诚毅小家|集美大学生活【集美大学,诚毅学院,水产学院,师范学院,美术学院,财经学院,体育学院,航海学院,集美学村,石鼓路,龙舟池】

 找回密码
 注册

QQ登录

只需一步,快速开始

搜索
热搜: 活动 交友 discuz
查看: 548|回复: 9

大猩猩病毒惊现网络 破坏力巨大!

[复制链接]
发表于 2007-8-27 06:51:46 | 显示全部楼层 |阅读模式
8月24日,一种发作图案显示为“大猩猩”的病毒出现在网络上。该病毒与“熊猫烧香”、“小浩”等病毒类似,通过U盘传播,可以感染*.exe可执行文件。病毒运行时,会占用大量的CPU资源,导致中毒电脑系统瘫痪。
    该病毒可以通过U盘传播,中毒电脑无论是双击U盘还是硬盘都会激活病毒。病毒运行后,会使用Taskkill/f /im命令关闭近百种杀毒软件和安全工具的进程,以达到躲避查杀的目的。它还具有重定向劫持功能,通过写注册表中的 IFEO键值来阻止100款杀毒软件和安全工具的运行。“大猩猩”病毒还通过修改操作系统的Hosts表,禁止用户登陆数十家反病毒厂商的网址,阻止杀毒软件升级病毒库,并修改注册表相关键值,禁用系统“显示隐藏文件”功能隐藏自身,破坏系统安全模式,使得中毒用户无法进入安全模式下杀毒。
   病毒作者还公然在病毒代码内留言,挑战08版杀毒软件。病毒作者自称该病毒为“2007年终极蠕虫病毒——大红猩猩”,声称“本病毒会劫持大多数杀毒软件,并且会破坏杀毒软件的监控程序,因此,2008年请您选择有自我保护能力的杀软吧!”。病毒作者还对国内外四款08版杀毒软件的自我保护能力进行了评价。
   专家再次提醒广大用户,禁用系统的自动播放功能,防止病毒从U盘、移动硬盘、MP3等移动存储设备进入到计算机;利用WindowsUpdate功能打全系统补丁,尤其是打好MS06-014和MS07-017这两个网页木马经常使用的系统漏洞,避免病毒从恶意网页入侵用户电脑系统;不要随意接收从QQ、MSN等即时聊天工具发送过来的可执行文件,不要登陆来历不明的网址连接,以防遭受病毒侵害。
- o! l( N! e' I+ b& D% L) @4 U
  目前还未有有效的解决方案!# d, k3 q( S0 }# K1 }2 p

评分

参与人数 1 +1 收起 理由
风伊翼 + 1 谢谢提醒

查看全部评分

发表于 2007-8-27 08:01:56 | 显示全部楼层
:( 怕怕,,,,,,,,
发表于 2007-8-27 08:47:40 | 显示全部楼层
发病毒的人简直神经病。。
发表于 2007-8-27 08:57:26 | 显示全部楼层
说不定就是杀毒公司的人干的~:m30
 楼主| 发表于 2007-8-27 21:03:37 | 显示全部楼层
不是啊。。据说什么AV终结者这些病毒明显有黑资金注入。。。。不然他病毒发的速度怎么比杀毒软件公司收集的速度还快。。。。都是偷了网友的账号密码去卖钱的或架肉鸡。。。:m34
发表于 2007-8-27 21:34:38 | 显示全部楼层
顶住``兄弟们千万不要让自己的电脑趴下``:m6
 楼主| 发表于 2007-8-27 21:45:47 | 显示全部楼层

现提供所找到该病毒的分析资料(目前只知道江民8月24日病毒库即可有效防杀此病毒)

病毒名称:Win32/DaXingXing.a
" q& C5 E$ c$ j! L: j5 H, y中 文 名:大猩猩病毒
0 u& E* r0 J1 O; F
( }$ O0 ?" B* r" Y病毒类型:文件型4 A+ s2 N# I% t& E; P
# z: D; p3 r  \+ j; [  F
危害等级:★★★
, v: g0 T. [# R5 q+ G2 M2 \; g) l; _( a; u
影响平台:Win 9X/ME/NT/2000/XP/2003, s3 P5 t' M2 x: @! @4 i
病毒样本MD5值为:60f66f0b7312e6eb9a5f2f823c5ff316
* E$ T- b* u0 T5 o8 ?文件大小为:819829字节
; M& I' N9 I  e+ p$ v; A" z0 K, d* Q

8 o- q9 t2 f+ S; J3 t% h$ H( \  U9 ?
3 M' V9 C, S/ a) `. G8 a3 c病毒运行特征:
2 `# ~5 f1 F0 H% m$ d* U: w6 R2 r4 l. o. t3 T
, Z3 A9 {1 b) V' M  Y4 d- p
1.) j5 k3 v0 v: i
Win32/DaXingXing.a" B1 ?2 O. C; k
大猩猩病毒是一个采用易语言编写的文件型病毒,病毒运行后,创建病毒进程winfuckjp.exe ,该进程采用RootKit技术隐藏自身,用Windows自带的任务管理器察看不到。
  I. C5 g" s* b& j* x1 L0 ^4 _) H3 r( j6 d3 o
释放病毒文件:; M! y% X/ D* D1 x5 Q

6 M/ Y; i5 r- K% e%WinDir%\System32\winfuckjp.exe, 819829字节3 ?! L, _0 L- l' B

, }  l- @9 {: s0 Z( V
4 t+ p( h, E& d) E$ L该病毒还会感染全盘所有的*.exe文件,向文件头部添加7725字节的数据,感染后的文件图标变成一个大猩猩的图标,如下图:( P2 D9 U" {6 Z/ r
3 p5 l* K& `4 C
( G& I6 n6 w+ a
2.8 x' J% i6 R% S- E) L  W
在注册表中添加下列启动项:
6 d2 c. R6 N6 t$ C, g  y- s/ |, d7 n$ X1 A$ \
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
) b! O$ T' \0 \0 w$ B% o"Winfuckjp.exe" = %SystemDir%\winfuckjp.exe
  y) C5 _* |& Z: d% e这样,在Windows启动时,病毒就可以自动执行。7 v- v3 {3 M( \# O, ~9 b8 p" `; Q
6 b0 s1 y' y/ {! z* j4 R+ O$ v! X* n

) \) \* K) X2 O3 l$ ?" Q+ x/ S* Q
, m, Y. K+ w/ H3.6 v" V; r/ z2 W: b, C
病毒还会在U盘/MP3/移动硬盘以及每个硬盘分区跟目录下释放病毒文件AutoRun.inf和ri.exe,其中AutoRun.inf文件内容如下:- c- ]  x6 i; y5 e" r
1 s4 U" Y) I, P' ]
[AutoRun]  h, \, e9 x, `$ L* j
OPEN=ri.exe
" G+ W$ l. m  \
# m8 U. i- q1 A& w0 k这样当用户双击U盘或其它移动存储设备以及硬盘各个分区的时候就会激活病毒运行。
5 B, N2 q  O2 y  l6 `6 ?! _0 s0 A# \4 M1 ]& }# g; x4 ~
# A; B( L& j* ]% V$ h
# ]+ L# G$ b8 N4 h. Y0 T! Y
4.) e; t+ [6 ^/ i( E
病毒运行后,会尝试使用Taskkill /f /im命令关闭以下杀毒软件和安全工具的进程,以达到躲避查杀的目的。6 k0 w# k8 T5 K: ^/ _# l3 r, j

  L* X* {5 F0 j3 N$ A/ A
& Y# c- q. p6 G' k! g0 j2 A! u9 X1 G( W; f2 ?

5 c. U7 p0 W4 mNavapw32.exe8 y7 C0 @% Y; ?, l1 ^
Navapsvc.exe8 L' Y0 n: b! H
NMain.exe
) Q- K3 f. L! |4 @2 g8 [navw32.EXE6 J; e( I; J; j; X
KVFW.EXE
& T- C+ ?0 a( n4 @3 oKAVSvcUI.exe4 i2 L+ p8 p" {! O
KAVPFW.EXE7 u+ ^" S4 e$ x' t" j$ m3 ]1 S# B
KAV32.exe2 m2 q: |; M$ u' \
KvXP.kxp; ~9 c' n% U: T( c. e. I! f9 \
twister.exe
; J( Z4 |% Q6 T1 L" i' b% E' TKVSrvXP.exe$ g" G. N5 a3 {  s& G
KVSrvXP_1.exe
8 J/ Q5 {/ M  |3 k- @......  a& w3 o- P  x+ O! t! ^
5.        该病毒具有IFEO重定向劫持功能,病毒通过写注册表中的 IFEO 键值,来阻止一些杀毒软件和安全工具的运行,
7 [' ^+ D. r$ A6 o) G$ q9 v  L8 K0 L+ d% f& k3 d
' Z4 P3 [. ]) X# x0 e
添加的注册表键值例如下列:
+ f+ X. v/ o! Y* h8 v6 ~
) k0 p- G& ~6 G[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\KVCenter.kxp]% c( E# a+ M5 l& W) v4 ?6 p
"Debugger" = c:\winnt\system32\winfuckjp.exe
' {% O3 ~" c# Y5 q" H; Q. c
  p" f& z8 Q% N* v* j2 v" ~共阻止100款杀毒软件和安全工具的运行,详细名单如下:
* Y5 J. i2 _5 {% \
; S; C, R' a! \5 h, a7 q, O3 X# [3 t, y0 h2 Q' \7 e
360rpt.exe! h+ k% K8 W8 r0 j$ ?
360Safe.exe
7 I9 S+ w* V- l) X* T360tray.exe
, g2 q, w# Q- U2 b; [adam.exe  {, e; G' e' c$ Y
AgentSvr.exe
- \: Y: N' q* c9 G4 g# n9 sAppSvc32.exe+ n: D2 ]1 j( ?* F4 ]1 v
autoruns.exe
. @4 _+ l+ p( _6 _" @' eavgrssvc.exe$ h$ ?. d) e& [2 w' o
AvMonitor.exe
& ~0 I( ]- c$ h- N$ F% [1 _' D0 t: Iavp.com
6 M' L! V/ E: l# u  Q& R( uavp.exe
8 `5 \7 `; L# L- _6 [CCenter.exe
8 i& t9 `8 _' C$ E7 O! n  d4 O, |7 X3 c......
# s) u$ S  p; ~* |: e' a7 z- ^9 ?$ H" |
6.1 u6 o' h3 E7 T" X$ _& k
病毒修改操作系统的Hosts表,禁止用户登陆反病毒厂商的网址升级病毒库,被修改后的Hosts表文件如下:
/ \8 f  ?# P4 S9 `
% R/ u% @+ Y, w8 Y2 z) n* x5 b7 \2 J; Q# y
. s0 Z: J; _+ l2 d' p7 E
, s3 X( I* }+ w  _$ l& }127.0.0.1% Y/ V3 r) X& ]  h
www.trendmicro.com
. O$ c; l7 o1 p127.0.0.14 M, m3 f" ], }% Y1 h: V
rads.mcafee.com9 b( Y. k! n) M- \# K& W
127.0.0.1: E3 [7 O9 G& r: ~3 Z
www.rising.com.cn
$ j- ]8 _6 E" Q1 L+ K, S; {127.0.0.1
$ q" o$ T6 Q( `9 w" \6 mbbs.2dai.com
& h: E: f2 B' G, @127.0.0.1
+ n/ k" L+ S! `" e: n$ _bbs.abcbit.com( a( ^5 @0 U9 E) c, Y
127.0.0.1
& e) b" K/ E) t4 m% ^: n; T2 z' t8 nwww.freekv.net- X- X* t# N3 `
......5 w, v- W" Y3 @4 ^* R: x$ b
, }" Z5 {5 |0 \2 l  F1 Q
这样,中毒用户就无法登陆反病毒厂商的网站升级病毒库。0 U) N; t/ G& y9 ]

9 I7 R4 z. H" B/ ^2 D
: @, _* L3 ~& @  k, ~6 M  X7.
, [. R$ Y' W' u$ s# `该病毒还会修改注册表相关键值,来禁用显示隐藏文件的功能。
( y( u5 s1 Y+ F! R! h) z% P5 {
  l7 ?  I  s6 H' J8.9 C. a1 w5 T, r3 [2 k3 ^
该病毒还会修改注册表相关键值,来破坏系统的安全模式,这样中毒用户就无法进入安全模式下杀毒。
8 |, T  [( n0 |' ?; j' J! z& M9 _' c3 E1 F9 L; N
9./ a0 q3 t! G7 {+ p$ h* d; T
在病毒文件体内,病毒作者还留言,挑战尚未上市尚在公测时的2008版杀毒软件。如下图
8 E) v1 r1 A; n. j4 P# U& z" w5 S, u* R0 w1 w
病毒运行后,会感染全盘的*.exe 文件,致使系统中毒后将完全瘫痪,并且占用大量的CPU资源,系统无法启动,给用户带来损失。
发表于 2007-8-29 09:09:04 | 显示全部楼层
重装就能好吗??:L
发表于 2007-8-29 09:27:26 | 显示全部楼层
写病毒的人好牛啊:L
发表于 2007-8-29 09:37:05 | 显示全部楼层
目前还未有有效的解决方案!0 `+ ?1 [/ ?* I
。。。。不是吧
您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|手机版|小黑屋|诚毅小家 ( 小家社区工作室 闽ICP备05007965号 )

GMT+8, 2024-11-23 19:50 , Processed in 0.067122 second(s), 25 queries .

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表