诚毅小家|集美大学生活【集美大学,诚毅学院,水产学院,师范学院,美术学院,财经学院,体育学院,航海学院,集美学村,石鼓路,龙舟池】

 找回密码
 注册

QQ登录

只需一步,快速开始

搜索
热搜: 活动 交友 discuz
查看: 545|回复: 9

大猩猩病毒惊现网络 破坏力巨大!

[复制链接]
发表于 2007-8-27 06:51:46 | 显示全部楼层 |阅读模式
8月24日,一种发作图案显示为“大猩猩”的病毒出现在网络上。该病毒与“熊猫烧香”、“小浩”等病毒类似,通过U盘传播,可以感染*.exe可执行文件。病毒运行时,会占用大量的CPU资源,导致中毒电脑系统瘫痪。
    该病毒可以通过U盘传播,中毒电脑无论是双击U盘还是硬盘都会激活病毒。病毒运行后,会使用Taskkill/f /im命令关闭近百种杀毒软件和安全工具的进程,以达到躲避查杀的目的。它还具有重定向劫持功能,通过写注册表中的 IFEO键值来阻止100款杀毒软件和安全工具的运行。“大猩猩”病毒还通过修改操作系统的Hosts表,禁止用户登陆数十家反病毒厂商的网址,阻止杀毒软件升级病毒库,并修改注册表相关键值,禁用系统“显示隐藏文件”功能隐藏自身,破坏系统安全模式,使得中毒用户无法进入安全模式下杀毒。
   病毒作者还公然在病毒代码内留言,挑战08版杀毒软件。病毒作者自称该病毒为“2007年终极蠕虫病毒——大红猩猩”,声称“本病毒会劫持大多数杀毒软件,并且会破坏杀毒软件的监控程序,因此,2008年请您选择有自我保护能力的杀软吧!”。病毒作者还对国内外四款08版杀毒软件的自我保护能力进行了评价。
   专家再次提醒广大用户,禁用系统的自动播放功能,防止病毒从U盘、移动硬盘、MP3等移动存储设备进入到计算机;利用WindowsUpdate功能打全系统补丁,尤其是打好MS06-014和MS07-017这两个网页木马经常使用的系统漏洞,避免病毒从恶意网页入侵用户电脑系统;不要随意接收从QQ、MSN等即时聊天工具发送过来的可执行文件,不要登陆来历不明的网址连接,以防遭受病毒侵害。
9 }/ Y, |0 [# F; W) t
  目前还未有有效的解决方案!* u; R4 Z1 u: ]; O: b* ?

评分

参与人数 1 +1 收起 理由
风伊翼 + 1 谢谢提醒

查看全部评分

发表于 2007-8-27 08:01:56 | 显示全部楼层
:( 怕怕,,,,,,,,
发表于 2007-8-27 08:47:40 | 显示全部楼层
发病毒的人简直神经病。。
发表于 2007-8-27 08:57:26 | 显示全部楼层
说不定就是杀毒公司的人干的~:m30
 楼主| 发表于 2007-8-27 21:03:37 | 显示全部楼层
不是啊。。据说什么AV终结者这些病毒明显有黑资金注入。。。。不然他病毒发的速度怎么比杀毒软件公司收集的速度还快。。。。都是偷了网友的账号密码去卖钱的或架肉鸡。。。:m34
发表于 2007-8-27 21:34:38 | 显示全部楼层
顶住``兄弟们千万不要让自己的电脑趴下``:m6
 楼主| 发表于 2007-8-27 21:45:47 | 显示全部楼层

现提供所找到该病毒的分析资料(目前只知道江民8月24日病毒库即可有效防杀此病毒)

病毒名称:Win32/DaXingXing.a& s( x$ Z; k. `
中 文 名:大猩猩病毒
1 Z2 Q7 @  [: \) ?+ y
1 R; o) ^# J. q& X" [8 _病毒类型:文件型1 t1 R; \+ j8 \( c/ N9 m  a% }3 I8 C
! V: D3 E5 s: b: T
危害等级:★★★
$ H, l, Z3 \  r) h9 M3 T
+ L0 T. m/ N# A$ W影响平台:Win 9X/ME/NT/2000/XP/2003
) k! ?0 J/ E( N( z" K/ ?6 e* G病毒样本MD5值为:60f66f0b7312e6eb9a5f2f823c5ff316
% y3 P5 Y/ p2 D) w- f. q& L文件大小为:819829字节7 {' Q$ @$ j' R
9 h7 V  h" ?# S& [; o( q2 _

% E4 j% o. A- `2 O2 w6 g1 N! y+ b
! K) l& I6 _9 n2 X" W9 t: b" z病毒运行特征:# Z1 }* ^( U' J/ F; ~

4 X6 w6 D2 N& t
( x4 N1 A' y1 `7 C1.5 a) p% u0 V+ r
Win32/DaXingXing.a
( L0 [! f7 D5 ?2 }$ h  B大猩猩病毒是一个采用易语言编写的文件型病毒,病毒运行后,创建病毒进程winfuckjp.exe ,该进程采用RootKit技术隐藏自身,用Windows自带的任务管理器察看不到。. X2 i9 ^# |$ x* X/ }9 d
2 D9 S. {& @* K
释放病毒文件:
* n! f2 `0 ~. e9 J: F; [  H" K8 f! ~' ?  Q' M8 X# w
%WinDir%\System32\winfuckjp.exe, 819829字节
8 s7 ~! M: z- ]
, \3 R5 Z$ C5 m( \' X
% [5 C- ]6 q4 d该病毒还会感染全盘所有的*.exe文件,向文件头部添加7725字节的数据,感染后的文件图标变成一个大猩猩的图标,如下图:
, V+ f( j+ n- J# }+ [& \% n+ {6 T, ^  g: L! Z' c4 J$ u

1 P; b. T: P7 a0 [2.% r6 I( |  r/ ]3 |. w
在注册表中添加下列启动项:  W1 k1 z# \+ D" l

! A; p& |& ]3 S4 r" a9 d[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
; I8 b( {4 S* g4 D4 U2 H"Winfuckjp.exe" = %SystemDir%\winfuckjp.exe9 l. C" ]4 G( {6 q, u
这样,在Windows启动时,病毒就可以自动执行。( z% I4 n7 V4 x( w, f

* a' V0 m( P; @( k# l) H
) n( i- L" K! q' U6 n4 E
3 f& Q( Y! X0 H2 ?$ J7 o  B3.
. e5 C, L2 j2 U7 s! s1 T1 r+ B病毒还会在U盘/MP3/移动硬盘以及每个硬盘分区跟目录下释放病毒文件AutoRun.inf和ri.exe,其中AutoRun.inf文件内容如下:
2 a5 l2 K, U7 Q) w9 j: D) C' s- V
% l3 ~+ ~0 @& v4 {[AutoRun]
% R2 m! m! {+ aOPEN=ri.exe
) Z& d: g3 b) u7 S+ ?" o# Q. G* x, t7 a( l8 Q1 e( {: `
这样当用户双击U盘或其它移动存储设备以及硬盘各个分区的时候就会激活病毒运行。6 [) X% x) i8 q' b  |% ^- q

% W( a3 p: b2 g; h6 l" b
+ I7 K7 u" L' l1 n4 W: {1 w4 m  G3 T# _2 s
4.( U- k6 ^. g& q+ |
病毒运行后,会尝试使用Taskkill /f /im命令关闭以下杀毒软件和安全工具的进程,以达到躲避查杀的目的。
1 J* G9 X& q  _/ ^
8 _7 |8 ?. H% a3 i# Z1 F+ k" D" v
/ z- J5 p0 Y' [' @
8 f: R: l8 Z; P" C" K
; j+ n' E4 [/ u! ONavapw32.exe4 {. {6 l% e4 ]' l! u" \# M
Navapsvc.exe/ N0 o- z- ^; j0 h: p( _
NMain.exe5 R- {' q- f$ G4 F+ G
navw32.EXE
0 [4 ~  \) n, h9 ], G* P' B- {2 p5 SKVFW.EXE, @. L3 x% B+ A: ]9 H
KAVSvcUI.exe5 q9 b& l$ F" O+ R6 J* A# z
KAVPFW.EXE" l" F0 S+ i' i* W+ ~
KAV32.exe
+ b5 r: b0 S" T$ M+ D9 J! ]2 r% A2 fKvXP.kxp$ M! _* Q4 r8 `! f1 z9 F- z
twister.exe
4 S* Q5 l& B% S. B8 eKVSrvXP.exe. j$ p! D: |5 i9 A, |( X3 e1 d# t2 @
KVSrvXP_1.exe
. K; Z3 Z8 ^' J* _) X: |& @......, ^3 @, \/ o; I; Z1 a+ n
5.        该病毒具有IFEO重定向劫持功能,病毒通过写注册表中的 IFEO 键值,来阻止一些杀毒软件和安全工具的运行,* \5 M8 e% @* \2 T
+ a+ l' Q$ a# g! g; z# d( L
+ H1 X8 e; t, K3 u! S
添加的注册表键值例如下列:
( x, @+ p% N3 N* J3 ?  x: ?" B4 C( F, ?1 U# m
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\KVCenter.kxp]4 o; `5 ^4 @: y+ B
"Debugger" = c:\winnt\system32\winfuckjp.exe( c+ ^% z7 K  Z

9 c$ r) Z+ W, Y- F+ l' {' J$ h% U' z6 x共阻止100款杀毒软件和安全工具的运行,详细名单如下:" {6 l+ O! @/ @: ?$ N/ O* W
3 X. _; t$ k. Z$ J9 x+ Q

3 \6 e( Y5 R# \360rpt.exe
+ l- H' E% `$ n: L. l1 Q: Q360Safe.exe# E; s, k. F" R! |0 A9 d# f9 K
360tray.exe
7 ~  }+ A* q0 R! s4 K+ S) F+ iadam.exe
: o  d0 W, D# XAgentSvr.exe! V3 H: g, U& [' r! H) m
AppSvc32.exe
- l5 p% e0 Y1 Z1 Z* K, Lautoruns.exe. {! g' ]0 L6 a% g5 J3 ~1 h
avgrssvc.exe
6 D9 E  Q  n+ EAvMonitor.exe9 {8 d9 e$ w) e# \3 a! P+ v
avp.com
; P& L7 ]3 i7 \. o4 ^avp.exe
3 f6 p! X- G* e& b: n7 _- j; PCCenter.exe
! N3 f: I2 O# ^6 Y: Y1 F......
9 Y6 a3 r7 g+ B: ^. J( Q, d! |% S7 z4 G
4 `  X4 l6 g8 Y3 y% {6.1 N1 Q+ L' J4 V" O9 n3 q
病毒修改操作系统的Hosts表,禁止用户登陆反病毒厂商的网址升级病毒库,被修改后的Hosts表文件如下:
9 r9 u9 p1 N2 U+ z) _: f$ e$ g; v! `

. t6 c9 @  ]3 _! u6 h8 u" \& b, Y: v
% s# O. o$ {! v$ o. B  k% P4 Y127.0.0.1
/ n, y2 ^4 Q( v# b" Fwww.trendmicro.com+ P: E8 k% f4 o0 x
127.0.0.1
& o: Q9 `- q4 H& {2 q$ wrads.mcafee.com6 Z2 ^/ F( M4 k
127.0.0.1! @* i" v/ E5 b
www.rising.com.cn
! o4 ~9 }) ~) f2 R127.0.0.14 P9 Y6 |! y/ Q2 P/ m1 L
bbs.2dai.com
1 n( q3 y0 ?0 {1 d2 l% l127.0.0.1
: O0 R# e! R) E7 Y, \, Ebbs.abcbit.com4 E, a- D5 w3 g( g7 ]! a. h2 s
127.0.0.1$ K) Q, v! w. b9 o* z/ f
www.freekv.net
% {+ z. y: d% Y+ P( n: n......
. p4 w! F6 y* z( W4 e. g$ S% T  B$ w! x' N
这样,中毒用户就无法登陆反病毒厂商的网站升级病毒库。
2 t! ]0 _/ R3 G* U5 a: }. u' Z# Z- L4 Q. g# A2 ^! ?
, @2 c  i8 N8 i% P
7.3 w. T% n! b" P+ E; J* `3 |
该病毒还会修改注册表相关键值,来禁用显示隐藏文件的功能。0 H; C8 Y4 k' Z8 h; }, T

# o) d* R" ~. J8.+ G. @* h: Q' g5 |6 f
该病毒还会修改注册表相关键值,来破坏系统的安全模式,这样中毒用户就无法进入安全模式下杀毒。
9 y+ {8 B- s% Y& q3 V. N$ a: ^* ~2 t
9.3 X: _; D. h; E# @8 q0 ~
在病毒文件体内,病毒作者还留言,挑战尚未上市尚在公测时的2008版杀毒软件。如下图
; N9 z6 ^; Y; ]1 F! i( i: C. B- Y( z% O" D2 h+ ?0 h  p0 j
病毒运行后,会感染全盘的*.exe 文件,致使系统中毒后将完全瘫痪,并且占用大量的CPU资源,系统无法启动,给用户带来损失。
发表于 2007-8-29 09:09:04 | 显示全部楼层
重装就能好吗??:L
发表于 2007-8-29 09:27:26 | 显示全部楼层
写病毒的人好牛啊:L
发表于 2007-8-29 09:37:05 | 显示全部楼层
目前还未有有效的解决方案!
+ ^9 u' Z3 Q2 |. {4 y. e。。。。不是吧
您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|手机版|小黑屋|诚毅小家 ( 小家社区工作室 闽ICP备05007965号 )

GMT+8, 2024-11-1 11:38 , Processed in 0.051126 second(s), 22 queries .

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表