详细剖析熊猫烧香病毒及解决方案

C 变种版本

Author:LoveBoom

EMail:Loveboom@163.com

URL:www.Loveboom.net

一

【工具】:Olydbg1.1、IDA 5.0

【任务】:病毒分析以及解决方案

【操作平台】:Windows 2003 server

【作者】: LoveBoom[DFCG][FCG][CUG]

【链接】:N/A

【简要说明】:关于这个病毒，我想很多朋友都知道，这个病毒在2007 年初闹的比较凶，很多朋友曾

经中过这病毒。这次我给大家带来的文章就是讲讲这个病毒。看看这病毒到底是怎么回事，我们应该怎么去处理这病毒。

【病毒分析】:

概要:这病毒我最早在10 月底时接触，那时这病毒并没有现在这样流行(也许是病毒刚出来吧)。曾经几个月的发展，前几天从同事那拿了几个新变种看了会，发现病毒和早期的版本相差比较大。根据病毒的差异，我自己将病毒分为:ABCD 4 个变种。各变种的不同处如下:

A 病毒将自身复制为%System32%FuckJacks.exe,然后感染除特殊文件夹之外的文件夹中的可执行文件。

B 病毒将自身复制为%System32%Driversspoclsv.exe,感染时在c 盘根目录下生成感染标记文件。

C 病毒不再感染用户系统中的可执行文件，而是感染用户系统中的脚本病毒(这样的危害更大)?在每个感染后的文件夹中写下感染标记文件。

D 感染用户可执行文件时不再使用A 和B 版本中的直接捆绑感染。用户中毒后可执行程序的图标不改变(a 和b 版本感染后可执行文件的图标都变成熊猫烧香)。

今天我分析的就是C 版本(下次有空我将整理出A 版本的分析资料),小版本可能会有所不同，因此如果你发现你机器上的和我所述的相似但不完全一样也是正常的。

中毒表象:以下几个特征为中毒的表现:

１、在系统中的每分区根目录下存在setup.exe 和autorun.inf 文件(A 和B 盘不感染)。

２、无法手工修改"文件夹选项"将隐藏的文件显示出来。

３、在每个感染后的文件夹中可见Desktop_.ini 长度为12 字节的隐藏文件(这个和Viking 病毒一样)。

４、机器上的所有脚本文件(*.htm?*.html?*.asp?*.php?*.js?*.aspx)中存在以下代码:

'

５、中毒后机器上的常见反病毒软件无法开启和正常使用。

６、无法正常使用任务管理器、icesword 之类的系统检测工具。

７、进程中可以找到伪系统正常进程的spoclsv.exe 病毒进程。

８、系统自启动项中有病毒添加的注册表自启动项。

９、无故的向外发包、连接局域网中的其它机器。