killer (killer<2>uid0.net)

含有病毒體的檔案被運行後，病毒將自身拷貝至系統目錄，

同時修改註冊表將自身設定為開機啟動項，並遍歷各個驅動器，將自身寫入磁碟根目錄下，增加一個 Autorun.inf檔案，

使得用戶打開該盤時激活病毒體。隨後病毒體開一個執行緒進行本地檔案感染，

同時開另外一個執行緒連線某網站下載ddos程式進行發動惡意攻擊。

[檔案信息]

病毒名: Virus.Win32.EvilPanda.a.ex$

大 小: 0xDA00 (55808), (disk) 0xDA00 (55808)

SHA1 : F0C3DA82E1620701AD2F0C8B531EEBEA0E8AF69D

殼信息: 未知

危害級別：高

病毒名: Flooder.Win32.FloodBots.a.ex$

大 小: 0xE800 (59392), (disk) 0xE800 (59392)

SHA1 : B71A7EF22A36DBE27E3830888DAFC3B2A7D5DA0D

殼信息: UPX 0.89.6 - 1.02 / 1.05 - 1.24

危害級別：高

Virus.Win32.EvilPanda.a.ex$ ：

1、病毒體執行後，將自身拷貝到系統目錄：%SystemRoot%\system32\FuckJacks.exe

2、添加註冊表啟動項目確保自身在系統重啟動後被載入：

鍵路徑：HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

鍵名：FuckJacks

鍵值："C:WINDOWS\system32\FuckJacks.exe"

鍵路徑：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

鍵名：svohost

鍵值："C:WINDOWS\system32\FuckJacks.exe"

3、拷貝自身到所有驅動器根目錄，命名為Setup.exe，並生成一個autorun.inf使得用戶打開該盤運行病毒，並將這兩個檔案屬性設定為隱藏、唯讀、系統。

C:autorun.inf 1KB RHS

C:setup.exe 230KB RHS

4、關閉眾多防毒軟體和安全工具。

5、連線*****.3322.org下載某檔案，並根據該檔案記錄的地址，去www.****.com下載某ddos程式，下載成功後執行該程式。

6、刷新bbs.qq.com，某QQ秀連結。

7、循環遍歷磁碟目錄，感染檔案，對關鍵系統檔案跳過，不感染Windows媒體播放器、MSN、IE 等程式。

Flooder.Win32.FloodBots.a.ex$ ：

1、病毒體執行後，將自身拷貝到系統目錄：

%SystemRoot%\SVCH0ST.EXE

%SystemRoot%\system32\SVCH0ST.EXE

2、該病毒後下載運行後，添加註冊表啟動項目確保自身在系統重啟動後被載入：

鍵路徑：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

鍵名：Userinit

鍵值："C:WINDOWS\system32\SVCH0ST.exe"

3、連線ddos2.****.com，獲取攻擊地址列表和攻擊配置，並根據配置檔案，進行相應的攻擊。

配置檔案如下：

www.victim.net:3389

www.victim.net:80

www.victim.com:80

www.victim.net:80

1

1

120

50000

1、使用超級巡警可以完全清除此病毒和恢復被感染的檔案。

2、推薦在清除時先使用超級巡警的進程管理工具結束病毒程式，否則系統回響很慢。

3、中止病毒進程和刪除啟動項目請看論壇相關圖片。