0
2006/12/25 
21:07 
875
一、病毒描述:
含有病毒体的文件被运行后,病毒将自身拷贝至系统目录,同时修改注册表将自身设置为开机启动项,并遍历各个驱动器,将自身写入磁盘根目录下,增加一个
Autorun.inf文件,使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染,同时
开另外一个线程连接某网站下载ddos程序进行发动恶意攻击。
二、病毒基本情况:
[文件信息]
病毒名: Virus.Win32.EvilPanda.a.ex$
大 小: 0xDA00 (55808), (disk) 0xDA00 (55808)
SHA1 : F0C3DA82E1620701AD2F0C8B531EEBEA0E8AF69D
壳信息: 未知
危害级别:高
病毒名: Flooder.Win32.FloodBots.a.ex$
大 小: 0xE800 (59392), (disk) 0xE800 (59392)
SHA1 : B71A7EF22A36DBE27E3830888DAFC3B2A7D5DA0D
壳信息: UPX 0.89.6 - 1.02 / 1.05 - 1.24
危害级别:高
含有病毒体的文件被运行后,病毒将自身拷贝至系统目录,同时修改注册表将自身设置为开机启动项,并遍历各个驱动器,将自身写入磁盘根目录下,增加一个
Autorun.inf文件,使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染,同时
开另外一个线程连接某网站下载ddos程序进行发动恶意攻击。
二、病毒基本情况:
[文件信息]
病毒名: Virus.Win32.EvilPanda.a.ex$
大 小: 0xDA00 (55808), (disk) 0xDA00 (55808)
SHA1 : F0C3DA82E1620701AD2F0C8B531EEBEA0E8AF69D
壳信息: 未知
危害级别:高
病毒名: Flooder.Win32.FloodBots.a.ex$
大 小: 0xE800 (59392), (disk) 0xE800 (59392)
SHA1 : B71A7EF22A36DBE27E3830888DAFC3B2A7D5DA0D
壳信息: UPX 0.89.6 - 1.02 / 1.05 - 1.24
危害级别:高
现在外面的打印店可真不负责,机子上病毒漫天飞,昨天还在梦中呢?电话响了,同组的同学说怎么刚做的毕业设计打不开了,打开的时候提示“无法打开高版本word”,晕,我一想,肯定是前阵子闹的很凶的“Word文档杀手”在作怪,可惜的是做了好几天的成果要是没有备份的话就彻底完了,不过还好有备份,下面我来说说关于“Word文档杀手”问题。
“Word文档杀手”蠕虫病毒(Worm/DocKiller)。该病毒运行后会搜索软盘、U盘等移动存储磁盘和网络映射驱动器上的Word文档(*.doc)文件,并用试图用自身覆盖找到的Word文档,达到传播的目的,同时也破坏了原有文档的数据。病毒还会在计算机管理员修改用户密码时进行键盘记录,记录结果也会随病毒传播一起被复制。
该病毒采用VB语言编写,病毒主体文件为 c:\windows\doc.exe 或者 c:\windows\doc1.exe。病毒运行后,会采用原始的手段,在C盘根目录下生成病毒文件 c:\ww.bat, 该文件内含有批处理程序: dir *.doc /a/b/s >>c:\ww.txt。病毒然后将硬盘里面的所有的DOC文档建立一个列表,按照一定的的路径,逐一将这些DOC文件移动到Windows下的某个目录,并将文件扩展名改为.COM。同时此病毒还能修改注册表键值,以达到隐藏扩展名的目的。
此病毒还能自我加载到U盘的自动运行文件里,这样,一旦用户将感染了该病毒的U盘接入电脑,WORD文档杀手病毒就会自动运行,导致所有WORD文档神秘失踪。
具体技术特征如下:
“Word文档杀手”蠕虫病毒(Worm/DocKiller)。该病毒运行后会搜索软盘、U盘等移动存储磁盘和网络映射驱动器上的Word文档(*.doc)文件,并用试图用自身覆盖找到的Word文档,达到传播的目的,同时也破坏了原有文档的数据。病毒还会在计算机管理员修改用户密码时进行键盘记录,记录结果也会随病毒传播一起被复制。
该病毒采用VB语言编写,病毒主体文件为 c:\windows\doc.exe 或者 c:\windows\doc1.exe。病毒运行后,会采用原始的手段,在C盘根目录下生成病毒文件 c:\ww.bat, 该文件内含有批处理程序: dir *.doc /a/b/s >>c:\ww.txt。病毒然后将硬盘里面的所有的DOC文档建立一个列表,按照一定的的路径,逐一将这些DOC文件移动到Windows下的某个目录,并将文件扩展名改为.COM。同时此病毒还能修改注册表键值,以达到隐藏扩展名的目的。
此病毒还能自我加载到U盘的自动运行文件里,这样,一旦用户将感染了该病毒的U盘接入电脑,WORD文档杀手病毒就会自动运行,导致所有WORD文档神秘失踪。
具体技术特征如下:
最近好多同学做毕业设计呢,经常用u盘到外面打印,经常被病毒弄的一塌糊涂,有时候整理了n天的资料都丢失了,这个名叫kangen的病毒(图标为word文件图标)
运行以后会打开一个word文档
里面的内容是:
Percayalah padaku
akupun rindu kamu
ku akan pulang
melepas semua
kerinduan
yang terpendam..
另外,最近学校的U盘病毒不是ROSE就是这个KANGEN,其实大家使用U盘应当形成习惯,每次用完之后加上写保护(不要说你的U盘没有,都有,自己找!),不修改文件就不要解除它。打印我想不需要修改文件吧?写好了再印嘛。要改就拷贝到它的硬盘上再改,大不了打完给他删除掉嘛。预防重要啊!
不要嫌麻烦,病毒也是这样想的!其实有个写保护,病毒也觉得挺麻烦的。
解决方法:查看启动项,关闭还原,然后去安全模式下删除 .
运行以后会打开一个word文档
里面的内容是:
Percayalah padaku
akupun rindu kamu
ku akan pulang
melepas semua
kerinduan
yang terpendam..
另外,最近学校的U盘病毒不是ROSE就是这个KANGEN,其实大家使用U盘应当形成习惯,每次用完之后加上写保护(不要说你的U盘没有,都有,自己找!),不修改文件就不要解除它。打印我想不需要修改文件吧?写好了再印嘛。要改就拷贝到它的硬盘上再改,大不了打完给他删除掉嘛。预防重要啊!
不要嫌麻烦,病毒也是这样想的!其实有个写保护,病毒也觉得挺麻烦的。
解决方法:查看启动项,关闭还原,然后去安全模式下删除 .
spoolsv.exe是一种延缓打印木马程序,它使计算机CPU使用率达到100%,从而使风扇 保持高速嘈杂运转。目前网上提供的方法或许能够解决前期问题,但对最新的变种现 象无能为力, Ctrl+Alt+Delete停止spoolsv.exe运行进程。spoolsv.exe是系统进程,用于将Windows打印机任务发送给本地打印机。注意spoolsv .exe也有可能是Backdoor.Ciadoor.B木马。该木马允许攻击者访问你的计算机,窃取 密码和个人数据。
两者的区别在于,前者是在SYSTEM32目录下,而木马程序不在SYSTEM32目录下,而是 在其子目录或其他目录下。
一、判别自己是否中毒
1、点开始-运行,输入msconfig,回车,打开实用配置程序,选择“启动”, 感染
以后会在启动项里面发现运行Spoolsv.exe的启动项, 每次进入windows会有NTservice
的对话框。
2、打开系统盘,假设C盘,看是否存在C:\WINDOWS\system32\spoolsv文件夹,里面
有个spoolsv.exe文件,有“傲讯浏览器辅助工具”的字样说明,正常的spoolsv.exe
打印机缓冲池文件应该在C:\WINDOWS\system32目录下。
3,打开任务管理器,会发现spoolsv.exe进程,而且CPU占用率很高
两者的区别在于,前者是在SYSTEM32目录下,而木马程序不在SYSTEM32目录下,而是 在其子目录或其他目录下。
一、判别自己是否中毒
1、点开始-运行,输入msconfig,回车,打开实用配置程序,选择“启动”, 感染
以后会在启动项里面发现运行Spoolsv.exe的启动项, 每次进入windows会有NTservice
的对话框。
2、打开系统盘,假设C盘,看是否存在C:\WINDOWS\system32\spoolsv文件夹,里面
有个spoolsv.exe文件,有“傲讯浏览器辅助工具”的字样说明,正常的spoolsv.exe
打印机缓冲池文件应该在C:\WINDOWS\system32目录下。
3,打开任务管理器,会发现spoolsv.exe进程,而且CPU占用率很高
近来“灰鸽子病毒”传播的甚是厉害,5Q上有不少人以发布卡巴斯基杀毒软件为名,在其中暗藏病毒,尤其以自解压包的文件最为危险,其病毒程序在自解压后能够自动运行,并在生成木马程序后自动删除源文件!而灰鸽子病毒的作者至今还没有停止对灰鸽子的开发,再加上有部分人为了避开杀毒软件的查杀故意给灰鸽子加上各种不同的壳,造成现在网络上不断有新的灰鸽子变种出现。现在即使是最新版本的杀毒软件也未必可以完全进行查杀,可能在正常杀毒下显示已完全清除,但可能在你重新启动后,木马程序再次生成!!!在这里结合本人的实际经验给出一个“灰鸽子病毒”手动清除的办法!
灰鸽子的运行原理
灰鸽子木马分两部分:客户端和服务端。黑客(姑且这么称呼吧)操纵着客户端,利用客户端配置生成一个服务端程序。服务端文件的名字默认为G_Server.exe,然后黑客通过各种渠道传播这个木马(俗称种木马或者开后门)。种木马的手段有很多,比如,黑客可以将它与一张图片绑定,然后假冒成一个羞涩的MM通过QQ把木马传给你,诱骗你运行;也可以建立一个个人网页,诱骗你点击,利用IE漏洞把木马下载到你的机器上并运行;还可以将文件上传到某个软件下载站点,冒充成一个有趣的软件诱骗用户下载……
由于灰鸽子病毒变种繁多,其文件名也很多变,近来发现的以(Backdoor.GPigeon.sgr)类型居多,不易对付,在被感染的系统%Windows%目录下生成三个病毒文件,分别是 G_Server.exe,G_Server.dll,G_Server_Hook.dll。
灰鸽子的运行原理
灰鸽子木马分两部分:客户端和服务端。黑客(姑且这么称呼吧)操纵着客户端,利用客户端配置生成一个服务端程序。服务端文件的名字默认为G_Server.exe,然后黑客通过各种渠道传播这个木马(俗称种木马或者开后门)。种木马的手段有很多,比如,黑客可以将它与一张图片绑定,然后假冒成一个羞涩的MM通过QQ把木马传给你,诱骗你运行;也可以建立一个个人网页,诱骗你点击,利用IE漏洞把木马下载到你的机器上并运行;还可以将文件上传到某个软件下载站点,冒充成一个有趣的软件诱骗用户下载……
由于灰鸽子病毒变种繁多,其文件名也很多变,近来发现的以(Backdoor.GPigeon.sgr)类型居多,不易对付,在被感染的系统%Windows%目录下生成三个病毒文件,分别是 G_Server.exe,G_Server.dll,G_Server_Hook.dll。
