|
刚刚在金山毒霸铁军的博客上看到了这样的一条消息: 最近出现了一个威力很大的病毒,名字叫做kingbox,大体的经过是一个网友询问铁军:
:这几天我的系统多了个kingbox.exe的程序,杀毒软件还打不开了。这是个什么病毒?我该怎么办?
铁军:这个病毒很有可能是最新刚发现的金刚蠕虫,病毒名为Worm.Kingbox,这个病毒除了没有熊猫烧香病毒的长相(图标)外,几乎和熊猫烧香病毒的破坏行为一致。还增加了利用了windows系统的ANI动画光标漏洞传播和系统弱密码传播的能力。
该病毒会感染Windows平台下后缀名为.exe .scr .com .pif .htm .html ..asp .php .jsp ..aspx的文件。和熊猫烧香病毒一样,感染网页格式的文件,会导致用户访问这些站点时,会自动下载其它病毒。该病毒还利用了windows系统的ANI动画光标漏洞传播、U盘传播,另外,病毒自带密码字典,尝试通过局域网传播。
以下是该病毒的详细分析报告:
1、释放病毒文件到如下路径:
%system%\kingbox.exe
%system%\kingbox.pci
释放密码字典到
c:\pass.dic
2、循环修改注册表,不显示隐藏文件:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=0x0
3、关闭常用的安全软件;
4、关闭威金和熊猫烧香病毒进程,并删除其文件,一方面是防止冲突,也可能是为了争夺对系统的控制权
5、启动OUTLOOK进程,连接网络,下载更多的病毒并运行:
6、在磁盘根目录下生成autorun.inf及kingbox.exe病毒文件,当用户双击磁盘时,激活病毒,并利用此方式通过U盘传播。
7、搜索感染所有如下后缀名的文件:.exe .scr .com .pif .htm .html .asp .php .jsp ..aspx
8、遍历局域网,利用自身的密码字典,尝试通过IPC连接感染局域网。
9、感染后的脚本文件会通过ANI漏洞下载病毒文件。
解决办法:
1、重启系统到带网络连接的安全模式,升级金山毒霸查杀病毒
2、运行regedit编辑注册表,恢复正常的文件夹选项功能
开始-->运行—>输入regedit ,即可打开注册表
依次展开:HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL,删除原来的CheckedValue键值,单击右键,新建——Dword为CheckedValue,然后修改它的键值为1,十六进制,按确定后,刷新并退出注册表,这样就可以选择“显示所有隐藏文件”和“显示系统文件.
3、立即使用windows update修补系统或金山毒霸漏洞扫描修复工具为系统安装补丁
经过金山毒霸工作人员的分析,将这个病毒的中文名字命名为金刚,种类属于蠕虫病毒,同熊猫烧香非常类似,破坏性更强,金山毒霸已经做了同源性分析,结果未发现该病毒的作者使用熊猫烧香的源码,应该只是利用了熊猫的很多手法。除了长相和部分改进,真是太象熊猫烧香了。
哈哈,看到铁军blog上的这段更新,提醒大家多多注意,并且下载金山毒霸的漏洞扫描修补工具给系统打上补丁,给自己增设一条防线. |
|