熊貓燒香病毒變種spoclsv.exe

熊貓病毒大小：22,886 位元組

加殼方式：UPack

樣本MD5：9749216a37d57cf4b2e528c027252062

樣本SHA1：5d3222d8ab6fc11f899eff32c2c8d3cd50cbd755

發現時間：2006.11

更新時間：2006.11

傳播方式：通過惡意網頁傳播，其它木馬下載，可通過區域網路、移動存儲設備等傳播

又是“熊貓燒香”FuckJacks.exe的變種，和之前的變種一樣使用白底熊貓燒香圖示，病毒運行後複製自身到系統目錄下：

%System%\drivers\spoclsv.exe

創建啟動項：

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

"svcshare"="%System%\drivers\spoclsv.exe"

修改註冊表信息干擾“顯示所有檔案和資料夾”設定：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]

"CheckedValue"=dword:00000000

在各分區根目錄生成副本：

X:\setup.exe

X:\autorun.inf

autorun.inf內容：

[AutoRun]

OPEN=setup.exe

shellexecute=setup.exe

shell\Auto\command=setup.exe

嘗試關閉下列視窗：

QQKav

QQAV

VirusScan

Symantec AntiVirus

Duba

Windows

esteem procs

System Safety Monitor

Wrapped gift Killer

Winsock Expert

msctls_statusbar32

pjf(ustc)

IceSword

結束一些對頭的進程：

Mcshield.exe

VsTskMgr.exe

naPrdMgr.exe

UpdaterUI.exe

TBMon.exe

scan32.exe

Ravmond.exe

CCenter.exe

RavTask.exe

Rav.exe

Ravmon.exe

RavmonD.exe

RavStub.exe

KVXP.kxp

KvMonXP.kxp

KVCenter.kxp

KVSrvXP.exe

KRegEx.exe

UIHost.exe

TrojDie.kxp

FrogAgent.exe

Logo1_.exe

Logo_1.exe

Rundl132.exe

禁用一系列服務：

Schedule

sharedaccess

RsCCenter

RsRavMon

RsCCenter

RsRavMon

KVWSC

KVSrvXP

kavsvc

AVP

McAfeeFramework

McShield

McTaskManager

navapsvc

wscsvc

KPfwSvc

SNDSrvc

ccProxy

ccEvtMgr

ccSetMgr

SPBBCSvc

Symantec Core LC

NPFMntor

MskService

FireSvc

刪除若干安全軟體啟動項信息：

RavTask

KvMonXP

kav

KAVPersonal50

McAfeeUpdaterUI

Network Associates Error Reporting Service

ShStatEXE

YLive.exe

yassistse

使用net share命令刪除管理共享：

net share X$ /del /y

net share admin$ /del /y

net share IPC$ /del /y

遍歷目錄，感染除以下系統目錄外其它目錄中的exe、com、scr、pif檔案：

X:\WINDOWS

X:\Winnt

X:\System Volume Information

X:\Recycled

%ProgramFiles%\Windows NT

%ProgramFiles%\WindowsUpdate

%ProgramFiles%\Windows Media Player

%ProgramFiles%\Outlook Express

%ProgramFiles%\Internet Explorer

%ProgramFiles%\NetMeeting

%ProgramFiles%\Common Files

%ProgramFiles%\ComPlus Applications

%ProgramFiles%\Messenger

%ProgramFiles%\InstallShield Installation Information

%ProgramFiles%\MSN

%ProgramFiles%\Microsoft Frontpage

%ProgramFiles%\Movie Maker

%ProgramFiles%\MSN Gamin Zone

將自身捆綁在被感染檔案前端，並在尾部添加標記信息：

.WhBoy{原檔案名稱}.exe.{原檔案大小}.

與之前變種不同的是，這個病毒體雖然是22886位元組，但是捆綁在檔案前段的只有22838位元組，被感染檔案運行後會出錯，而不會像之前變種那樣釋放出{原檔案名稱}.exe的原始正常檔案。

另外還發現病毒會覆蓋少量exe，刪除.gho檔案。

病毒還嘗試使用弱密碼訪問區域網路內其它計算機：

password

harley

golf

pussy

mustang

shadow

fish

qwerty

baseball

letmein

ccc

admin

abc

pass

passwd

database

abcd

abc123

sybase

123qwe

server

computer

super

123asd

ihavenopass

godblessyou

enable

alpha

1234qwer

123abc

aaa

patrick

pat

administrator

root

sex

god

foobar

secret

test

test123

temp

temp123

win

asdf

pwd

qwer

yxcv

zxcv

home

xxx

owner

login

Login

love

mypc

mypc123

admin123

mypass

mypass123

Administrator

Guest

admin

Root