瑞星熊猫烧香专杀工具
http://www.p234.com/Soft/cygj/200612/66.html

江民熊猫烧香专杀工具
http://www.p234.com/Soft/rjxz/200612/68.html

金山熊猫烧香专杀工具
http://www.p234.com/Soft/cygj/200612/67.html

熊猫烧香病毒变种 spoclsv.exe 解决方案
病毒大小：22,886 字节
加壳方式：UPack
样本MD5：9749216a37d57cf4b2e528c027252062
样本SHA1：5d3222d8ab6fc11f899eff32c2c8d3cd50cbd755
发现时间：2006.11
更新时间：2006.11
关联病毒：
传播方式：通过恶意网页传播，其它木马下载，可通过局域网、移动存储设备等传播

技术分析
==========

又是“熊猫烧香”FuckJacks.exe的变种，和之前的变种一样使用白底熊猫烧香图标，病毒运行后复制自身到系统目录下：
%System%\drivers\spoclsv.exe

创建启动项：
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"svcshare"="%System%\drivers\spoclsv.exe"

修改注册表信息干扰“显示所有文件和文件夹”设置：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000000

在各分区根目录生成副本：
X:\setup.exe
X:\autorun.inf

autorun.inf内容：
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\Auto\command=setup.exe

尝试关闭下列窗口：
QQKav
QQAV
VirusScan
Symantec AntiVirus
Duba
Windows
esteem procs
System Safety Monitor
Wrapped gift Killer
Winsock Expert
msctls_statusbar32
pjf(ustc)
IceSword

结束一些对头的进程：
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
KvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl132.exe

禁用一系列服务：
Schedule
sharedaccess
RsCCenter
RsRavMon
RsCCenter
RsRavMon
KVWSC
KVSrvXP
kavsvc
AVP
McAfeeFramework
McShield
McTaskManager
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec Core LC
NPFMntor
MskService
FireSvc

删除若干安全软件启动项信息：
RavTask
KvMonXP
kav
KAVPersonal50
McAfeeUpdaterUI
Network Associates Error Reporting Service
ShStatEXE
YLive.exe
yassistse

使用net share命令删除管理共享：
net share X$ /del /y
net share admin$ /del /y
net share IPC$ /del /y

遍历目录，感染除以下系统目录外其它目录中的exe、com、scr、pif文件：
X:\WINDOWS
X:\Winnt
X:\System Volume Information
X:\Recycled
%ProgramFiles%\Windows NT
%ProgramFiles%\WindowsUpdate
%ProgramFiles%\Windows Media Player
%ProgramFiles%\Outlook Express
%ProgramFiles%\Internet Explorer
%ProgramFiles%\NetMeeting
%ProgramFiles%\Common Files
%ProgramFiles%\ComPlus Applications
%ProgramFiles%\Messenger
%ProgramFiles%\InstallShield Installation Information
%ProgramFiles%\MSN
%ProgramFiles%\Microsoft Frontpage
%ProgramFiles%\Movie Maker
%ProgramFiles%\MSN Gamin Zone

将自身捆绑在被感染文件前端，并在尾部添加标记信息：
.WhBoy{原文件名}.exe.{原文件大小}.

与之前变种不同的是，这个病毒体虽然是22886字节，但是捆绑在文件前段的只有22838字节，被感染文件运行后会出错，而不会像之前变种那样释放出{原文件名}.exe的原始正常文件。

另外还发现病毒会覆盖少量exe，删除.gho文件。