熊猫3个柱（熊猫烧香）-解析

熊猫烧香"，蠕虫病毒，是由李某制作网络的一款电脑病毒，熊猫烧香跟灰鸽子不同，是一款拥有自动传播、自动感染硬盘能力和强大的破坏能力的病毒，它不但能感染系统中exe，com，pif，src，html，asp等文件，它还能终止大量的反病毒软件进程并且会删除扩展名为gho的文件(该类文件是一系统备份工具"GHOST"的备份文件，删除后会使用户的磁盘感染

熊猫烧香病毒对系统中所有除了盘符为A，B的磁盘类型为DRⅣE_REMOTE，DRⅣE_FⅨED的磁盘进行文件遍历感染

注:不感染文件大小超过10MB以上的

(病毒将不感染如下目录的文件):

Microsoft Frontpage

Movie Maker

MSN Gamin Zone

Common Files

Windows NT

Recycled

System Volume Information

Documents and Settings

……

(病毒将不感染文件名如下的文件):

setup.exe

病毒将使用两类感染方式应对不同后缀的文件名进行感染

1)二进制可执行文件(后缀名为:EXE,SCR,PIF,COM): 将感染目标文件和病毒溶合成一个文件(被感染文件贴在病毒文件尾部)完成感染.

2)脚本类(后缀名为:htm,html,asp,php,jsp,aspx): 在这些脚本文件尾加上如下链接(下边的页面存在安全漏洞):

<iframe src=></iframe>

在感染时会删除这些磁盘上的后缀名为.GHO的Ghost备份文件系统备份文件丢失。)
病毒建立一个计时器，以6秒为周期在磁盘的根目录下生成setup.exe(病毒本身)autorun.inf，并利用AutoRun Open关联使病毒在用户点击被感染磁盘时能被自动运行。病毒生成随机个局域网传播线程实现如下的传播方式:

当病毒发现能成功联接攻击目标的139或445端口后，将使用内置的一个用户列表及密码字典进行联接(猜测被攻击端的密码)。当成功联接上以后将自己复制过去，并利用计划任务启动激活病毒。

修改操作系统的启动关联