熊猫烧香病毒！ 样本+代码分析，切勿电脑上运行！

熊猫烧香是一个感染性的蠕虫病毒，它能感染系统中的 exe ，com ，pif，src，html，asp 等文件，它还能中止大量的反病毒软件进程并且会删除扩展名为 gho 的文件，该文件是一系统备份工具 GHOST 的备份文件，使用户的系统备份文件丢失。被感染的用户系统中所有的.exe可执行文件图标全部被改成熊猫烧香的图标，如下图所示：熊猫烧香病毒样本： 考虑到危害性，已取消链接 注意：切勿电脑上运行，建议在虚拟机上测试、研究病毒结构分析 从上述的流程图中我们可以看到，含有病毒体的文件被运行后，病毒将自身拷贝至系统目录，同时修改注册表，将自身设置为开机启动项，并遍历各个驱动器，将自身写入磁盘根目录，增加一个 autorun.inf 文件，使得用户打开该盘符时激活病毒体。随后病毒体开一个县城进行本地文件感染，同时开另外一个线程连接网站下载 DDoS 程序发起恶意攻击。具体行为分析 病毒的主要行为分为以下三部分：自我保护与自我复制感染病毒自我保护自我保护与自我复制行为就是复制自身到系统目录、双击被感染程序可以检测判断 spcolsv.exe 是否存在，从被感染的文件分裂出病毒程序重新执行。感...