熊猫烧香系列变种分析报告

熊猫烧香变种，只是换了层壳，共性基本没变化。

您可以访问vi.duba.net输入whboy查询更多更详细的熊猫烧香分析报告

病毒名称：毒霸（Worm.WhBoy，中文名武汉男生变种）瑞星（Worm.Nimaya） 江民（维金变种）

之前的病毒：尼姆亚（Worm.Nimaya) 或 烈性木马FuckJacks.exe ，该病毒采用“熊猫烧香”头像作为图标，诱使用户运行。

释放文件
分区根目录下：setup.exe
分区根目录下：autorun.inf
%System%\Fuckjacks.exe
局域网环境下：GameSetup.exe

添加到注册表信息
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
Fuckjacks %System%\Fuckjacks.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
svohost %System%\Fuckjacks.exe

恶意特征
1、删除部分杀毒软件在注册表中的启动项或服务
2、终止部分杀毒软件的进程
3、终止部分安全辅助工具的进程，如IceSword
4、终止维金的相关进程Logo1_.exe、Logo_1.exe、Rundl123.exe
5、弱口令破解局域网其他电脑的Administror帐号，并用GameSetup.exe进行复制传播
6、除C盘外，破坏所有分区下的部分.exe、.com、.gho、.pif、.scr文件

解决过程：
1、确定使用鼠标右键打开盘符
2、结束Fuckjacks.exe进程
3、删除其释放的所有文件（每个分区下）
4、删除其创建的注册表信息
5、强壮一下电脑里Amdinistrators的帐号和密码
6、对于已经破坏的文件，暂没找到解决办法

目前最新的变种：spoclsv.exe ，病毒名：Worm.WhBoy.h

释放文件:
病毒运行后,会把自己拷贝到C:\WINDOWS\System32\Drivers\spoclsv.exe

添加注册表自启动
病毒会添加自启动项
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe

恶意特征：

a:每隔1秒
寻找桌面窗口,并关闭窗口标题中含有以下字符的程序，QQKav，QQAV，防火墙，进程，VirusScan，网镖，杀毒，毒霸，瑞星，江民，黄山IE，超级兔子，优化大师，木马克星，木马清道夫，QQ病毒，注册表编辑器，系统配置实用程序，卡巴斯基反病毒，Symantec AntiVirus，Duba，esteem proces，绿鹰PC，密码防盗，噬菌体，木马辅助查找器System Safety Monito，Wrapped gift Killer，Winsock Expert，游戏木马检测大师，msctls_statusbar32，pjf(ustc)，IceSword，并使用的键盘映射的方法关闭安全软件IceSword。
中止大部分杀毒软件和木马查杀程序，并结束维金病毒的进程如：Logo1_.exe,Logo_1.exe,,Rundl132.exe

b:每隔18秒
点击病毒作者指定的网页,并用命令行检查系统中是否存在共享,若存在的话就运行net share命令关闭admin$共享

d:每隔6秒
删除安全软件在注册表中的键值，并修改以下值不显示隐藏文件：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
CheckedValue -> 0x00

删除以下服务:navapsvc，wscsvc，KPfwSvc，SNDSrvc，ccProxy，，ccEvtMgr，ccSetMgr，SPBBCSvc，Symantec Core LC，NPFMntor，MskService，FireSvc

危害：
病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部，并在扩展名为htm,html, asp,php,jsp,aspx的文件中添加一网址,用户一但打开了该文件,IE就会不断的在后台点击写入的网址,达到增加点击量的目的,但病毒不会感染以下文件夹名中的文件:
WINDOW，Winnt，System Volume Information，Recycled，Windows NT，WindowsUpdate，Windows Media P，Outlook Express，Internet Explorer，NetMeeting，Common Files，ComPlus Applications，Messenger，InstallShield Installation Information，MSN，Microsoft Frontpage，Movie Maker，MSN Gamin Zone
病毒会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件，使用户的系统备份文件丢失.