del usuario. Todos los archivos ejecutables .exe en el sistema del usuario infectado se modifican para que parezcan pandas sosteniendo tres varitas de incienso.
1: Copiar archivos
Después de que el virus se ejecute, se copiará a sí mismo en C:\WINDOWS\System32\Drivers\spoclsv.exe
2: Agregar tabla de registro de inicio automático
El virus agregará el elemento de inicio automático HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -gt C:\WINDOWS\System32\Drivers\spoclsv.exe ; p>
3: Comportamiento del virus
a: Busque ventanas de escritorio cada 1 segundo y cierre los programas que contengan los siguientes caracteres en el título de la ventana:
QQKav, QQAV, firewall, proceso, VirusScan, red Dart, antivirus, virus tirano, Rising, Jiangmin, Huangshan IE, Super Rabbit, Optimization Master, Trojan Star, Trojan Scavenger, virus QQ, Editor del Registro, Utilidad de configuración del sistema, Kaspersky Anti-Virus, Symantec AntiVirus, Duba , proceso de estimación, Green Eagle PC, antirrobo de contraseñas, phage, buscador auxiliar de troyanos, monitor de seguridad del sistema, regalo envuelto Killer, Winsock Expert, maestro de detección de troyanos de juegos, msctls_statusbar32, pjf(ustc), IceSword
Y use el método de asignación de teclas para cerrar el software de seguridad IceSword.
Agregue el registro para habilitar el inicio automático HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -gt C:\WINDOWS\System32\Drivers\. spoclsv.exe
Y finalice los siguientes procesos en el sistema:
Mcshield.exe, VsTskMgr.exe, naPrdMgr.exe, UpdaterUI.exe, TBMon.exe, scan32.exe, Ravmond.exe, CCenter.exe, RavTask.exe, Rav.exe, Ravmon.exe, RavmonD.exe, RavStub.exe, KVXP.kxp, kvMonXP.kxp, KVCenter.kxp, KVSrvXP.exe, KRegEx.exe, UIHost. exe, TrojDie .kxp, FrogAgent.exe, Logo1_.exe, Logo_1.exe, Rundl132.exe
b: haga clic en la página web especificada por el autor del virus cada 18 segundos y use la línea de comando para verificar si hay un recurso compartido *** en el sistema, si existe, ejecute el comando net share para cerrar el recurso compartido admin$***
c: descargue el archivo especificado por el autor del virus cada 10 segundos y use la línea de comando para verificar si hay un recurso compartido *** en el sistema; si existe, ejecute el comando net share para cerrar el recurso compartido admin$ ***
d: elimine el valor clave del software de seguridad en el registro cada 6 segundos
y modifíquelo. Los siguientes valores no muestran archivos ocultos HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced \Folder\Hidden\SHOWALL CheckedValue -gt; 0x00
Eliminar los siguientes servicios:
navapsvc, wscsvc,KPf
wSvc, SNDSrvc, ccProxy, ccEvtMgr, ccSetMgr, SPBBCSvc, Symantec Core LC, NPFMntor MskService, FireSvc
e: Infectar archivos
El virus infecta archivos con extensiones exe, pif, com, src, añádase al encabezado del archivo y agregue una URL al archivo con la extensión htm, html, asp, php, jsp, aspx. Una vez que el usuario abra el archivo, IE continuará haciendo clic en la URL escrita. en segundo plano para aumentar el número de clics, pero el virus no infectará archivos en los siguientes nombres de carpeta:
WINDOW, Winnt, System Volume Information, Recycled, Windows NT, WindowsUpdate, Windows Media Player, Outlook Express, Internet Explorer, NetMeeting, Archivos comunes, Aplicaciones ComPlus, Messenger, Información de instalación InstallShield, MSN, Microsoft Frontpage, Movie Maker, MSN Gamin Zone
g: Eliminar archivos
El virus eliminará el archivo con la extensión gho, que es un archivo de copia de seguridad de GHOST, una herramienta de copia de seguridad del sistema, lo que provocará que se pierda el archivo de copia de seguridad del sistema del usuario.