[交流] 金刚 的恶性蠕虫病毒现身网络其危害超过熊猫另付我自己的免疫方法（转帖）

金刚 (Worm.Kingbox)的恶性蠕虫病毒现身网络其危害超过'熊猫'另付我自己的免疫方法
\\\\\\\\\以下为病毒详细资料及网上找到的简单手工查找方法\\\\\\\\\\
查看了一下搜索gogole的关键字,基本都是以病毒名关键字搜索的多,尤其是最近的威金刚变种,在这里我大致在说一下该蠕虫手动清除方法
该病毒会在%windir%\program files\下生成3个类似explorer.exe的病毒文件,然后还有在%windir%根目录下生成rundl1.exe,viDll.dll 文件,最明显得特征就是在硬盘中任意目录中都有一个隐藏的_desktop.ini文件,如果看到有这个文件,那你的机器就中招了,还有在%windir%\system32下会有3个dll文件以及一个my_qq.exe的文件,这个好像是类似于QQ尾巴的那种病毒,在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下的Userinit键,后面会加载my_qq.exe,去处改文件,然后再HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下删除病毒加载项
在删除硬盘中的病毒文件,如果遇到不能删除dll文件,用工具查看explorer.exe的dll调用情况,里面肯定会有病毒的dll文件被载入,剥离出来在删除,最好在安全模式下删除.
winrar现在是电脑必不可少的东西,这个病毒还会感染rar文件,图标都会变型了,好像是变成白色图形了吧,卸载winrar,重新安装.还有迅雷,千千静听也会被感染的,被感染的最明显得症状就是在%windir%根目录下有这几个软件的可执行文件,如果再次运行这些文件,病毒又会被重新释放出来.该蠕虫感染系统所有小于1MB的可执行文件,系统文件除外~
该病毒是通过共享方式传播,如果电脑上有共享,应该关闭共享或者设置成隐藏共享方式 $即可解决传播途径
至于杀毒软件,用趋势网络版只能查到其中一部分病毒,NOD32还算不错,基本都能查到,卡巴没有测试,BitDefenderPro9很不错,都能查到,推荐!
不过即使查到了也不能立刻杀掉全部的病毒,因为病毒的dll文件正在被window使用中,所以还得手工搞定
\\\\\\\\\\\\\\\\\\\\\\\\金山提供的病毒资料
\\\\\\\\\\\\\\\\\\\

Worm.Kingbox
  
病毒别名：
处理时间：
2007-04-06
威胁级别：
★★
中文名称：
金刚
病毒类型：
蠕虫
影响系统：
Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行为:
这是Windows平台下的感染型病毒，感染后缀名为.exe .scr .com .pif .htm .html .asp .php .jsp .aspx的文件。病毒会连接网络，下载其他大量木马病毒。该病毒会通过ANI漏洞传播、U盘传播，另外，病毒自带密码字典，尝试通过局域网传播。
1、释放病毒文件到如下路径：
%system%\kingbox.exe
%system%\kingbox.pci
释放密码字典到
c:\pass.dic
2、循环修改注册表，不显示隐藏文件：
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=0x0
3、关闭如下安全软件窗口：
Symantec AntiVirus 企业版
江民杀毒软件 KV2006：实时监视
RavMonClass
TfLockDownMain
ZoneAlarm
天网防火墙个人版
天网防火墙企业版
VirusScan
Symantec AntiVirus
Duba
Wrapped gift Killer
IceSword
pjf(ustc)
防火墙
关闭如下安全进程：
EGHOST.EXE
MAILMON.EXE
KAVPFW.EXE
IPARMOR.EXE
_AVP32.EXE
_AVPCC.EXE
_AVPM.EXE
AVP32.EXE
AVPCC.EXE
AVPM.EXE
AVP.EXE
NAVAPW32.EXE
NAVW32.EXE
nod32kui.exe
nod32kru.exe
PFW.exe
Kfw.exe
KAVPFW.exe
vsmon.exe
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
KvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
360Safe.exe
360tray.kxp
FrogAgent.exe
FYFireWall.exe
关闭如下病毒进程，防止冲突：
Logo1_.exe
Logo_1.exe
Rundl132.exe
关闭“熊猫烧香”病毒进程并删除其文件：
spoolsv.exe
4、启动OUTLOOK进程，连接网络，从如下网址下载病毒并运行：

http://www.18

**m.com/down1/1.exe

http://www.18

**m.com/down1/2.exe

http://www.18

**m.com/down1/3.exe

http://www.18

**m.com/down1/4.exe

http://www.18

**m.com/down1/5.exe

http://www.18

**m.com/down1/6.exe

http://www.18

**m.com/down1/7.exe

http://www.18

**m.com/down1/8.exe

http://www.18

**m.com/down1/9.exe

http://www.18

**m.com/down1/10.exe
5、启动IE进程，访问如下网页：

http://www.18

**m.com/tongji/1.htm
6、在磁盘根目录下生成autorun.inf及kingbox.exe病毒文件，当用户双击磁盘时，激活病毒，并利用此方式通过U盘传播。
7、遍历磁盘（跳过A、B盘），搜索所有如下后缀名的文件，感染：
.exe .scr .com .pif .htm .html .asp .php .jsp .aspx
8、遍历局域网，利用自身的密码字典，尝试通过IPC连接感染局域网。
9、感染后的脚本文件会通过ANI漏洞下载病毒文件。
\\\\\\\\\
我现在给大家一个我现在用的免疫方法
\\\\\\\\\\\
一、打全所有系统补丁,特别是ANI补丁.如不会使用正版验证补丁,导致不能打补丁请下载360安全卫士,免正版验证打所有系统安全补丁.论坛搜索即可找到下载.
二、在组策略"禁止运行的WINDOWS程序"中加入:1.exe.....10.exe、kingbox.exe(WIN家庭版无此功能一般OEM正版WINDOWS都是家庭版)
开始→运行→gpedit.msc→用户配置→管理模板→系统
三、(只能用在NTFS格式分区)在C:\ D:\ E:\.......及SYSTEM、SYSTEM32、WINDOWS(为防止变种感染还是这里也加)下建立一个文本文档,重命名为kingbox.exe,进入权限设置.删除里面所有用户,导致文件不可读写(除所有者外).这样就起到了免疫的作用,因为这只是一个文本文档,且不能被替换病毒也就没招了.记得要和.TXT这扩展名一起改.
肯定会有人不明白,请回帖提出,我向大家解释.但是我也有工作不可能第一时间及时帮大家解答,请见谅!

最近病毒是凶，建议及时升级系统和杀毒