熊猫烧香鬼影版变种suchost版病毒描述

方舟系统站（） 转载请注明

　　此次变种笔者认为是非原“熊猫烧香”所为，它是原熊猫烧香变种spcolsv.exe版的初级改造版，病毒主文件名改为了suchost.exe，同时绑定几个盗号程序，目的性很强。在进程中，可以明显看到几个盗的进程，如图1所示，看进程的方法有很多种，病毒会根据窗口标题，踢出资源管理器的，另外此变种加入了各大专杀工具的控制，使专杀工具打开后1秒自动关闭，由于此变种内核原理并没有改变，所以只要将专杀工具改个名就可以将此变种扫除。
　　“熊猫烧香鬼影版变种suchost版”跟原版熊猫烧香及其前期变种有较大不同的是，它不会更改感染的.exe可执行文件的图标。所以比原版及前期变种更具隐弊性，它还能中止大量的反病毒软件进程并且会删除扩展名为gho的备份文件，使用户的系统备份文件丢失，无法通过克隆恢复系统。

图１　熊猫烧香鬼影版变种suchost版的进程及病毒文件

以下详细分析熊猫烧香鬼影版变种suchost版病毒的行为过程：

1:拷贝文件

通过脚本将网页中的病毒下载到系统临时目录，获得控制权运行后,会把自己拷贝到：C:\WINDOWS\System32\Drivers\suchost.exe
C:\WINDOWS\1.exe
C:\WINDOWS\gmm_my.exe
C:\WINDOWS\goodrack.exe
据分析suchost.exe原熊猫病毒主文件，其它三个为变种作者外挂的木马程序。

2:添加注册表自启动

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
病毒会添加自启动项CONFIG "C:\WINDOWS\gmm_my.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
病毒会添加自启动项IEXPlORER "C:\WINDOWS\goodrack.exe"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"svcshare"="C:\\WINDOWS\\system32\\drivers\\suchost.exe"

3:病毒行为

a:每隔1秒寻找程序的进程：

QQKav、QQAV、防火墙、进程、VirusScan、网镖、杀毒、毒霸、瑞星、江民、黄山IE、超级兔子、优化大师、木马克星、木马清道夫、QQ病毒、注册表编辑器、系统配置实用程序、卡巴斯基反病毒、Symantec AntiVirus、Duba、esteem proces、绿鹰PC、密码防盗、噬菌体、木马辅助查找器、System Safety Monitor、Wrapped gift Killer、Winsock Expert、游戏木马检测大师、msctls_statusbar32、pjf(ustc)、IceSword

并使用的键盘映射的方法关闭安全软件IceSword

添加注册表使自己自启动

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\suchost.exe

并中止系统中以下的进程: Mcshield.exe、VsTskMgr.exe、naPrdMgr.exe、UpdaterUI.exe、TBMon.exe、scan32.exe、Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、RavmonD.exe、RavStub.exe、KVXP.kxp、kvMonXP.kxp、KVCenter.kxp、KVSrvXP.exe、KRegEx.exe、UIHost.exe、TrojDie.kxp、FrogAgent.exe、Logo1_.exe、Logo_1.exe、Rundl132.exe

b:在后台弹出网页

弹出每隔18秒点击病毒作者指定的网页,并用命令行检查系统中是否存在共享，共存在的话就运行net share命令关闭admin$共享

c:通过局域弱口令作其它工作站传染

d:每隔6秒删除安全软件在注册表中的键值，并修改以下值不显示隐藏文件 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue -> 0x00

删除以下服务: navapsvc、wscsvc、KPfwSvc、SNDSrvc、ccProxy、ccEvtMgr、ccSetMgr、SPBBCSvc、Symantec Core LC、NPFMntor MskService、FireSvc

e:删除文件

病毒会删除扩展名为gho的文件，该文件是一系统备份工具GHOST的备份文件使用户的系统备份文件丢失。

f:每隔6秒向各盘根目录下释放如下文件
autorun.inf
内容:
[AutoRun]
OPEN=GH0ST.exe
shellexecute=GH0ST.exe
shell\Auto\command=GH0ST.ex

i:使用各类熊猫烧香专杀可以将此病毒的主程序及使大部分被传染的文件恢复。使用熊猫烧香专杀扫描后，熊猫烧香鬼影版变种主程序suchost.exe被查杀，图标基本恢复正常，若此时你认为没有问题了，可以放心使用了，就错了，因为你的各种帐号密码正在受到别人窥探，高危木马借熊猫的力量，已植入你的电脑，仍在活动之中，专杀之后重启电脑，似乎一切正常，打开任务管理器，如图2所示，就会发现不速之客还在里面。

图2　专杀之后木马仍在

如何彻底解除熊猫烧香鬼影版变种suchost版

手工解除：首先tasklist查看出不正常的进程，然后记录下它们的PID，taskkill /pid xxxx /f /t　（这里的xxx,是代表你刚才用tasklist查出的不正常的进程PID，下载一个最新的熊猫烧香专杀扫描全盘，将所有金猪清除。然后手工将木马文件删除：
C:\WINDOWS\1.exe
C:\WINDOWS\gmm_my.exe