一、病毒信息
病毒名:win32.bmw.j.75783
病毒体大小:74.0 KB (75,783 字节)
病毒类型:熊猫烧香变种
二、病毒行为
这是一个熊猫烧香的变种,伪装成毒霸的图标来迷惑用户,它还会下载其他病毒并执行。
1.病毒会删除安全软件的开机启动项目和服务项目。
2.每1秒添加自己的启动项,并将文件隐藏显示注册表键值破坏。
3.每隔6秒在每个驱动器下(A和B驱动器除外),删除所在的autorun.inf文件或文件夹,并创建autorun.inf和对应的 .exe文件。
4.每隔6秒停止部分安全软件服务,删除部分安全软件的服务和开机自启动项目。
5.每10秒关闭以下进程,并添加映像劫持,指向ntsd -d
avp.exe rav.exe rsagent.exe ravmon.exe ravmond.exe
ravstub.exe ravtask.exe ccenter.exe 360tray.exe 360safe.exe
6.每30分钟下载一次木马 http://www.xxxxxx08.com/down/down.txt。
7.病毒会感染扩展名为exe、pif、com、src的文件,把自己附加到文件的头部,并在扩展名为htm、html、asp、php、jsp、 aspx的文件中添加一网址,用户一但打开了该文件,IE就会不断的在后台点击写入的网址,达到增加点击量的目的。且该网页有漏洞,新变种的病毒会被下载 并运行。
感染时排除以下文件夹中的文件
WINDOW Winnt winrar system32 Documents and Settings System Volume Information Recycled
Windows NT WindowsUpdate Windows Media Player Outlook Express Internet Explorer NetMeeting
Common Files ComPlus Applications Messenger InstallShield Installation Information MSN
Microsoft Frontpage Movie Maker MSN Gamin Zone
也不感染NTDETECT.COM和rar后缀的文件。
感染后会在感染目录下创建Desk_top_.ini文件,其内写入当前系统时间。有新变种病毒结合了vip.exe文件。
一、主要病毒程序
Cool-gamesetup.exe 这 个病毒,会导致桌面的快捷方式打不开,变色,且EXCEL表格不能用。感染该病毒后占用系统大量内存,主要是杀不绝!该病毒在每个盘符下面生成一个 AUTORUN.INF 和 (空格).EXE 这两个文件,然后在C:\WIDNOWS\SYSTEM3\DRIVERS\产生一个SUCHOST.EXE文件有的还可能感染DWWIN.EXE这个文 件!然后寻找局域网内没有密码的共享目录,复制本身cool-gameseutp.exe 到共享目骗用户点击!中毒后,出现所有EXE 文件被修改造成打开成CMD闪过状态。
该病毒类似熊猫烧香,该病毒自2008年12月初在互联网上陆续出现,现在危害很大.各杀毒软件厂商暂时没有发布相关消息及专杀工具。
推荐使用360安全卫士查杀木马。
Vip.exe 怀疑是cool_gamesetup.exe变种文件,该文件疑似灰鸽子VIP后门控制程序,黑客利用该后门可以完全控制中招的机器进行任何操作。
二、解决办法。
1、将内网机器的共享目录设置密码或者取消网络用户的写权限。
2、全部内部网进行杀毒。
如果网内装有统一的网络版杀毒软件,请使用控制中心对全网机器进行全盘查杀。
3、将每台机器的操作系统补丁打全。
4、将该病毒文件样本通过互联网发送给瑞星、卡巴斯基、金山毒霸等安全厂商,并及时升级杀毒软件病毒库。
