大家可能对专家们的病毒分析结果兴趣。在这个我对病毒样本的一些分析报告，让小菜们也小窥下病毒体的一些文字特征。呵呵。

以下代码来自本博客对熊猫烧香样本的部分反编译。省略了其他一些代码。贴出了比较看的懂的一些。
"$ /del /y"
"$$.bat"
"***武*汉*男*生*感*染*下*载*者***"                          -----****注意这是作者留名处****
"*.*"
".exe"
":\autorun.inf"                        1---------------
":\setup.exe"                          2------------注意这就是为什么你多autorun.inf和 setup.exe文件
OPEN=setup.exe 
shellexecute=setup."                      -------------autorun.inf的内容
"\Desktop_.ini 没有找到,建立一个!"        ------------这里就是你的电脑中多了Desktop_.ini文件的凶手。
"\Desktop_.ini"
"`uup2..uxe`tm/vhjnx.fdu/nsm&uyt"
"`uup2..wv/c|w06;/boe.vu``o/lnvn&uyt"
"=nb{end'w{g>#op}t9.(s~s-bsr820/dkd+ttoeg+gnpj'"
"admin$"
"advapi32.dll"
"asp"
"aspx"
"AVP"
"c:\test.txt"
"CCenter.exe"
"ccEvtMgr"
"ccProxy"
"ccSetMgr"
"ChangeServiceConfig2A"
"ChangeServiceConfig2W"
"cmd.exe /c net share "                                 
"cmd.exe /c net share admin$ /del "                  ------------删除admin$共享
"Common Files"
"ComPlus Applications"
"CreateToolhelp32Snapshot"
"d}tq;*&tyld|l.lboy'blt.vj{l'|}|"
"del ""
"del %0"
"Desktop_.ini"
"Documents and Settings"
"drivers\"
"Duba"
"Error"
"esteem procs"
"FireSvc"
"FPUMaskValue"
"FrogAgent.exe"
"GameSetup.exe"
"GHO"                                                  -----------这里应该是删除ghost文件的地方哈
"Heap32First"
"Heap32ListFirst"
"Heap32ListNext"
"Heap32Next"
"htm"
"html"
"IceSword"                                              -------------------ICESWORD被熊猫真照顾啊
"if exist ""
"InstallShield Installation Information"
"Internet Explorer"
"jsp"
"kavsvc"
"kernel32.dll"
"KPfwSvc"
"KRegEx.exe"
"KVCenter.kxp"
"KvMonXP.kxp"
"KVSrvXP"
"KVSrvXP.exe"
"KVWSC"
"KVXP.kxp"
"Logo_1.exe"
"Logo1_.exe"
"McAfeeFramework"
"McShield"
"Mcshield.exe"
"McTaskManager"
"Messenger"
"Microsoft Frontpage"
"Module32First"
"Module32FirstW"
"Module32Next"
"Module32NextW"
"Movie Maker"
"msctls_statusbar32"
"MskService"
"MSN Gamin Zone"
"MSN"
"naPrdMgr.exe"
"navapsvc"
"netapi32.dll"
"NetApiBufferFree"
"NetMeeting"
"NetShareEnum"
"NOD32"
"NPFMntor"
"Outlook Express"
"php"
"pjf(ustc)"
"Process32First"
"Process32FirstW"
"Process32Next"
"Process32NextW"
"QQ病毒"
"QTj"
"QueryServiceConfig2A"
"QueryServiceConfig2W"
"Rav.exe"
"Ravmon.exe"
"RavmonD.exe"
"Ravmond.exe"
"RavStub.exe"
"RavTask.exe"
"Recycled"
"ren ""
"RsCCenter"
"RsRavMon"
"Rundl132.exe"
"scan32.exe"
"Schedule"
"Search"
"SeDebugPrivilege"
"setup.exe"
"sharedaccess"
"SNDSrvc"
"SOFTWARE\Borland\Delphi\RTL"
"SOFTWARE\Microsoft\Windows\CurrentVersion\Expl"
"Software\Microsoft\Windows\CurrentVersion\Run"       
"SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"
"SPBBCSvc"
"spoclsv.exe"
"svcshare"
"Symantec AntiVirus"
"Symantec Core LC"
"System Safety Monitor"
"System Volume Information"
"system32"
"TBMon.exe"
"Thread32First"
"Thread32Next"
"Toolhelp32ReadProcessMemory"
"TrojDie.kxp"
"UIHost.exe"
"UpdaterUI.exe"
"VirusScan"
"VsTskMgr.exe"
"whboy"                                              ----------------可疑的whboy就在这里。
"Windows Media Player"
"Windows NT"
"Windows 任务管理器"                               
"WINDOWS"
"WindowsUpdate"
"WINNT"
"Winsock Expert"
"Wrapped gift Killer"
"wscsvc"
"xboy"
"z"
"超级兔子"

"超级巡警"

"毒霸"

"防火墙"

"感谢艾玛,mopery对此木马的关注!~"

"黄山IE"

"江民"

"进程"

"卡巴斯基反病毒"

"绿鹰PC"

"密码防盗"

"木马辅助查找器"

"木马清道夫"

"木馬清道夫"

"瑞星"

"杀毒"

"时间不对,建立一个!"

"噬菌体"

"天网"

"网镖"

"系统配置实用程序"

"优化大师"

"游戏木马检测大师"

"注册表编辑器"

看到网上对熊猫烧香炒的那么热闹。让我不得不对他感起兴趣来了。毕竟安全界这次被空前的得到关注。

或许是一件好事情把.这也许是武汉男孩没有想到的。让我们也有些惭愧哈。

这个病毒的确整合了好多漏洞。连1月份qq的都用到了。

本来好奇怪‘武汉男孩’这个名字是怎么叫出来的？呵呵原来是他自己喜欢那么称呼自己。真的好难听地。

本人感觉作者的实际年龄应该是22-38岁之间网络中说的15岁的入侵个大网站不足为奇可是到了编程序就不行了。

在他的代码里果然看到了"感谢艾玛,mopery对此木马的关注!~"的字样呵呵。挺有意思的一个人。MOPERY估计被这句话害的够呛。哈哈。

可怜的  （黄山IE""江民""进程""卡巴斯基反病毒""绿鹰PC""密码防盗""木马辅助查找器""木马清道夫""木馬清道夫""瑞星""杀毒""时间不对,建立一个!""噬菌体""天网""网镖""系统配置实用程序""优化大师""游戏木马检测大师""注册表编辑器""超级兔子""超级巡警""毒霸""防火墙""）  都在他的拒绝行列。也算是我见的最多了的。我在虚拟机上跑了下病毒样本。所有的html文件的最后面都被加了些网页木马。呵呵。野心挺大的。要感染多少计算机他才开心啊。（无奈）

其实这款病毒还算是温和的。算了把前段时间的病毒都结合了下把。给我我的感觉是对2006年的病毒回顾和总结。好把。先聊到这里把。本博客继续关注熊猫宝宝的发展。
点击[http://yanghuan20022002.blog.163.com/blog/static/1159711200703143532238/] 查看原文