诚毅小家|集美大学生活【集美大学,诚毅学院,水产学院,师范学院,美术学院,财经学院,体育学院,航海学院,集美学村,石鼓路,龙舟池】

 找回密码
 注册

QQ登录

只需一步,快速开始

搜索
热搜: 活动 交友 discuz
查看: 544|回复: 9

大猩猩病毒惊现网络 破坏力巨大!

[复制链接]
发表于 2007-8-27 06:51:46 | 显示全部楼层 |阅读模式
8月24日,一种发作图案显示为“大猩猩”的病毒出现在网络上。该病毒与“熊猫烧香”、“小浩”等病毒类似,通过U盘传播,可以感染*.exe可执行文件。病毒运行时,会占用大量的CPU资源,导致中毒电脑系统瘫痪。
    该病毒可以通过U盘传播,中毒电脑无论是双击U盘还是硬盘都会激活病毒。病毒运行后,会使用Taskkill/f /im命令关闭近百种杀毒软件和安全工具的进程,以达到躲避查杀的目的。它还具有重定向劫持功能,通过写注册表中的 IFEO键值来阻止100款杀毒软件和安全工具的运行。“大猩猩”病毒还通过修改操作系统的Hosts表,禁止用户登陆数十家反病毒厂商的网址,阻止杀毒软件升级病毒库,并修改注册表相关键值,禁用系统“显示隐藏文件”功能隐藏自身,破坏系统安全模式,使得中毒用户无法进入安全模式下杀毒。
   病毒作者还公然在病毒代码内留言,挑战08版杀毒软件。病毒作者自称该病毒为“2007年终极蠕虫病毒——大红猩猩”,声称“本病毒会劫持大多数杀毒软件,并且会破坏杀毒软件的监控程序,因此,2008年请您选择有自我保护能力的杀软吧!”。病毒作者还对国内外四款08版杀毒软件的自我保护能力进行了评价。
   专家再次提醒广大用户,禁用系统的自动播放功能,防止病毒从U盘、移动硬盘、MP3等移动存储设备进入到计算机;利用WindowsUpdate功能打全系统补丁,尤其是打好MS06-014和MS07-017这两个网页木马经常使用的系统漏洞,避免病毒从恶意网页入侵用户电脑系统;不要随意接收从QQ、MSN等即时聊天工具发送过来的可执行文件,不要登陆来历不明的网址连接,以防遭受病毒侵害。
$ R& f# I7 l+ y; t
  目前还未有有效的解决方案!7 f/ E( V0 G' Q, K! e: b, x$ J

评分

参与人数 1 +1 收起 理由
风伊翼 + 1 谢谢提醒

查看全部评分

发表于 2007-8-27 08:01:56 | 显示全部楼层
:( 怕怕,,,,,,,,
发表于 2007-8-27 08:47:40 | 显示全部楼层
发病毒的人简直神经病。。
发表于 2007-8-27 08:57:26 | 显示全部楼层
说不定就是杀毒公司的人干的~:m30
 楼主| 发表于 2007-8-27 21:03:37 | 显示全部楼层
不是啊。。据说什么AV终结者这些病毒明显有黑资金注入。。。。不然他病毒发的速度怎么比杀毒软件公司收集的速度还快。。。。都是偷了网友的账号密码去卖钱的或架肉鸡。。。:m34
发表于 2007-8-27 21:34:38 | 显示全部楼层
顶住``兄弟们千万不要让自己的电脑趴下``:m6
 楼主| 发表于 2007-8-27 21:45:47 | 显示全部楼层

现提供所找到该病毒的分析资料(目前只知道江民8月24日病毒库即可有效防杀此病毒)

病毒名称:Win32/DaXingXing.a
6 y* ]6 m* A0 \! G中 文 名:大猩猩病毒$ ~7 q5 B, m2 `

6 |' q8 R+ G/ O0 j* v病毒类型:文件型
' X8 V( [* t; Q' D8 Z& N7 {/ a) g0 l6 n) w
' v" I; _3 q2 I; w% h! k危害等级:★★★# }0 z4 n  e+ j' Z$ [, j
+ S9 Q/ _' v" O& d6 Y; X, d. z
影响平台:Win 9X/ME/NT/2000/XP/2003
6 U( O$ d* i: k- M7 o: A病毒样本MD5值为:60f66f0b7312e6eb9a5f2f823c5ff316
3 y2 R9 ^! {9 q: P# S6 h文件大小为:819829字节
9 f$ K4 b# {: L8 w% x0 }) A- e, s% ~1 D3 k! r) ^8 l( i
) U' v0 }* b' {1 Y

" m+ P# z. e6 h+ n病毒运行特征:6 _  k8 O4 {3 I3 R4 ~, q
: J, \# k1 i# F5 ]. \# |! d  w  N
- L4 }6 t3 t" p! n
1.) L; i$ {8 u& x2 r! g( q' G
Win32/DaXingXing.a3 Z$ m$ y, [6 a' Z: F# [5 P
大猩猩病毒是一个采用易语言编写的文件型病毒,病毒运行后,创建病毒进程winfuckjp.exe ,该进程采用RootKit技术隐藏自身,用Windows自带的任务管理器察看不到。
" G4 l- c# b5 b' ?0 n! D
+ w5 _' ~/ Y2 I6 d2 g; p& ^释放病毒文件:& t8 [6 z; l3 y3 w% c

( D) E2 m  b& ?8 E%WinDir%\System32\winfuckjp.exe, 819829字节3 h, Q- ~- ?( y

/ g/ w0 p6 W1 D$ u' m6 n
6 j+ A, {6 U6 l3 k+ `该病毒还会感染全盘所有的*.exe文件,向文件头部添加7725字节的数据,感染后的文件图标变成一个大猩猩的图标,如下图:9 }. ^/ y' L( k' l; w  b) m
# p- {* |( ?) n4 z" D
/ a/ I8 m. I: U4 h8 _7 E6 N1 \/ k  h
2.
$ R, g( f9 @7 e在注册表中添加下列启动项:6 B+ _! ^# @8 A' \  R- V/ a

. Y8 s( `2 a% @6 x! h: v* a0 d  A[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]# {  G# S4 |0 M" K, u; o& b9 z
"Winfuckjp.exe" = %SystemDir%\winfuckjp.exe
% v6 f1 X% l8 K这样,在Windows启动时,病毒就可以自动执行。
7 G: m2 @$ d, U. }+ ]3 |/ q
" L2 y: I9 N, Y' S% n) o& F2 m& `# C" F( y  g1 t6 Y
) J; m2 t& r$ G: R2 N/ L6 n
3.& Q$ ]5 W  O6 {9 S
病毒还会在U盘/MP3/移动硬盘以及每个硬盘分区跟目录下释放病毒文件AutoRun.inf和ri.exe,其中AutoRun.inf文件内容如下:
8 _4 c* U: E8 M: |- F4 @" ^8 l2 l2 h; w! j# }4 W+ r
[AutoRun]
( j- e9 T# Y9 k" _2 u; @OPEN=ri.exe
+ P1 G8 _, i, E- O, U" X
4 @% O! k5 y% |) P这样当用户双击U盘或其它移动存储设备以及硬盘各个分区的时候就会激活病毒运行。3 n3 [+ N! I" [" D

, y8 s. ?7 y# q$ _: k3 ?& x1 [+ Z# a3 W/ L, O% @+ h7 _
% s5 \. H6 ~# x8 @/ K3 G8 w7 S
4.0 w2 I, c+ n! a6 l2 o
病毒运行后,会尝试使用Taskkill /f /im命令关闭以下杀毒软件和安全工具的进程,以达到躲避查杀的目的。
  h) m" Z2 C+ E! U, t9 k9 u4 T  o
1 W- A) U# {9 H; g, r; S  i  l! {4 O

( u; Y& ?9 H( o5 [9 ]* E  c: B( h4 [2 G& O5 O5 F. n# s
Navapw32.exe! L* E4 e+ r( e3 r
Navapsvc.exe
6 Q( N7 z) s) x8 MNMain.exe
: ]% y% ^% j+ `navw32.EXE& G$ {: S6 |# |$ e! [
KVFW.EXE; C3 ]& d* e6 I5 H# K6 q
KAVSvcUI.exe; I" Q! y$ x2 \( o! o" n3 G2 ?
KAVPFW.EXE
4 J" `& X2 F8 |! l- f. R* jKAV32.exe: B' z( y' b, Z8 [) E8 y
KvXP.kxp
  ^- P) f* `# M' L1 d/ s, vtwister.exe
. o- s4 D4 @* E5 G4 s0 QKVSrvXP.exe3 K  W3 K$ O$ v$ Z$ B& D) ^- i
KVSrvXP_1.exe
8 f6 E0 k* k' L6 F2 F......
. j+ H% K. P& X5.        该病毒具有IFEO重定向劫持功能,病毒通过写注册表中的 IFEO 键值,来阻止一些杀毒软件和安全工具的运行,- \& O# c$ u& }: r4 F  K% x0 S
2 e1 Q( d5 h6 a5 W) `0 q
0 m8 C0 S# Q4 B5 {
添加的注册表键值例如下列:
6 x0 ]0 V4 p! c9 k2 g5 `3 J
) q+ I" G) F' F[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\KVCenter.kxp]& O& v: U3 f5 C2 r
"Debugger" = c:\winnt\system32\winfuckjp.exe4 r5 G. ~! k' Z/ r# X

7 e& D7 |; i' b# M. s* ^4 K共阻止100款杀毒软件和安全工具的运行,详细名单如下:6 u6 \$ o1 n6 X' |/ h2 j5 B4 o5 N9 m

. U% ?! I# T% n' e
4 n# f. S7 O1 G' @; D& R6 J- Q360rpt.exe
" W) R8 _2 G: d* l' Y) X; c. H360Safe.exe, s1 T' J8 d4 c! X
360tray.exe
! X6 |  D; {: n) j2 H6 vadam.exe
/ M9 k  N5 X1 f1 r6 D) `: lAgentSvr.exe
# ^; {3 n0 ~8 K9 |AppSvc32.exe8 C( M: t& v8 t! p2 f7 P0 d, {
autoruns.exe( o5 n% N* k* N4 D6 R* N. H
avgrssvc.exe0 L# I2 F+ ^2 l. T- K) A% D. n
AvMonitor.exe
1 e0 `: \9 s; R! S2 W& vavp.com' u, A& E$ z- f- A2 g& P! L6 @
avp.exe
4 _: z* `/ P$ p5 ]CCenter.exe
( B& s1 h2 B1 d7 V$ j( s2 o......9 {  m5 H! v$ p
! |4 m5 Y3 F# m$ G3 Y7 Z
6.
- m3 D5 V2 ^$ a1 t病毒修改操作系统的Hosts表,禁止用户登陆反病毒厂商的网址升级病毒库,被修改后的Hosts表文件如下:
' Q% n# Y. Y7 m' p) I* `5 y+ U4 f2 q' R. N. l0 z+ l! t! ?
- c' }* }. d" r0 P, r1 P* P! _

+ V4 \7 h5 E. @) q127.0.0.1
6 D3 i9 U% x7 G* Y( u# Q/ R0 Twww.trendmicro.com* C8 o$ c9 u+ n2 E
127.0.0.1. V! ?! `7 L; ~& A9 B
rads.mcafee.com- H. s, d% N* c6 F3 K
127.0.0.1
5 t* h1 D/ |: J0 F) B- l4 p5 Fwww.rising.com.cn
1 G5 o2 F+ n! o; v: v127.0.0.1* }) O5 I7 m+ J) f4 f. [1 k
bbs.2dai.com1 _; b4 t! P# |6 g- f
127.0.0.1
' u& ?! K6 ]6 u$ J$ F" jbbs.abcbit.com5 w6 W3 P! [4 d7 c
127.0.0.18 J8 m  I* u* m" j
www.freekv.net
- h- u. @' ]8 l+ i0 t0 J......+ {9 L3 e$ _/ y( _' k5 K: H* n

7 {: j2 ~* Z2 @! I6 N这样,中毒用户就无法登陆反病毒厂商的网站升级病毒库。8 C2 q0 u$ b% G4 ~# \8 @

- h  T. e( S  Z
; u5 ?' s2 G% R7 ~7.
# D7 ^* r$ ~4 f9 J5 I( L该病毒还会修改注册表相关键值,来禁用显示隐藏文件的功能。  v$ k; }2 E% r1 A7 ?" S) c8 b2 `

. o) p0 P, O- A8.8 E3 j# o/ \% O8 n" m
该病毒还会修改注册表相关键值,来破坏系统的安全模式,这样中毒用户就无法进入安全模式下杀毒。
! {9 f0 W. z+ G) d/ A( [% m: f5 c# m3 b1 F& W: e
9.! b: Q: s( R/ _2 A- K7 {
在病毒文件体内,病毒作者还留言,挑战尚未上市尚在公测时的2008版杀毒软件。如下图- Q8 R7 `% t, o/ l
7 K  J5 E2 q: F$ r( B8 \
病毒运行后,会感染全盘的*.exe 文件,致使系统中毒后将完全瘫痪,并且占用大量的CPU资源,系统无法启动,给用户带来损失。
发表于 2007-8-29 09:09:04 | 显示全部楼层
重装就能好吗??:L
发表于 2007-8-29 09:27:26 | 显示全部楼层
写病毒的人好牛啊:L
发表于 2007-8-29 09:37:05 | 显示全部楼层
目前还未有有效的解决方案!
9 `; `/ X/ ^( N! ]。。。。不是吧
您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|手机版|小黑屋|诚毅小家 ( 小家社区工作室 闽ICP备05007965号 )

GMT+8, 2024-11-1 11:28 , Processed in 0.052994 second(s), 25 queries .

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表