熊猫烧香病毒之专杀工具编写教程方案

国家计算机病毒应急处理中心通过对互联网的监测发现，一伪装成“熊猫烧香”图案的蠕虫正在互联网上进行传播，已有数百万个人计算机用户和企业局域网遭受感染。

国家计算机病毒应急处理中心分析发现，该蠕虫为“威金”蠕虫的一个新变种。

该变种感染计算机系统后，可使系统中所有.exe文件都变成了一种奇怪的图案，该图案显示为“熊猫烧香”国家计算机病毒应急处理中心通过对互联网的监测发现，一伪装成“熊猫烧香”图案的蠕虫正在互联网上进行传播，已有数百万个人计算机用户和企业局域网遭受感染。

国家计算机病毒应急处理中心分析发现，该蠕虫为“威金”蠕虫的一个新变种。

该变种感染计算机系统后，可使系统中所有.exe文件都变成了一种奇怪的图案，该图案显示为“熊猫烧香”，同时受感染的计算机系统会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。

变种可以通过局域网进行传播，进而感染局域网内所有计算机系统，最终导致整个局域网瘫痪，无法正常使用。

该蠕虫先后出现很多变种，再出现后的短时期内迅速传播，遭受感染的用户难于彻底清除，给其工作带来诸多不便。

蠕虫情况分析如下：病毒名称：Worm_Viking中文名：“熊猫烧香”其他名称：Worm/Viking（江民）Worm.WhBoy.h （金山）PE_FUJACKS （趋势）Worm.Nimaya （瑞星）W32/Fujacks （McAfee）病毒类型：蠕虫感染系统：Windows 9X/ Windows ME/ Windows NT/ Windows 2000/Windows XP/ Windows 2003病毒特性：“熊猫烧香”是蠕虫“威金”的一个变种，是一个由Delphi 工具编写的蠕虫，它会感染计算机系统中后缀名为exe、com、pif、src、html、asp等文件,它还会终止一些计算机系统中安装的防病毒软件和防火墙的进程。

1、生成病毒文件蠕虫运行后在%System%目录下生成文件spoclsv.exe，并且在每个文件夹下面生成desktop_.ini 文件，里面标记着病毒发作日期。

一、前言这次我们会接着上一篇的内容继续对病毒进行分析。

分析中会遇到一些不一样的情况，毕竟之前的代码我们只要按照流程顺序一步一步往下走，就能够弄清楚病毒的行为，但是在接下来的代码中，如果依旧如此，在某些分支中的重要代码就执行不到了，所以我们需要采取一些策略，走完每个分支，彻底分析出病毒的行为。

二、病毒分析现在程序执行到了loc_408171位置处：图1 loc_408171起始处的代码程序首先进行比较操作，由于二者都为0，所以在比较过后ZF=1，那么接下来的跳转并不执行。

之后的CALL获取到了病毒程序所在的路径（包含文件名），并将完整路径名的首地址保存在eax中，注意[ebp+var_3D8]中所保存的是一个地址数值，该地址指向文件路径字符串。

而接下来赋给edx的地址，则是病毒程序完整地址向后4个字节的位置，正好跳过了两个大写字母和两个符号。

接下来进入sub_40532C进行查看，可以发现：图2 查看sub_40532C内部代码这里的CharUpperBuff函数的作用是把缓冲区中指定数目的字符转为大写。

于是可以将sub_40532C重命名为：ToUpper。

接下来有：图3 分析sub_4054BC函数这里出现了sub_4054BC函数，跟进查看可以发现：图4 查看sub_4054BC内部代码这里的GetSystemDirectory函数的作用在于获取系统路径，于是可以将sub_4054BC重命名为：GetSystemDir。

可见以上这几个函数分析得还是比较顺利的，因为病毒直接调用了API函数，让我们对于程序的功能一目了然。

接下来有：图5 分析sub_403F8C函数程序首先将刚才获取的系统路径字符串的首地址入栈，然后分别压入“drivers\”与“spoclsv.exe”这两个字符串，之后利用OD对sub_403F8C进行分析，执行完后可以发现：图6 跟踪sub_403F8C执行完后的变化由此可见，sub_403F8C的作用是将两个字符串与另一个字符串连接起来，从而组成一个长路径，所以可以将其重命名为：TwoStringsCat。

你中过熊猫烧⾹么?!看到过熊猫拿着三⽀⾹的样⼦么!?中招后如何处理!?看完本⽂，你将学会如何从计算机中杀掉“熊猫烧⾹”。

惊险查杀过程 1.熊猫烧⾹病毒：图⽚就是个熊猫在烧⾹感觉蛮可爱的!当时并没有很在意!第⼆天再次打开电脑的时候!⼏乎电脑所有的EXE⽂件都成了熊猫烧⾹图⽚!这时才有所感觉! 部分EXE⽂件已经⽆法正常使⽤!新加⼀个AUTORUN.INF的⽂件! 当初不明⽩这个⽂件的作⽤!在上查了⼀些资料表明。

才知道。

只要⽤户打开盘符。

就会运⾏这个病毒!⽤杀毒软件杀毒!没有效果!看来现在的杀毒软件越来越不⾏了~.. 2.想⽤组合键打开任务管理器!⽆法打开~失败....想看看注册表有没什么情况。

依然失败!奇怪的是：电脑运⾏正常。

也都不卡!难道不是病毒.是系统出了问题?从上下了第三⽅⼯具查看进程!果然看到两个可疑进程!FuckJacks.exe貌似是最可疑的不敢贸然终⽌!赶快问问⽩度⼤叔! 3.⼤叔告诉我。

是熊猫病毒的进程!⼀切正如我意!懒的装系统了! 4.先结束FuckJacks.exe进程!开始-运⾏-CMD 输⼊：ntsd -c q -p 病毒的PID~终于KILL掉了!⼀切恢复正常了!兴奋ING...赶快打开注册表 突然注册表⼜关了.看看进程FuckJacks.exe。

⼜出现了~~那应该它还有个守护进程!找找找。

⽆发现....奇怪了。

难道他的守护进程插⼊到系统 进程了?不会吧.....头疼⼀阵...。

5.算了，去向朋友找个专杀⼯具。

有⼀个朋友说他写过熊猫的专杀⼯具!晕~~原来⽜⼈在我⾝边。

我都没发现~赶快想他请教~~才⼤概的了解了熊猫烧⾹~ 叫他给了我⼀个⽆壳的熊猫⾃⼰分析下~(⾃⼰动⼿.丰⾐⾜⾷嘛~~) 6.⽤UI32打开熊猫.看到了条⽤的部分资源!⽂件执⾏后。

释放到\system32\FuckJacks.exe下。

7.继续象下可以看到熊猫的⼀些传播过程相当的经典..有扫描同⼀段的电脑~⾃我复制.等等相当强⼤公能~同时感染所有盘符的EXE⽂件~却不对⼀些重要的系统⽂件和常⽤⽂件进⾏感染!可见并不想早成太⼤破坏~修改注册表.禁⽌打开注册表.甚⾄禁⽤了部分服务~~ 8下⾯就是重要的时刻了!从后⾯的代码可以看出!病毒的作者是个⾮常出⾊的程序员!有⾮常好的编程习惯!对病毒的异常运⾏~进⾏了很好的定义~都很⼤段都是作者对病毒运⾏条件的判断定义~值得注意的⼀点：在感染EXE⽂件的同时!感染ASP。

熊猫烧香（源代码）(一) 主程序段分析原“熊猫烧香”病毒“源码”主程序段代码如下所示：{==================主程序开始====================}beginif IsWin9x then //是Win9xRegisterServiceProcess(GetCurrentProcessID, 1) //注册为服务进程else //WinNTbegin//远程线程映射到Explorer进程//哪位兄台愿意完成之？end;//如果是原始病毒体自己if CompareText(ExtractFileName(ParamStr(0)), 'Japussy.exe') = 0 thenInfectFiles //感染和发邮件else //已寄生于宿主程序上了，开始工作beginTmpFile := ParamStr(0); //创建临时文件……....Line nDelete(TmpFile, Length(TmpFile) - 4, 4);TmpFile := TmpFile + #32 + '.exe'; //真正的宿主文件，多一个空格ExtractFile(TmpFile); //分离之FillStartupInfo(Si, SW_SHOWDEFAULT);CreateProcess(PChar(TmpFile), PChar(TmpFile), nil, nil, True, 0, nil, '.', Si, Pi); //创建新进程运行之……....Line n+7InfectFiles; //感染和发邮件end;end.对于代码：RegisterServiceProcess(GetCurrentProcessID, 1) //注册为服务进程虽然源码提供者省略了相应实现，但这是比较基本的编程实现。

通过把自身注册为服务进程，可以使自己随着系统的启动一起启动。

熊猫烧香电脑病毒清除方法介绍：1.下载专杀工具，扫描一遍，注意，必须这两个都扫一遍，因为网上的专杀太多，原理不尽相同，这两个配合使用基本可以保证病毒全部清除，被病毒感染的EXE文件也会被复原2.开始→搜索→文件或文件夹→搜索硬盘上的*.htm ,*.html,*.php,*.asp,*.jsp,*.aspx后缀的文件,全部删除掉。

如果清不掉的就用命令行清除，开始→运行→CMD→输入del x:*.htm /f/s/q/a这里的X指的是你的盘符，你有几个盘就清除几次，fsqa指的是无条件删除盘符下所有属性的该后缀文件，包括了隐含文件，和系统文件。

删除完htm文件后，依次再删除html,php,asp,aspx。

注意：如果你的资料包含这些后缀的文件，那你就不能简单的做批删除操作了，最好的办法是你去下载一个dreamwaver，然后把每个文件源码的末尾部分被修改的部分改回，这里不多说，去摆渡一下就知道!这了采用的批删除操作是针对一般用户而言，而且这样做并不会导致你收藏的网页丢失3.右键打开你的D盘，找到System Volume Information，如果找不到，说明你的隐含文件是不显示的，那找到注册表的这个位置HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]"CheckedValue"= 改为00000001即可。

进去，手动删除除change.log外的所有文件。

然后依次对其他盘进行操作。

因为这个位置的病毒会在重启后再生，而很多专杀又无法机械的清除该位置的病毒，所以这个步骤非常重要。

4.如果你还没有做新系统，那么现在需要修改注册表的启动项HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run 把右边的键全部删除。

熊猫烧香病毒清除方法有哪些电脑病毒看不见，却无处不在，有时防护措施不够或者不当操作都会导致病毒入侵。

熊满烧香是之前很经典也是很可怕的一种病毒，那么具体有什么预防和处理办法呢?方法步骤1. 断开网络(必要)2. 结束病毒进程%System%\drivers\spoclsv.exe3. 删除病毒文件：c:\windows\system32\drivers\spoclsv.exe注意：打开C盘要右键-开打，否则仁兄就要功亏一篑，就要重复2的步骤!4. 修改注册表设置，恢复“显示所有文件和文件夹”选项功能：[Copy to clipboard]CODE:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\C urrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]"CheckedValue"=dword:00000001本步骤针对病毒将显示隐藏文件禁用的情况5. 右键点击分区盘符，点击右键菜单中的“打开”进入分区根目录，删除根目录下的文件：X:\setup.exeX:\autorun.inf6. 删除病毒创建的启动项：[Copy to clipboard]CODE:[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run]"svcshare"="%System%\drivers\spoclsv.exe"7. 使用专杀工具进行全盘扫描，清除恢复被感染的exe文件推荐使用软件：NimayaKiller相关阅读：2018网络安全事件：一、英特尔处理器曝“Meltdown”和“Spectre漏洞”2018年1月，英特尔处理器中曝“Meltdown”(熔断)和“Spectre” (幽灵)两大新型漏洞，包括AMD、ARM、英特尔系统和处理器在内，几乎近20年发售的所有设备都受到影响，受影响的设备包括手机、电脑、服务器以及云计算产品。