fuckjack.exe

又是“熊貓燒香”FuckJacks.exe的變種，和之前的變種一樣使用白底熊貓燒香圖示，病毒運行後複製自身到系統目錄下：

%System%\drivers\spoclsv.exe

創建啟動項：

[Copy to clipboard]CODE:[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

"svcshare"="%System%\drivers\spoclsv.exe"

修改註冊表信息干擾“顯示所有檔案和資料夾”設定：

[Copy to clipboard]CODE:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]

"CheckedValue"=dword:00000000

在各分區根目錄生成副本：

X:\setup.exe

X:\autorun.inf

autorun.inf內容：

[Copy to clipboard]CODE:[AutoRun]

OPEN=setup.exe

shellexecute=setup.exe

shell\Auto\command=setup.exe

嘗試關閉下列視窗：

QQKav

QQAV

VirusScan

Symantec AntiVirus

Duba

Windows

esteem procs

System Safety Monitor

Wrapped gift Killer

Winsock Expert

msctls_statusbar32

pjf(ustc)

IceSword

結束一些對頭的進程：

Mcshield.exe

VsTskMgr.exe

naPrdMgr.exe

UpdaterUI.exe

TBMon.exe

scan32.exe

Ravmond.exe

CCenter.exe

RavTask.exe

Rav.exe

Ravmon.exe

RavmonD.exe

RavStub.exe

KVXP.kxp

KvMonXP.kxp

KVCenter.kxp

KVSrvXP.exe

KRegEx.exe

UIHost.exe

TrojDie.kxp

FrogAgent.exe

Logo1_.exe

Logo_1.exe

Rundl132.exe

禁用一系列服務：

Schedule

sharedaccess

RsCCenter

RsRavMon

RsCCenter

RsRavMon

KVWSC

KVSrvXP

kavsvc

AVP

McAfeeFramework

McShield

McTaskManager

navapsvc

wscsvc

KPfwSvc

SNDSrvc

ccProxy

ccEvtMgr

ccSetMgr

SPBBCSvc

Symantec Core LC

NPFMntor

MskService

FireSvc

刪除若干安全軟體啟動項信息：

RavTask

KvMonXP

kav

KAVPersonal50

McAfeeUpdaterUI

Network Associates Error Reporting Service

ShStatEXE

YLive.exe

yassistse

使用net share命令刪除管理共享：

[Copy to clipboard]CODE:net share X$ /del /y

net share admin$ /del /y

net share IPC$ /del /y

遍歷目錄

感染除以下系統目錄外其它目錄中的exe、com、scr、pif檔案：

X:\WINDOWS

X:\Winnt

X:\System Volume Information

X:\Recycled

%ProgramFiles%\Windows NT

%ProgramFiles%\WindowsUpdate

%ProgramFiles%\Windows Media Player

%ProgramFiles%\Outlook Express

%ProgramFiles%\Internet Explorer

%ProgramFiles%\NetMeeting

%ProgramFiles%\Common Files

%ProgramFiles%\ComPlus Applications

%ProgramFiles%\Messenger

%ProgramFiles%\InstallShield Installation Information

%ProgramFiles%\MSN

%ProgramFiles%\Microsoft Frontpage

%ProgramFiles%\Movie Maker

%ProgramFiles%\MSN Gamin Zone

將自身捆綁在被感染檔案前端，並在尾部添加標記信息：

QUOTE:.WhBoy{原檔案名稱}.exe.{原檔案大小}.

與之前變種不同的是，這個病毒體雖然是22886位元組，但是捆綁在檔案前段的只有22838位元組，被感染檔案運行後會出錯，而不會像之前變種那樣釋放出{原檔案名稱}.exe的原始正常檔案。

另外還發現病毒會覆蓋少量exe，刪除.gho檔案。

病毒還嘗試使用弱密碼訪問區域網路內其它計算機：

password

harley

golf

pussy

mustang

shadow

fish

qwerty

baseball

letmein

ccc

admin

abc

pass

passwd

database

abcd

abc123

sybase

123qwe

server

computer

super

123asd

ihavenopass

godblessyou

enable

alpha

1234qwer

123abc

aaa

patrick

pat

administrator

root

sex

god

foobar

secret

test

test123

temp

temp123

win

asdf

pwd

qwer

yxcv

zxcv

home

xxx

owner

login

Login

love

mypc

mypc123

admin123

mypass

mypass123

Administrator

Guest

admin

Root

清除步驟

==========

1. 斷開網路

2. 進入Dos模式刪除病毒檔案

del c:\windows\system32\drivers\spoclsv.exe

3. 右鍵點擊分區盤符，點擊右鍵選單中的“打開”進入分區根目錄，刪除根目錄下的檔案：

X:\setup.exe

X:\autorun.inf

4.安裝卡巴斯基/麥咖啡/諾頓等防毒軟體，更新病毒庫至最新，掃描全盤。

5. 刪除病毒創建的啟動項：

[Copy to clipboard]CODE:[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

"svcshare"="%System%\drivers\spoclsv.exe"

6. 修改註冊表設定，恢復“顯示所有檔案和資料夾”選項功能：

[Copy to clipboard]CODE:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]

"CheckedValue"=dword:00000001