最近烧香病毒闹的荒,于是花了几个小时整理了下。希望对大家有点帮助。

概要:这病毒我最早在10 月底时接触,那时这病毒并没有现在这样流行(也许是病毒刚
出来吧)。曾经几个月的发展,前几天从同事那拿了几个新变种看了会,发现病毒和早期的
版本相差比较大。根据病毒的差异,我自己将病毒分为:ABCD 4 个变种。各变种的不同处
如下:
A 病毒将自身复制为%System32%\FuckJacks.exe,然后感染除特殊文件夹之外的文件夹中的可
执行文件。
B 病毒将自身复制为%System32%\Drivers\spoclsv.exe,感染时在c 盘根目录下生成感染标记文
件。
C 病毒不再感染用户系统中的可执行文件,而是感染用户系统中的脚本病毒(这样的危害更
大)?在每个感染后的文件夹中写下感染标记文件。
D 感染用户可执行文件时不再使用A 和B 版本中的直接捆绑感染。用户中毒后可执行程序的
图标不改变(a 和b 版本感染后可执行文件的图标都变成熊猫烧香)。
今天我分析的就是C 版本(下次有空我将整理出A 版本的分析资料),小版本可能会有所不同,
因此如果你发现你机器上的和我所述的相似但不完全一样也是正常的。
中毒