多图!!!
病毒名称:熊猫烧香 文件: spo0lsv.vir 大小: 30001 bytes 修改时间: 2007年1月17日, 12:18:40 MD5: 512301C535C88255C9A252FDF70B7A03 SHA1: CA3A1070CFF311C0BA40AB60A8FE3266CFEFE870 CRC32: E334747C 壳信息:FSG V2.0 编写语言: [Borland Delphi v6.0-v7.0]病毒行为:
拷贝自身到C:\Windows\System32\drivers目录,
遍历磁盘,在每个文件夹生成Desktop_.ini文件;
删除.gho备份文件;
感染exe/scr/pif/com/htm/html/asp/php/jsp/aspx文件;
通过弱口令连接局域网其他计算机传播;
建立启动项,禁止显示隐藏文件;
每隔20分钟下载http://www.ac86.cn/66/up.txt文件,下载病毒;
删除磁盘共享;
遍历服务,关闭安全中心等;
遍历注册表,删除杀毒软件启动项;
打开tom/163等网站
连接http://update.whboy.net/worm.txt下载木马文件
Win7 x86 虚拟机
IDA
OD
Apimonitor
病毒主要行为
病毒传播原理
查杀方法
关闭安全中心,杀毒软件等服务; 
每个文件夹生成Desktop_.ini文件
感染exe等文件
- 主函数
- 自拷贝函数
检测Desktop_.ini文件是否存在
是否在C:\Windows\System32\drivers目录;
不在的话拷贝过去,执行拷贝的病毒文件,并关闭当前文件; - 回调函数 遍历磁盘
生成Desktop_.ini文件,感染exe等文件; - 计时器回调函数 感染根目录
磁盘根目录创建setup.exe和autorun.inf文件 - 线程回调函数 遍历局域网
创建多个线程,遍历局域网139,445端口,通过弱口令访问传播; 计时器回调函数 加入启动项 禁止显示隐藏文件
计时器回调函数 创建更新文件 删除共享的线程
- 线程回调函数 获取更新文件
连接http://www.ac86.cn/66/up.txt,下载文件
打开QQ,打开门户网站 
- 线程回调函数 删除共享
计时器回调函数 创建线程删除服务
打开QQ和门户网址
- 计时器30分钟后下载木马文件
连接http://update.whboy.net/worm.txt下载 - 病毒文件运行
存在释放源文件,运行脚本更名,运行源文件
脚本文件
:try1 del "C:\360安全浏览器下载\123\setup111.exe" if exist "C:\360安全浏览器下载\123\setup111.exe" goto try1 ren "C:\360安全浏览器下载\123\setup111.exe.exe" "setup111.exe" if exist "C:\360安全浏览器下载\123\setup111.exe.exe" goto try2 "C:\360安全浏览器下载\123\setup111.exe" :try2 del %0
检测是否存在病毒进程 
检测是否存在病毒进程 
被感染exe文件末尾,有字符串+数字+感染标记01;数字为原始文件大小; 
1F000位置处,为原始文件DOS头;在此位置提取后面的内容则为原始文件; 
htm/html/php文件后面加入此链接 
结束spo0lsv.exe进程
删除C:\Windows\System32\drivers文件夹中病毒文件
删除Software\Microsoft\Windows\CurrentVersion\Run中病毒启动项
恢复显示隐藏文件 SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
关闭移动磁盘媒体自动播放
恢复被禁用的服务
编写文件恢复工具 遍历磁盘
删除Desktop_.ini文件;修复被感染文件