蠕虫病毒是一种计算机病毒,其感染机制是通过网络、电子邮件和移动存储等进行复制和传播。比如危害极大的熊猫烧香病毒,就是一种蠕虫病毒。蠕虫程序主要通过系统漏洞传播,像生物蠕虫一样从一台计算机传播到另一台计算机。蠕虫传播的方式很多,所以蠕虫程序传播的非常快。
蠕虫入侵一台计算机后,首先获取其他计算机的IP地址,然后向这些计算机发送自己的副本。蠕虫还使用存储在受感染计算机的邮件客户端地址簿中的地址来传播程序。虽然有些蠕虫程序也会在被感染的计算机中生成文件,但一般来说,蠕虫程序只占用内部资源,不占用其他资源。
Worm由两部分组成,即主程序和引导程序。一旦主程序在机器上建立,它将收集与当前机器联网的其他机器的信息。它可以通过读取公共配置文件并运行显示当前在线状态信息的系统实用程序来实现这一点。然后,它试图通过使用上述缺陷在这些远程机器上构建其引导程序。
蠕虫程序驻留在一台或多台机器上,并具有自动重定位的能力。如果它检测到网络中的某台机器未被占用,它会向该机器发送一份自己的副本。每个程序段可以将自己的副本重新定位到另一台机器上,并识别它占用了哪台机器。
病毒名:熊猫烧香
熊猫烧香虫病毒
Worm.WhBoy(叫金山),Worm.Nimaya(叫瑞星)
病毒别名: Nimya,武汉男学生,后来变成‘金猪报喜’,国外叫‘熊猫烧香’
危险等级:
病毒类型:蠕虫可以阻止大量的反病毒软件和防火墙软件进程。
影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003,Win Vista
2006年10月16日发现,
来源:中国武汉东湖高新技术开发区关山:
熊猫烧香也可以通过共享文件夹和系统弱密码来传播。
金山分析:这是一种传染性蠕虫,可以感染系统中的exe、com、pif、src、html、asp等文件,还可以挂起大量的杀毒软件进程
1份拷贝文件
病毒运行后,会自动复制到
c : \ WINDOWs \ System32 \ Drivers \ spoclsv . exe
2添加注册表自启动
病毒会添加自启动项目
HKEY _当前_用户\软件\微软\窗口\当前版本\运行
SVC share-c : \ WINDOWs \ System32 \ Drivers \ spoclsv . exe
3病毒行为
A:每1秒
找到桌面窗口,并关闭窗口标题中带有以下字符的程序
木马专杀工具
QQAV
防火墙
过程
病毒扫描
网镖
抗病毒素
Duba
上升的
姜敏
黄山IE
超级兔子
优化硕士
特洛伊木马克星
特洛伊木马清除程序
QQ病毒
注册表编辑器
microsoft系统配置
卡巴斯基反病毒软件
赛门铁克防病毒软件
Duba
尊重过程
吕颖个人电脑
密码防盗
噬菌体
特洛伊木马辅助查找器
系统安全监视器
包装好的礼物黑仔
Winsock专家
游戏木马检测高手
msctls_statusbar32
pjf(ustc)
冰剑
并使用键盘映射方法简单介绍关闭安全软件冰刀
添加注册表来引导自身
HKEY _当前_用户\软件\微软\窗口\当前版本\运行
SVC share-c : \ WINDOWs \ System32 \ Drivers \ spoclsv . exe
并挂起系统:中的以下进程
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
kvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_。可执行程序的扩展名
Logo_1.exe
Rundl132.exe
B:每18秒
点击病毒作者指定的网页,
并使用命令行检查系统中是否有共享
如果共享存在,运行网络共享命令关闭管理$共享
C:每10秒
下载病毒作者指定的文件,
并使用命令行检查系统中是否有共享
如果共享存在,运行网络共享命令关闭管理$共享
D:每6秒
删除注册表中安全软件的键值
HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Microsoft\Windows\CurrentVersion\Run
RavTask
KvMonXP
kav
KAVPersonal50
McAfeeUpdaterUI
Network Associates Error Reporting Service
ShStartEXE
YLive.exe
yassistse
并修改以下值不显示隐藏文件
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
CheckedValue -> 0x00
删除以下服务:
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec Core LC
NPFMntor
MskService
FireSvc
e:感染文件
病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部
并在扩展名为htm,html,asp,php,jsp,aspx的文件中添加一网址,
用户一但打开了该文件,IE就会不断的在后台点击写入的网址,达到
增加点击量的目的,但病毒不会感染以下文件夹名中的文件:
WINDOW
Winnt
System Volume Information
Recycled
Windows NT
WindowsUpdate
Windows Media Player
Outlook Express
Internet Explorer
NetMeeting
Common Files
ComPlus Applications
Messenger
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
MSN Gamin Zone
g:删除文件
病毒会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件
使用户的系统备份文件丢失.
瑞星最新病毒分析报告:”Nimaya(熊猫烧香)”
这是一个传染型的DownLoad 使用Delphi编写