大猩猩病毒惊现网络 破坏力巨大！

神啊！救救我吧

8月24日，一种发作图案显示为“大猩猩”的病毒出现在网络上。该病毒与“熊猫烧香”、“小浩”等病毒类似，通过U盘传播,可以感染*.exe可执行文件。病毒运行时，会占用大量的CPU资源，导致中毒电脑系统瘫痪。

    该病毒可以通过U盘传播，中毒电脑无论是双击U盘还是硬盘都会激活病毒。病毒运行后，会使用Taskkill/f /im命令关闭近百种杀毒软件和安全工具的进程，以达到躲避查杀的目的。它还具有重定向劫持功能，通过写注册表中的 IFEO键值来阻止100款杀毒软件和安全工具的运行。“大猩猩”病毒还通过修改操作系统的Hosts表，禁止用户登陆数十家反病毒厂商的网址，阻止杀毒软件升级病毒库，并修改注册表相关键值，禁用系统“显示隐藏文件”功能隐藏自身，破坏系统安全模式，使得中毒用户无法进入安全模式下杀毒。

   病毒作者还公然在病毒代码内留言，挑战08版杀毒软件。病毒作者自称该病毒为“2007年终极蠕虫病毒——大红猩猩”，声称“本病毒会劫持大多数杀毒软件，并且会破坏杀毒软件的监控程序，因此，2008年请您选择有自我保护能力的杀软吧！”。病毒作者还对国内外四款08版杀毒软件的自我保护能力进行了评价。

   专家再次提醒广大用户，禁用系统的自动播放功能，防止病毒从U盘、移动硬盘、MP3等移动存储设备进入到计算机；利用WindowsUpdate功能打全系统补丁，尤其是打好MS06-014和MS07-017这两个网页木马经常使用的系统漏洞，避免病毒从恶意网页入侵用户电脑系统；不要随意接收从QQ、MSN等即时聊天工具发送过来的可执行文件，不要登陆来历不明的网址连接，以防遭受病毒侵害。

  目前还未有有效的解决方案！

小芮

:( 怕怕,,,,,,,,

Fish.lin

发病毒的人简直神经病。。

林林

说不定就是杀毒公司的人干的~:m30

神啊！救救我吧

不是啊。。据说什么AV终结者这些病毒明显有黑资金注入。。。。不然他病毒发的速度怎么比杀毒软件公司收集的速度还快。。。。都是偷了网友的账号密码去卖钱的或架肉鸡。。。:m34

gdlyy

顶住``兄弟们千万不要让自己的电脑趴下``:m6

神啊！救救我吧

病毒名称：Win32/DaXingXing.a
. y& V' k# o2 q中 文 名：大猩猩病毒

$ o& R4 I% z: e6 t病毒类型：文件型
1 U  b3 y2 ~5 l% W. T
危害等级：★★★
: l( o" @8 N  }" b* @
影响平台：Win 9X/ME/NT/2000/XP/2003
  B1 @* I& B, F4 n/ O( I病毒样本MD5值为：60f66f0b7312e6eb9a5f2f823c5ff316
文件大小为：819829字节
, |) |; I' B3 B+ w% g

+ c( I& F0 K/ ^# o( ^# K
" _* f* Q7 Y; s. w病毒运行特征：

; u" z% W7 a( t, S
1.
$ ]  a7 w3 a5 R/ R  KWin32/DaXingXing.a
2 l" ?- M: F+ e3 y, ~' J' [大猩猩病毒是一个采用易语言编写的文件型病毒，病毒运行后，创建病毒进程winfuckjp.exe ，该进程采用RootKit技术隐藏自身，用Windows自带的任务管理器察看不到。

释放病毒文件：

4 t& V) F5 Q) S) \  V0 I+ U6 O3 A, Q%WinDir%\System32\winfuckjp.exe, 819829字节

# Q5 Y; R  W0 `) A8 D
该病毒还会感染全盘所有的*.exe文件，向文件头部添加7725字节的数据，感染后的文件图标变成一个大猩猩的图标，如下图：
7 h: z; C8 f) t4 s: _  M
% d8 d0 W9 M& ?) l6 \. x
' J& E' p! J. H0 i2.
4 J( k: D( ]2 ?% }# c在注册表中添加下列启动项：
# Z& Y2 C) {+ p" w1 P' ?; ~
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
+ i' b; m, x  H) \"Winfuckjp.exe" = %SystemDir%\winfuckjp.exe
这样，在Windows启动时，病毒就可以自动执行。
. e& F% N( ]: C  [7 L/ b
+ {* P6 ~, J4 s: f9 M

# T) E( L; f. `6 F& d3.
- o7 k+ `/ \8 ]$ y4 z7 z! B. Q病毒还会在U盘/MP3/移动硬盘以及每个硬盘分区跟目录下释放病毒文件AutoRun.inf和ri.exe，其中AutoRun.inf文件内容如下：

' l  v0 p) c& w) U4 W2 C[AutoRun]
OPEN=ri.exe
6 m- S: `  [* b! L
1 c/ E/ L$ t% v6 b" \: o5 x/ [9 N这样当用户双击U盘或其它移动存储设备以及硬盘各个分区的时候就会激活病毒运行。



4.
3 O- X+ T* |/ E8 T0 q" m  a* G病毒运行后，会尝试使用Taskkill /f /im命令关闭以下杀毒软件和安全工具的进程，以达到躲避查杀的目的。
8 s  q4 o2 q  a8 P: B. J

1 Q; h5 D5 c+ Y8 W9 W( w& q5 m

8 ~% d: U) p( q1 p* }Navapw32.exe
Navapsvc.exe
NMain.exe
7 Q+ L: h# g; b) I8 Gnavw32.EXE
KVFW.EXE
# I& ?/ c8 s  ^KAVSvcUI.exe
KAVPFW.EXE
KAV32.exe
, w. t* ]6 f" fKvXP.kxp
3 v5 n% o4 D! V( j9 F7 jtwister.exe
$ U4 u6 E- n0 m7 iKVSrvXP.exe
KVSrvXP_1.exe
% y' r' q1 d# G......
5.        该病毒具有IFEO重定向劫持功能，病毒通过写注册表中的 IFEO 键值，来阻止一些杀毒软件和安全工具的运行，
2 E' s# `/ s% n0 o* m) D

, |( Q- [  V; x- g3 M8 p- C添加的注册表键值例如下列：
# s* D* N, f- l/ y, C
! L8 x2 D; l/ C' h9 M4 l[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\KVCenter.kxp]
6 Z6 M0 j+ E4 l3 Y) W. V"Debugger" = c:\winnt\system32\winfuckjp.exe
% M: Q6 }& |. N+ c% S1 `/ d' Z( F0 H  w
. _/ t6 _; X5 S' V4 J* U共阻止100款杀毒软件和安全工具的运行，详细名单如下：
; Z$ P0 ?2 I. w

+ Q, d" s" L1 Y/ Z/ Z, Q. N* b9 I; H360rpt.exe
360Safe.exe
360tray.exe
7 a# O$ S5 o8 v/ {& w8 iadam.exe
- ]- V- |) ]7 H$ i" xAgentSvr.exe
9 B% X8 \, r+ V& @! p0 d/ \8 i& nAppSvc32.exe
autoruns.exe
avgrssvc.exe
" f$ R, X: t  R' aAvMonitor.exe
2 v1 I0 G( O$ E1 n5 F% Ravp.com
" Z8 u4 Q5 d8 I; Z! N( }! [' I+ }. Xavp.exe
  s& u5 w/ J$ y& RCCenter.exe
......

6.
病毒修改操作系统的Hosts表，禁止用户登陆反病毒厂商的网址升级病毒库，被修改后的Hosts表文件如下：

- d$ k  h# N+ Z3 A/ p
$ v8 C9 B  R) M& y3 f
127.0.0.1
; ^8 Q* ?9 y$ ^5 [5 F5 X7 twww.trendmicro.com
127.0.0.1
rads.mcafee.com
127.0.0.1
www.rising.com.cn
127.0.0.1
! e. _3 Y) D7 T0 vbbs.2dai.com
127.0.0.1
bbs.abcbit.com
127.0.0.1
www.freekv.net
......

: A  K, O- f/ O  l这样，中毒用户就无法登陆反病毒厂商的网站升级病毒库。


7.
该病毒还会修改注册表相关键值，来禁用显示隐藏文件的功能。
  R$ T4 o7 P1 G( S3 X
8.
+ l8 U0 i5 Z$ d8 m* w该病毒还会修改注册表相关键值，来破坏系统的安全模式，这样中毒用户就无法进入安全模式下杀毒。

3 s8 U: G7 m# o/ n; m* M8 j9.
% i; ~9 @7 B+ i3 M3 s. r/ @, z3 m在病毒文件体内，病毒作者还留言，挑战尚未上市尚在公测时的2008版杀毒软件。如下图

病毒运行后，会感染全盘的*.exe 文件，致使系统中毒后将完全瘫痪，并且占用大量的CPU资源，系统无法启动，给用户带来损失。

Fish.lin

重装就能好吗？？:L

木风

写病毒的人好牛啊:L

忆尘流年

目前还未有有效的解决方案！
) S( H/ ?2 x4 @* W8 K$ W( B; D5 Z。。。。不是吧