【山寨版“熊猫”继续“烧香”】

Simen.Resh@d

熊猫烧香病毒随病毒作者被雪藏而渐渐远离人们的视野，网上有关熊猫的代码流传甚广，比熊猫烧香在隐蔽性、抗杀能力、感染能力、传播能力强很多的木马下载器更多，网上公开的熊猫烧香代码可能被作为某些人写病毒的习作。最近就有好事者在这个基础上写了新的变种，这个山寨版熊猫使用毒霸的LOGO作图标。

以下是这个病毒的详细分析：

一.病毒信息
病毒名:win32.bmw.j.75783
病毒体大小:74.0 KB (75,783 字节)
病毒类型:熊猫烧香变种   

二.病毒行为
这是一个熊猫烧香的变种，伪装成毒霸的图标来迷惑用户，它还会下载其他病毒并执行。
1 病毒会删除安全软件的开机启动项目和服务项目

2 每1秒添加自己的启动项，并将文件隐藏显示注册表键值破坏。

3 每隔6秒在每个驱动器下（A和B驱动器除外），删除所在的autorun.inf文件或文件夹，并创建autorun.inf和对应的　　　.exe文件

4 每隔6秒停止部分安全软件服务，删除部分安全软件的服务和开机自启动项目

5 每10秒关闭以下进程,并添加映像劫持，指向ntsd -d
avp.exe    rav.exe    rsagent.exe    ravmon.exe    ravmond.exe    ravstub.exe    ravtask.exe    ccenter.exe    360tray.exe    360safe.exe

6 每30分钟下载一次木马 http://www.xxxxxx08.com/down/down.txt

7 病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部，并在扩展名为htm,html, asp,php,jsp,aspx的文件中添加一网址,用户一但打开了该文件,IE就会不断的在后台点击写入的网址,达到
增加点击量的目的,且该网页有漏洞,新变种的病毒会被下载并运行.

感染时排除以下文件夹中的文件
WINDOW Winnt winrar system32 Documents and Settings System Volume Information Recycled
Windows NT WindowsUpdate Windows Media Player Outlook Express Internet Explorer NetMeeting
Common Files ComPlus Applications Messenger InstallShield Installation Information   MSN
Microsoft Frontpage Movie Maker MSN Gamin Zone

也不感染NTDETECT.COM和rar后缀的文件

感染后会在感染目录下创建Desk_top_.ini文件，其内写入当前系统时间。

SiMen.xInsHou

强大哦。
   不敢看毛P了。。！！

SiMen.haah

我就用金山毒霸的....

Simen.Error

日........自动下载......

SK_Roger

这些杀毒软件都太有名了，很容易受到病毒攻击；卡巴实力较强，名气更大，树敌太多；金山、360、江民、瑞星等“盛名难副”；诺顿外来移居，根本对付不了国内土生土长的病毒。综合推荐：Eset，全球排名第三，占用系统资源最小，树敌少，现在还和360合作。
  呵呵，其实我用的就是Eset（盗版的，下个注册机就可以更新了，gougou上有下，工具自带）,到现在系统还没瘫痪过。仔细观察会发现：LZ所述中并无egui.exe这个进程，可见我们的Eset是安全的。
  对了，提醒一下大家：病毒对付杀毒软件惯用的一招就是利用映像劫持，使杀毒软件运行时指向错误，运行失败；关于映像劫持http://baike.baidu.com/view/1008480.htm可以去参考一下。
既然知道了原理，我们就可以对症下药了，我们只需将　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options这个项删除就行了。（它是系统调试程序时用到的，没什么用，删了并无大碍）鉴于此，如果我们用的是上述被病毒列为黑名单的杀毒软件的话，在系统还能正常运行的情况下，杀毒软件还是可以运行的这样，当我们更新病毒库后就可以收拾它了。
  给大家一条建议:如果是自家电脑的话，最好不要把重要资料和软件装C盘(杀毒软件除外），再安一个chost或者一键还原精灵（个人推荐），接着备份系统，这样就避免了重装系统的麻烦（这也就是sym...公司最大的成功）。这样看起来似乎很好了，但是我们还原的只是一个点，还原之后系统虽然跑得快，但是原来的更新文件都没了，可别是新的病毒库，这是我们可以利用一键还原精灵的“乾坤大挪移''**了，使我们新的病毒库不会被删掉（很神奇吧，这就是本人推荐一键还原精灵的原因了）。
  最后，防止感染病毒的根本办法就是别上黄网，看毛片,相信每一个KZer都是很崇高的吧！
  （以上所述都是本人个人的想法，如有不当、不妥、错误之处请指教；谢谢！）

SK_Roger

发现有错别字，更正一下：
    这些杀毒软件都太有名了，很容易受到病毒攻击；卡巴实力较强，名气更大，树敌太多；金山、360、江民、瑞星等“盛名难副”；诺顿外来移居，根本对付不了国内土生土长的病毒。综合推荐：Eset，全球排名第三，占用系统资源最小，树敌少，现在还和360合作。
  呵呵，其实我用的就是Eset（盗版的，下个注册机就可以更新了，gougou上有下，工具自带）,到现在系统还没瘫痪过。仔细观察会发现：LZ所述中并无egui.exe这个进程，可见我们的Eset是安全的。
  对了，提醒一下大家：病毒对付杀毒软件惯用的一招就是利用映像劫持，使杀毒软件运行时指向错误，运行失败；关于映像劫持http://baike.baidu.com/view/1008480.htm可以去参考一下。
既然知道了原理，我们就可以对症下药了，我们只需将HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options这个项删除就行了。（它是系统调试程序时用到的，没什么用，删了并无大碍）鉴于此，如果我们用的是上述被病毒列为黑名单的杀毒软件的话，在系统还能正常运行的情况下，杀毒软件还是可以运行的；这样，当我们更新病毒库后就可以收拾它了。
  给大家一条建议:如果是自家电脑的话，最好不要把重要资料和软件装C盘(杀毒软件除外），再安一个chost或者一键还原精灵（个人推荐），接着备份系统，这样就避免了重装系统的麻烦（这也就是sym...公司最大的成功）。这样看起来似乎很好了，但是我们还原的只是一个点，还原之后系统虽然跑得快，但是原来的更新文件都没了，特别是新的病毒库，这时我们可以利用一键还原精灵的“乾坤大挪移''**了，使我们新的病毒库不会被删掉（很神奇吧，这就是本人推荐一键还原精灵的原因了）。
  最后，防止感染病毒的根本办法就是别上黄网，看毛片,相信每一个KZer都是很崇高的吧！
（以上所述都是本人个人的想法，如有不当、不妥、错误之处请指教；谢谢！）

SiMen.K.

所谓的下载者吗？呵呵，。小样，不放在眼里！

SiMen.K.

所谓的下载者吗？呵呵，。小样，不放在眼里！