防病毒反捆绑系列——1.病毒的破坏原理 - 橘汁仙剑网

教程主题：病毒的破坏原理

病毒：熊猫烧香病毒(Worm.WhBoy.h)

内容：       1.当前网络流行病毒传播共性。

            (1)利用可移动设备在不同计算机之间的移动使用

            (2)通过在网页中插入病毒代码使访问者受感染

            (3)感染的计算机通过弱口令连接宿主机所处网络的其它计算机，连接成功后，从后台传输病毒文件使其感染

      2.感染病毒后计算机操作系统的表现形式。

            (1)系统进程列表中出现一个或多个不明进程，且部分进程无法结束。

            (2)进程管理器无法正常使用(表现为一闪就消失)

            (3)杀毒软件不能正常工作或被强行关闭。

            (4)磁盘中的部分文件无法正常启动，甚至图标也被更改，文件明显变大。

            (5)磁盘不能正常双击打开，单击右键第一个选项变成"Auto"或其它名称。

症状：       1. 拷贝自身到所有驱动器根目录，命名为Setup.exe，并生成一个autorun.inf使得用户打开该盘运行病毒，并将这两个文件属          性设置为隐藏、只读、系统。

　　 2. 无法手工修改“文件夹选项”将隐藏文件显示出来。

　　 3. 在每个感染后的文件夹中可见Desktop_ini的隐藏文件，内容为感染日期如：2007-10-10
         手工清除的方法：（del c:\_desktop.ini /f/s/q/a）

　　 4. 电脑上的所有脚本文件（.htm/.asp/.php/.jsp等）中加入一段代码：<iframe src=xxx width=”0” height=”0”></iframe>

　　 5. 中毒后的机器上常见的反病毒软件及防火墙无法正常开启及运行。

　　 6. 不能正常使用任务管理器及注册表。

　　 7. 无故的向外发包，连接局域网中其他机器。

      8. 感染其他应用程序EXE、SCR、PIF、COM文件，并更改图标为烧香熊猫，但不会感染微软操作系统自身的文件。

      9. 删除GHOST文件(.gho后缀)

   10. 禁用常见杀毒工具

发作症状：

1:拷贝文件

病毒运行后,会把自己拷贝到C:\WINDOWS\System32\Drivers\spoclsv.exe

2:添加注册表自启动

病毒会添加自启动项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\svcshare -> C:\WINDOWS\System32

\Drivers\spoclsv.exe

3:病毒行为

a:每隔1秒
寻找桌面窗口,并关闭窗口标题中含有以下字符的程序

QQKav
QQAV
防火墙
进程
VirusScan
网镖
杀毒
毒霸
瑞星
江民
黄山IE
超级兔子
优化大师
木马克星
木马清道夫
QQ病毒
注册表编辑器
系统配置实用程序
卡巴斯基反病毒
Symantec AntiVirus
Duba
esteem proces
绿鹰PC
密码防盗
噬菌体
木马辅助查找器
System Safety Monitor
Wrapped gift Killer
Winsock Expert
游戏木马检测大师
msctls_statusbar32
pjf(ustc)
IceSword
并使用的键盘映射的方法关闭安全软件IceSword

并中止系统中以下的进程:
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
kvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl132.exe

b:每隔18秒

点击病毒作者指定的网页,并用命令行检查系统中是否存在共享，存在的话就运行net share命令关闭admin$共享。

c:每隔10秒

下载病毒作者指定的文件,并用命令行检查系统中是否存在共享共存在的话就运行net share命令关闭admin$共享。

d:每隔6秒

删除安全软件在注册表中的键值。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
RavTask
KvMonXP
kav
KAVPersonal50
McAfeeUpdaterUI
Network Associates Error Reporting Service
ShStartEXE
YLive.exe
yassistse

并修改以下值不显示隐藏文件

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue -> 0x00

删除以下服务:
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec Core LC
NPFMntor
MskService
FireSvc

e:感染文件

病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部并在扩展名为htm,html, asp,php,jsp,aspx的文件中添加一网址,用户一旦打开了该文件,IE就会不断的在后台点击写入的网址,达到增加点击量的目的,但病毒不会感染以下文件夹名中的文件:
WINDOW
Winnt
System Volume Information
Recycled
Windows NT
WindowsUpdate
Windows Media Player
Outlook Express
Internet Explorer
NetMeeting
Common Files
ComPlus Applications
Messenger
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
MSN Gamin Zone