熊猫烧香是一个感染性的蠕虫病毒，它能感染系统中的 exe ，com ，pif，src，html，asp 等文件，它还能中止大量的反病毒软件进程并且会删除扩展名为 gho 的文件，该文件是一系统备份工具 GHOST 的备份文件，使用户的系统备份文件丢失。被感染的用户系统中所有的.exe可执行文件图标全部被改成熊猫烧香的图标，如下图所示：

病毒结构分析

从上述的流程图中我们可以看到，含有病毒体的文件被运行后，病毒将自身拷贝至系统目录，同时修改注册表，将自身设置为开机启动项，并遍历各个驱动器，将自身写入磁盘根目录，增加一个 autorun.inf 文件，使得用户打开该盘符时激活病毒体。随后病毒体开一个县城进行本地文件感染，同时开另外一个线程连接网站下载 DDoS 程序发起恶意攻击。

具体行为分析

病毒的主要行为分为以下三部分：

• 自我保护与自我复制
• 感染
• 病毒自我保护

自我保护与自我复制行为就是复制自身到系统目录、双击被感染程序可以检测判断 spcolsv.exe 是否存在，从被感染的文件分裂出病毒程序重新执行。

感染的行为主要是感染全盘(本地)、定时器感染全盘(本地)、局域网感染(联网)

病毒自我保护行为主要是设置注册表、停止杀软、网站下载代码并执行。

我们一起来带大家演示一下这个病毒吧~~~

环境准备

• Windows 7 企业版
• VMware Workstation 12
• panda.exe
• Process Monitor v3.10

我们先看下下面这个操作

从上面这个操作，我们可以看到，我们打开任务管理器的时候，当前我们任务管理器有49个进程，我们可以通过对比任务管理器就可以知道，病毒创建了哪些进程。我们运行了病毒程序以后，我们可以发现，任务管理器自动关闭了，我们再尝试打开任务管理器，我们会发现，我们无法打开任务管理器，说明病毒程序已经对我们的系统造成了影响。

紧接着，我们还可以看到 Windows 安全中心服务已关闭，我们大概可以判断出，病毒程序关闭了我们的防火墙。

那我们现在如何查看当前系统的进程呢？

我们可以通过 cmd 调出命令提示符，输入 tasklist 可以列出当前系统的进程，我们和之前的系统进程进行匹配，我们可以发现，多出了一个 spcolsv.exe 的进程，我们可以大胆地猜测，这个就是病毒所创建出来的程序。

我们行为分析主要用的是 Process Monitor 工具，我们用过滤功能筛选出 panda.exe 进程信息，我们可以看到捕获到了许多有关 panda.exe 的进程信息。

我们可以先看下进程树，我们可以看到，由 panda.exe 衍生出了一个名为 spcolsv.exe 的程序，文件位置为 C:\Windows\system32\drivers\spcolsv.exe ，而这个程序又两次打开了 cmd.exe ，我们可以看下这里所运行的命令。

net share C$ /del /y 这条命令主要是删除C盘的共享，由于我目前的虚拟机中只有一个盘符C，所以我们有理由相信，如果病毒在真实机中运行，真实机中会有好几个盘符的话，它应该会删除所有盘符的共享。

net share admin$ /del /y 这条命令删除了根目录的共享。

看到这里，我们可以总结出病毒的两点行为：

• 病毒本身创建了名为 spcolsv.exe 的进程，该进程文件的路径为 C:\WINDOWS\system32\drivers\spcolsv.exe 。
• 在命令行模式下使用 net share 命令来取消系统中的共享。
• 
  
• 
  

下面我们可以看下 Process Monitor 对病毒的监控

我们可以先看下对注册表的监控，我们通过筛选，似乎没有发现很多有用的信息，说明 panda.exe 对于注册表没有什么实质的影响

接下来我们可以看下对文件的监控，由于文件项有那么多，我们就只关注对文件的创建部分，我们通过筛选发现， panda.exe 文件在 C:\WINDOWS\system32\drivers 中创建了 spcolsv.exe ，我们并没有发现其他的东西，所以我们可以猜测，真正对系统产生影响的可能就是 spcolsv.exe 这个程序

所以我们下一步的操作应当是只监控 spcolsv.exe 这样一个程序，这里我们需要将进程名为 spcolsv.exe 的进程加入筛选器进行分析。一般来说，病毒所产生的操作会比较多，所以我在这里为了便于讨论，我每次只会列出几项操作进行显示，其它的操作就由筛选器排除掉。首先可以查看一下 RegDeleteValue 这个操作：

可见病毒程序将当时几乎所有的安全类工具的自启动项给删除了，我们可以得出病毒的第三点行为：

• 删除安全类软件在注册表中的启动项

然后我们只保留 RegCreateKey 与 RegSetValue 进行分析

可见，病毒程序为自身创建了自启动项，使得每次启动计算机就会执行自身，因此我们可以得出病毒的第四点行为：

• 在注册表 HKCU\Software\Microsoft\Windows\CurrentVersion\Run 中创建 svcshare ，用于在开机时启动位于 C:\WINDOWS\system32\drivers\spcolsv.exe 的病毒程序

接下来我们可以看到，病毒程序对注册表的这个位置进行设置，能够实现文件的隐藏。此处进行设置后，即便在“文件夹选项”中选择“显示所有文件和文件夹”，也无法显示隐藏文件。

我们可以得出病毒的第五点行为：

• 修改注册表，使得隐藏文件无法通过普通的设置进行显示，该位置为： HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL ，病毒将 CheckedValue 的键值设置为了0。

至此，注册表部分就基本分析完毕了。

我们继续看看文件的监控，我们主要看的是病毒是否将自己复制到其他目录，或者创建删除了哪些文件等。

在图中可以看到，病毒文件在 C:\WINDOWS\system32\drivers 中创建了 spcolsv.exe 这个文件，在C盘根目录下创建了 setup.exe 与 autorun.inf ，并且在一些目录中创建了 Desktop_.ini 这个文件。由于创建这些文件之后就对注册表的 SHOWALL 项进行了设置，使得隐藏文件无法显示，那么有理由相信，所创建出来的这些文件的属性都是“隐藏”的，我们可以得出病毒的两点行为：

• 将自身拷贝到根目录，并命名为 setup.exe ，同时创建 autorun.inf 用于病毒的启动，这两个文件的属性都是“隐藏”。
• 在一些目录中创建名为 Desktop_.ini 的隐藏文件。

现在只进行网络监控，来查看病毒是否有联网动作

从监控结果可以看到，病毒会向 61.131.208.210 发送并接收信息，并不断尝试连接 192.168.152.X 即局域网中的其它计算机，我们可以总结出病毒的第八点行为：

• 向外发包，连接局域网中其他机器

源码分析

网上开源的代码绝大多数都是用 Delphi 编写的

病毒文件初始信息如下：

program Japussy;uses  Windows, SysUtils, Classes, Graphics, ShellAPI{, Registry};const  HeaderSize = 82432;                  //病毒体的大小  IconOffset = $12EB8;                 //PE文件主图标的偏移量  //在我的Delphi5 SP1上面编译得到的大小，其它版本的Delphi可能不同  //查找2800000020的十六进制字符串可以找到主图标的偏移量{  HeaderSize = 38912;                  //Upx压缩过病毒体的大小  IconOffset = $92BC;                  //Upx压缩过PE文件主图标的偏移量  //Upx 1.24W 用法: upx -9 --8086 Japussy.exe}  IconSize   = $2E8;                   //PE文件主图标的大小--744字节  IconTail   = IconOffset + IconSize;  //PE文件主图标的尾部  ID         = $44444444;              //感染标记

今天的熊猫烧香病毒分析就写到这里，如果阅读量还可以的话，明天更新一个手动杀毒的解决方案！