病毒名称： Worm.WhBoy.h
病毒中文名：熊猫烧香 ( 武汉男生 ) ，近日又化身为 “ 金猪报喜 ”
病毒类型：蠕虫
危险级别： ★★★★★
影响平台： Win 9x/ME,Win 2000/NT,Win XP,Win 2003
专杀工具： 金山专杀工具       安天专杀工具        江民专杀工具           
病毒描述：

“ 武汉男生 ” ，俗称 “ 熊猫烧香 ” ，这是一个感染型的蠕虫病毒，
它能感染系统中 exe ， com ， pif ， src ， html ， asp 等文件，它还能中
止大量的反病毒软件进程并且会删除扩展名为 gho 的文件，该文件
是一系统备份工具 GHOST 的备份文件，使用户的系统备份文件丢失
。被感染的用户系统中所有 .exe 可执行文件全部被改成熊猫举着三根香的模样。

1: 拷贝文件
病毒运行后 , 会把自己拷贝到 C:\WINDOWS\System32\Drivers\spoclsv.exe

2: 添加注册表自启动
病毒会添加自启动项 HKEY_CURRENT_USER\Software\Microsof
t\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe

3: 病毒行为

a: 每隔 1 秒寻找桌面窗口 , 并关闭窗口标题中含有以下字符的程序：
QQKav 、 QQAV 、防火墙、进程、 VirusScan 、网镖、杀毒、毒霸、
瑞星、江民、黄山 IE 、超级兔子、优化大师、木马克星、木马清道夫
、 QQ 病毒、注册表编辑器、系统配置实用程序、卡巴斯基反病毒、
Symantec AntiVirus 、 Duba 、 esteem proces 、绿鹰 PC 、密码防盗
、噬菌体、木马辅助查找器、 System Safety Monitor 、
Wrapped gift Killer 、 Winsock Expert 、游戏木马检测大师
、 msctls_statusbar32 、 pjf(ustc) 、 IceSword
并使用的键盘映射的方法关闭安全软件 IceSword
添加注册表使自己自启动 HKEY_CURRENT_USER\Software\
Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe
并中止系统中以下的进程 :
Mcshield.exe 、 VsTskMgr.exe 、 naPrdMgr.exe 、 UpdaterUI.exe 、
TBMon.exe 、 scan32.exe 、 Ravmond.exe 、 CCenter.exe 、 RavTask.exe 、 Rav.exe 、 Ravmon.exe 、 RavmonD.exe 、 RavStub.exe 、 KVXP.kxp 、 kvMonXP.kxp 、 KVCenter.kxp 、 KVSrvXP.exe 、 KRegEx.exe 、 UIHost.exe 、 TrojDie.kxp 、 FrogAgent.exe 、 Logo1_.exe 、 Logo_1.exe 、 Rundl132.exe

b: 每隔 18 秒点击病毒作者指定的网页 , 并用命令行检查系统中
是否存在共享，共存在的话就运行 net share 命令关闭 admin$ 共享

c: 每隔 10 秒下载病毒作者指定的文件 , 并用命令行检查系统中
是否存在共享，共存在的话就运行 net share 命令关闭 admin$ 共享

　　　　　　　　　　　　　　　　　下一页 　返回