大猩猩病毒惊现网络 破坏力巨大！

神啊！救救我吧

8月24日，一种发作图案显示为“大猩猩”的病毒出现在网络上。该病毒与“熊猫烧香”、“小浩”等病毒类似，通过U盘传播,可以感染*.exe可执行文件。病毒运行时，会占用大量的CPU资源，导致中毒电脑系统瘫痪。

    该病毒可以通过U盘传播，中毒电脑无论是双击U盘还是硬盘都会激活病毒。病毒运行后，会使用Taskkill/f /im命令关闭近百种杀毒软件和安全工具的进程，以达到躲避查杀的目的。它还具有重定向劫持功能，通过写注册表中的 IFEO键值来阻止100款杀毒软件和安全工具的运行。“大猩猩”病毒还通过修改操作系统的Hosts表，禁止用户登陆数十家反病毒厂商的网址，阻止杀毒软件升级病毒库，并修改注册表相关键值，禁用系统“显示隐藏文件”功能隐藏自身，破坏系统安全模式，使得中毒用户无法进入安全模式下杀毒。

   病毒作者还公然在病毒代码内留言，挑战08版杀毒软件。病毒作者自称该病毒为“2007年终极蠕虫病毒——大红猩猩”，声称“本病毒会劫持大多数杀毒软件，并且会破坏杀毒软件的监控程序，因此，2008年请您选择有自我保护能力的杀软吧！”。病毒作者还对国内外四款08版杀毒软件的自我保护能力进行了评价。

   专家再次提醒广大用户，禁用系统的自动播放功能，防止病毒从U盘、移动硬盘、MP3等移动存储设备进入到计算机；利用WindowsUpdate功能打全系统补丁，尤其是打好MS06-014和MS07-017这两个网页木马经常使用的系统漏洞，避免病毒从恶意网页入侵用户电脑系统；不要随意接收从QQ、MSN等即时聊天工具发送过来的可执行文件，不要登陆来历不明的网址连接，以防遭受病毒侵害。

  目前还未有有效的解决方案！

小芮

:( 怕怕,,,,,,,,

Fish.lin

发病毒的人简直神经病。。

林林

说不定就是杀毒公司的人干的~:m30

神啊！救救我吧

不是啊。。据说什么AV终结者这些病毒明显有黑资金注入。。。。不然他病毒发的速度怎么比杀毒软件公司收集的速度还快。。。。都是偷了网友的账号密码去卖钱的或架肉鸡。。。:m34

gdlyy

顶住``兄弟们千万不要让自己的电脑趴下``:m6

神啊！救救我吧

病毒名称：Win32/DaXingXing.a
6 y* ]6 m* A0 \! G中 文 名：大猩猩病毒

6 |' q8 R+ G/ O0 j* v病毒类型：文件型
' X8 V( [* t; Q' D8 Z& N7 {/ a) g0 l6 n) w
' v" I; _3 q2 I; w% h! k危害等级：★★★

影响平台：Win 9X/ME/NT/2000/XP/2003
6 U( O$ d* i: k- M7 o: A病毒样本MD5值为：60f66f0b7312e6eb9a5f2f823c5ff316
3 y2 R9 ^! {9 q: P# S6 h文件大小为：819829字节
9 f$ K4 b# {: L8 w% x0 }) A


" m+ P# z. e6 h+ n病毒运行特征：


1.
Win32/DaXingXing.a
大猩猩病毒是一个采用易语言编写的文件型病毒，病毒运行后，创建病毒进程winfuckjp.exe ，该进程采用RootKit技术隐藏自身，用Windows自带的任务管理器察看不到。
" G4 l- c# b5 b' ?0 n! D
+ w5 _' ~/ Y2 I6 d2 g; p& ^释放病毒文件：

( D) E2 m  b& ?8 E%WinDir%\System32\winfuckjp.exe, 819829字节

/ g/ w0 p6 W1 D$ u' m6 n
6 j+ A, {6 U6 l3 k+ `该病毒还会感染全盘所有的*.exe文件，向文件头部添加7725字节的数据，感染后的文件图标变成一个大猩猩的图标，如下图：


2.
$ R, g( f9 @7 e在注册表中添加下列启动项：

. Y8 s( `2 a% @6 x! h: v* a0 d  A[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Winfuckjp.exe" = %SystemDir%\winfuckjp.exe
% v6 f1 X% l8 K这样，在Windows启动时，病毒就可以自动执行。
7 G: m2 @$ d, U. }+ ]3 |/ q
" L2 y: I9 N, Y

3.
病毒还会在U盘/MP3/移动硬盘以及每个硬盘分区跟目录下释放病毒文件AutoRun.inf和ri.exe，其中AutoRun.inf文件内容如下：
8 _4 c* U: E8 M: |- F
[AutoRun]
( j- e9 T# Y9 k" _2 u; @OPEN=ri.exe
+ P1 G8 _, i, E- O, U" X
4 @% O! k5 y% |) P这样当用户双击U盘或其它移动存储设备以及硬盘各个分区的时候就会激活病毒运行。

, y8 s. ?7 y# q$ _: k

4.
病毒运行后，会尝试使用Taskkill /f /im命令关闭以下杀毒软件和安全工具的进程，以达到躲避查杀的目的。
  h) m" Z2 C+ E! U, t9 k9 u4 T  o
1 W- A) U# {9 H; g, r

( u; Y& ?9 H( o5 [9 ]* E
Navapw32.exe
Navapsvc.exe
6 Q( N7 z) s) x8 MNMain.exe
: ]% y% ^% j+ `navw32.EXE
KVFW.EXE
KAVSvcUI.exe
KAVPFW.EXE
4 J" `& X2 F8 |! l- f. R* jKAV32.exe
KvXP.kxp
  ^- P) f* `# M' L1 d/ s, vtwister.exe
. o- s4 D4 @* E5 G4 s0 QKVSrvXP.exe
KVSrvXP_1.exe
8 f6 E0 k* k' L6 F2 F......
. j+ H% K. P& X5.        该病毒具有IFEO重定向劫持功能，病毒通过写注册表中的 IFEO 键值，来阻止一些杀毒软件和安全工具的运行，


添加的注册表键值例如下列：
6 x0 ]0 V4 p! c9 k2 g5 `3 J
) q+ I" G) F' F[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\KVCenter.kxp]
"Debugger" = c:\winnt\system32\winfuckjp.exe

7 e& D7 |; i' b# M. s* ^4 K共阻止100款杀毒软件和安全工具的运行，详细名单如下：

. U% ?! I# T% n' e
4 n# f. S7 O1 G' @; D& R6 J- Q360rpt.exe
" W) R8 _2 G: d* l' Y) X; c. H360Safe.exe
360tray.exe
! X6 |  D; {: n) j2 H6 vadam.exe
/ M9 k  N5 X1 f1 r6 D) `: lAgentSvr.exe
# ^; {3 n0 ~8 K9 |AppSvc32.exe
autoruns.exe
avgrssvc.exe
AvMonitor.exe
1 e0 `: \9 s; R! S2 W& vavp.com
avp.exe
4 _: z* `/ P$ p5 ]CCenter.exe
( B& s1 h2 B1 d7 V$ j( s2 o......

6.
- m3 D5 V2 ^$ a1 t病毒修改操作系统的Hosts表，禁止用户登陆反病毒厂商的网址升级病毒库，被修改后的Hosts表文件如下：
' Q% n# Y. Y7 m' p) I* `5 y+ U


+ V4 \7 h5 E. @) q127.0.0.1
6 D3 i9 U% x7 G* Y( u# Q/ R0 Twww.trendmicro.com
127.0.0.1
rads.mcafee.com
127.0.0.1
5 t* h1 D/ |: J0 F) B- l4 p5 Fwww.rising.com.cn
1 G5 o2 F+ n! o; v: v127.0.0.1
bbs.2dai.com
127.0.0.1
' u& ?! K6 ]6 u$ J$ F" jbbs.abcbit.com
127.0.0.1
www.freekv.net
- h- u. @' ]8 l+ i0 t0 J......

7 {: j2 ~* Z2 @! I6 N这样，中毒用户就无法登陆反病毒厂商的网站升级病毒库。

- h  T. e( S  Z
; u5 ?' s2 G% R7 ~7.
# D7 ^* r$ ~4 f9 J5 I( L该病毒还会修改注册表相关键值，来禁用显示隐藏文件的功能。

. o) p0 P, O- A8.
该病毒还会修改注册表相关键值，来破坏系统的安全模式，这样中毒用户就无法进入安全模式下杀毒。
! {9 f0 W. z+ G) d/ A( [% m
9.
在病毒文件体内，病毒作者还留言，挑战尚未上市尚在公测时的2008版杀毒软件。如下图

病毒运行后，会感染全盘的*.exe 文件，致使系统中毒后将完全瘫痪，并且占用大量的CPU资源，系统无法启动，给用户带来损失。

Fish.lin

重装就能好吗？？:L

木风

写病毒的人好牛啊:L

忆尘流年

目前还未有有效的解决方案！
9 `; `/ X/ ^( N! ]。。。。不是吧