病毒名稱:Win32/DaXingXing.a
中 文 名:大猩猩病毒
病毒類型:檔案型
危害等級:★★★
影響平台:Win 9X/ME/NT/2000/XP/2003
病毒樣本MD5值為:60f66f0b7312e6eb9a5f2f823c5ff316
檔案大小為:819829位元組
病毒運行特徵: 字串6
1. Win32/DaXingXing.a 大猩猩病毒是一個採用易.語言編.寫的檔案型病毒,病毒運行後,創建病毒進程winfuckjp.exe ,該進程採用RootKit技術隱藏自身,用Windows自帶的任務管理器察看不到。
字串2
釋放病毒檔案:
字串2
%WinDir%\System32\winfuckjp.exe, 819829位元組
字串1
該病毒還會感染全盤所有的*.exe檔案,向檔案頭.部添加7725位元組.的數據,感染後的檔案圖示變成一個大猩猩的圖示,如下圖: 字串3
2. 在註冊表中添加下列啟動項:
字串5
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 字串7
"Winfuckjp.exe" = %SystemDir%\winfuckjp.exe 字串7
這樣,在Windows啟動時,病毒就可以自動執行。
字串3
字串6
3. 病毒還會在隨身碟/MP3/移動硬碟以及每個硬碟分.區跟目錄下.釋放病毒檔案AutoRun.inf和ri.exe,其中AutoRun.inf檔案內容如下:
字串9
[AutoRun]
字串3
OPEN=ri.exe 字串4
這樣當用戶雙擊隨身碟或其它移動存儲設備以及硬碟各個分區的時候就會激活病毒運行。
字串3
字串6
4. 病毒運行後,會嘗.試使用taskkill /f /im命令關.閉以下防毒軟體和安全工具的進程,以達到躲避查殺的目的。 字串8
字串7
navapw32.exe
字串5
navapsvc.exe 字串8
nmain.exe
字串4
navw32.exe 字串1
kvfw.exe
字串5
KAVSvcUI.exe
字串9
kavpfw.exe 字串8
KAV32.exe
字串9
KvXP.kxp
字串8
twister.exe 字串2
kvsrvxp.exe
字串4
KVSrvXP_1.exe
字串9
......
字串7
5. 該病毒具有IFEO重定向劫持功能,病.毒通過寫註冊表.中的 IFEO 鍵值,來阻止一些防毒軟體和安全工具的運行, 字串4
添加的註冊表鍵值例如下列:
字串6
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\KVCenter.kxp]
字串1
"Debugger" = c:\winnt\system32\winfuckjp.exe 字串4
共阻止100款防毒軟體和安全工具的運行,詳細名單如下:
字串5
360rpt.exe 字串1
360Safe.exe
字串4
360tray.exe
字串4
adam.exe 字串8
agentsvr.exe 字串6
AppSvc32.exe
字串6
autoruns.exe
字串3
avgrssvc.exe 字串1
AvMonitor.exe
字串6
avp.com 字串7
avp.exe
字串8
CCenter.exe
字串1
...... 字串1
6. 病毒修改作業系統的Hosts表,禁止用戶登入反病毒廠商的網址升級病毒庫,被修改後的Hosts表檔案如下:
字串8
字串9
127.0.0.1 www.trendmicro.com 字串6
127.0.0.1 rads.mcafee.com
字串8
127.0.0.1 www.rising.com.cn
字串3
127.0.0.1 bbs.2dai.com 字串8
127.0.0.1 bbs.abcbit.com
字串1
127.0.0.1 www.freekv.net 字串5
......
字串5
這樣,中毒用戶就無法登入反病毒廠商的網站升級病毒庫。 字串7
7. 該病毒還會修改註冊表相關鍵值,來禁用顯示隱藏檔案的功能。
字串6
8. 該病毒還會修改註冊表相關鍵值,來破壞系統的安全模式,這樣中毒用戶就無法進入安全模式下防毒。
字串7
9. 在病毒檔案體內,病毒作者還留言,挑戰尚未上市尚在公測時的2008版防毒軟體。如下圖
字串9
病毒運行後,會感染全盤的*.exe 檔案,致使系統中毒後將完全癱瘓,並且占用大量的CPU資源,系統無法啟動,給用戶帶來損失。 字串5
針對此病毒,江民科技已經升級了病毒庫,只要升級到8月24日的病毒庫,即可攔截此病毒的入侵。
字串1
字串8
該病毒目前並未發現大範圍傳播,僅有個別用戶反映中毒。
字串8
被感染後的檔案可以通過KV2007防毒軟體清除恢復,在此建議廣大用戶:
字串9
1. 安裝KV2007的防毒軟體,每天定時升級病毒庫,定時全盤防毒,並開啟所有的監控功能。 字串5
2. 禁用系統的自動播放功能,防止病毒從隨身碟、移動硬碟、MP3等移動存儲設備進入到計算機。
字串3
禁用Windows 系統的自動播放功能的方法:在運行中輸入 gpedit.msc 後回車,打開組策略編輯器,依次點擊:計算機配置->管理模板->系統->關閉自動播放->已啟用->所有驅動器->確定。 字串5
3. 利用Windows Update功能打全系統補丁,尤其是MS06-014和MS07-017這兩個網頁木馬經常使用的系統漏洞,避免病毒從惡意網頁的方式入侵到系統中。 字串5
4. 不要隨意接收從QQ、MSN等即時聊天工具傳送過來的執行檔,不要登入來歷不明的網址連線。 字
