熊猫烧香及其变种手工清除

说起熊猫烧香，那可以说是无人不知了吧，想当年可是人人“谈猫色变”，下面这个图片大家都很熟悉吧~
VG7@$h1|nL0IXPUB技术博客u n*qb5rS0]I0`
你可能会说，这个病毒已经比较老了，为什么还要选这个病毒呢？
0TkMD0M#z9kA`0之所以选择“熊猫烧香(WhBoy)” 来做分析，一来是因为它知名度比较高。
*?-r:Ge,`i0另一点比较重要的是熊猫烧香是一个发作症状比较典型，
2Op yO|IzM Z0同时又可以清除（注意：不是删除）的病毒体。因为熊猫烧香是嵌入代码，而非覆盖。IXPUB技术博客4RM[ ~`OU K
相比之后出现的“小浩”、“BlackDay”、“金猪”，IXPUB技术博客YGH2U#fi+P:Zc
再到后来更凶猛的“AV杀手”、“机器狗”、“磁碟机”，熊猫烧香可以说是此类病毒的鼻祖了。
P0|)V;cX:N2fNAh0从熊猫烧香开始，病毒越来越注重自我保护，并破坏杀软。这一点上，到了“磁碟机”更是到达了极致。IXPUB技术博客Q6K,[p_d
e[
类似小浩，BlackDay的病毒，由于采用了覆盖的方式，一旦文件被感染，就无法修复了。IXPUB技术博客3IKf0w9]H&?%Z VM6A
因此，熊猫烧香是具有典型的代表意义的病毒，是之后很多病毒的“鼻祖”。IXPUB技术博客2O/d3S9lD
N8O DQ
IXPUB技术博客+p ]i0A3mS

%iU!Aj-ug,W5O7oTK0好了，下面就进入正式的测试了：IXPUB技术博客NIC8z w{8W zz/]h
为了以防万一，防止病毒体破坏系统，使用“影子系统”进行测试，
\}'V*b-Hyx0IXPUB技术博客{:q|1js6}k

8? X!B]`0
V_n3vhqn0影子系统2008还是很好用的，默认的密码是1234
iC[.H)CsyP4V-pO0IXPUB技术博客Fhmqg|Wh%w)O

Ma7V
\"j KrJ0IXPUB技术博客e,W.z|0c6{Zn[-q"_-eF
这就是我的桌面了，哈哈~  因为总共只有一个C盘，用的是单一影子模式IXPUB技术博客jhZ0Us7^E*}:p
IXPUB技术博客0m:I3`g }]l

RR2eI})MnUr0IXPUB技术博客BK
lLUK5_h+Db
首先测试一下一个比较原始的熊猫病毒，就是FuJack.exeIXPUB技术博客 hSD%GB4AK
运行熊猫样本，然后用清理专家扫描，发现可疑的启动项
*G4~dw3fya}
CYH0全面诊断可以定位到文件和注册表项：
w]oF#g h8p7q)d0
_v9XyR)juo0
-kh
?fH-mW)FI0IXPUB技术博客 c#H!iF4I
SREng扫描日志见下面附件。可以发现内存中的Fujack.exe,以及多余的启动项。IXPUB技术博客7HiP}
l

qE8n}3j)v2O0打开金山毒霸，扫描清除内存中的病毒和注册表中的相关项目IXPUB技术博客r
n[r;r'htN

i9g"h3@]pl0IXPUB技术博客8EwCKsyTDOO
IXPUB技术博客q9r"_CV4N
上面提到的那个熊猫病毒，是比较原始的病毒，后来出的变种，要“凶猛”得多。IXPUB技术博客C I(q8Fy
尤其以这个ncscv32.exe为代表。IXPUB技术博客H1GZ
Q6df$wP

CP2Mk,O?5T&]#uj0
*s-i7N5t4Ws+x0IXPUB技术博客9u2[{7K2IQ
用金山清理专家可以发现该文件释放ncscv32.exe到system32目录下的driver目录中，十分狡猾。
;L:r3V
Kp"j_0
Q0I3}BX&F#L8O0Y0IXPUB技术博客-T-G&LSg u

gY0k?L5@&C o] I0用IceSword查看有隐藏进程，ncscv32进程也在运行中IXPUB技术博客!A~9^1E2vrE
查看网络连接，可以看到ncscv32.exe打开了不少本地端口(2558,2460,1410)IXPUB技术博客yV5{)bzP Sr0G
IXPUB技术博客H;r-_`Y[]&W.KB

`#m N9T.v;WM0IXPUB技术博客`%S^(z4Y|ONjj
启动项也已经被修改了IXPUB技术博客#d(Mj/n4Da$GL

P'K:d(]+f4nU,ano0
]| C \j+GYp)]+K;yS0IXPUB技术博客;Fn2i|C
开启毒霸，去除病毒体和相关的注册表项目IXPUB技术博客7W2rH#Q4D|rC"]-|
IXPUB技术博客]EC4~l ls

:X-G\:d2Ji7|S0IXPUB技术博客V |d+ha Z/q
至此，熊猫烧香及其变种的分析和清除就全部完成了。IXPUB技术博客&I7A'H\;m^(U&Be
从熊猫烧香后，病毒的传染途径主要就变成了通过优盘和网络传播，而且自我隐藏,保护和IXPUB技术博客'yT:R s8L9O6@
破坏杀毒软件的“功力”也越来越强。
6V+a LD~~-E)\Di0这就给杀毒软件厂商提出了新的挑战：增强自我保护，在感染病毒后，依然要屹立不倒。
:H!f1a%~j F0具有主动防御/智能判断功能，能够在病毒库更新前就拦截病毒的可疑行为。
W'`&fKY\!mpj0目前的毒霸/网镖组合就具有初步的主防功能。
l$Huh7W8M*eGQ-HH_#}0
7z~*B*Nbtk0IXPUB技术博客z%k%|p.zU
最后，附赠一个我自己制作的熊猫烧香的图标( 请放心，ico图标文件，完全无毒 )，配合我写的autorun.inf，放在优盘或硬盘里，再把图标和autorun.inf设为隐藏。 效果就是优盘或硬盘的图标会变成一个熊猫烧香状~IXPUB技术博客~V
_}G&~ ^

8nNliT/E M0
%YI$`/bwS!jR0
&J
|nw4M V(f0想当年我的这只优盘可是把打印店的老板吓出一身冷汗 呵呵