诚毅小家|集美大学生活【集美大学,诚毅学院,水产学院,师范学院,美术学院,财经学院,体育学院,航海学院,集美学村,石鼓路,龙舟池】

 找回密码
 注册

QQ登录

只需一步,快速开始

搜索
热搜: 活动 交友 discuz
查看: 547|回复: 9

大猩猩病毒惊现网络 破坏力巨大!

[复制链接]
发表于 2007-8-27 06:51:46 | 显示全部楼层 |阅读模式
8月24日,一种发作图案显示为“大猩猩”的病毒出现在网络上。该病毒与“熊猫烧香”、“小浩”等病毒类似,通过U盘传播,可以感染*.exe可执行文件。病毒运行时,会占用大量的CPU资源,导致中毒电脑系统瘫痪。
    该病毒可以通过U盘传播,中毒电脑无论是双击U盘还是硬盘都会激活病毒。病毒运行后,会使用Taskkill/f /im命令关闭近百种杀毒软件和安全工具的进程,以达到躲避查杀的目的。它还具有重定向劫持功能,通过写注册表中的 IFEO键值来阻止100款杀毒软件和安全工具的运行。“大猩猩”病毒还通过修改操作系统的Hosts表,禁止用户登陆数十家反病毒厂商的网址,阻止杀毒软件升级病毒库,并修改注册表相关键值,禁用系统“显示隐藏文件”功能隐藏自身,破坏系统安全模式,使得中毒用户无法进入安全模式下杀毒。
   病毒作者还公然在病毒代码内留言,挑战08版杀毒软件。病毒作者自称该病毒为“2007年终极蠕虫病毒——大红猩猩”,声称“本病毒会劫持大多数杀毒软件,并且会破坏杀毒软件的监控程序,因此,2008年请您选择有自我保护能力的杀软吧!”。病毒作者还对国内外四款08版杀毒软件的自我保护能力进行了评价。
   专家再次提醒广大用户,禁用系统的自动播放功能,防止病毒从U盘、移动硬盘、MP3等移动存储设备进入到计算机;利用WindowsUpdate功能打全系统补丁,尤其是打好MS06-014和MS07-017这两个网页木马经常使用的系统漏洞,避免病毒从恶意网页入侵用户电脑系统;不要随意接收从QQ、MSN等即时聊天工具发送过来的可执行文件,不要登陆来历不明的网址连接,以防遭受病毒侵害。
/ s$ v# A5 J- D5 _
  目前还未有有效的解决方案!" ^, j! M3 A6 I2 I9 R

评分

参与人数 1 +1 收起 理由
风伊翼 + 1 谢谢提醒

查看全部评分

发表于 2007-8-27 08:01:56 | 显示全部楼层
:( 怕怕,,,,,,,,
发表于 2007-8-27 08:47:40 | 显示全部楼层
发病毒的人简直神经病。。
发表于 2007-8-27 08:57:26 | 显示全部楼层
说不定就是杀毒公司的人干的~:m30
 楼主| 发表于 2007-8-27 21:03:37 | 显示全部楼层
不是啊。。据说什么AV终结者这些病毒明显有黑资金注入。。。。不然他病毒发的速度怎么比杀毒软件公司收集的速度还快。。。。都是偷了网友的账号密码去卖钱的或架肉鸡。。。:m34
发表于 2007-8-27 21:34:38 | 显示全部楼层
顶住``兄弟们千万不要让自己的电脑趴下``:m6
 楼主| 发表于 2007-8-27 21:45:47 | 显示全部楼层

现提供所找到该病毒的分析资料(目前只知道江民8月24日病毒库即可有效防杀此病毒)

病毒名称:Win32/DaXingXing.a
. y& V' k# o2 q中 文 名:大猩猩病毒  R+ n1 ~* R+ W; S* @

$ o& R4 I% z: e6 t病毒类型:文件型
1 U  b3 y2 ~5 l% W. T' K  I6 P% t: ?- ?# y' e9 ^- f& }
危害等级:★★★
: l( o" @8 N  }" b* @; C  y* \3 Z  n+ P. t8 H. q( n
影响平台:Win 9X/ME/NT/2000/XP/2003
  B1 @* I& B, F4 n/ O( I病毒样本MD5值为:60f66f0b7312e6eb9a5f2f823c5ff316) v) |( _$ S' E
文件大小为:819829字节
, |) |; I' B3 B+ w% g5 [5 J1 E  u; m4 _% M

+ c( I& F0 K/ ^# o( ^# K
" _* f* Q7 Y; s. w病毒运行特征:2 E& P. a% }- q4 L/ J/ F$ J( q/ g2 d

; u" z% W7 a( t, S2 |" g- M. x0 n
1.
$ ]  a7 w3 a5 R/ R  KWin32/DaXingXing.a
2 l" ?- M: F+ e3 y, ~' J' [大猩猩病毒是一个采用易语言编写的文件型病毒,病毒运行后,创建病毒进程winfuckjp.exe ,该进程采用RootKit技术隐藏自身,用Windows自带的任务管理器察看不到。+ C" W; V) ~% h: v
- u/ X* s. y! K1 R  Z9 @  [. {* x3 c
释放病毒文件:+ j; K. Y1 x  o; C: k, n1 d5 V

4 t& V) F5 Q) S) \  V0 I+ U6 O3 A, Q%WinDir%\System32\winfuckjp.exe, 819829字节  s0 _9 g3 v) i3 P: u1 N* s

# Q5 Y; R  W0 `) A8 D0 x3 K8 D( W5 k. q
该病毒还会感染全盘所有的*.exe文件,向文件头部添加7725字节的数据,感染后的文件图标变成一个大猩猩的图标,如下图:
7 h: z; C8 f) t4 s: _  M
% d8 d0 W9 M& ?) l6 \. x
' J& E' p! J. H0 i2.
4 J( k: D( ]2 ?% }# c在注册表中添加下列启动项:
# Z& Y2 C) {+ p" w1 P' ?; ~. R9 x4 ]6 W8 H* ]. P
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
+ i' b; m, x  H) \"Winfuckjp.exe" = %SystemDir%\winfuckjp.exe5 ^/ c& N0 R6 r6 ^! l! d
这样,在Windows启动时,病毒就可以自动执行。
. e& F% N( ]: C  [7 L/ b
+ {* P6 ~, J4 s: f9 M" J- a$ K3 v! d  }! ^0 w

# T) E( L; f. `6 F& d3.
- o7 k+ `/ \8 ]$ y4 z7 z! B. Q病毒还会在U盘/MP3/移动硬盘以及每个硬盘分区跟目录下释放病毒文件AutoRun.inf和ri.exe,其中AutoRun.inf文件内容如下:- {) p% c; P& C5 h. @+ `$ h

' l  v0 p) c& w) U4 W2 C[AutoRun]+ p" j+ C2 T) a4 [. F3 Q
OPEN=ri.exe
6 m- S: `  [* b! L
1 c/ E/ L$ t% v6 b" \: o5 x/ [9 N这样当用户双击U盘或其它移动存储设备以及硬盘各个分区的时候就会激活病毒运行。2 D' u+ _" h6 S% n* r
% G! @" X# R4 y1 O) `& w8 ~
7 p! x7 c. X  r
/ s  L/ O4 s) X5 l5 N
4.
3 O- X+ T* |/ E8 T0 q" m  a* G病毒运行后,会尝试使用Taskkill /f /im命令关闭以下杀毒软件和安全工具的进程,以达到躲避查杀的目的。
8 s  q4 o2 q  a8 P: B. J/ g, M' L' Y/ s

1 Q; h5 D5 c+ Y8 W9 W( w& q5 m, P: r; S0 d  p9 Q

8 ~% d: U) p( q1 p* }Navapw32.exe( m! D6 J% Q2 \
Navapsvc.exe$ H% R9 _6 Z4 A7 z
NMain.exe
7 Q+ L: h# g; b) I8 Gnavw32.EXE2 O8 U! `! Z1 v& I$ i
KVFW.EXE
# I& ?/ c8 s  ^KAVSvcUI.exe- ^* Q) ]9 ~0 V) Y
KAVPFW.EXE: p9 Z& `& Q9 S4 E% I9 V" R6 W+ P. q
KAV32.exe
, w. t* ]6 f" fKvXP.kxp
3 v5 n% o4 D! V( j9 F7 jtwister.exe
$ U4 u6 E- n0 m7 iKVSrvXP.exe3 U0 f# c) ]# b9 L! I
KVSrvXP_1.exe
% y' r' q1 d# G......9 g* ^4 q4 Z1 B' K0 O
5.        该病毒具有IFEO重定向劫持功能,病毒通过写注册表中的 IFEO 键值,来阻止一些杀毒软件和安全工具的运行,
2 E' s# `/ s% n0 o* m) D* ^- l8 F& I$ u# m' N9 N

, |( Q- [  V; x- g3 M8 p- C添加的注册表键值例如下列:
# s* D* N, f- l/ y, C
! L8 x2 D; l/ C' h9 M4 l[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\KVCenter.kxp]
6 Z6 M0 j+ E4 l3 Y) W. V"Debugger" = c:\winnt\system32\winfuckjp.exe
% M: Q6 }& |. N+ c% S1 `/ d' Z( F0 H  w
. _/ t6 _; X5 S' V4 J* U共阻止100款杀毒软件和安全工具的运行,详细名单如下:
; Z$ P0 ?2 I. w1 A6 c& f4 K$ x8 u: o

+ Q, d" s" L1 Y/ Z/ Z, Q. N* b9 I; H360rpt.exe, p& Q$ p9 S4 H) z3 X* z4 j" W1 N
360Safe.exe# k1 {! m4 I" C: i: T, q
360tray.exe
7 a# O$ S5 o8 v/ {& w8 iadam.exe
- ]- V- |) ]7 H$ i" xAgentSvr.exe
9 B% X8 \, r+ V& @! p0 d/ \8 i& nAppSvc32.exe: U0 t$ I+ g) u2 U& s0 m+ ?
autoruns.exe  }, r* a8 Z1 i8 o1 m4 V# I
avgrssvc.exe
" f$ R, X: t  R' aAvMonitor.exe
2 v1 I0 G( O$ E1 n5 F% Ravp.com
" Z8 u4 Q5 d8 I; Z! N( }! [' I+ }. Xavp.exe
  s& u5 w/ J$ y& RCCenter.exe# a1 ]1 ]  v) _4 m  J
....... Z" X* w' H4 P+ j! F" G6 X
0 |5 w1 T2 \5 K- s$ m1 G% |, h
6.( F1 n" P, B  @8 C" ~$ [  J0 X
病毒修改操作系统的Hosts表,禁止用户登陆反病毒厂商的网址升级病毒库,被修改后的Hosts表文件如下:  J6 f3 U1 L5 D: U3 b- L

- d$ k  h# N+ Z3 A/ p
$ v8 C9 B  R) M& y3 f* z# g; x: @, }. `6 d
127.0.0.1
; ^8 Q* ?9 y$ ^5 [5 F5 X7 twww.trendmicro.com% O; |9 W: H! \
127.0.0.1. a9 j8 m. P* H
rads.mcafee.com8 e. q$ N. b# R& S
127.0.0.1% D% q/ R. L2 E& S
www.rising.com.cn+ E; T( h) m/ h& }6 H8 P8 `
127.0.0.1
! e. _3 Y) D7 T0 vbbs.2dai.com, i8 u5 N$ W3 J( Q
127.0.0.12 Y& D7 [2 `& a. U; F- [
bbs.abcbit.com3 s3 C5 j  b4 K
127.0.0.1% Q0 T' J) @6 d& Z2 l3 @8 R+ f, x# T
www.freekv.net9 y8 d8 [+ G# S+ ]
......0 a; T" A  r) F1 o. b; r

: A  K, O- f/ O  l这样,中毒用户就无法登陆反病毒厂商的网站升级病毒库。' Y9 g) I7 Y9 `* b8 G' K: G
7 L9 w5 L* ?- I  |
) _9 W- p; t6 b" a, K# q
7.  s8 N/ }$ ]* \/ {6 s1 C
该病毒还会修改注册表相关键值,来禁用显示隐藏文件的功能。
  R$ T4 o7 P1 G( S3 X( u/ v( I8 t! ~" A
8.
+ l8 U0 i5 Z$ d8 m* w该病毒还会修改注册表相关键值,来破坏系统的安全模式,这样中毒用户就无法进入安全模式下杀毒。: T7 u7 s+ n  e$ M/ B

3 s8 U: G7 m# o/ n; m* M8 j9.
% i; ~9 @7 B+ i3 M3 s. r/ @, z3 m在病毒文件体内,病毒作者还留言,挑战尚未上市尚在公测时的2008版杀毒软件。如下图" x+ S0 R. k! v/ `7 P* u3 r, |: N
7 l. Z( a0 X$ X- z$ j* Y; M
病毒运行后,会感染全盘的*.exe 文件,致使系统中毒后将完全瘫痪,并且占用大量的CPU资源,系统无法启动,给用户带来损失。
发表于 2007-8-29 09:09:04 | 显示全部楼层
重装就能好吗??:L
发表于 2007-8-29 09:27:26 | 显示全部楼层
写病毒的人好牛啊:L
发表于 2007-8-29 09:37:05 | 显示全部楼层
目前还未有有效的解决方案!
) S( H/ ?2 x4 @* W8 K$ W( B; D5 Z。。。。不是吧
您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|手机版|小黑屋|诚毅小家 ( 小家社区工作室 闽ICP备05007965号 )

GMT+8, 2024-11-22 20:17 , Processed in 0.053148 second(s), 24 queries .

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表