熊猫烧香病毒分析

Posted An2i

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了熊猫烧香病毒分析相关的知识,希望对你有一定的参考价值。

什么: “熊猫烧香”,是一款拥有自动传播、自动感染硬盘能力和强大的破坏能力的病毒,它不但能感染系统中execompifsrchtmlasp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名gho的文件。熊猫烧香其实是一种蠕虫病毒的变种,而且是经过多次变种而来的。

                                               

作者: 2006年10月16日由25岁的湖北武汉新洲区人李俊编写,2007年1月初肆虐网络,它主要通过下载的文件传染。

 

病毒名称:GameSetup.exe

 

 

工具:process monitor

此软件主要功能是:监控文件、注册表、进程、网络访问、事件。

环境:虚拟机Windows XP

 

 

 

派生出spoclsv.exe。

 

行为:

1.复制自己到系统目录下

 

2.创建启动项

3.在各分区根目录生成病毒副本

4.使用net share命令关闭管理共享

5.修改显示所有文件和文件夹设置

6.尝试关闭杀毒软件

7.先对注册表进行分析

8.遍历目录修改htm/html/asp/php/jsp/aspx等网页文件,在这些文件尾部追加信息

9.在访问过的目录下生成Desktop_.ini文件,内容为当前日期

10. 尝试删除GHO文件

 

它在注册表中HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder

\\Hidden路径设置键值,隐藏spoclsv.exe文件。

 

 

它在各个盘的根目录下创建病毒文件。

 

尝试向局域网内的其他主机建立连接。

 

 

它通过一些常见杀毒软件的名称禁止启动它们,如kav(卡巴斯基)等。

 

以上是关于熊猫烧香病毒分析的主要内容,如果未能解决你的问题,请参考以下文章

练手之经典病毒熊猫烧香分析(上)

病毒分析-利用Process Monitor对熊猫烧香病毒进行行为分析

熊猫烧香病毒源码及分析

号称病毒之王的“熊猫烧香”详细分析

熊猫烧香分析报告

熊猫烧香分析报告