[会员中心]  [发布文章][发布软件]  [中文繁體]

文章·资料  电脑软件  手机软件  网站源码 电脑·手机·网络学习话题娱乐故事 文化·历史国学典籍法律法规 操作系统网络办公·文件音频视频图形图像 硬件·驱动程序行业教学学习编程游戏 安卓苹果鸿蒙 其他 ASPASP.NETJSPPHP HTML·CSS·JavaScript

本 站 搜 索 文章 软件 [选项] 文章类别： [全部]电脑·手机·网络话题故事文化·历史娱乐学习法律·法规国学典籍 搜索选项： 文章编号 文章标题 文章作者 文章来源 相关链接 关键字词 文章标签 文章内容 软件类别： [全部]操作系统网络办公·文件音频视频图形图像行业编程教学学习游戏硬件·驱动程序安卓系统苹果系统鸿蒙系统其他系统HTML·CSS·JavaScriptASPJSPPHPASP.NET 搜索选项： 软件编号 软件名称 软件作者 软件来源 相关链接 关键字词 软件标签 软件简介

发 送 文 章 熊猫烧香病毒新变种 ncscv32.exe 的解决方案 〖评论()〗〖留言〗〖收藏〗  收信地址 填写收信人的电子邮箱 邮件主题 填写邮件主题 邮件内容 档案编号：CISRT2007023 病毒名称：Worm.Win32.Fujack.l（Kaspersky） 病毒别名：Worm.Nimaya.cf（瑞星），Worm.WhBoy.bx.68778（毒霸） 病毒大小：68,938 字节 加壳方式：FSG 样本MD5：0ae2056fa8c99331332fe3cd4e31342d 样本SHA1：e02edb9c99055e00a3390638d0d7b02f9942dcb2 发现时间：2007.1 更新时间：2007.1.24 关联病毒： 传播方式：恶意网页、其它病毒下载，可通过局域网传播 技术分析 ========== 熊猫烧香的新变种，与之前变种【CISRT2007017】熊猫烧香变种 感染文件 修改网页 ncscv32.exe 解决方案类似。 运行后复制自身到系统目录并运行： %System%\drivers\ncscv32.exe 创建启动项： [Copy to clipboard]CODE:[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "nvscv32"="%System%\drivers\ncscv32.exe" 修改注册表使“显示所有文件和文件夹”设置失效： [Copy to clipboard]CODE:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\ Hidden\SHOWALL] "CheckedValue"=dword:00000000 尝试关闭安全相关窗口： 天网 防火墙 VirusScan Symantec AntiVirus System Safety Monitor System Repair Engineer Wrapped gift Killer 游戏木马检测大师 超级巡警 尝试结束安全相关进程，以及自身之前变种、Viking病毒进程： Mcshield.exe VsTskMgr.exe naPrdMgr.exe UpdaterUI.exe TBMon.exe scan32.exe Ravmond.exe CCenter.exe RavTask.exe Rav.exe Ravmon.exe RavmonD.exe RavStub.exe KVXP.kxp KvMonXP.kxp KVCenter.kxp KVSrvXP.exe KRegEx.exe UIHost.exe TrojDie.kxp FrogAgent.exe Logo1_.exe Logo_1.exe Rundl132.exe taskmgr.exe msconfig.exe regedit.exe SREng.EXE spoclsv.exe nvscv32.exe sppoolsv.exe spo0lsv.exe 删除安全相关服务： RsCCenter RsRavMon KVWSC KVSrvXP kavsvc AVP McAfeeFramework McShield McTaskManager navapsvc wscsvc KPfwSvc SNDSrvc ccProxy ccEvtMgr ccSetMgr SPBBCSvc Symantec Core LC NPFMntor MskService FireSvc 删除安全相关启动项： SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RavTask SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KvMonXP SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kav SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KAVPersonal50 SOFTWARE\Microsoft\Windows\CurrentVersion\Run\McAfeeUpdaterUI SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Network Associates Error Reporting Service SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ShStatEXE SOFTWARE\Microsoft\Windows\CurrentVersion\Run\YLive.exe SOFTWARE\Microsoft\Windows\CurrentVersion\Run\yassistse 跳过以下目录感染EXE/SCR/PIF/COM文件，但不感染setup.exe和NTDETECT.COM： C:\ C:\WINDOWS C:\WINNT C:\WINDOWS\system32 C:\WINNT\system32 C:\Documents and Settings C:\System Volume Information C:\Recycled %ProgramFiles%\Windows NT %ProgramFiles%\WindowsUpdate %ProgramFiles%\Windows Media Player %ProgramFiles%\Outlook Express %ProgramFiles%\Internet Explorer %ProgramFiles%\NetMeeting %ProgramFiles%\Common Files %ProgramFiles%\ComPlus Applications %ProgramFiles%\Messenger %ProgramFiles%\InstallShield Installation Information %ProgramFiles%\Microsoft Frontpage %ProgramFiles%\Movie Maker %ProgramFiles%\MSN Gamin Zone 将自身捆绑在被感染文件前端的感染方式类似之前变种，并在尾部添加标记信息： QUOTE:WHBOY{原文件名}.exe {原文件字节大小} 修改除上述目录中的htm/html/asp/php/jsp/aspx网页文件，在文件尾部追加隐藏iframe代码： [Copy to clipboard]CODE: 病毒遍历过的目录下会留下Desktop__.ini文件，内容是当前日期，如：2007-1-30 使用弱密码尝试以Games.exe文件名复制自身到局域网内其它计算机： Administrator Guest admin Root 1234 password 6969 harley 123456 golf pussy mustang 1111 shadow 1313 fish 5150 7777 qwerty baseball 2112 letmein 12345678 12345 admin 5201314 qq520 1234567 123456789 654321 54321 000000 11111111 88888888 pass passwd database abcd abc123 sybase 123qwe server computer super 123asd havenopass godblessyou enable 2002 2003 2600 alpha 111111 121212 123123 1234qwer 123abc patrick administrator root fuckyou fuck test test123 temp temp123 asdf qwer yxcv zxcv home owner login Login pw123 love mypc mypc123 admin123 mypass mypass123 901100 尝试使用net share命令删除管理共享： [Copy to clipboard]CODE:cmd.exe /c net share X$ /del /y cmd.exe /c net share admin$ /del /y 病毒内依然留有“武汉男孩”信息： [Copy to clipboard]CODE:WHBOY WhBoy 原来留有“交流字符”的地方现在显示如下： [Copy to clipboard]CODE:xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx adsf hjjjjjj xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx! 清除步骤 ========== 1、断开网络 2、结束病毒进程： %System%\drivers\ncscv32.exe 3、删除病毒文件： %System%\drivers\ncscv32.exe 4、删除病毒启动项： [Copy to clipboard]CODE:[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "nvscv32"="%System%\drivers\ncscv32.exe" 5、恢复被修改的“显示所有文件和文件夹”设置： [Copy to clipboard]CODE:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\ Hidden\SHOWALL] "CheckedValue"=dword:00000001 6、修复或重新安装被破坏的安全软件，并使用反病毒软件进行全盘扫描 7、恢复被修改的网页文件，可以使用某些编辑网页的工具替换被添加文字为空，也可以使用反病毒软件清除。<br /><br />文章网址：<a href="https://dangbai.cn/Article.asp?ID=10001506" target="_blank">https://dangbai.cn/Article.asp?ID=10001506</a> 填写邮件内容 发信地址 填写发信人的电子邮箱 邮件签名 填写邮件签名  验证码   填写验证码，单击刷新验证码    程序执行中，请稍候... 发送协议 ·欢迎使用本站在线文章发送系统。 ·不得使用本站在线发送邮件系统发送垃圾邮件、广告邮件。 ·如果收信人地址或其服务器出现错误，可能无法成功发送。 ·如果有什么问题，或者意见建议，请联系［网站管理员］。

当百网   本站使用【啊估文章软件站】网站系统    〖网站管理员留言簿〗