文件編號:CISRT2006081
病毒名稱:蠕蟲。Win32.Delf.bf(卡巴斯基)
病毒別名:蠕蟲。尼瑪亞. d(上升)
Win32。特洛伊. QQ rober . NW . 22835(毒霸)
病毒大小:22,886字節
外殼添加方法:UPack
樣本MD5:9749216a 37d 57 cf 42 e 528 c 027252062。
樣品sha 1:5d 3222d 8 ab 6 fc 1f 899 eff 32 c 2d 3c d50 CD 755。
發現時間:2006.11
更新時間:2006.11
相關病毒:
傳播方式:通過惡意網頁傳播,通過其他木馬下載,通過局域網和移動存儲設備傳播。
技術分析
==========
它是“熊貓燒香”FuckJacks.exe的變體,使用白色背景上的熊貓燒香圖標。
例如:
病毒運行後,會將自身復制到系統目錄:
%System%\drivers\spoclsv.exe
創建啟動項目:
[復制到剪貼板]代碼:
[HKEY _當前_用戶\軟件\微軟\ Windows \當前版本\運行]
" SVC share " = " % System % \ drivers \ spoclsv . exe "
修改註冊表信息會幹擾“顯示所有文件和文件夾”設置:
[復制到剪貼板]代碼:
[HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Microsoft \ Windows \ current version \ Explorer \ Advanced \ Folder \ Hidden \ SHOWALL]
" CheckedValue"=dword:0000000
在每個分區的根目錄中制作壹個副本:
X:\setup.exe
X:\autorun.inf
Autorun.inf內容:
[復制到剪貼板]代碼:
[自動運行]
OPEN=setup.exe
shellexecute=setup.exe
shell\Auto\command=setup.exe
試著關上窗戶。
QQKav
QQAV
天網防火墻進程
病毒掃描
Netdart防病毒軟件
杜巴
瑞星殺毒軟件
姜敏
黃山IE
超級兔子
最優化碩士
特洛伊馴馬師
特洛伊清掃車
特洛伊清掃車
QQ病毒註冊表編輯器
microsoft系統配置
卡巴斯基反病毒軟件
賽門鐵克防病毒軟件
杜巴
Windows任務管理器
尊重過程
綠鷹電腦
密碼防盜
噬菌體
特洛伊輔助取景器
系統安全監視器
包裝禮品黑仔
Winsock專家
特洛伊馬匹檢測大師
沈皛q賊殺手
pjf(中國科技大學)
冰劍
嘗試關閉該進程。
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
KvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_。可執行程序的擴展名
Logo_1.exe
Rundl132.exe
禁用以下服務
kavsvc
AVP
AVPkavsvc
McAfeeFramework
麥克希爾
McTaskManager
McAfeeFramework McShield
McTaskManager
navapsvc
KVWSC
KVSrvXP
KVWSC
KVSrvXP
日程安排
共享訪問
RsCCenter
RsRavMon
RsCCenter
RsRavMon
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
美國著名軟件公司
核心信用證
NPFMntor
MskService
FireSvc
搜索並標記所有受感染的。EXE/。SCR/。PIF/。COM文件,但下列目錄除外。
窗子
Winnt
系統卷信息
重復利用
windows操作系統
Windows Update
Windows媒體播放器
Outlook Express
微軟公司出品的web瀏覽器
網絡會議系統
公共文件
康普盧斯
應用程序
送信人;通信員
InstallShield安裝信息
微軟網絡
Microsoft Frontpage
電影制作人
MSN遊戲區
刪除。GHO文件
添加以下啟動位置
\文檔和設置\所有用戶\開始菜單\程序\啟動\文檔和設置\所有用戶\開始菜單\程序\開始\ Windows \開始菜單\程序\啟動\ winnt \配置文件\所有用戶\開始菜單\程序\啟動。
監控記錄QQ和訪問局域網文件記錄:c:\test.txt,嘗試發送QQ消息。
嘗試使用以下密碼訪問受感染的局域網文件(GameSetup.exe)
1234
密碼
6969
哈利
123456
高爾夫球
貓咪
野馬
1111
陰影
1313
魚
5150
7777
標準英語打字鍵盤的
棒球
2112
萊特梅因
12345678
12345
控制臺控制電路
管理
5201314
qq520
1
12
123
1234567
123456789
654321
54321
111
000000
字母表
女警
11111111
88888888
及格
密碼
數據庫
加快收寄投遞系統
abc123
賽貝斯
123qwe
計算機網絡服務器
計算機
520
極好的
123 a d
伊哈韋諾帕斯
上帝保佑妳
使能夠
加快費已付(Express Paid的縮寫)
2002
2003
2600
希臘字母的第壹個字母
110
111111
121212
123123
1234qwer
123abc
詹姆斯·邦德
aaaa
帕特裏克
小塊
管理人員
根
性
上帝
foobar
秘密測試
測試123
臨時雇員
溫度123
勝利
個人計算機
asdf
顯示當前工作目錄
qwer yxcv
zxcv
家
xxx
物主
登錄
登錄
pw123
愛
mypc
mypc123
admin123
我的通行證
我的通行證123
901100
管理人員
客人
管理
根
所有根目錄和移動存儲生成
X:\setup.exe
X:\autorun.inf
[自動運行]
OPEN=setup.exe
shellexecute=setup.exe
shell\Auto\command=setup.exe
刪除隱藏的* * *享受
cmd.exe/加拿大凈份額美元/德爾/年
cmd.exe/加拿大凈份額管理美元/德爾/年
cmd.exe/加拿大凈份額
創建啟動項目:
軟件\ Microsoft \ Windows \當前版本\運行
Svcshare=指向\ % system32 % \ drivers \ spoclsv.exe。
禁用文件夾隱藏選項
SOFTWARE \ Microsoft \ Windows \ current version \ Explorer \ Advanced \ Folder \ Hidden \ SHOWALL \ checked value
清除步驟
==========
1.斷開網絡連接
2.結束病毒進程
%System%\drivers\spoclsv.exe
3.刪除病毒文件:
%System%\drivers\spoclsv.exe
4.右擊分區號,在右鍵菜單中點擊“打開”,進入分區根目錄,刪除根目錄下的文件:
X:\setup.exe
X:\autorun.inf
5.刪除病毒創建的啟動項:
[復制到剪貼板]代碼:
[HKEY _當前_用戶\軟件\微軟\ Windows \當前版本\運行]
" SVC share " = " % System % \ drivers \ spoclsv . exe "
6.修改註冊表設置,恢復“顯示所有文件和文件夾”選項的功能:
[復制到剪貼板]代碼:
[HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Microsoft \ Windows \ current version \ Explorer \ Advanced \ Folder \ Hidden \ SHOWALL]
" checked value " = dword:00000001
7.修復或重新安裝防病毒軟件
8.使用殺毒軟件或專用查殺工具進行全面掃描,清除並恢復被感染的exe文件。
請下載熊貓燒香殺毒工具。