熊猫烧香系列变种分析报告

新版熊猫烧香

熊猫烧香变种，只是换了层壳，共性基本没变化。

您可以访问vi.duba.net输入whboy查询更多更详细的熊猫烧香分析报告

病毒名称：毒霸（Worm.WhBoy，中文名武汉男生变种）瑞星（Worm.Nimaya） 江民（维金变种）

之前的病毒：尼姆亚（Worm.Nimaya) 或 烈性***FuckJacks.exe ，该病毒采用“熊猫烧香”头像作为图标，诱使用户运行。

释放文件

分区根目录下：setup.exe

分区根目录下：autorun.inf

%System%\Fuckjacks.exe

局域网环境下：GameSetup.exe

添加到注册表信息

[HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Run]

Fuckjacks %System%\Fuckjacks.exe

[HKEY_local_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

svohost %System%\Fuckjacks.exe

恶意特征

1、删除部分杀毒软件在注册表中的启动项或服务

2、终止部分杀毒软件的进程

3、终止部分安全辅助工具的进程，如IceSword

4、终止维金的相关进程Logo1_.exe、Logo_1.exe、Rundl123.exe

5、弱口令破解局域网其他电脑的AdMinistror帐号，并用GameSetup.exe进行复制传播

6、除C盘外，破坏所有分区下的部分.exe、.com、.gho、.pif、.scr文件

解决过程：

1、确定使用鼠标右键打开盘符

2、结束Fuckjacks.exe进程

3、删除其释放的所有文件（每个分区下）

4、删除其创建的注册表信息

5、强壮一下电脑里AMDinistrators的帐号和密码

6、对于已经破坏的文件，暂没找到解决办法

目前最新的变种：spoclsv.exe ，病毒名：Worm.WhBoy.h

释放文件:

病毒运行后,会把自己拷贝到C:\WINDOWS\System32\Drivers\spoclsv.exe

添加注册表自启动

病毒会添加自启动项

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe

恶意特征：

a:每隔1秒

寻找桌面窗口,并关闭窗口标题中含有以下字符的程序，QQKav，QQAV，防火墙，进程，VirusScan，网镖，杀毒，毒霸，瑞星，江民，黄山IE，超级兔子，优化大师，***克星，***清道夫，QQ病毒，注册表编辑器，系统配置实用程序，卡巴斯基反病毒，Symantec AntiVirus，Duba，esteem proces，绿鹰PC，密码防盗，噬菌体，***辅助查找器System Safety Monito，WrAPPed gift Killer，Winsock Expert，游戏***检测大师，msctls_statUSBar32，pjf(ustc)，IceSword，并使用的键盘映射的方法关闭安全软件IceSword。

中止大部分杀毒软件和***查杀程序，并结束维金病毒的进程如：Logo1_.exe,Logo_1.exe,,Rundl132.exe

b:每隔18秒

点击病毒作者指定的网页,并用命令行检查系统中是否存在共享,若存在的话就运行net share命令关闭admin$共享

d:每隔6秒

删除安全软件在注册表中的键值，并修改以下值不显示隐藏文件：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\folder\hidden\SHOWALL

CheckedValue -> 0x00

删除以下服务:navapsvc，wscsvc，KPfwSvc，SNDSrvc，ccProxy，，ccEvtMgr，ccSetMgr，SPBBCSvc，Symantec Core LC，NPFMntor，MskService，FireSvc

危害：

病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部，并在扩展名为htm,html, asp,php,jsp,aspx的文件中添加一网址,用户一但打开了该文件,IE就会不断的在后台点击写入的网址,达到增加点击量的目的,但病毒不会感染以下文件夹名中的文件:

WINDOW，Winnt，System Volume Information，Recycled，Windows NT，WindowsUpdate，Windows Media P，Outlook Express，Internet Explorer，NetMeeting，Common Files，ComPlus Applications，messenger，InstallShield Installation Information，MSN，Microsoft Frontpage，Movie Maker，MSN Gamin Zone

病毒会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件，使用户的系统备份文件丢失.

相关阅读

熊猫烧香病毒分析报告

熊猫烧香病毒分析报告 1．样本概况 1.1 样本信息病毒名称: spo0lsv.exe(熊猫烧香)大小: 30001 bytes所属家族：Worm(蠕虫)修改时间: 2

小咖秀&模样，短视频类APP竞品分析报告

1.短视频应用的发展趋势随着科技的不断发展，信息的传播方式一定会朝着表现力越来越强、包含的信息量越来越多的方向发展。现如今，单

体育资讯类竞品分析报告：懂球帝VS虎扑体育

本篇文章探讨分析了体育资讯类产品的两个典型案例：懂球帝和虎扑体育，同时针对其中存在的问题提出了改进建议。一、前言作为即将毕业

产品分析报告 | Timing，你的学习神器

Timing一款帮助学生们提高学习效率、拒绝拖延、成就更好自己的高效学习软件。本文是关于Timing的产品分析报告，enjoy~昨天在和360

思考：如何产出一份深度价值的竞品分析报告

竞品分析，是众多产品经理、产品运营，乃至设计师等的常规工作之一。进行竞品分析，往往需产出一份竞品分析报告，以阐述分析过程及结论。