山寨版"熊貓"繼續"燒香"　冒充金山毒霸

【賽迪網-IT技術報道】熊貓燒香病毒隨病毒作者被雪藏而漸漸遠離人們的視野，網上有關熊貓的代碼流傳甚廣，比熊貓燒香在隱蔽性、抗殺能力、感染能力、傳播能力強很多的木馬下載器更多，網上公開的熊貓燒香代碼可能被作為某些人寫病毒的習作。最近就有好事者在這個基礎上寫了新的變種，這個山寨版熊貓使用毒霸的LOGO作圖標。

以下是這個病毒的詳細分析：

一、病毒信息

病毒名：win32.bmw.j.75783

病毒體大小：74.0 KB (75,783 字節)

病毒類型：熊貓燒香變種

二、病毒行為

這是一個熊貓燒香的變種，偽裝成毒霸的圖標來迷惑用戶，它還會下載其他病毒並執行。

1.病毒會刪除安全軟體的開機啟動項目和服務項目。

2.每1秒添加自己的啟動項，並將文件隱藏顯示註冊表鍵值破壞。

3.每隔6秒在每個驅動器下（A和B驅動器除外），刪除所在的autorun.inf文件或文件夾，並創建autorun.inf和對應的　　　.exe文件。

4.每隔6秒停止部分安全軟體服務，刪除部分安全軟體的服務和開機自啟動項目。

5.每10秒關閉以下進程，並添加映像劫持，指向ntsd -d

avp.exe    rav.exe    rsagent.exe    ravmon.exe    ravmond.exe    ravstub.exe    ravtask.exe    ccenter.exe    360tray.exe    360safe.exe

6.每30分鐘下載一次木馬 http://www.xxxxxx08.com/down/down.txt。

7.病毒會感染擴展名為exe、pif、com、src的文件，把自己附加到文件的頭部，並在擴展名為htm、html、asp、php、jsp、aspx的文件中添加一網址，用戶一但打開了該文件，IE就會不斷的在後台點擊寫入的網址，達到增加點擊量的目的。且該網頁有漏洞，新變種的病毒會被下載並運行。

感染時排除以下文件夾中的文件

WINDOW Winnt winrar system32 Documents and Settings System Volume Information RecycledWindows NT WindowsUpdate Windows Media Player Outlook Express Internet Explorer NetMeetingCommon Files ComPlus Applications Messenger InstallShield Installation Information   MSNMicrosoft Frontpage Movie Maker MSN Gamin Zone

也不感染NTDETECT.COM和rar後綴的文件。

感染後會在感染目錄下創建Desk_top_.ini文件，其內寫入當前系統時間。

(