正在阅读：熊猫烧香病毒专杀及手动修复方案 v1.1熊猫烧香病毒专杀及手动修复方案 v1.1

熊猫烧香病毒变种二：病毒进程为“FuckJacks.exe”

　　以下是数据安全实验室提供的信息与方法。

　　病毒描述：

　　含有病毒体的文件被运行后，病毒将自身拷贝至系统目录，同时修改注册表将自身设置为开机启动项，并遍历各个驱动器，将自身写入磁盘根目录下，增加一个Autorun.inf文件，使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染，同时开另外一个线程连接某网站下载ddos程序进行发动恶意攻击。

　　病毒基本情况：

　　[文件信息]

　　病毒名: Virus.Win32.EvilPanda.a.ex$
　　大小: 0xDA00 (55808), (disk) 0xDA00 (55808)
　　SHA1  : F0C3DA82E1620701AD2F0C8B531EEBEA0E8AF69D
　　壳信息: 未知
　　危害级别：高

　　病毒名: Flooder.Win32.FloodBots.a.ex$
　　大  小: 0xE800 (59392), (disk) 0xE800 (59392)
　　SHA1  : B71A7EF22A36DBE27E3830888DAFC3B2A7D5DA0D
　　壳信息: UPX 0.89.6 - 1.02 / 1.05 - 1.24
　　危害级别：高

　　病毒行为：

　　Virus.Win32.EvilPanda.a.ex$ ：

　　1、病毒体执行后，将自身拷贝到系统目录：

　　%SystemRoot%\system32\FuckJacks.exe
　　
　　2、添加注册表启动项目确保自身在系统重启动后被加载：

　　键路径：HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
　　键名：FuckJacks
　　键值："C:WINDOWS\system32\FuckJacks.exe"

　　键路径：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
　　键名：svohost
　　键值："C:WINDOWS\system32\FuckJacks.exe"

　　3、拷贝自身到所有驱动器根目录，命名为Setup.exe，并生成一个autorun.inf使得用户打开该盘运行病毒，并将这两个文件属性设置为隐藏、只读、系统。

　　C:autorun.inf    1KB    RHS
　　C:setup.exe    230KB    RHS

　　4、关闭众多杀毒软件和安全工具。

　　5、连接*****.3322.org下载某文件，并根据该文件记录的地址，去www.****.com下载某ddos程序，下载成功后执行该程序。

　　6、刷新bbs.qq.com，某QQ秀链接。

　　7、循环遍历磁盘目录，感染文件，对关键系统文件跳过，不感染Windows媒体播放器、MSN、IE 等程序。

　　Flooder.Win32.FloodBots.a.ex$ ：

　　1、病毒体执行后，将自身拷贝到系统目录：

　　%SystemRoot%\SVCH0ST.EXE（注意文件名中的“0”是数字“零”，不是字母“o”）
　　%SystemRoot%\system32\SVCH0ST.EXE（注意文件名中的“0”是数字“零”，不是字母“o”）

　　2、该病毒后下载运行后，添加注册表启动项目确保自身在系统重启动后被加载：

　　键路径：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
　　键名：Userinit
　　键值："C:WINDOWS\system32\SVCH0ST.exe"

　　3、连接ddos2.****.com，获取攻击地址列表和攻击配置，并根据配置文件，进行相应的攻击。

　　配置文件如下：

　　www。victim.net:3389
　　www。victim.net:80
　　www。victim.com:80
　　www。victim.net:80
　　1
　　1
　　120
　　50000