什么: “熊猫烧香”,是一款拥有自动传播、自动感染硬盘能力和强大的破坏能力的病毒,它不但能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件。熊猫烧香其实是一种蠕虫病毒的变种,而且是经过多次变种而来的。
作者: 2006年10月16日由25岁的湖北武汉新洲区人李俊编写,2007年1月初肆虐网络,它主要通过下载的文件传染。
病毒名称:GameSetup.exe
工具:process monitor
此软件主要功能是:监控文件、注册表、进程、网络访问、事件。
环境:虚拟机Windows XP
派生出spoclsv.exe。
行为:
1.复制自己到系统目录下
2.创建启动项
3.在各分区根目录生成病毒副本
4.使用net share命令关闭管理共享
5.修改显示所有文件和文件夹设置
6.尝试关闭杀毒软件
7.先对注册表进行分析
8.遍历目录修改htm/html/asp/php/jsp/aspx等网页文件,在这些文件尾部追加信息
9.在访问过的目录下生成Desktop_.ini文件,内容为当前日期
10. 尝试删除GHO文件
它HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder
\Hidden路径设置键值,隐藏spoclsv.exe文件。
它在各个盘的根目录下创建病毒文件。
尝试向局域网内的其他主机建立连接。
都是一些常见杀毒软件的名称,如kav(卡巴斯基)等。
