熊猫烧香病毒分析与解决方案

killer (killer<2>uid0.net)
Date: 2006-11-20


一、病毒描述：

  含有病毒体的档被运行后，病毒将自身拷贝至系统目录，同时修改注册表将自身设置为开机启动项，并遍历各个驱动器，将自身写入磁片根目录下，增加一个 Autorun.inf档，使得用户打开该盘时启动病毒体。随后病毒体开一个线程进行本地档感染，同时开另外一个线程连接某网站下载ddos程式进行 发动恶意攻击。
 
二、病毒基本情况：

[档资讯]

病毒名: Virus.Win32.EvilPanda.a.ex$
大 小: 0xDA00 (55808), (disk) 0xDA00 (55808)
SHA1 : F 0C 3DA82E 1620701A D 2F 0C 8B531EEBEA0E 8A F69D
壳信息: 未知
危害级别：高

病毒名: Flooder.Win32.FloodBots.a.ex$
大 小: 0xE800 (59392), (disk) 0xE800 (59392)
SHA1 : B 71A 7EF 22A 36DBE27E3830888DAFC3B 2A 7D5DA0D
壳信息: UPX 0.89.6 - 1.02 / 1.05 - 1.24
危害级别：高

三、病毒行为：

  Virus.Win32.EvilPanda.a.ex$ ：

  1、病毒体执行后，将自身拷贝到系统目录：

    %SystemRoot%\system32\FuckJacks.exe
 
  2、添加注册表启动专案确保自身在系统重启动后被载入：

    键路径：HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    键名：FuckJacks
    键值："C:WINDOWS\system32\FuckJacks.exe"
 
    键路径：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    键名：svohost