玛玛斑竹在:http://forum.ikaka.com/topic.asp?board=28&artid=8216268
已经分析了个熊猫..

熊猫作者据说要搞个不改变.exe 图标的大熊猫..不知道是否属实...
观望下个版本..

这个版本对.exe的改变已经不是单纯的熊猫头了..
.exe 只有稍微一点点的颜色变化..

在此小分析..顺便提醒区域网用户和个人用户..注意堤防..

尝试关闭窗口
天网防火墙进程
virusscan
nod32
网镖杀毒
毒霸
瑞星
江民
黄山ie
超级兔子
优化大师
木马清道夫
注册表编辑器
系统配置实用程序
卡巴斯基反病毒
symantec antivirus
duba
windows 任务管理器
esteem procs
绿鹰pc
密码防盗
噬菌体
木马辅助查找器
system safety monitor
system repair engineer
wrapped gift killer
winsock expert
游戏木马检测大师
超级巡警
pjf(ustc)
icesword

尝试关闭进程
mcshield.exe
vstskmgr.exe
naprdmgr.exe
updaterui.exe
tbmon.exe
scan32.exe
ravmond.exe
ccenter.exe
ravtask.exe
rav.exe
ravmon.exe
ravstub.exe
kvxp.kxp
kvcenter.kxp
kvsrvxp.exe
kregex.exe
uihost.exe
trojdie.kxp
frogagent.exe
logo1_.exe
logo_1.exe
rundl132.exe

删除以下启动项
software\microsoft\windows\currentversion\run\ravtask
software\microsoft\windows\currentversion\run\kvmonxp
software\microsoft\windows\currentversion\run\kav
software\microsoft\windows\currentversion\run\kavpersonal50
software\microsoft\windows\currentversion\run\mcafeeupdaterui
software\microsoft\windows\currentversion\run\network associates error reporting service
software\microsoft\windows\currentversion\run\shstatexe
software\microsoft\windows\currentversion\run\ylive.exe
software\microsoft\windows\currentversion\run\yassistse

禁用以下服务
kvwsc
kvsrvxp
kvwsc
kavsvc
avp
mcafeeframework
mcshield
mctaskmanager
navapsvc
wscsvc
kpfwsvc
sndsrvc
ccproxy
ccevtmgr
ccsetmgr
spbbcsvc
symantec core lc
npfmntor
mskservice
firesvc
search

搜索感染除以下目录外的所有.exe/.scr/.pif/.com/.htm/.html/.asp/.php/.jsp/.aspx文件
windows
winnt
system32
documents and settings
system volume information
recycled
windows nt
windowsupdate
windows media player
outlook express
internet explorer
netmeeting
common files
complus applications
messenger
installshield installation information
msn
microsoft frontpage
movie maker
msn gamin zone

删除.gho

最恶心的 改变最大的来咯..
每个目录下释放 desktop_.ini
和威金结婚同住..

监视记录QQ和访问局域网文件记录：c:\test.txt，试图QQ消息传送

添加启动项
software\microsoft\windows\currentversion\run
[svcshare]

禁用文件夹隐藏选项
software\microsoft\windows\currentversion\explorer\advanced\folder\hidden\showall\checkedvalue

所有根目录及移动存储生成
X:\setup.exe
X:\autorun.inf
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\Auto\command=setup.exe

删除隐藏共享
cmd.exe /c net share $ /del /y
cmd.exe /c net share admin$ /del /y

病毒主体字节:71833 捆绑.exe字节 头部:71833 尾部:27


分析可能会有点小误差...依照艾玛斑竹帖子改写..

最后说句..

这病毒太恶心了..

看过 样本,作者应该 不熟悉 网络安全的防护方面至少单机防御和 局域网防御

漏了很多本来可以增强病毒 威力的地方 呵呵

从分析上看 和威金编写者 有着相当程度的相似,以及作者在病毒程序中的留言可以肯定两者有着密切的关系或者说是同一个人.
PS
威金的作者 偶知道 是谁了......

我郁闷了。。。为什么我的脱壳的就偏偏坏了呢！！

每个根目录下会生成一个
sxs.exe 
autorun.inf
[AutoRun]
OPEN=sxs.exe
shellexecute=sxs.exe
shell\Auto\command=sxs.exe

今天搞了我半天!

2楼没RP 

一个烂壳 脱不掉..

大家完全可以鄙视他..

只是暂时性毛病。。。也许是你的烂样本出问题了。。。郁闷！！！

学习。

网警，威金作者不会是你弟吧？呵呵，开玩笑！

收藏

Bitdefender不受影响