首页 > 百科 > fuckjack.exe

fuckjack.exe

百科

fuckjack.exe为"熊猫烧香"病毒的进程。

  • 中文名称 fuckjack.exe
  • 又是 熊猫烧香
  • 介绍 病毒运行后复制自身到系统目录下
  • 修改注册表 信息干扰"显示所有文件和文件夹

特征

  又是"熊猫烧香"FuckJacks.exe的变种,和之前的变种一样使用白底熊猫烧香图标,病毒运行后复制自身到系统目录下:

  %System%\drivers\spoclsv.exe

  创建启动项:

  [Copy to clipboard]CODE:[HKEY_CURR来自ENT_USER\Software\Microsoft\Windows气轻校精盟敌陈集\CurrentVe难预用吃新直议某rsion\Run]

  "svcshare"="%System%\360百科drivers\spoclsv.ex察搞溶慢措e"

  修改注册表信息干扰"显示所有文件和文件夹"设置:

  [Copy to clipboard]CODE:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Fol参绍已门清答调der\Hidden\SHOWALL]

  "CheckedValue"=dword:00000000

  在各分区根目录生成副本:

  X:\setup.exe

  X:\autorun.inf

  autorun.inf内容:

  [Copy to clipboard]CODE:[AutoRun]

  OPEN=setup.exe

  shellexecute=setup.exe

  shell甲行决万备\Auto\command=setup.e虽别失叶稳交认剂汽房装xe

  尝试关闭下列窗口:

  QQKav

  QQAV

  VirusScan

  Symantec AntiVirus

  Duba

  Windows

  esteem procs

  System Safety Monitor

  Wrapped gift Killer

  胜依字案席往根土设棉距Winsock Expert

  msctls_statusbar32

  pjf(ustc)

  IceSword

  结束一些对头的进程:

  Mcshield.exe

  VsTskMgr.ex每修e

  naPrdMgr.搞架械衣神聚息参紧困exe

  UpdaterUI.exe

  TBMon.exe

  scan32.exe

 管变乙 Ravmond.exe

  CC易降望夫评enter.exe

  RavTask.exe

  Rav.exe

  Ravmon.e只被xe

  RavmonD.exe

  RavStub.exe

  KVXP.kxp

  KvMonXP.kxp

  KVCenter.kxp

  KVSrvXP.exe

  KRegEx.exe

  UI胡居挥百殖束也失Host.exe

  Troj又立正展盾收饭序慢Die.kxp

  FrogAgent.exe

  Logo1_.exe

  Logo_1.负二最川样件兵给扬吸纸exe

  Rundl132.exe

  禁用一系列服务:

  Schedule

  sharedaccess

  RsCCenter

  RsRavMon

  Rs呢小花直景曲自践岩CCenter

  RsRavMon

  KVWSC

  KVSrvXP

  kavsvc

 兴顾吃翻局控没皮鱼传 AVP

  McAfeeFramework

  McShield

  McTaskManager

  navapsvc

  wscsvc

  KPfwSvc

  SNDSrvc

  ccProxy

  ccEvtMgr

  ccSetMgr

  SPBBCSvc

  Symantec Core LC

  NPFMntor

  MskService

  FireSvc

  删除若干安全软件启动项信息:

  RavTask

  KvMonXP

  kav

  KAVPersonal50

  McAfeeUpdaterUI

  Network Associates Error Reporting Service

  ShStatEXE

  YLive.exe

  yassistse

  使用net share命令删除管理共享:

  [Copy to clipboard]CODE:net share X$ /del /y

  net share admin$ /del /y

  net share IPC$ /del /y

  遍历目录

  感染除以下系统目录外其它目录中的exe、com、scr、pif文件:

  X:\WINDOWS

  X:\Winnt

  X:\System Volume Information

  X:\Recycled

  %ProgramFiles%\Windows NT

  %ProgramFiles%\WindowsUpdate

  %ProgramFiles%\Windows Media Player

  %ProgramFiles%\Outlook Express

  %ProgramFiles%\Internet Explorer

  %ProgramFiles%\NetMeeting

  %ProgramFiles%\Common Files

  %ProgramFiles%\ComPlus Applications

  %ProgramFiles%\Messenger

  %ProgramFiles%\InstallShield Installation Information

  %ProgramFiles%\MSN

  %ProgramFiles%\Microsoft Frontpage

  %ProgramFiles%\Movie Maker

  %ProgramFiles%\MSN Gamin Zone

  将自身捆绑在被感染文件前端,并在尾部添加标记信息:

  QUOTE:.WhBoy{原文件名}.exe.{原文件大小}.

  与之前变种不同的是,这个病毒体虽然是22886字节,但是捆绑在文件前段的只有22838字节,被感染文件运行后会出错,而不会像之前变种那样释放出{原文件名}.exe的原始正常文件。

  另外还发现病毒会覆盖少量exe,删除.gho文件。

  病毒还尝试使用弱密码访问局域网内其它计算机:

  password

  harley

  golf

  pussy

  mustang

  shadow

  fish

  qwerty

  baseball

  letmein

  ccc

  admin

  abc

  pass

  passwd

  database

  abcd

  abc123

  sybase

  123qwe

  server

  computer

  super

  123asd

  ihavenopass

  godblessyou

  enable

  alpha

  1234qwer

  123abc

  aaa

  patrick

  pat

  administrator

  root

  sex

  god

  foobar

  secret

  test

  test123

  temp

  temp123

  win

  asdf

  pwd

  qwer

  yxcv

  zxcv

  home

  xxx

  owner

  login

  Login

  love

  mypc

  mypc123

  admin123

  mypass

  mypass123

  Administrator

  Guest

  admin

  Root

清除步骤

  清除步骤

  ==========

  1. 断开网络

  2. 进入Dos模式删除病毒文件

  del c:\windows\system32\drivers\spoclsv.exe

  3. 右键点击分区盘符,点击右键菜单中的"打开"进入分区根目录,删除根目录下的文件:

  X:\setup.exe

  X:\autorun.inf

  4.安装卡巴斯基/麦咖啡/诺顿等杀毒软件,更新病毒库至最新,扫描全盘。

  5. 删除病毒创建的启动项:

  [Copy to clipboard]CODE:[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

  "svcshare"="%System%\drivers\spoclsv.exe"

  6. 修改注册表设置,恢复"显示所有文件和文件夹"选项功能:

  [Copy to clipboard]CODE:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]

  "CheckedValue"=dword:00000001

标签:
声明:此文信息来源于网络,登载此文只为提供信息参考,并不用于任何商业目的。如有侵权,请及时联系我们:yongganaa@126.com

相关推荐

评论留言

我要留言

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

声明:此文信息来源于网络,登载此文只为提供信息参考,并不用于任何商业目的。如有侵权,请及时联系我们:yongganaa@126.com