病毒別名:尼姆亞,武漢男生,後又化身為“金豬報喜”
危險級別:★★★★★
病毒類型:蠕蟲病毒,能夠終止大量的反病毒軟件和防火墻軟件進程。
影響系統:Win 9x/ME、Win 2000/NT、Win XP、Win 2003 病毒描述其實是壹種蠕蟲病毒的變種,而且是經過多次變種而來的。尼姆亞變種W(Worm.Nimaya.w),由於中毒電腦的可執行文件會出現“熊貓燒香”圖案,所以也被稱為“熊貓燒香”病毒。用戶電腦中毒後可能會出現藍屏、頻繁重啟以及系統硬盤中數據文件被破壞等現象。同時,該病毒的某些變種可以通過局域網進行傳播,進而感染局域網內所有計算機系統,最終導致企業局域網癱瘓,無法正常使用,它能感染系統中exe,com,pif,src,html,asp等文件,它還能中止大量的反病毒軟件進程並且會刪除擴展名為gho的文件,該文件是壹系統備份工具GHOST的備份文件,使用戶的系統備份文件丟失。被感染的用戶系統中所有.exe可執行文件全部被改成熊貓舉著三根香的模樣。中毒癥狀 除了通過網站帶毒感染用戶之外,此病毒還會在局域網中傳播,在極短時間之內就可以感染幾千臺計算機,嚴重時可以導致網絡癱瘓。中毒電腦上會出現“熊貓燒香”圖案,所以也被稱為“熊貓燒香”病毒。中毒電腦會出現藍屏、頻繁重啟以及系統硬盤中數據文件被破壞等現象。病毒危害病毒會刪除擴展名為gho的文件,使用戶無法使用ghost軟件恢復操作系統。“熊貓燒香”感染系統
的.exe .com. pif.src .html.asp文件,添加病毒網址,導致用戶壹打開這些網頁文件,IE就會自動連接到指定的病毒網址中下載病毒。在硬盤各個分區下生成文件autorun.inf和setup.exe,可以通過U盤和移動硬盤等方式進行傳播,並且利用Windows系統的自動播放功能來運行,搜索硬盤中的.exe可執行文件並感染,感染後的文件圖標變成“熊貓燒香”圖案。“熊貓燒香”還可以通過***享文件夾、系統弱口令等多種方式進行傳播。該病毒會在中毒電腦中所有的網頁文件尾部添加病毒代碼。壹些網站編輯人員的電腦如果被該病毒感染,上傳網頁到網站後,就會導致用戶瀏覽這些網站時也被病毒感染。據悉,多家著名網站已經遭到此類攻擊,而相繼被植入病毒。由於這些網站的瀏覽量非常大,致使“熊貓燒香”病毒的感染範圍非常廣,中毒企業和政府機構已經超過千家,其中不乏金融、稅務、能源等關系到國計民生的重要單位。註:江蘇等地區成為“熊貓燒香”重災區。傳播方法“熊貓燒香”還可以通過***享文件夾、系統弱口令等多種方式進行傳播。金山分析:這是壹個感染型的蠕蟲病毒,它能感染系統中exe,com,pif,src,html,asp等文件,它還能中止大量的反病毒軟件進程1 拷貝文件
病毒運行後,會把自己拷貝到
C:\WINDOWS\System32\Drivers\spoclsv.exe2 添加註冊表自啟動
病毒會添加自啟動項
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe3 病毒行為a:每隔1秒尋找桌面窗口,並關閉窗口標題中含有以下字符的程序
QQKav
QQAV
防火墻
進程
VirusScan
網鏢
殺毒
毒霸
瑞星
江民
黃山IE
超級兔子
優化大師
木馬克星
木馬清道夫
QQ病毒
註冊表編輯器
系統配置實用程序
卡巴斯基反病毒
Symantec AntiVirus
Duba
esteem proces
綠鷹PC
密碼防盜
噬菌體
木馬輔助查找器
System Safety Monitor
Wrapped gift Killer
Winsock Expert
遊戲木馬檢測大師
msctls_statusbar32
pjf(ustc)
IceSword
並使用的鍵盤映射的方法關閉安全軟件IceSword添加註冊表使自己自啟動
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe並中止系統中以下的進程:
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
kvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl132.exeb:每隔18秒
點擊病毒作者指定的網頁,並用命令行檢查系統中是否存在***享
***存在的話就運行net share命令關閉admin$***享c:每隔10秒
下載病毒作者指定的文件,並用命令行檢查系統中是否存在***享
***存在的話就運行net share命令關閉admin$***享d:每隔6秒
刪除安全軟件在註冊表中的鍵值HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
RavTask
KvMonXP
kav
KAVPersonal50
McAfeeUpdaterUI
Network Associates Error Reporting Service
ShStartEXE
YLive.exe
yassistse並修改以下值不顯示隱藏文件
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
CheckedValue -> 0x00刪除以下服務:
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec Core LC
NPFMntor
MskService
FireSvce:感染文件
病毒會感染擴展名為exe,pif,com,src的文件,把自己附加到文件的頭部
並在擴展名為htm,html, asp,php,jsp,aspx的文件中添加壹網址,
用戶壹但打開了該文件,IE就會不斷的在後臺點擊寫入的網址,達到
增加點擊量的目的,但病毒不會感染以下文件夾名中的文件:
WINDOW
Winnt
System Volume Information
Recycled
Windows NT
WindowsUpdate
Windows Media Player
Outlook Express
Internet Explorer
NetMeeting
Common Files
ComPlus Applications
Messenger
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
MSN Gamin Zoneg:刪除文件
病毒會刪除擴展名為gho的文件,該文件是壹系統備份工具GHOST的備份文件,使用戶的系統備份文件丟失. 瑞星最新病毒分析報告:“Nimaya(熊貓燒香)”這是壹個傳染型的DownLoad 使用Delphi編寫