大猩猩病毒惊现网络 破坏力巨大！

神啊！救救我吧

8月24日，一种发作图案显示为“大猩猩”的病毒出现在网络上。该病毒与“熊猫烧香”、“小浩”等病毒类似，通过U盘传播,可以感染*.exe可执行文件。病毒运行时，会占用大量的CPU资源，导致中毒电脑系统瘫痪。

    该病毒可以通过U盘传播，中毒电脑无论是双击U盘还是硬盘都会激活病毒。病毒运行后，会使用Taskkill/f /im命令关闭近百种杀毒软件和安全工具的进程，以达到躲避查杀的目的。它还具有重定向劫持功能，通过写注册表中的 IFEO键值来阻止100款杀毒软件和安全工具的运行。“大猩猩”病毒还通过修改操作系统的Hosts表，禁止用户登陆数十家反病毒厂商的网址，阻止杀毒软件升级病毒库，并修改注册表相关键值，禁用系统“显示隐藏文件”功能隐藏自身，破坏系统安全模式，使得中毒用户无法进入安全模式下杀毒。

   病毒作者还公然在病毒代码内留言，挑战08版杀毒软件。病毒作者自称该病毒为“2007年终极蠕虫病毒——大红猩猩”，声称“本病毒会劫持大多数杀毒软件，并且会破坏杀毒软件的监控程序，因此，2008年请您选择有自我保护能力的杀软吧！”。病毒作者还对国内外四款08版杀毒软件的自我保护能力进行了评价。

   专家再次提醒广大用户，禁用系统的自动播放功能，防止病毒从U盘、移动硬盘、MP3等移动存储设备进入到计算机；利用WindowsUpdate功能打全系统补丁，尤其是打好MS06-014和MS07-017这两个网页木马经常使用的系统漏洞，避免病毒从恶意网页入侵用户电脑系统；不要随意接收从QQ、MSN等即时聊天工具发送过来的可执行文件，不要登陆来历不明的网址连接，以防遭受病毒侵害。

  目前还未有有效的解决方案！

小芮

:( 怕怕,,,,,,,,

Fish.lin

发病毒的人简直神经病。。

林林

说不定就是杀毒公司的人干的~:m30

神啊！救救我吧

不是啊。。据说什么AV终结者这些病毒明显有黑资金注入。。。。不然他病毒发的速度怎么比杀毒软件公司收集的速度还快。。。。都是偷了网友的账号密码去卖钱的或架肉鸡。。。:m34

gdlyy

顶住``兄弟们千万不要让自己的电脑趴下``:m6

神啊！救救我吧

病毒名称：Win32/DaXingXing.a
/ w1 j$ _: b' g中 文 名：大猩猩病毒
3 W7 R6 y# {4 ]1 I2 r: Q5 e# \
: P! i% G( U2 `+ p& ^7 i  }病毒类型：文件型

* n) {( N/ v+ U- {, r- l* `; p危害等级：★★★

影响平台：Win 9X/ME/NT/2000/XP/2003
病毒样本MD5值为：60f66f0b7312e6eb9a5f2f823c5ff316
: d' M/ ?" `8 ?9 O3 V* F文件大小为：819829字节
! K, ]& V8 i8 m$ n5 g6 k, N
' L$ o5 L7 j1 X% d" F4 h; h0 K9 v
1 T* m+ f- v  \5 v
病毒运行特征：


$ N$ `" |) w% R% ?. j0 q& c) U1.
Win32/DaXingXing.a
大猩猩病毒是一个采用易语言编写的文件型病毒，病毒运行后，创建病毒进程winfuckjp.exe ，该进程采用RootKit技术隐藏自身，用Windows自带的任务管理器察看不到。
7 M" O3 j$ l' n( Y8 \: K
9 I5 }$ M* U* b/ ]/ ^释放病毒文件：
; V$ v- N( j  A  ~
' W' ?6 J9 d  X: c$ F& ?%WinDir%\System32\winfuckjp.exe, 819829字节

# x7 l4 {7 P; q% ?$ \& H
该病毒还会感染全盘所有的*.exe文件，向文件头部添加7725字节的数据，感染后的文件图标变成一个大猩猩的图标，如下图：

4 r/ `4 ^2 |2 e* e3 l5 f4 m" F9 g
2.
在注册表中添加下列启动项：
' g' B! m0 k  |- w: L) p) g2 z
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Winfuckjp.exe" = %SystemDir%\winfuckjp.exe
这样，在Windows启动时，病毒就可以自动执行。


& n: F7 |% B& c
' U8 j! a! }  t/ B% M( L3.
$ Y2 _% _5 }1 R( O, k& `, o9 Y; k病毒还会在U盘/MP3/移动硬盘以及每个硬盘分区跟目录下释放病毒文件AutoRun.inf和ri.exe，其中AutoRun.inf文件内容如下：

[AutoRun]
OPEN=ri.exe

这样当用户双击U盘或其它移动存储设备以及硬盘各个分区的时候就会激活病毒运行。



4.
6 F( D: }% s' h/ G1 k' a5 H病毒运行后，会尝试使用Taskkill /f /im命令关闭以下杀毒软件和安全工具的进程，以达到躲避查杀的目的。
& H8 u: F, a7 {" ^0 K4 q4 v; `# U4 g
5 F3 Q$ s5 ?. g
" i2 k: ~5 a4 W) P( y% s& ?  i) A  l

Navapw32.exe
0 N  {7 y" ^8 y0 w+ D* r- tNavapsvc.exe
( }4 E) u" N9 I* jNMain.exe
navw32.EXE
9 W. T$ ~0 W6 sKVFW.EXE
6 T' I  e8 w5 q, g" h) HKAVSvcUI.exe
KAVPFW.EXE
KAV32.exe
KvXP.kxp
/ X0 Q. p9 g+ `twister.exe
KVSrvXP.exe
KVSrvXP_1.exe
......
5.        该病毒具有IFEO重定向劫持功能，病毒通过写注册表中的 IFEO 键值，来阻止一些杀毒软件和安全工具的运行，
8 Y  G! o9 m3 Y0 D# K+ O1 e
( T1 O3 S& ?: `5 _  a& y: @0 k& R
添加的注册表键值例如下列：
  Q; g2 [3 A# R5 v
  H0 R. u9 Z0 ^6 N; X[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\KVCenter.kxp]
2 c$ T1 G5 b0 @4 r! b5 U& y"Debugger" = c:\winnt\system32\winfuckjp.exe

2 Q2 @8 P9 U" H4 ~" s5 n+ I共阻止100款杀毒软件和安全工具的运行，详细名单如下：
% Y& M* ~2 ~' _( k' \% c- Z

; A. e& v2 @) Z' P3 G* R360rpt.exe
360Safe.exe
360tray.exe
adam.exe
AgentSvr.exe
2 y' J4 d" Y0 vAppSvc32.exe
autoruns.exe
" F' \) p' p% K* [% b. B# Wavgrssvc.exe
AvMonitor.exe
$ h7 r( D/ \- w. a: N3 P$ _avp.com
- R7 \+ |& `+ U% p' Pavp.exe
0 d: p# N) T% |8 N+ P' sCCenter.exe
( J* _; i. w. @/ @: T1 m......

4 r" w- H0 G7 [6 g6.
- ?- R" A, {* Y病毒修改操作系统的Hosts表，禁止用户登陆反病毒厂商的网址升级病毒库，被修改后的Hosts表文件如下：
. ~. k- D# F' c. f6 y+ Z
1 a2 p8 t" X9 |+ `

9 n! x& o* ^9 D$ z2 M& ~127.0.0.1
/ u9 `: {: i& L* _" o( Z6 Ewww.trendmicro.com
, N6 m1 l. I0 @( e127.0.0.1
6 E7 Q$ ~. e) i* E. I  |; _rads.mcafee.com
127.0.0.1
- t& ~! w% T& k7 Q8 R, xwww.rising.com.cn
127.0.0.1
bbs.2dai.com
127.0.0.1
bbs.abcbit.com
5 w/ c4 e- e8 Y! ~: E4 s  K127.0.0.1
  D+ C) T8 v+ Cwww.freekv.net
......
' o' t" R5 P0 V+ K2 w. ?- f
/ o: j" p7 |- F/ w, Z# ~这样，中毒用户就无法登陆反病毒厂商的网站升级病毒库。
5 ?- F1 X7 E( l, B$ t
- r6 @6 B* X* G/ P6 D' `
7.
该病毒还会修改注册表相关键值，来禁用显示隐藏文件的功能。
2 E( p( ~) C# y# s
8.
该病毒还会修改注册表相关键值，来破坏系统的安全模式，这样中毒用户就无法进入安全模式下杀毒。
$ q! d  a: A  i1 n3 \
9.
3 p/ M! @1 @$ y( _! a) e! s2 w/ \在病毒文件体内，病毒作者还留言，挑战尚未上市尚在公测时的2008版杀毒软件。如下图
8 F$ c5 C6 K0 h1 k% U  P; X" l; G4 C( F
病毒运行后，会感染全盘的*.exe 文件，致使系统中毒后将完全瘫痪，并且占用大量的CPU资源，系统无法启动，给用户带来损失。

Fish.lin

重装就能好吗？？:L

木风

写病毒的人好牛啊:L

忆尘流年

目前还未有有效的解决方案！
。。。。不是吧