样本来自：http://bbs.janmeng.com/thread-779405-1-1.html

虽然叫“熊猫烧香”，但病毒文件的logo却是只狗。病毒行为与曾经流行过的熊猫烧香基本相同：感染.exe、.htm、.html。在系统分区根目录下释放一个驱动go.sys，加载后即刻自动删除。在各分区根目录下释放       .exe（文件名为三个空格）和autorun.inf。在所有文件夹中创建Desktop_.ini（内容为感染系统的日期）。复制系统中现有.exe程序的图标文件.ico到当前用户临时文件夹中。

未受安全软件保护且未运行的.exe被感染后，如果用户运行之，则在各分区根目录以及系统的drviers目录下生成一个与原版病毒     .exe相同的病毒文件    .exe和suhost.exe（文件图标系被感染文件的图标）。
病毒运行后瑞星20.53.10即刻被废掉。组策略被废掉（中了，就别再想用什么“软件限制策略”对付它了）。
设置为启动加载运行方式的SSM则经受住了病毒的考验。

以下几幅图是病毒运行后我处理它的截图








以下是经SSM处理后被我手工删除的病毒及其相关文件：




用户系统信息：Opera/9.51 (Windows NT 5.1; U; zh-cn)

它的“SSDT恢复”并未摧毁SSM。

已经发了。请查收。