熊猫烧香病毒随病毒作者被雪藏而渐渐远离人们的视野,网上有关熊猫的代码流传甚广,比熊猫烧香在隐蔽性、抗杀能力、感染能力、传播能力强很多的木马下载器更多,网上公开的熊猫烧香代码可能被作为某些人写病毒的习作。最近就有好事者在这个基础上写了新的变种,这个山寨版熊猫使用毒霸的LOGO作图标。
以下是这个病毒的详细分析:
一、病毒信息
病毒名:win32.bmw.j.75783
病毒体大小:74.0 KB (75,783 字节)
病毒类型:熊猫烧香变种
二、病毒行为
这是一个熊猫烧香的变种,伪装成毒霸的图标来迷惑用户,它还会下载其他病毒并执行。
1.病毒会删除安全软件的开机启动项目和服务项目。
2.每1秒添加自己的启动项,并将文件隐藏显示注册表键值破坏。
3.每隔6秒在每个驱动器下(A和B驱动器除外),删除所在的autorun.inf文件或文件夹,并创建autorun.inf和对应的.exe文件。
4.每隔6秒停止部分安全软件服务,删除部分安全软件的服务和开机自启动项目。
5.每10秒关闭以下进程,并添加映像劫持,指向ntsd -d
avp.exe rav.exe rsagent.exe ravmon.exe ravmond.exe
ravstub.exe ravtask.exe ccenter.exe 360tray.exe 360safe.exe