正在阅读：熊猫烧香图标病毒详解熊猫烧香图标病毒详解

　　最近出现新的病毒名为熊猫烧香，危害较大，感染后所有EXE可执行文件图标变成一个烧香的熊猫，大家电脑如出现此现象可认真阅读以下文章：

　　一、病毒描述：

　　含有病毒体的文件被运行后，病毒将自身拷贝至系统目录，同时修改注册表将自身设置为开机启动项，并遍历各个驱动器，将自身写入磁盘根目录下，增加一个Autorun.inf文件，使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染，同时开另外一个线程连接某网站下载ddos程序进行发动恶意攻击。

　　二、病毒基本情况：

　　[文件信息]

　　病毒名: Virus.Win32.EvilPanda.a.ex$

　　大 小: 0xDA00 (55808)， (disk) 0xDA00 (55808)

　　SHA1 : F0C3DA82E1620701AD2F0C8B531EEBEA0E8AF69D

　　壳信息: 未知

　　危害级别：高

　　病毒名: Flooder.Win32.FloodBots.a.ex$

　　大 小: 0xE800 (59392)， (disk) 0xE800 (59392)

　　SHA1 : B71A7EF22A36DBE27E3830888DAFC3B2A7D5DA0D

　　壳信息: UPX 0.89.6 - 1.02 / 1.05 - 1.24

　　危害级别：高

　　三、病毒行为：

　　Virus.Win32.EvilPanda.a.ex$ ：

　　1、病毒体执行后，将自身拷贝到系统目录：

　　%SystemRoot%system32FuckJacks.exe

　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun Userinit "C:WIN2Ksystem32SVCH0ST.exe"

　　2、添加注册表启动项目确保自身在系统重启动后被加载：

　　键路径：HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun

　　键名：FuckJacks

　　键值："C:WINDOWSsystem32FuckJacks.exe"

　　键路径：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

　　键名：svohost

　　键值："C:WINDOWSsystem32FuckJacks.exe"

　　3、拷贝自身到所有驱动器根目录，命名为Setup.exe，并生成一个autorun.inf使得用户打开该盘运行病毒，并将这两个文件属性设置为隐藏、只读、系统。 C:autorun.inf 1KB RHS

　　C:setup.exe 230KB RHS

　　4、关闭众多杀毒软件和安全工具。

　　5、连接*****.3322.org下载某文件，并根据该文件记录的地址，下载某ddos程序，下载成功后执行该程序。

　　6、刷新bbs.qq.com，某QQ秀链接。

　　7、循环遍历磁盘目录，感染文件，对关键系统文件跳过，不感染Windows媒体播放器、MSN、IE 等程序。

　　Flooder.Win32.FloodBots.a.ex$ ：

　　1、病毒体执行后，将自身拷贝到系统目录：

　　%SystemRoot%SVCH0ST.EXE

　　%SystemRoot%system32SVCH0ST.EXE

　　2、该病毒后下载运行后，添加注册表启动项目，确保自身在系统重启动后被加载：

　　键路径：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

　　键名：Userinit

　　键值："C:WINDOWSsystem32SVCH0ST.exe"

　　3、尝试关闭窗口

　　QQKav

　　QQAV

　　天网防火墙进程

　　VirusScan

　　网镖杀毒

　　毒霸

　　瑞星

　　江民

　　黄山IE

　　超级兔子

　　优化大师

　　木马克星

　　木马清道夫

　　木?清道夫

　　QQ病毒注册表编辑器

　　系统配置实用程序

　　卡巴斯基反病毒

　　Symantec AntiVirus

　　Duba

　　Windows 任务管理器

　　esteem procs

　　绿鹰PC

　　密码防盗

　　噬菌体

　　木马辅助查找器

　　System Safety Monitor

　　Wrapped gift Killer

　　Winsock Expert

　　游戏木马检测大师

　　小沈Q盗杀手

　　pjf(ustc)

　　IceSword

　　4、尝试关闭进程

　　Mcshield.exe

　　VsTskMgr.exe

　　naPrdMgr.exe

　　UpdaterUI.exe

　　TBMon.exe

　　scan32.exe

　　Ravmond.exe

　　CCenter.exe

　　RavTask.exe

　　Rav.exe

　　Ravmon.exe

　　RavmonD.exe

　　RavStub.exe

　　KVXP.kxp

　　KvMonXP.kxp

　　KVCenter.kxp

　　KVSrvXP.exe

　　KRegEx.exe

　　UIHost.exe

　　TrojDie.kxp

　　FrogAgent.exe

　　Logo1_.exe

　　Logo_1.exe

　　Rundl132.exe

　　删除以下启动项

　　SOFTWAREMicrosoftWindowsCurrentVersionRunRavTask

　　SOFTWAREMicrosoftWindowsCurrentVersionRunKvMonXP

　　SOFTWAREMicrosoftWindowsCurrentVersionRunkav

　　SOFTWAREMicrosoftWindowsCurrentVersionRunKAVPersonal50

　　SOFTWAREMicrosoftWindowsCurrentVersionRunMcAfeeUpdaterUI

　　SOFTWAREMicrosoftWindowsCurrentVersionRunNetwork Associates Error Reporting

　　ServiceSOFTWAREMicrosoftWindowsCurrentVersionRunShStatEXE

　　SOFTWAREMicrosoftWindowsCurrentVersionRunYLive.exe

　　SOFTWAREMicrosoftWindowsCurrentVersionRunyassistse

　　禁用以下服务

　　kavsvc

　　AVP

　　AVPkavsvc

　　McAfeeFramework

　　McShield

　　McTaskManager

　　McAfeeFramework McShield

　　McTaskManager

　　navapsvc

　　KVWSC

　　KVSrvXP

　　KVWSC

　　KVSrvXP

　　Schedule

　　sharedaccess

　　RsCCenter

　　RsRavMon

　　RsCCenter

　　RsRavMon

　　wscsvc

　　KPfwSvc

　　SNDSrvc

　　ccProxy

　　ccEvtMgr

　　ccSetMgr

　　SPBBCSvc

　　Symantec

　　Core LC

　　NPFMntor

　　MskService

　　FireSvc

　　搜索感染除以下目录外的所有.EXE/.SCR/.PIF/.COM文件，并记有标记

　　WINDOWS

　　Winnt

　　System Volume Information

　　Recycled

　　Windows NT

　　Windows Update

　　Windows Media Player

　　Outlook Express

　　Internet Explorer

　　NetMeeting

　　Common Files

　　ComPlus

　　Applications

　　Messenger

　　InstallShield Installation Information

　　MSN

　　Microsoft Frontpage

　　Movie Maker

　　MSN Gamin Zone

　　删除.GHO文件

　　添加以下启动位置

　　Documents and SettingsAll UsersStart MenuProgramsStartup

　　Documents and SettingsAll Users「开始」菜单程序启动

　　WINDOWSStart MenuProgramsStartup

　　WINNTProfilesAll UsersStart MenuProgramsStartup

　　监视记录QQ和访问局域网文件记录：c:test.txt，试图QQ消息传送

　　试图用以下口令访问感染局域网文件(GameSetup.exe)

　　1234

　　password

　　……

　　admin

　　Root

　　所有根目录及移动存储生成

　　X:setup.exe

　　X:autorun.inf

　　[AutoRun]

　　OPEN=setup.exe

　　shellexecute=setup.exe

　　shellAutocommand=setup.exe

　　删除隐藏共享

　　cmd.exe /c net share $ /del /y

　　cmd.exe /c net share admin$ /del /y

　　cmd.exe /c net share IPC$ /del /y

　　创建启动项：

　　SoftwareMicrosoftWindowsCurrentVersionRun

　　svcshare=指向%system32%driversspoclsv.exe

　　禁用文件夹隐藏选项

　　SOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvanced

　　FolderHiddenSHOWALLCheckedValue