前不久一种新的蠕虫在互联网蔓延开来，感染的电脑都会看到一个为熊猫图案的图标，而电脑中的众多文件都将被破坏，这就是由“威金”病毒变种而来的“熊猫烧香”，但是“熊猫烧香”的变种来的更快，让大家防不胜防。众多杀毒软件都无力应付。

　　新的变种出现在06年12月29日晚，一个偶然的机会被雅梵抓到了(^-^)，不过就在今天一早仍然没有发现更新的变种出现，虽然已经将我的捕获情况和一点分析上报了。雅梵还是决定分享一下我个人的方法，为受害的朋友们带来一点帮助。

注意：请看之前注意一下发表时间，不一定会继续追踪分析，以免看到历史记录^_^
新变种发现于06年12月29日晚。此文写于07年1月1日
首发：http://blog.yarfun.com 转载请注明，谢谢。

  由于此蠕虫变种非常迅速，专杀工具效果并不理想，希望大家不要浪费时间苦寻了。

  目前已经测试的杀毒软件，瑞星2007，KV2007，咖啡8.5i，诺顿2007，卡巴斯基6.0
注意：目前已测试的软件中，没有任何一款完全具备此新变种蠕虫的特征库及清除方案。

瑞星2007：在感染后直接被从进程中结束，并被删除了注册表键值、服务组件，以及部分主要程序文件。从一开始到结束什么反应都没有就彻底被杀了-_-，更换系统查杀病毒，瑞星2007没有查到任何一个。

KV2007：在系统监控与文件监控都打开的情况下，顺利拦截，显示为“威金”。但是并未拦截端口服务程序，很快就在系统中以端口服务方式直接感染蠕虫，KV2007只拦截了蠕虫。如果没有安装或没有开系统监控，将被从进程中结束，删除右键菜单中的扫描选项，程序文件并无大碍。

咖啡8.5i：在今天的更新后，咖啡与KV一样，顺利查出蠕虫，显示为“威金”，并查出其中一个自我保护程序。识别为“Games/Pass”程序。但是没过几分钟，由于服务端口程序从后台安装蠕虫，咖啡也彻底死亡，再也无法启动。

诺顿2007：诺顿2007对未知病毒的查杀向来很好，这次也没让我失望。成功拦截，情况与咖啡大致相同，不过诺顿2007却能顺利拦截端口服务程序的安装，不过仍然无法完全查杀。由于顺利拦截没有遭到砍死的命运。

卡巴斯基6.0：卡巴很失望，虽然能查到蠕虫与TIMPlatform.exe木马，其余什么都没有检测到。情况和瑞星差不多，怎么死的什么都不知道。。。

扫描情况（脱机扫描）：

瑞星2007：什么都没查到！怀疑以后都没有测试的必要了。

KV2007：可以成功清除蠕虫、附带木马以及注册表项（杀毒时一起完成），但是无法扫描到自我保护程序与端口服务程序。

咖啡8.5i：能顺利清除蠕虫、附带的木马、自我保护程序。无法扫到端口服务程序。

诺顿2007：同咖啡。

卡巴斯基6.0：能顺利清除蠕虫、附带的木马。无法扫描到自我保护程序及端口服务程序。

症状说明：

　　一开始的“熊猫烧香”具体症状为，频繁重启、蓝屏、破坏数据、局域网蔓延。目前经过多次监控。

　　新的蠕虫，并无发作征召，只是CPU占用较高，怀疑是集体爆发，所以并没有破坏什么东西。但是修改了机器上的网页文件，修改图中硬盘高速工作。

感染过程：

　　利用IE的漏洞，将“蠕虫”下载到IE临时文件夹，在*:\documents and settings\用户名\local settings\temp\zt2\产生SVCH0ST.EXE文件。程序自动运行后，获取木马及保护程序，并伪装系统文件，建立木马*:\windows\system32\windhcp.ocx，

　　随即启动QQ木马，并具备自我保护，*:\WINDOWS\system32\uaoybx.exe、uaoybx.dll、征途木马SVCH0ST(注册表、任务管理器)，将杀毒软件、木马监控软件进程结束、并破坏当前正在监控的杀毒软件及木马监控软件。监控进程，结束“任务管理器”、“注册表编辑器”、“windows优化大师相关”、“超级兔子相关”、“卡卡”、“360安全卫士”、“木马克星”、“木马杀客”、“KV漏洞扫描”等等，诸多系统安全保护方面的软件及系统管理程序。

　　消耗前台运行资源explorer及其他进程，使系统难以操作。注入所有开机启动的程序中，既便不允许蠕虫的任何文件允许，启动任何一个都会初始化蠕虫。

　　将“威金”变种“熊猫烧香”蠕虫，安装到所有C～Z，硬盘及移动储存设备，A、B幸免，光驱不会(废话)。的根目录，文件名为：AUTORUN.INF、Setup.exe（图标为熊猫烧香）

　　检测QQ安装目录，并将木马TIMPlatform.exe放置QQ安装主目录中。

　　透过局域网扫描系统漏洞并蔓延到其他电脑的同时，检测IIS不管应用程序池及站点是否启用，由此开始修改IIS指定目录下的所有网页程序，并首先从IIS的文档文件名及常用的index、default文件开始，修改源代码，增加一段：

[coolcode][/coolcode]

或者是

[coolcode][/coolcode]

也会两者均有

此后，对硬盘上的所有以htm、html、asp、aspx、php、cgi等网页及网关程序增加同样代码。

其意图非常明显，首先修改IIS，如果是互联网发布服务器，那此后访问的人都会感染此蠕虫，就算清楚了程序，修改过其他的htm、html网页文件后，只要用户读取仍然继续感染此蠕虫。

有部分反流氓软件，可以在不结束自我保护程序的情况下运行并扫描到此程序，只要清除的话，同样也会被从进程中结束。

[tags]病毒,木马,蠕虫,杀毒软件,系统安全[/tags]