熊猫烧香'病毒专题:多少变种,怎么破坏,如何查杀?_jiangjh404

熊猫烧香'病毒专题:多少变种,怎么破坏,如何查杀?(2007-01-02 13:44:57)

这个幽默又具有破坏力的病毒恐怕最近中招的不少,来看看这篇技术分析:

一、熊猫烧香有几个变种？

到目前为止,从大体上分,目前主要有四大变种,变种A我们已经分析,见本版,变种B的就是大家常说的spoclsv.exe进程,它藏的全路径是:% SystemRoot%/Driversspoclsv.exe,其它部分与变种A基本一致.

变种C主要的改动是对抗杀毒软件，尤其是超级巡警的专杀，该专杀旧版本被360安全卫士内置到工具列表中。变种C通过查找窗口标题有超级巡警字样，即关闭该窗口，即使在桌面新建一个名为超级巡警的文本文件，用记事本打开也会被关闭。因此许多网友下载了旧版的专杀，抱怨打开就被关闭。

同时熊猫烧香病毒还会关闭其它一些常见的进程管理的，比如常用的Windows任务管理器。对付这种变种的方法就是使用一个不被关闭的进程管理的，推荐使用X-PS，下载地址和使用说明：http://www.unnoo.com/html/research/2006/0718/29.html，关闭掉名为spoclsv.exe的进程。然后在使用巡警的专杀，当然也可以下载最新的超级巡警使用里面的专杀来查杀。
变种D是最近才出现的一个变种，该变种感染文件后图标不在是熊猫模样，当感染该变种会在临时目录发现100个图标文件。还有其它一些变种，基本都是为了躲避查杀进行修改和下载不同的后门的版本。

二、对系统的破坏：

熊猫烧香在感染的系统上，会关闭杀毒软件进程，删除杀毒软件的注册表项目，禁用杀毒软件的服务，修改资源管理器不显示隐藏文件等。

还会调用如下命令来删除共享：
cmd.exe /c net share C$ /del /y
cmd.exe /c net share D$ /del /y
cmd.exe /c net share admin$ /del /y
....

旧变种会全面感染系统文件，新变种会感染除系统目录外的文件，即尽量不感染微软操作系统自身的文件。

新旧变种都会删除.gho，一般人会在安装完成系统后，使用Norton Ghost进行备份，熊猫会恶意删除这个备份文件。

其中一个变种还会在感染目录生成desktop_.ini。

最大的破坏是，熊猫烧香本身就是一种下载者，会在指定的网站下载后门、木马、各种盗号程序，甚至DDoS程序。

三、为什么无法清除干净，如何彻底查杀：

有人使用了超级巡警和巡警之熊猫专杀后，将一个机子杀干净了，但不久又发现感染了，这是因为，熊猫烧香在感染了一个系统后，开启一个单独的线程进行C类网络扫描感染，访问同网段的139/445端口，进行IPC$密码猜解和查找共享，并感染共享中的文件。这样只要网络内有一个机子还有存活的熊猫烧香病毒，就依然存在再次感染全网的可能。

许多朋友网络内都是有文件共享服务器，电影服务器，而许多网友的网络内的人都为了方便系统登录口令都是空口令，或者是123这样的简单口令。

局域网中有个IE没有打病毒，浏览挂了熊猫烧香病毒的网站，并不知情。

查杀的办法是：

1、断开网络，使用超级巡警之熊猫烧香专杀，每个机子全面杀毒。
2、修改口令，取消本地共享目录。
3、查杀完成后使用超级巡警的补丁检查检查系统没有打的补丁，及时打上补丁，尤其是IE补丁。

最新版巡警已经内置了最新专杀，请到官方网站http://dswlab.com中推荐的下载地址去下载!

熊猫烧香病毒分析与解决方案

一、病毒描述：

    含有病毒体的文件被运行后，病毒将自身拷贝至系统目录，同时修改注册表将自身设置为开机启动项，并遍历各个驱动器，将自身写入磁盘根目录下，增加一个Autorun.inf文件，使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染，同时开另外一个线程连接某网站下载ddos程序进行发动恶意攻击。

二、病毒基本情况：

[文件信息]

病毒名: Virus.Win32.EvilPanda.a.ex$
大小: 0xDA00 (55808), (disk) 0xDA00 (55808)
SHA1 : F0C3DA82E1620701AD2F0C8B531EEBEA0E8AF69D
壳信息: 未知
危害级别：高

病毒名: Flooder.Win32.FloodBots.a.ex$
大小: 0xE800 (59392), (disk) 0xE800 (59392)
SHA1 : B71A7EF22A36DBE27E3830888DAFC3B2A7D5DA0D
壳信息: UPX 0.89.6 - 1.02 / 1.05 - 1.24
危害级别：高

三、病毒行为：

   Virus.Win32.EvilPanda.a.ex$ ：

   1、病毒体执行后，将自身拷贝到系统目录：

      %SystemRoot%\system32\FuckJacks.exe

   2、添加注册表启动项目确保自身在系统重启动后被加载：

      键路径：HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
      键名：FuckJacks
      键值："C:WINDOWS\system32\FuckJacks.exe"

      键路径：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
      键名：svohost
      键值："C:WINDOWS\system32\FuckJacks.exe"

   3、拷贝自身到所有驱动器根目录，命名为Setup.exe，并生成一个autorun.inf使得用户打开该盘运行病毒，并将这两个文件属性设置为隐藏、只读、系统。

      C:autorun.inf    1KB    RHS
      C:setup.exe    230KB    RHS

   4、关闭众多杀毒软件和安全工具。
   5、连接*****.3322.org下载某文件，并根据该文件记录的地址，去www.****.com下载某ddos程序，下载成功后执行该程序。
   6、刷新bbs.qq.com，某QQ秀链接。
   7、循环遍历磁盘目录，感染文件，对关键系统文件跳过，不感染Windows媒体播放器、MSN、IE 等程序。

   Flooder.Win32.FloodBots.a.ex$ ：

   1、病毒体执行后，将自身拷贝到系统目录：

      %SystemRoot%\SVCH0ST.EXE
      %SystemRoot%\system32\SVCH0ST.EXE

   2、该病毒后下载运行后，添加注册表启动项目确保自身在系统重启动后被加载：

      键路径：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
      键名：Userinit
      键值："C:WINDOWS\system32\SVCH0ST.exe"

   3、连接ddos2.****.com，获取攻击地址列表和攻击配置，并根据配置文件，进行相应的攻击。

      配置文件如下：
      www.victim.net:3389
      www.victim.net:80
      www.victim.com:80
      www.victim.net:80
      1
      1
      120
      50000


四、解决方案：

    1、使用超级巡警可以完全清除此病毒和恢复被感染的文件。
    2、推荐在清除时先使用超级巡警的进程管理工具结束病毒程序，否则系统响应很慢。
    3、中止病毒进程和删除启动项目请看论坛相关图片。