熊貓燒香的傳播方式和原始碼

　　是什麼呢!下面由小編為您提供，希望能幫助您。

　　：

　　這是一個感染型的蠕蟲病毒，它能感染系統中exe,com,pif,src,html,asp等檔案，它還能中止大量的反病毒軟體程序

　　1拷貝檔案

　　病毒執行後，會把自己拷貝到

　　C:\WINDOWS\System32\Drivers\spoclsv.exe

　　2添加註冊表自啟動

　　病毒會新增自啟動項

　　svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe

　　3病毒行為

　　a：每隔1秒

　　尋找桌面視窗，並關閉視窗標題中含有以下字元的程式

　　QQKav

　　QQAV

　　防火牆

　　程序

　　VirusScan

　　網鏢

　　防毒

　　毒霸

　　瑞星

　　江民

　　黃山IE

　　超級兔子

　　優化大師

　　木馬克星

　　木馬清道夫

　　QQ病毒

　　登錄檔編輯器

　　系統配置實用程式

　　卡巴斯基反病毒

　　Symantec AntiVirus

　　Duba

　　熊貓燒香esteem proces

　　綠鷹PC

　　密碼防盜

　　噬菌體

　　木馬輔助查詢器

　　System Safety Monitor

　　Wrapped gift Killer

　　Winsock Expert

　　遊戲木馬檢測大師

　　msctls_statusbar32

　　pjf***ustc***

　　IceSword

　　並使用的鍵盤對映的方法關閉安全軟體IceSword

　　添加註冊表使自己自啟動

　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

　　svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe

　　並中止系統中以下的程序：

　　Mcshield.exe

　　VsTskMgr.exe

　　naPrdMgr.exe

　　UpdaterUI.exe

　　TBMon.exe

　　scan32.exe

　　Ravmond.exe

　　CCenter.exe

　　RavTask.exe

　　Rav.exe

　　Ravmon.exe

　　RavmonD.exe

　　RavStub.exe

　　熊貓燒香KVXP.kxp

　　kvMonXP.kxp

　　KVCenter.kxp

　　KVSrvXP.exe

　　KRegEx.exe

　　UIHost.exe

　　TrojDie.kxp

　　FrogAgent.exe

　　Logo1_.exe

　　Logo_1.exe

　　Rundl132.exe

　　b：每隔18秒

　　點選病毒作者指定的網頁，並用命令列檢查系統中是否存在共享

　　共享存在的話就執行net share命令關閉admin$共享

　　c：每隔10秒

　　下載病毒作者指定的檔案，並用命令列檢查系統中是否存在共享

　　共享存在的話就執行net share命令關閉admin$共享

　　d：每隔6秒

　　刪除安全軟體在登錄檔中的鍵值

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

　　RavTask

　　KvMonXP

　　kav

　　KAVPersonal50

　　McAfeeUpdaterUI

　　Network Associates Error Reporting Service

　　ShStartEXE

　　YLive.exe

　　yassistse

　　並修改以下值不顯示隱藏檔案

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

　　CheckedValue -> 0x00

　　刪除以下服務：

　　navapsvc

　　wscsvc

　　KPfwSvc

　　SNDSrvc

　　ccProxy

　　ccEvtMgr

　　ccSetMgr

　　SPBBCSvc

　　Symantec Core LC

　　NPFMntor

　　MskService

　　FireSvc

　　e：感染檔案

　　病毒會感染副檔名為exe,pif,com,src的檔案，把自己附加到檔案的頭部

　　並在副檔名為htm,html,asp,php,jsp,aspx的檔案中新增一網址，

　　使用者一但打開了該檔案，IE就會不斷的在後臺點選寫入的網址，達到

　　增加點選量的目的，但病毒不會感染以下資料夾名中的檔案：

　　熊貓燒香WINDOW

　　Winnt

　　System Volume Information

　　Recycled

　　Windows NT

　　WindowsUpdate

　　Windows Media Player

　　Outlook Express

　　Internet Explorer

　　NetMeeting

　　Common Files

　　ComPlus Applications

　　Messenger

　　InstallShield Installation Information

　　MSN

　　Microsoft Frontpage

　　Movie Maker

　　MSN Gamin Zone

　　g：刪除檔案

　　病毒會刪除副檔名為gho的檔案，該檔案是一系統備份工具GHOST的備份檔案

　　使使用者的系統備份檔案丟失.

　　瑞星病毒分析報告：“Nimaya***熊貓燒香***”

　　這是一個傳染型的DownLoad 使用Delphi編寫