先看看专业分析:Jacks.exe setup.exe 熊猫烧香 尼姆亚 解决方案档案编号:CISRT2006078病毒名称:Trojan-PSW.Win32.QQRob.ec(Kaspersky)病毒别名:Worm.Nimaya.a[尼姆亚](瑞星)病毒大小:30,465 字节加壳方式:FSG样本MD5:2a6ad4fb015a3bfc4acc4ef234609383样本SHA1:bd2499c1bcddc5a55c87510730e6e826f7dac9bc发现时间:2006.11更新时间:2006.11关联病毒:传播方式:通过恶意网页传播,其它木马下载,可通过局域网、移动存储设备等传播技术分析==========exe主程序使用白底熊猫烧香图标,运行后复制自身到系统目录:%System%/非法词语 被系统自动过滤Jacks.exe创建自启动项:[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run]"非法词语 被系统自动过滤Jacks"="%System%/非法词语 被系统自动过滤Jacks.exe"[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]"svohost"="%System%/非法词语 被系统自动过滤Jacks.exe"在各分区根目录创建副本:X:/autorun.infX:/setup.exeautorun.inf内容:[AutoRun]OPEN=setup.exeshellexecute=setup.exeshell/Auto/command=setup.exe尝试删除隐藏管理共享:net share X$ /del /ynet share admin$ /del /ynet share IPC$ /del /y尝试结束进程:Mcshield.exeVsTskMgr.exenaPrdMgr.exeUpdaterUI.exeTBMon.exescan32.exeRavmond.exeCCenter.exeRavTask.exeRav.exeRavmon.exeRavmonD.exeRavStub.exeKVXP.kxpKvMonXP.kxpKVCenter.kxpKVSrvXP.exeKRegEx.exeUIHost.exeTrojDie.kxpFrogAgent.exeLogo1_.exeLogo_1.exeRundl123.exe关闭窗口:QQKavQQAVVirusScanSymantec AntiVirusiDubaesteem procsWrapped gift KillerWinsock Expertmsctls_statusbar32pjf(ustc)IceSword删除启动项:RavTaskKvMonXPkavKAVPersonal50McAfeeUpdaterUINetwork Associates Error Reporting ServiceShStatEXEYLive.exeyassistse禁用服务:SchedulesharedaccessRsCCenterRsRavMonRsCCenterKVWSCKVSrvXPkavsvcAVPMcAfeeFrameworkMcShieldMcTaskManagernavapsvcwscsvcKPfwSvcSNDSrvcccProxyccEvtMgrccSetMgrSPBBCSvcSymantec Core LCNPFMntorMskServiceFireSvc遍历目录,感染除系统目录外其它目录中的exe文件,将自身捆绑在exe文件前端,并在尾部添加标记信息:QUOTE:WhBoy{原文件名}.exe.{原文件大小}.被感染exe运行后释放前端病毒文件到%System%/非法词语 被系统自动过滤Jacks.exe,并使用bat批处理将后边原始exe文件“还原”,bat批处理内容::try1del "file.exe"if exist "file.exe" goto try1ren "file.exe.exe" "file.exe"if exist "file.exe.exe" goto try2"file.exe":try2del %0这个环节和Viking类似。病毒还尝试使用弱密码访问局域网内其它计算机:passwordharleygolfpussymustangshadowfishqwertybaseballletmeincccadminabcpasspasswddatabaseabcdabc123sybase123qweservercomputersuper123asdihavenopassgodblessyouenablealpha1234qwer123abcaaapatrickpatadministratorroot~godfoobarsecrettesttest123temptemp123winasdfpwdqweryxcvzxcvhomexxxownerloginLoginlovemypcmypc123admin123mypassmypass123AdministratorGuestadminRoot病毒体内包含文字:xXx_WhBoy_WormxXx_WhBoy清除步骤==========1. 断开网络2. 结束病毒进程%System%/非法词语 被系统自动过滤Jacks.exe3. 删除病毒文件:%System%/非法词语 被系统自动过滤Jacks.exe4. 右键点击分区盘符,点击右键菜单中的“打开”进入分区根目录,删除根目录下的文件:X:/autorun.infX:/setup.exe5. 删除病毒创建的启动项:[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run]"非法词语 被系统自动过滤Jacks"="%System%/非法词语 被系统自动过滤Jacks.exe"[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]"svohost"="%System%/非法词语 被系统自动过滤Jacks.exe"6. 修复或重新安装反病毒软件7. 使用反病毒软件或专杀工具进行全盘扫描,清除恢复被感染的exe文件
下载地址:
http://www.dswlab.com/dow/d2.html
此工作室还有许多相关的安全工具,不错的!
