熊猫烧香应急处理方法

熊猫烧香病毒机理分析

（1）自启动方式

熊猫烧香病毒将自身拷贝至系统目录，同时修改注册表将自身设置为开机启动项
这种方式也是绝大部分病毒自启动所采用的方式。

拷贝自身到所有驱动器根目录（盘符），命名为Setup.exe，在驱动器根目录生成

autorun.inf文件，并把它设置为隐藏、只读、系统

autorun.inf文件的作用是允许在双击磁盘时自动运行指定的某个文件，即运行Setup.exe。

(2)传播方式

a、感染可执行文件
熊猫烧香病毒会搜索并感染系统中特定目录外的所有.EXE / .SCR / .PIF / .COM等文件，将自身捆绑在被感染文件前端，并在尾部添加标记信息：.WhBoy{原文件名}.exe.{原文件大小}。注意，它感染的是特定目录外的，而某些系统目录是不去感染的，因为Windows系统某些可执行文件是有还原机制的，系统文件修改有时候会有报警提示。

b、感染网页
熊猫烧香病毒会查找系统以 .html 和 .asp 为后缀的文件，在里面插入网页标记，这个帧iframe会将另外一个URL嵌入到当前网页，并且宽度和高度设置为0（看不到）。嵌入页面后会利用如IE浏览器的漏洞来触发恶意代码，从而释放相应病毒出来。

c、通过弱口令传播
这种传播方式非普遍，它会访问局域网共享文件夹将病毒文件拷贝到该目录下，并改名为GameSetup.exe（模拟游戏名称）；通过弱口令猜测从而进入系统C盘。

(3) 自我隐藏

a、禁用安全软件
熊猫烧香病毒会尝试关闭安全软件（杀毒软件、防火墙、安全工具）的窗口、进程，比如包含360的名称等；删除注册表中安全软件的启动项；禁用安全软件的服务等操作。

b、自动恢复“显示所有文件和文件夹”选项隐藏功能
某些用户去看隐藏文件，会主动点击查看隐藏文件夹，但这个病毒会自动恢复隐藏。

c、删除系统的隐藏共享（net share）
Windows系统其实默认会开启隐藏共享 C$ ，比如早期的 IPC$ 管道等，通过net share命令可以删除隐藏共享。

(4)破坏情况

a、熊猫烧香病毒同时会开另一个线程连接某网站下载DDOS程序进行发动恶意攻击
具有破坏功能，可开启附件攻击行为，熊猫烧香感染计算机台数非常多，它就能发动多台电脑发起DDOS攻击。

b、删除扩展名为gho的文件，延长存活时间
该文件是系统备份工具GHOST的备份文件，从而使用户的系统备份文件丢失。当用户中了病毒，想去恢复时就存在困难了。

实战过程
实验环境： Windows XP 吾爱破解专版
实验文件：setup.exe(熊猫烧香)

手动查杀病毒基本流程

1、排插可疑进程

2、检查启动项

3、删除病毒

4、修复被病毒破坏的文件

第一步，运行样本之前打开任务管理器查看当前进程

第二步，运行样本之后，发现任务管理器闪退

第三步，打开cmd，输入”tasklist“

我们看到的process信息如下，我们发现多出来一个新的进程“spoclsv.exe”

第四步 终止进程

指令：**taskkill /f /im + 对应的PID值 ** /f 表示强制执行 /im 表示文件

这里输入的是：taskkill /f /im 1752

第五步 查询启动项

第六步 检测这个启动项创建的位置和键值

也就是上图中的命令和位置

• C:\WINDOWS\System32\drivers\spoclsv.exe
• HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

第七步 注册表查看对应的值


我们打开这个目录查看

第八步 取消启动项（不要立即重启）

刷新注册表，发现启动项已经被删除了

第九步 删除病毒（使用cmd）

首先要进入spoclsv所在的文件夹，其余指令如图所示

发现文件夹中的文件以及被删除

第十步 删除隐藏的文件

其中：attrib -s -r -h setup.exe：消除隐藏、系统、只读属性

最后一步：重启电脑即可

希望大家可以有所收获！！！