大猩猩继续……

FBAV

5.        该病毒具有IFEO重定向劫持功能，病毒通过写注册表中的 IFEO 键值，来阻止一些杀毒软件和安全工具的运行，


添加的注册表键值例如下列：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\KVCenter.kxp]
"Debugger" = c:\winnt\system32\winfuckjp.exe

共阻止100款杀毒软件和安全工具的运行，详细名单如下：



360rpt.exe
360Safe.exe
360tray.exe
adam.exe
AgentSvr.exe
AppSvc32.exe
autoruns.exe
avgrssvc.exe
AvMonitor.exe
avp.com
avp.exe
CCenter.exe
ccSvcHst.exe
FileDsty.exe
FTCleanerShell.exe
HijackThis.exe
IceSword.exe
iparmo.exe
Iparmor.exe
isPwdSvc.exe
kabaload.exe
KaScrScn.SCR
KASMain.exe
KASTask.exe
KAV32.exe
KAVDX.exe
KAVPFW.exe
KAVSetup.exe
KAVStart.exe
KISLnchr.exe
KMailMon.exe
KMFilter.exe
KPFW32.exe
KPFW32X.exe
KPFWSvc.exe
KRegEx.exe
KRepair.COM
KsLoader.exe
KVCenter.kxp
KvDetect.exe
KvfwMcl.exe
KVMonXP.kxp
kvol.exe
kvolself.exe
KvReport.kxp
KVScan.kxp
KVSrvXP.exe
KVStub.kxp
kvupload.exe
kvwsc.exe
KvXP.kxp
KvXP_1.kxp
KWatch.exe
KWatch9x.exe
KWatchX.exe
loaddll.exe
MagicSet.exe
mcconsol.exe
mmqczj.exe
mmsk.exe
NAVSetup.exe
nod32krn.exe
nod32kui.exe
PFW.exe
PFWLiveUpdate.exe
QHSET.exe
Ras.exe
Rav.exe
RavMon.exe
RavMonD.exe
RavStub.exe
RavTask.exe
RegClean.exe
rfwcfg.exe
RfwMain.exe
rfwProxy.exe
rfwsrv.exe
RsAgent.exe
Rsaupd.exe
runiep.exe
safelive.exe
scan32.exe
shcfg32.exe
SmartUp.exe
SREng.exe
symlcsvc.exe
SysSafe.exe
TrojanDetector.exe
Trojanwall.exe
TrojDie.kxp
twister.exe
UIHost.exe
UmxAgent.exe
UmxAttachment.exe
UmxCfg.exe
UmxFwHlp.exe
UmxPol.exe
UpLive.EXE.exe
WoptiClean.exe
zxsweep.exe

6.
病毒修改操作系统的Hosts表，禁止用户登陆反病毒厂商的网址升级病毒库，被修改后的Hosts表文件如下：



127.0.0.1
www.trendmicro.com
127.0.0.1
rads.mcafee.com
127.0.0.1
www.rising.com.cn
127.0.0.1
bbs.2dai.com
127.0.0.1
bbs.abcbit.com
127.0.0.1
www.freekv.net
127.0.0.1
www.freekv.com
127.0.0.1
customer.symantec.com
127.0.0.1
liveupdate.symantec.com
127.0.0.1
us.mcafee.com
127.0.0.1
updates.symantec.com
127.0.0.1
www.nai.com
127.0.0.1
secure.nai.com
127.0.0.1
dispatch.mcafee.com
127.0.0.1
download.mcafee.com
127.0.0.1
www.my-etrust.com
127.0.0.1
mast.mcafee.com
127.0.0.1
ca.com
127.0.0.1
www.ca.com
127.0.0.1
update1.filseclab.com
127.0.0.1
update2.filseclab.com
127.0.0.1
update3.filseclab.com
127.0.0.1
update4.filseclab.com
127.0.0.1
networkassociates.com
127.0.0.1
www.networkassociates.com
127.0.0.1
avp.com
127.0.0.1
www.kaspersky.com
127.0.0.1
www.filseclab.com
127.0.0.1
www.avp.com
127.0.0.1
downloads4.kaspersky-labs.com
127.0.0.1
downloads3.kaspersky-labs.com
127.0.0.1
downloads2.kaspersky-labs.com
127.0.0.1
downloads1.kaspersky-labs.com
127.0.0.1
www.f-secure.com
127.0.0.1
viruslist.com
127.0.0.1
www.jiangmin.com
127.0.0.1
www.duba.net
127.0.0.1
download.rising.com.cn
127.0.0.1
www.viruslist.com
127.0.0.1
liveupdate.symantecliveupdate.com
127.0.0.1
www.mcafee.com
127.0.0.1
sophos.com
127.0.0.1
www.sophos.com
127.0.0.1
securityresponse.symantec.com
127.0.0.1
www.viruschina.com
127.0.0.1
www.symantec.com
127.0.0.1
360safe.com
127.0.0.1
bbs.360safe.com


这样，中毒用户就无法登陆反病毒厂商的网站升级病毒库。


7.
该病毒还会修改注册表相关键值，来禁用显示隐藏文件的功能。

8.
该病毒还会修改注册表相关键值，来破坏系统的安全模式，这样中毒用户就无法进入安全模式下杀毒。

9.
在病毒文件体内，病毒作者还留言，挑战尚未上市尚在公测时的2008版杀毒软件。如下图：















病毒运行后，会感染全盘的*.exe 文件，致使系统中毒后将完全瘫痪，并且占用大量的CPU资源，系统无法启动，给用户带来损失。



针对此病毒，江民科技已经升级了病毒库，只要升级到8月24日的病毒库，即可拦截此病毒的入侵。




该病毒目前并未发现大范围传播，仅有个别用户反映中毒。
被感染后的文件可以通过KV2007杀毒软件清除恢复，在此建议广大用户：








1. 安装KV2007的杀毒软件，每天定时升级病毒库，定时全盘杀毒，并开启所有的监控功能。
2. 禁用系统的自动播放功能，防止病毒从U盘、移动硬盘、MP3等移动存储设备进入到计算机。
禁用Windows 系统的自动播放功能的方法：在运行中输入 gpedit.msc 后回车，打开组策略编辑器，依次点击：计算机配置－＞管理模板－＞系统－＞关闭自动播放－＞已启用－＞所有驱动器－＞确定。
3. 利用Windows Update功能打全系统补丁，尤其是MS06-014和MS07-017这两个网页木马经常使用的系统漏洞，避免病毒从恶意网页的方式入侵到系统中。
4. 不要随意接收从QQ、MSN等即时聊天工具发送过来的可执行文件，不要登陆来历不明的网址连接。
                                                                                                                       网络巡警
                                                                                                                        2008.08.24

红心王子

http://bbs.kafan.cn/viewthread.php?tid=122372&extra=page%3D1
重复了，建议关闭，
给楼主一点建议，发帖之前注意看看别人的帖子再发