熊猫烧香金猪报喜变种sppoolsv版病毒描述

方舟系统站（） 转载请注明

　　此次变种笔者认为是非原“熊猫烧香”所为，它是原熊猫烧香变种spcolsv.exe版的初级改造版，病毒主文件名改为了sppoolsv.exe，同时绑定几个盗号程序，目的性很强。在进程中，可以明显看到几个盗的进程，如图1所示，看进程的方法有很多种，为使大家看得更习惯性，将资源管理器的执行文件改名为taskmgr1.exe,运行后就完全看到这个病毒的进程了（注在原版熊猫烧香或原作者所作的变种中，病毒是根据资源管理器窗口标题，来将踢出资源管理器的，sppoolsv版则检测进程名，所以改个名就不会踢出去了）。另外此变种加入了各大专杀工具的控制，使专杀工具打开后1秒自动关闭，由于此变种内核原理并没有改变，所以只要将专杀工具改个名就可以将此变种扫除。
　　“熊猫烧香金猪报喜变种sppoolsv版”跟原版熊猫烧香一样，是一个感染型的蠕虫病毒，它能感染系统中exe，com，pif，src，html，asp等文件，它还能中止大量的反病毒软件进程并且会删除扩展名为gho的备份文件，使用户的系统备份文件丢失，无法通过克隆恢复系统。被感染的用户系统中所有.exe可执行文件全部被改成金猪报喜的模样。

图１　金猪报喜变种sppoolsv版病毒发作后的进程及病毒文件

以下详细分析熊猫烧香金猪报喜变种sppoolsv版病毒的行为过程：

1:拷贝文件

通过脚本将网页中的病毒下载到系统临时目录，获得控制权运行后,会把自己拷贝到：C:\WINDOWS\System32\Drivers\sppoolsv.exe
C:\WINDOWS\system32\jiang.exe
C:\WINDOWS\system32\rhlamt.exe
C:\WINDOWS\system32\rhlamt.dll
据分析sppoolsv.exe原熊猫病毒主文件，其它三个为变种作者外挂的木马程序。

2:添加注册表自启动

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ejgewl"="C:\\WINDOWS\\system32\\rhlamt.exe"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"svcshare"="C:\\WINDOWS\\system32\\drivers\\sppoolsv.exe"

3:病毒行为

a:每隔1秒寻找程序的进程：

QQKav、QQAV、防火墙、进程、VirusScan、网镖、杀毒、毒霸、瑞星、江民、黄山IE、超级兔子、优化大师、木马克星、木马清道夫、QQ病毒、注册表编辑器、系统配置实用程序、卡巴斯基反病毒、Symantec AntiVirus、Duba、esteem proces、绿鹰PC、密码防盗、噬菌体、木马辅助查找器、System Safety Monitor、Wrapped gift Killer、Winsock Expert、游戏木马检测大师、msctls_statusbar32、pjf(ustc)、IceSword

并使用的键盘映射的方法关闭安全软件IceSword

添加注册表使自己自启动

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\sppoolsv.exe

并中止系统中以下的进程: Mcshield.exe、VsTskMgr.exe、naPrdMgr.exe、UpdaterUI.exe、TBMon.exe、scan32.exe、Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、RavmonD.exe、RavStub.exe、KVXP.kxp、kvMonXP.kxp、KVCenter.kxp、KVSrvXP.exe、KRegEx.exe、UIHost.exe、TrojDie.kxp、FrogAgent.exe、Logo1_.exe、Logo_1.exe、Rundl132.exe

b:在后台弹出网页

弹出每隔18秒点击病毒作者指定的网页,并用命令行检查系统中是否存在共享，共存在的话就运行net share命令关闭admin$共享

c:通过局域弱口令作其它工作站传染

d:每隔6秒删除安全软件在注册表中的键值，并修改以下值不显示隐藏文件 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue -> 0x00

删除以下服务: navapsvc、wscsvc、KPfwSvc、SNDSrvc、ccProxy、ccEvtMgr、ccSetMgr、SPBBCSvc、Symantec Core LC、NPFMntor MskService、FireSvc

e:感染文件

　　　病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部，文件长度增加64K，同时在每个目录生成一个desktop_.ini文件，如图２所示。并在扩展名为htm,html, asp,php,jsp,aspx的文件中，以内嵌0*0的框架，内放一个带毒网页，用户一但打开了该文件，IE就会不断的在后台点击写入的网址，达到增加点击量的目的,但病毒不会感染以下文件夹名中的文件： WINDOW、Winnt、System Volume Information、Recycled、Windows NT、WindowsUpdate、Windows Media Player、Outlook Express、Internet Explorer、NetMeeting、Common Files、ComPlus Applications、Messenger、InstallShield Installation Information、MSN、Microsoft Frontpage、Movie Maker、MSN Gamin Zone

图２　被传染后的文件图标

g:删除文件

病毒会删除扩展名为gho的文件，该文件是一系统备份工具GHOST的备份文件使用户的系统备份文件丢失。

h:每隔6秒向各盘根目录下释放如下文件
autorun.inf
内容:
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell/Auto/command=setup.exe

i:使用各类熊猫烧香专杀可以将此病毒的主程序及使大部分被传染的文件恢复。使用熊猫烧香专杀扫描后，