作者:hacker发布时间:2022-07-15分类:邮箱破解浏览:153评论:2
更多资料请参看shadu.baidu.com
1.病毒名称:Worm.WhBoy.h
病毒中文名:熊猫烧香(武汉男生),近日又化身为“金猪报喜”
病毒类型:蠕虫
危险级别:★★★★★
影响平台:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
专杀工具:金山专杀工具 安天专杀工具 江民专杀工具 安博士专杀工具 赛门铁克专杀工具
病毒描述:
“武汉男生”,俗称“熊猫烧香”,这是一个感染型的蠕虫病毒,它能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件,使用户的系统备份文件丢失。被感染的用户系统中所有. exe可执行文件全部被改成熊猫举着三根香的模样。
1:拷贝文件
病毒运行后,会把自己拷贝到C:\WINDOWS\System32\Drivers\spoclsv.exe
2:添加注册表自启动
病毒会添加自启动项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare - C:\WINDOWS\System32\Drivers\spoclsv.exe
3:病毒行为
a:每隔1秒寻找桌面窗口,并关闭窗口标题中含有以下字符的程序:
QQKav、QQAV、防火墙、进程、VirusScan、网镖、杀毒、毒霸、瑞星、江民、黄山IE、超级兔子、优化大师、木马克星、木马清道夫、QQ病毒、注册表编辑器、系统配置实用程序、卡巴斯基反病毒、Symantec AntiVirus、Duba、esteem proces、绿鹰PC、密码防盗、噬菌体、木马辅助查找器、System Safety Monitor、Wrapped gift Killer、Winsock Expert、游戏木马检测大师、msctls_statusbar32、pjf(ustc)、IceSword
并使用的键盘映射的方法关闭安全软件IceSword
添加注册表使自己自启动 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare - C:\WINDOWS\System32\Drivers\spoclsv.exe
并中止系统中以下的进程:
Mcshield.exe、VsTskMgr.exe、naPrdMgr.exe、UpdaterUI.exe、TBMon.exe、 scan32.exe、Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、 RavmonD.exe、RavStub.exe、KVXP.kxp、kvMonXP.kxp、KVCenter.kxp、KVSrvXP.exe、 KRegEx.exe、UIHost.exe、TrojDie.kxp、FrogAgent.exe、Logo1_.exe、Logo_1.exe、 Rundl132.exe
b:每隔18秒点击病毒作者指定的网页,并用命令行检查系统中是否存在共享,共存在的话就运行net share命令关闭admin$共享
c:每隔10秒下载病毒作者指定的文件,并用命令行检查系统中是否存在共享,共存在的话就运行net share命令关闭admin$共享
d:每隔6秒删除安全软件在注册表中的键值
并修改以下值不显示隐藏文件 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue - 0x00
删除以下服务:
navapsvc、wscsvc、KPfwSvc、SNDSrvc、ccProxy、ccEvtMgr、ccSetMgr、SPBBCSvc、Symantec Core LC、NPFMntor MskService、FireSvc
e:感染文件
病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部,并在扩展名为htm,html, asp,php,jsp,aspx的文件中添加一网址,用户一但打开了该文件,IE就会不断的在后台点击写入的网址,达到增加点击量的目的,但病毒不会感染以下文件夹名中的文件:
WINDOW、Winnt、System Volume Information、Recycled、Windows NT、WindowsUpdate、Windows Media Player、Outlook Express、Internet Explorer、NetMeeting、Common Files、ComPlus Applications、Messenger、InstallShield Installation Information、MSN、Microsoft Frontpage、Movie Maker、MSN Gamin Zone
g:删除文件
病毒会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件使用户的系统备份文件丢失。
2.
病毒名称:Trojan.Peacomm(CME-711)
病毒中文名:(暂无)
病毒类型:木马
危险级别:★★★
影响平台:Windows 95、Windows 98、Windows Me, Windows NT、Windows 2000、Windows XP
专杀工具:
升级诺顿系列软件病毒库到最新即可查杀
病毒描述:
Trojan.Peacomm 是一个木马程序,它会植入驱动软件文件以下载其它安全威胁,通过夹带于含有以下特征的 垃圾邮件来大量散播。
当 Peacomm 特洛伊木马执行时,会执行下列操作:
1、删除下列文件:%System%\wincom32.sys
注意:%System% 是指向 System 文件夹的变量。 默认情况下,此文件夹为 C:\Windows\System (Windows 95/98/Me)、C:\Winnt\System32 (Windows NT/2000) 或 C:\Windows\System32 (Windows XP)。
2、使用 %System%\wincom32.sys 文件,以下列字符注册新的系统设备驱动程序:
显示名:wincom32
二进制路径:%System%\wincom32.sys
3、创建下列注册表子项以安装新服务:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wincom32
4、使用安装的设备驱动程序,搜索 services.exe 进程,并将模块植入其中。
放置下列配置文件,该文件包含有初始对等端的加密列表:
%System%\peers.ini
%System%\Wincom32.ini
5、打开并监听下列端口,这些端口是和其他对等端的加密通信渠道:
UDP 端口 4000
UDP 端口 7871
6、在下列端口发送 UDP 网包,扫描其他对等端:
UDP 端口 4000
UDP 端口 7871
8、和找到的对等端交换信息,并更新自己的对等端列表。 对等端可以用来获得中央服务器提供和推送的命令。
9、然后可能下载并执行下列文件:
217.107.217.187/[REMOVED]/game0.exe - Trojan.Abwiz.F 的副本
81.177.3.169/[REMOVED]/game1.exe - W32.Mixor.Q@mm 的副本
81.177.3.169/[REMOVED]/game2.exe - W32.Mixor.Q@mm 的副本
81.177.3.169/[REMOVED]/game4.exe - W32.Mixor.Q@mm 的副本
3.病毒名称:Worm/Viking
病毒中文名:维金/威金
病毒类型:蠕虫、木马
危险级别:★★★
影响平台:Windows 98/ME/NT/2000/XP/2003
专杀工具:安博士专杀工具 江民专杀工具 金山专杀工具
病毒描述:
该病毒同时具有文件型病毒、蠕虫病毒、病毒下载器等类病毒的特点,进入用户的电脑之后,它会从网上疯狂下载多个木马、QQ尾巴等安装在中毒电脑中,窃取用户的网络游戏密码,严重时造成系统完全崩溃。
病毒运行后将自身伪装成系统正常文件,以迷惑用户,通过修改注册表项使病毒开机时可以自动运行,同时病毒通过线程注入技术绕过防火墙的监视,连接到病毒作者指定的网站下载特定的木马或其它病毒,同时病毒运行后枚举内网的所有可用共享,并尝试通过弱口令方式连接感染目标计算机。
运行过程过感染用户机器上的可执行文件,造成用户机器运行速度变慢,破坏用户机器的可执行文件,给用户安全性构成危害。
病毒主要通过共享目录、文件捆绑、运行被感染病毒的程序、可带病毒的邮件附件等方式进行传播。
病毒运行后将自身伪装成系统正常文件,通过修改用户系统注册表项使病毒开机时即刻自动运行;同时,该病毒利用“线程注入技术”绕过网络防火墙的监视,连接到病毒作者指定的网站,下载特定的木马或其它病毒。感染该病毒后,病毒会从Z盘开始向前搜索所有可用分区中的.exe文件,然后感染所有大小27KB-10MB的可执行文件,感染完毕,会在被感染的文件夹中生成一个处于隐藏状态的系统文件:_desktop.ini,如果您的系统中发现此文件,表明您的系统可能已感染此病毒。
Worm.Viking病毒自出现,就登上了病毒排行榜席位,到现在已出现很多变种,其病毒发作特征也层出不穷,如往共享打印机狂塞打印任务(打印当天日期),感染磁盘上所有exe 可执行文件,传播速度快,等等。防病毒厂商们也相对应的编译专杀工具,网上也有相关的清除方法,但对于没有安装杀毒软件及exe文件被病毒感染无法修复的用户,另外,大部分防病毒软件会在清除被威金病毒感染的exe文件的时候,是将这些exe文件删除,这样就会造成很多应用程序不能正常使用,最好是能完全清除此病毒,并修复被病毒感染的文件.
此病毒会生成的病毒文件及其路径:
$:\Program Files\svhost32.exe
$:\Program Files\micorsoft\svhost32.exe
$:\windows\explorer.exe
$:\windows\logo1_exe
$:\windows\rundll32.exe
$:\windows\rundl132.exe
$:\windows\intel\rundl132.exe
$:\windows\dll.dll
_desktop.ini
中毒后最好断网,关闭防病毒软件(因为防病毒软件会删除被病毒感染的exe文件 ),之后找相应的专杀工具。
4.
病毒名称:Backdoor/Huigezi
病毒中文名:“灰鸽子”
病毒类型:后门
危险级别:★
影响平台: Win 9X/ME/NT/2000/XP
专杀工具:安博士专杀工具
病毒描述:
灰鸽子是国内一款著名后门。比起前辈冰河、黑洞来,灰鸽子可以说是国内后门的集大成者。其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。客户端简易便捷的操作使刚入门的初学者都能充当黑客。当使用在合法情况下时,灰鸽子是一款优秀的远程控制软件。但如果拿它做一些非法的事,灰鸽子就成了很强大的黑客工具。这就好比火药,用在不同的场合,给人类带来不同的影响。
Backdoor/Huigezi.cm“灰鸽子”变种cm是一个未经授权远程访问用户计算机的后门。“灰鸽子”变种cm运行后,自我复制到系统目录下。修改注册表,实现开机自启。侦听黑客指令,记录键击,盗取用户机密信息,例如用户拨号上网口令,URL密码等。利用挂钩API函数隐藏自我,防止被查杀。另外,“灰鸽子”变种cm可下载并执行特定文件,发送用户机密信息给黑客等。
5.病毒中文名:网银大盗
病毒类型:木马
危险级别:★★
影响平台: Win2000,WinXP,Win2003
专杀工具:金山专杀工具
病毒描述:
该病毒通过键盘记录的方式,监视用户操作。当用户使用个人网上银行进行交易时,该病毒会恶意记录用户所使用的帐号和密码,记录成功后,病毒会将盗取的帐号和密码发送给病毒作者,造成经济损失。
传染条件: 该病毒没有主动传播的性质,但容易被人恶意安装或是欺骗安装。请广大网络用户不要在不安全的网址中下载病毒,或是点击QQ等即时通讯中传来的网址。
6.病毒名称:Worm.IRC.WargBot.a Worm.IRC.WargBot.b
病毒中文名:魔鬼波
病毒类型:蠕虫
危险级别:★★★★
影响平台: Win 9x/ME,Win 2000/NT,Win XP,Win 2003
专杀工具:金山专杀工具下载 江民专杀工具下载
病毒描述:
“魔鬼波”利用微软刚刚公布的严重系统漏洞(MS06-040)进行主动传播。Worm.IRC.WargBot.a是IRCBot黑客后门病毒的新变种,而Worm.IRC.WargBot.b是一个新变种,该变种在变种a的基础上进行了加密处理。
病毒危害:
都通过IRC聊天频道使系统接受黑客的控制,沦为“肉鸡”,可能导致RPC服务崩溃,用户无法上网。
发作症状:
病毒都在受感染系统中生成以下病毒文件:%system%wgareg.exe;并添加服务,通过服务启动HKEY_LOCAL_MACHINE SYSTEM Current Control SetService swgareg"ImagePath"="%system%wgareg.exe"。同时,通过修改下列注册表信息降低系统安全等级,使用命令进行远程控制,并连接下列IRC服务器接受黑客控制:ypgw.wallloan.com,bniu.househot.com;并利用Windows系统服务远程缓冲区漏洞(MS06-040)进行主动攻击,可能导致网络瘫痪、系统崩溃。(Worm.IRC.WargBot.b)病毒还可注入 explorer.exe进程。
7.病毒名称:Worm.Zotob.a Worm.Zotob.b Worm.Zotob.c
病毒中文名:狙击波
病毒类型:蠕虫、后门
危险级别:★★★
影响平台:Win9x / WinNT
专杀工具:赛门铁克专杀工具 江民专杀工具
病毒描述:
“狙击波”利用微软刚刚公布的严重系统漏洞(MS05-039) 进行主动传播,并且可以通过IRC接受黑客命令,使被感染计算机被黑客完全控制。病毒攻击目标系统时,可能造成系统不断重启,与震荡波、冲击波发作的时候类似,只不过在Zotob影响的进程变了,变为系统关键进程“Services.exe”。
8.
病毒名称:TROJ_AGENT
病毒中文名:无
病毒类型:木马
危险级别:★★
影响平台:Win9X/2000/XP/NT/Me
专杀工具:趋势科技专杀工具
病毒描述:
TROJ_AGENT是一类木马程序,会窃取用户的个人信息,对用户的信息安全造成损害。
推荐先用超级兔子清理系统垃圾以及流氓垃圾软件
超级兔子魔法设置 v7.5 正式版
Windows流氓软件清理大师 2.3
;pn=0.html
然后推荐你用最强的杀木马软件Ewido进行全盘杀毒!卡巴不能解决的问题它都能解决,最好先用优化软件清楚系统垃圾!
在安全模式下保证解决问题
(这是绿色版,无须安装即可使用,网站里面也有安装版)
注册码: 6617-EBE8-D1FD-FEA2
解压后先升级病毒库,再运行杀毒!
最好进入安全模式杀毒
TrojanDownloader变种aba是一个木马下载器,篡改IE浏览器首页和搜索页设置,将黑客指定站点秘密添加到收藏夹里。“TrojanDownloader”变种aba运行后,自我复制到Windows目录下。修改注册表,实现开机自启。开启被感染计算机的后门,未经授权访问用户计算机,篡改IE浏览器首页和搜索页设置,将指定站点添加到收藏夹里。用户一打开IE浏览器,立即连接黑客指定站点,并在被感染的计算机上下载并运行其它病毒。另外,“TrojanDownloader变种aba还可以盗取用户计算机上的机密信息,并将机密信息发送到黑客指定站点
很有可能是病毒,可以删除,系统文件没这两项。运行——msconfig关掉可疑的启动项,打开任务管理器关闭可疑进程并用搜索找到可疑文件并删除,运行——regedit,在注册表里查找可疑文件的相关键值并删除。这样能清除的干净些,如清楚不了,就在安全模式下清除。
回答者:ktlly2005 - 见习魔法师 二级 4-30 07:05
你是否装了vagga?我今天装了之后也出现了这两个程序,winmsk.exe和msnmsk.exe,都已加载在注册表的启动项里面,开机自动启动。没关系,把它们删掉就OK了!
木马
进入安全模式再杀,可以试试ewido anti-malware
全世界最好的木马清楚程序.
下载地址:
Ewido v3.5 绿色简体注册版(免安装可升级)
一款网络安全防护软件,在电脑上已经安装的其它安全软件基础上,补充为一个完整的安全系统。plus版本能实时监测整个系统运行,监测内存,内核自保护,在线升级等。程序可识别并清除63,449种不同的黑客程序,木马程序,蠕虫程序,Dialers程序等! 全面保护你的网络安全!
ewido很厉害,卡巴无法解决杀除的它都能杀!
1、解决了注册问题
2、解决了汉化问题。
3、做成了绿色软件
4、解决了升级问题。在升级时,它如果提醒你账号过期,表怕!再点一次升级,不要急。就可以看到可以升级了。
本软件是一款可以说最好的查杀木马和间谍程序的软件.
简体中文免安装绿色可升级.另外在繁体系统中用没有乱码字.可以正常显示简体中文
标签:msk系统被黑客攻击
已有2位网友发表了看法:
访客 评论于 2022-07-15 03:34:12 回复
: 都通过IRC聊天频道使系统接受黑客的控制,沦为“肉鸡”,可能导致RPC服务崩溃,用户无法上网。 发作症状: 病毒都在受感染系统中生成以下病毒文件:%system%wgareg.exe;并添加服务,通过服务启动HKEY_LOCAL_MA
访客 评论于 2022-07-15 01:10:24 回复
密通信渠道: UDP 端口 4000 UDP 端口 7871 6、在下列端口发送 UDP 网包,扫描其他对等端: UDP 端口 4000 UDP 端口 7871 8、和找到的对等端交换信息,并更新自己的对等端列表。 对等端可以用来获得中央服务器提供和推送的命令。 9、然后可能