1.病毒簡介
熊貓燒香是一種蠕蟲病毒的變種(因中毒電腦的可執行文件會出現"熊貓燒香"圖案被稱為 "熊貓燒香"病毒)。原病毒只會對.exe程序圖標進行替換,並不會對系統本身進行破壞。而病毒變種則會對系統進行破壞,導致系統出現藍屏、頻繁重啟以及系統硬盤中數據文件被破壞等現象,該病毒的某些變種還可以通過局域網進行傳播感染局域網內所有計算機系統,最終導致局域網癱瘓,無法正常使用(不僅能夠感染系統中以exe,com,pif,src,html,asp等結尾的文件,還能終止大量的反病毒軟件進程並且會刪除擴展名為gho的備份文件)。
2.危害
- 刪除擴展名為“.gho”的文件,使用戶無法使用ghost軟件恢復操作系統。
- 感染系統的.exe .com. f.src .html.asp文件,添加病毒網址,導致用戶一打開這些網頁文件,IE就會自動連接到指定的病毒網址中下載病毒。
- 在硬盤各個分區下生成文件autorun.inf和setup.exe,且可以通過U盤等方式進行傳播,還可以利用Windows系統的自動播放功能去運行,搜索硬盤中的“.exe”可執行文件並感染,感染後的文件圖標變成"熊貓燒香"圖案。
- 可以通過共享文件夾、用戶簡單密碼等多種方式進行傳播。會在中毒電腦中所有的網頁文件尾部添加病毒代碼。如果被該病毒感染的人上傳網頁到網站,用戶瀏覽這些網站時也會被病毒感染。
3.傳播方法
1、拷貝文件
病毒運行後,會把自己拷貝到
C:\WINDOWS\System32\Drivers\spoclsv.exe
2、添加註冊表自啟動
病毒會添加自啟動項
svcshare ->C:\WINDOWS\System32\Drivers\spoclsv.exe
3、病毒行為
a:每隔1秒
尋找桌面窗口,並關閉窗口標題中含有以下字符的程序:
- QQKav
- QQAV
- 防火牆
- 進程
- VirusScan
- 網鏢
- 殺毒
- 毒霸
- 瑞星
- 江民
- 黃山IE
- 超級兔子
- 優化大師
- 木馬克星
- 木馬清道夫
- QQ病毒
- 註冊表編輯器
- 系統配置實用程序
- 卡巴斯基反病毒
- Symantec AntiVirus
- Duba
- esteem proces
- 綠鷹PC
- 密碼防盜
- 噬菌體
- 木馬輔助查找器
- System Safety Monitor
- Wrapped gift Killer
- Winsock Expert
- 遊戲木馬檢測大師
- msctls_statusbar32
- pjf(ustc)
- IceSword
並使用的鍵盤映射的方法關閉安全軟件IceSword
添加註冊表使自己自啟動
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- svcshare ->C:\WINDOWS\System32\Drivers\spoclsv.exe
並結束系統中以下的進程:
- Mcshield.exe
- VsTskMgr.exe
- naPrdMgr.exe
- UpdaterUI.exe
- TBMon.exe
- scan32.exe
- Ravmond.exe
- CCenter.exe
- RavTask.exe
- Rav.exe
- Ravmon.exe
- RavmonD.exe
- RavStub.exe
- KVXP.kxp
- kvMonXP.kxp
- KVCenter.kxp
- KVSrvXP.exe
- KRegEx.exe
- UIHost.exe
- TrojDie.kxp
- FrogAgent.exe
- Logo1_.exe
- Logo_1.exe
- Rundll32.exe
b:每隔18秒
點擊病毒作者指定的網頁,
並用命令行檢查系統中是否存在共享
共享存在的話就運行net share命令關閉admin$共享
c:每隔10秒
下載病毒作者指定的文件,
並用命令行檢查系統中是否存在共享
共享存在的話就運行net share命令關閉admin$共享
d:每隔6秒
刪除安全軟件在註冊表中的鍵值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
RavTask
KvMonXP
kav
KAVPersonal50
McAfeeUpdaterUI
Network Associates Error Reporting Service
ShStartEXE
YLive.exe
yassistse
並修改以下值不顯示隱藏文件
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
CheckedValue -> 0x00
刪除以下服務:
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec Core LC
NPFMntor
MskService
FireSvc
e:感染文件
病毒會感染擴展名為exe,pif,com,src的文件,把自己附加到文件的頭部
並在擴展名為htm,html,asp,php,jsp,aspx的文件中添加一網址,
用戶一但打開了該文件,IE就會不斷的在後臺點擊寫入的網址,達到
增加點擊量的目的,但病毒不會感染以下文件夾名中的文件:
WINDOW
Winnt
System Volume Information
Recycled
Windows NT
Windows Update
Windows Media Player
Outlook Express
Internet Explorer
NetMeeting
Common Files
ComPlus Applications
Messenger
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
MSN Gamin Zone
g:刪除文件
病毒會刪除擴展名為gho的文件,該文件是一系統備份工具GHOST的備份文件;
使用戶的系統備份文件丟失。
運行過程
- 本地磁盤感染
病毒對系統中所有除了盤符為A,B的磁盤類型為DRⅣE_REMOTE,DRⅣE_FⅨED的磁盤進行文件遍歷感染(不感染文件大小超過10485760字節以上的)
(病毒將不感染如下目錄的文件):
Microsoft Frontpage
Movie Maker
MSN Gamin Zone
Common Files
Windows NT
Recycled
System Volume Information
Documents and Settings
……
(病毒將不感染文件名如下的文件):
setup.exe
病毒將使用兩類感染方式應對不同後綴的文件名進行感染
1)二進制可執行文件(後綴名為:EXE,SCR,PIF,COM): 將感染目標文件和病毒溶合成一個文件(被感染文件貼在病毒文件尾部)完成感染.
2)腳本類(後綴名為:htm,html,asp,php,jsp,aspx): 在這些腳本文件尾加上如下鏈接(下邊的頁面存在安全漏洞):
在感染時會刪除這些磁盤上的後綴名為.GHO的Ghost備份文件
- 生成文件
以6秒為週期在磁盤的根目錄下生成setup.exe(病毒本身)autorun.inf,並利用AutoRun Open關聯使病毒在用戶點擊被感染磁盤時能被自動運行。
- 局域網傳播
當病毒發現能成功聯接攻擊目標的139或445端口後,將使用內置的一個用戶列表及密碼字典進行聯接(猜測被攻擊端的密碼)。當成功聯接上以後將自己複製過去,並利用計劃任務啟動激活病毒。