baohe - 2008-7-15 16:58:00
样本来自:http://bbs.janmeng.com/thread-779405-1-1.html
虽然叫“熊猫烧香”,但病毒文件的logo却是只狗。病毒行为与曾经流行过的熊猫烧香基本相同:感染.exe、.htm、.html。在系统分区根目录下释放一个驱动go.sys,加载后即刻自动删除。在各分区根目录下释放 .exe(文件名为三个空格)和autorun.inf。在所有文件夹中创建Desktop_.ini(内容为感染系统的日期)。复制系统中现有.exe程序的图标文件.ico到当前用户临时文件夹中。
未受安全软件保护且未运行的.exe被感染后,如果用户运行之,则在各分区根目录以及系统的drviers目录下生成一个与原版病毒 .exe相同的病毒文件 .exe和suhost.exe(文件图标系被感染文件的图标)。
病毒运行后瑞星20.53.10即刻被废掉。组策略被废掉(中了,就别再想用什么“软件限制策略”对付它了)。
设置为启动加载运行方式的SSM则经受住了病毒的考验。
以下几幅图是病毒运行后我处理它的截图
以下是经SSM处理后被我手工删除的病毒及其相关文件:
用户系统信息:Opera/9.51 (Windows NT 5.1; U; zh-cn)
虽然叫“熊猫烧香”,但病毒文件的logo却是只狗。病毒行为与曾经流行过的熊猫烧香基本相同:感染.exe、.htm、.html。在系统分区根目录下释放一个驱动go.sys,加载后即刻自动删除。在各分区根目录下释放 .exe(文件名为三个空格)和autorun.inf。在所有文件夹中创建Desktop_.ini(内容为感染系统的日期)。复制系统中现有.exe程序的图标文件.ico到当前用户临时文件夹中。
未受安全软件保护且未运行的.exe被感染后,如果用户运行之,则在各分区根目录以及系统的drviers目录下生成一个与原版病毒 .exe相同的病毒文件 .exe和suhost.exe(文件图标系被感染文件的图标)。
病毒运行后瑞星20.53.10即刻被废掉。组策略被废掉(中了,就别再想用什么“软件限制策略”对付它了)。
设置为启动加载运行方式的SSM则经受住了病毒的考验。
以下几幅图是病毒运行后我处理它的截图
以下是经SSM处理后被我手工删除的病毒及其相关文件:
用户系统信息:Opera/9.51 (Windows NT 5.1; U; zh-cn)