2007年3月8日,江民反病毒中心截获“类熊猫”病毒,该病毒特征及感染方式都与“熊猫烧香”病毒极为相似.该病毒被命名为“熊猫影子”(英文名Worm/Lying),病毒可以通过网页恶意代码或其他下载方式传播,也可通过文件以及局域网弱密码传播.
病毒作者在源代码中扬言 ,“我鄙视那些用于商业用途的杀毒软件,一身垃圾套装,还吹捧自己是世界级反病毒?......熊猫走了,俊哥也走了,但是我会继承他的一切,继续为促进中国网民的安全意识而无私地作贡献...”
江民反病毒专家介绍,病毒运行后,将自身复制到system32系统目录下,病毒文件名为ltqui.exe,并释放出相应的Dll文件tltqui.dll.同时将正在运行的病毒本身删除.病毒同时在注册表中增加自启动项,以使自己身随机运行.
病毒作者在源代码中扬言 ,“我鄙视那些用于商业用途的杀毒软件,一身垃圾套装,还吹捧自己是世界级反病毒?......熊猫走了,俊哥也走了,但是我会继承他的一切,继续为促进中国网民的安全意识而无私地作贡献...”
江民反病毒专家介绍,病毒运行后,将自身复制到system32系统目录下,病毒文件名为ltqui.exe,并释放出相应的Dll文件tltqui.dll.同时将正在运行的病毒本身删除.病毒同时在注册表中增加自启动项,以使自己身随机运行.
“熊猫影子”病毒最大的特征在于,他会通过自身随带的密码字典对其它电脑进行用户名和密码的穷举破解.并扫描磁盘感染exe、SCR.、PIF、Com、 Bat文件,被感染的文件图标无明显变化,但文件长度被改变.
中毒电脑会自动访问恶意网站下载灰鸽子木马, 通过一系列的跳转最终连接到[url]http://lying.2288.org/haha.exe[/url],并下载该图案表现为视频文件的恶意代码.经检测该恶意代码为灰鸽子,灰鸽子的服务端地址是广东湛江市电信.
针对此病毒,江民公司已经及时升级了病毒库,请KV用户升级到最新病毒库,即可进行彻底查杀.江民公司再次提醒广大用户,上网浏览时一定要开启杀毒软件的实时监控功能,以免遭到病毒侵害.
本文转自starger51CTO博客,原文链接:http://blog.51cto.com/starger/19870 ,如需转载请自行联系原作者
