大猩猩病毒惊现网络 破坏力巨大!
8月24日,一种发作图案显示为“大猩猩”的病毒出现在网络上。该病毒与“熊猫烧香”、“小浩”等病毒类似,通过U盘传播,可以感染*.exe可执行文件。病毒运行时,会占用大量的CPU资源,导致中毒电脑系统瘫痪。 该病毒可以通过U盘传播,中毒电脑无论是双击U盘还是硬盘都会激活病毒。病毒运行后,会使用Taskkill/f /im命令关闭近百种杀毒软件和安全工具的进程,以达到躲避查杀的目的。它还具有重定向劫持功能,通过写注册表中的 IFEO键值来阻止100款杀毒软件和安全工具的运行。“大猩猩”病毒还通过修改操作系统的Hosts表,禁止用户登陆数十家反病毒厂商的网址,阻止杀毒软件升级病毒库,并修改注册表相关键值,禁用系统“显示隐藏文件”功能隐藏自身,破坏系统安全模式,使得中毒用户无法进入安全模式下杀毒。 病毒作者还公然在病毒代码内留言,挑战08版杀毒软件。病毒作者自称该病毒为“2007年终极蠕虫病毒——大红猩猩”,声称“本病毒会劫持大多数杀毒软件,并且会破坏杀毒软件的监控程序,因此,2008年请您选择有自我保护能力的杀软吧!”。病毒作者还对国内外四款08版杀毒软件的自我保护能力进行了评价。 专家再次提醒广大用户,禁用系统的自动播放功能,防止病毒从U盘、移动硬盘、MP3等移动存储设备进入到计算机;利用WindowsUpdate功能打全系统补丁,尤其是打好MS06-014和MS07-017这两个网页木马经常使用的系统漏洞,避免病毒从恶意网页入侵用户电脑系统;不要随意接收从QQ、MSN等即时聊天工具发送过来的可执行文件,不要登陆来历不明的网址连接,以防遭受病毒侵害。目前还未有有效的解决方案!
:( 怕怕,,,,,,,, 发病毒的人简直神经病。。 说不定就是杀毒公司的人干的~:m30 不是啊。。据说什么AV终结者这些病毒明显有黑资金注入。。。。不然他病毒发的速度怎么比杀毒软件公司收集的速度还快。。。。都是偷了网友的账号密码去卖钱的或架肉鸡。。。:m34 顶住``兄弟们千万不要让自己的电脑趴下``:m6
现提供所找到该病毒的分析资料(目前只知道江民8月24日病毒库即可有效防杀此病毒)
病毒名称:Win32/DaXingXing.a中 文 名:大猩猩病毒
病毒类型:文件型
危害等级:★★★
影响平台:Win 9X/ME/NT/2000/XP/2003
病毒样本MD5值为:60f66f0b7312e6eb9a5f2f823c5ff316
文件大小为:819829字节
病毒运行特征:
1.
Win32/DaXingXing.a
大猩猩病毒是一个采用易语言编写的文件型病毒,病毒运行后,创建病毒进程winfuckjp.exe ,该进程采用RootKit技术隐藏自身,用Windows自带的任务管理器察看不到。
释放病毒文件:
%WinDir%\System32\winfuckjp.exe, 819829字节
该病毒还会感染全盘所有的*.exe文件,向文件头部添加7725字节的数据,感染后的文件图标变成一个大猩猩的图标,如下图:
2.
在注册表中添加下列启动项:
"Winfuckjp.exe" = %SystemDir%\winfuckjp.exe
这样,在Windows启动时,病毒就可以自动执行。
3.
病毒还会在U盘/MP3/移动硬盘以及每个硬盘分区跟目录下释放病毒文件AutoRun.inf和ri.exe,其中AutoRun.inf文件内容如下:
OPEN=ri.exe
这样当用户双击U盘或其它移动存储设备以及硬盘各个分区的时候就会激活病毒运行。
4.
病毒运行后,会尝试使用Taskkill /f /im命令关闭以下杀毒软件和安全工具的进程,以达到躲避查杀的目的。
Navapw32.exe
Navapsvc.exe
NMain.exe
navw32.EXE
KVFW.EXE
KAVSvcUI.exe
KAVPFW.EXE
KAV32.exe
KvXP.kxp
twister.exe
KVSrvXP.exe
KVSrvXP_1.exe
......
5. 该病毒具有IFEO重定向劫持功能,病毒通过写注册表中的 IFEO 键值,来阻止一些杀毒软件和安全工具的运行,
添加的注册表键值例如下列:
"Debugger" = c:\winnt\system32\winfuckjp.exe
共阻止100款杀毒软件和安全工具的运行,详细名单如下:
360rpt.exe
360Safe.exe
360tray.exe
adam.exe
AgentSvr.exe
AppSvc32.exe
autoruns.exe
avgrssvc.exe
AvMonitor.exe
avp.com
avp.exe
CCenter.exe
......
6.
病毒修改操作系统的Hosts表,禁止用户登陆反病毒厂商的网址升级病毒库,被修改后的Hosts表文件如下:
127.0.0.1
www.trendmicro.com
127.0.0.1
rads.mcafee.com
127.0.0.1
www.rising.com.cn
127.0.0.1
bbs.2dai.com
127.0.0.1
bbs.abcbit.com
127.0.0.1
www.freekv.net
......
这样,中毒用户就无法登陆反病毒厂商的网站升级病毒库。
7.
该病毒还会修改注册表相关键值,来禁用显示隐藏文件的功能。
8.
该病毒还会修改注册表相关键值,来破坏系统的安全模式,这样中毒用户就无法进入安全模式下杀毒。
9.
在病毒文件体内,病毒作者还留言,挑战尚未上市尚在公测时的2008版杀毒软件。如下图
病毒运行后,会感染全盘的*.exe 文件,致使系统中毒后将完全瘫痪,并且占用大量的CPU资源,系统无法启动,给用户带来损失。 重装就能好吗??:L 写病毒的人好牛啊:L 目前还未有有效的解决方案!
。。。。不是吧
页:
[1]