熊猫烧香图标病毒

时　间： 2007-01-09 浏览:0 来源:

我中了这个病毒了，原来以为有ghost，但是后来发现ghost都没了！

最近出现新的病毒名为熊猫烧香，危害较大，感染后所有EXE可执行文件图标变成一个烧香的熊猫，大家电脑如出现此现象可认真阅读以下文章：

一、病毒描述：
含有病毒体的文件被运行后，病毒将自身拷贝至系统目录，同时修改注册表将自身设置为开机启动项，并遍历各个驱动器，将自身写入磁盘根目录下，增加一个Autorun.inf文件，使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染，同时开另外一个线程连接某网站下载ddos程序进行发动恶意攻击。

二、病毒基本情况：
[文件信息]
病毒名: Virus.Win32.EvilPanda.a.ex$
大小: 0xDA00 (55808), (disk) 0xDA00 (55808)
SHA1 : F0C3DA82E1620701AD2F0C8B531EEBEA0E8AF69D
壳信息: 未知
危害级别：高

病毒名: Flooder.Win32.FloodBots.a.ex$
大小: 0xE800 (59392), (disk) 0xE800 (59392)
SHA1 : B71A7EF22A36DBE27E3830888DAFC3B2A7D5DA0D
壳信息: UPX 0.89.6 - 1.02 / 1.05 - 1.24
危害级别：高

三、病毒行为：

Virus.Win32.EvilPanda.a.ex$ ：
1、病毒体执行后，将自身拷贝到系统目录：
%SystemRoot%system32FuckJacks.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun        Userinit        "C:WIN2Ksystem32SVCH0ST.exe"

2、添加注册表启动项目确保自身在系统重启动后被加载：
键路径：HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun
键名：FuckJacks
键值："C:WINDOWSsystem32FuckJacks.exe"

键路径：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
键名：svohost
键值："C:WINDOWSsystem32FuckJacks.exe"

3、拷贝自身到所有驱动器根目录，命名为Setup.exe，并生成一个autorun.inf使得用户打开该盘运行病毒，并将这两个文件属性设置为隐藏、只读、系统。      C:autorun.inf        1KB        RHS
C:setup.exe        230KB        RHS

4、关闭众多杀毒软件和安全工具。
5、连接*****.3322.org下载某文件，并根据该文件记录的地址，去www.****.com下载某ddos程序，下载成功后执行该程序。
6、刷新bbs.qq.com，某QQ秀链接。
7、循环遍历磁盘目录，感染文件，对关键系统文件跳过，不感染Windows媒体播放器、MSN、IE 等程序。

Flooder.Win32.FloodBots.a.ex$ ：

1、病毒体执行后，将自身拷贝到系统目录：
%SystemRoot%SVCH0ST.EXE
%SystemRoot%system32SVCH0ST.EXE