一，病毒感染简述 近期，令人信服的安全性精英团队接到了顾客意见反馈，內部在网上好几个服务器中的文档感柒了病毒感染，危害了一切正常业务流程。历经剖析，该病毒感染是“熊猫烧香”病毒感染的这种变种。虽然该病毒感染早已存有了十几年，但因为其明显的感柒和散播，它依然非常容易在欠缺维护的内连接网络中散播。 该病毒性感染服务器中的可执行文件，压缩文件和web文档，而且可以根据硬盘和LAN散播，并具备抵抗软杀掉的个人行为。 在最开始的“Panda Burning Incense”病毒感染中毒了后被感柒的可执行文件将变成“Panda Burning Incense”的标志，这都是病毒名称的来源于。捕捉的变体在感柒后不容易更改图标，由于它会在可执行文件被感柒时获取初始文档的标志并将其插进受感柒的文档中。

　　该病毒感染的关键个人行为给出：

　　二，深入分析

　　2.2 嵌入一部分 病毒感染运作后，它将最先将本身拷贝到％SystemRoot％\ System32 \ drivers \ suchost.exe。

　　运作soost.exe随后撤出。

　　3.2 散播一部分 [1] 硬盘散播 Suchost.exe将本身拷贝到每一硬盘的主目录，名叫“.exe”，并在每一主目录下建立1个“autorun.inf”文档。文件属性是“只读”，“掩藏”，“系统软件”。

　　autorun.inf文档具备以下几点。该作用是在开启硬盘后自启动病毒感染物体“.exe”。那样，病毒感染就可以根据移动u盘或百度云盘传送。微软公司在2013年公布的补丁包KB967940中公布了自启动作用。它只适用Cd/游戏软件新闻媒体，因而修复后的系统软件或win7不容易以这类方法被感柒。

　　在硬盘的主目录中运作“.exe”将开启与硬盘相匹配的文件目录并关掉“我的电脑”对话框。事件实行全过程始终不变。

　　[2] 文档感柒 清除受感柒的系统目录包含： WINDOWS，WINNT，system32，文本文档和设定，系统软件卷信息内容，再造，Windows Nt，Windows Update，Windows Media Player，Outlook Express，Internet Explorer，NetMeeting，公共性文档，ComPlus手机应用程序，Messenger，InstallShield安裝信息内容，MSN，Microsoft Frontpage ，电影制作人，MSN Gamin Zone。 每一次感柒文件夹名称时，都是在其文件目录中建立Desktop_.ini纪录以纪录感柒时间。病毒感染会将当今时间与到时候感柒前的纪录时间开展较为，假如同样，则不容易反复感柒。 08.jpg 当病毒程序运作时，它将明确Desktop_.ini文档是不是存有于其文件目录中，假如存有则将其删掉。

　　清除受感柒的NTDETECT.Com文档，随后按文件后缀名称确定感柒总体目标。受感柒的文件类型关键分成几类：压缩文件，可执行文件和web文档：RAR，ZIP，EXE，SCR，PIF，Com，.asp，Html，asp，Python，jsp，aspx：

　　在感柒文档以前获得文件大小。假如超出某一值，则不容易被感柒。压缩文件为30M，可执行文件和网页文件为12M。 4.jpg 针对RAR和ZIP尾缀的压缩文件，将实行winrar指令将其解压缩到C: \ MyRARwork文件夹名称，随后该文档将被感柒，随后缩小回初始文件目录。 针对EXE，SCR，PIF和Com尾缀的可执行文件，最先明确他们是不是包括字符串“BMW !!”，假如是，则不必实行感柒。

　　获取初始文档的标志并将其临时储存到％Temp％文件目录。

　　拷贝病毒感染文档以遮盖受感柒的文档。

　　图标文件将载入病毒感染文档，便于受感柒的文件图标不容易变更，随后删掉图标文件。