您现在的位置是:首页 > IT基础架构 > 网络与安全 >
警惕:山寨版“熊猫”继续“烧香”
2008-12-09 16:36:00作者:李铁军来源:
摘要网上公开的熊猫烧香代码可能被作为某些人写病毒的习作,最近就有好事者在这个基础上写了新的变种,这个山寨版熊猫使用毒霸的LOGO作图标。...
熊猫烧香病毒随病毒作者被雪藏而渐渐远离人们的视野,网上有关熊猫的代码流传甚广,比熊猫烧香在隐蔽性、抗杀能力、感染能力、传播能力强很多的木马下载器更多,网上公开的熊猫烧香代码可能被作为某些人写病毒的习作。最近就有好事者在这个基础上写了新的变种,这个山寨版熊猫使用毒霸的LOGO作图标。
以下是这个病毒的详细分析:
一、病毒信息
病毒名:win32.bmw.j.75783
病毒体大小:74.0 KB (75,783 字节)
病毒类型:熊猫烧香变种
二、病毒行为
这是一个熊猫烧香的变种,伪装成毒霸的图标来迷惑用户,它还会下载其他病毒并执行。
1.病毒会删除安全软件的开机启动项目和服务项目。
2.每1秒添加自己的启动项,并将文件隐藏显示注册表键值破坏。
3.每隔6秒在每个驱动器下(A和B驱动器除外),删除所在的autorun.inf文件或文件夹,并创建autorun.inf和对应的 .exe文件。
4.每隔6秒停止部分安全软件服务,删除部分安全软件的服务和开机自启动项目。
5.每10秒关闭以下进程,并添加映像劫持,指向ntsd -d
|
6.每30分钟下载一次木马 http://www.xxxxxx08.com/down/down.txt。
7.病毒会感染扩展名为exe、pif、com、src的文件,把自己附加到文件的头部,并在扩展名为htm、html、asp、php、jsp、aspx的文件中添加一网址,用户一但打开了该文件,IE就会不断的在后台点击写入的网址,达到增加点击量的目的。且该网页有漏洞,新变种的病毒会被下载并运行。
感染时排除以下文件夹中的文件
|
也不感染NTDETECT.COM和rar后缀的文件。
感染后会在感染目录下创建Desk_top_.ini文件,其内写入当前系统时间。
(本文不涉密)
责任编辑: