熊猫烧香病毒肆虐网络 疑为利益集团操控

lktgwd

“熊猫烧香”病毒致过百万网民受害 网友发帖称将悬赏10万美元通缉作者

肆虐网络造成百万电脑瘫痪的“熊猫烧香”病毒疑有利益集团幕后操控



近期疯狂肆虐互联网的“熊猫烧香”病毒让超过百万的网民深受其害，有电脑受到严重破坏的网友更公开发出帖子称，将悬赏10万美元通缉“熊猫烧香”病毒的作者，得到九成以上网友的热烈响应。

“就在很多人怀疑熊猫烧香病毒是一个15岁武汉男孩制作的时候，它背后的黑势力近日已经现身，网上已经发现了产销一条龙盗窃销售网游设备的产业链。”前日，江民公司反病毒工程师称，已发现“熊猫烧香”病毒幕后势力的痕迹。

据江民等反病毒公司人员介绍，“熊猫烧香”病毒从去年12月份大规模爆发至今，已经使上百万网友受害。该公司每天都接到大量的求助电话。据悉受此病毒危害最为严重的是一些网吧业主，近千台电脑集体瘫痪，直接损失30多万元，让他们“杀人的心都有”。

网吧受灾最严重

在反病毒公司接连发布病毒紧急警报后，国家计算机病毒应急处理中心也发布了病毒预警，“可惜两次病毒警报并没有引起人们的足够重视”。反病毒专家何公道表示。

近日有不少网友表示要团结起来捉拿病毒作者，更有甚者公开发出通缉令并悬赏10万美元。该举动在我国互联网和反病毒历史上都是首次，引起了各方关注。

病毒产业链现身

江民公司反病毒工程师向新京报记者展示的一份证据显示，在他们截获的病毒中，已经发现“熊猫烧香”的作者通过http： //www.feifeicqq.com等几家地下网站公开销售网络游戏的装备，“他们这些网站可以称为是盗号、买卖一条龙，现在看来‘熊猫烧香’的背景远没有那么简单”，反病毒工程师称，只要病毒作者愿意，一年可以靠卖盗窃产品赚一座别墅。

据了解，“熊猫烧香”本身就是一种下载程序，会在指定的网站下载后门、木马、各种盗号程序。目前已经转入盗销一条龙的几家网站已经有所警觉，几家网站都已经采取了应对措施。而之前，几家杀毒公司都已经向公安机关报案。

病毒作者触犯法律

据反病毒专家介绍，近期“熊猫烧香”的新变种中，病毒作者还在病毒体中留下了“超级巡警终于火了”的言论，因此有不少网友怀疑此次“熊猫烧香”病毒是由“超级巡警”软件提供方幕后推动。但该说法并未得到国内几家杀毒公司的肯定，称目前除了病毒体中的那句留言尚未有太多证据显示是该团体在幕后推动。

自2005 年以来，计算机病毒作者常常以获取经济利益为目标，之前出现的网银大盗、证券大盗、游戏大盗、QQ大盗等都是如此，而这些都已经触犯了我国的刑法。 2006年5月“证券大盗”木马病毒作者一审被判无期徒刑，而“熊猫烧香”病毒的真相何时会水落石出，我们将继续关注。

前日，互联网上一首改编自《菊花台》的歌词，道出了众多网民面对“熊猫病毒”肆虐的无奈。

“晚上机器崩溃了，临时装了系统可还是不稳定。”网友“顺利平安”说，“白天发现电脑根本无法运行了”。很多网民都有和“顺利平安”一样的遭遇。尽管网上出
现了多种消灭该病毒的软件和具体操作方法，但“熊猫病毒”给网民造成了很大伤害。许多网民通宵采取应急措施，但仍无法修复被毁的电脑系统。有人将其称为“黑色恐怖”。

就在大家焦头烂额之际，一首根据此次“熊猫烧香”病毒，改编自周杰伦的《菊花台》的歌词开始在网上流传。这篇恶搞歌词很形象地表现了众网民面对病毒的无奈和疲惫。除此之外，该病毒的卡通形象也被篡改。原本上香的熊猫突然两眼圆睁，吐露着舌头，下方是一句具有挑衅性的话———“毒的就是你”。

改版《菊花台》

“你的泪光，柔弱中带伤。满屏的熊猫香，删除过往。熊猫猖狂，点上三根香，是谁在电脑前冰冷的绝望。猫慢慢拜，暗黄色的香。我瘫坐椅子上，精神错乱，路在何方，谁为我思量，冷风吹乱憔悴模样。熊猫拜，三根香，你的笑容已泛黄。重装又重装，我心里在发慌。江民杀，瑞星除，你的影子剪不断，徒留我在机旁神伤。”

网络通缉令

凶手 熊猫烧香病毒

特征

“熊猫烧香”是一种蠕虫病毒的变种，而且是经过多次变种而来的,原名为尼姆亚变种W(Worm.Nimaya.w)。由于中毒电脑的可执行文件会变成一只可爱的熊猫，双手合十拿着三根香，两眼微闭，一脸虔诚的图案，所以也被称为“熊猫烧香”病毒。用户电脑一旦中毒，可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。同时，该病毒的某些变种可以通过局域网进行传播，进而感染局域网内所有计算机系统，最终导致企业局域网瘫痪，无法正常使用。

罪行

病毒会自动关闭众多杀毒软件和安全工具；循环遍历磁盘目录，对关键系统文件跳过，感染所有EXE、SCR、PIF、COM文件,并更改图标为烧香熊猫；感染所有.htm/.html/.asp/.php/.jsp/.aspx文件，添加木马恶意代码；自动删除*.gho文件。目前已导致超过百万网民的电脑中毒瘫痪。

防杀“熊猫”

怎么防

1.局域网用户尽量避免创建可写的共享目录；

2.及时安装微软的安全更新；

3.及时升级杀毒软件病毒库，没有安装杀毒软件的用户可以登录http：//www.rising.com.cn/free/index.htm下载免费的杀毒软件进行杀毒；

4.QQ用户请下载安装最新版本的QQ软件；

5.使用U盘等移动设备交换文件时，要开启杀毒软件的实时监控等。

怎么杀

1.在任务管理器的进程列表中关闭spcolsv.exe病毒进程。这个spcolsv.exe明显是在模仿系统进程spoolsv.exe；

2.删除位于系统盘/windows/system32/drivers/文件夹中的spcolsv.exe文件；

3.每个硬盘分区的根目录都有两个隐含的文件AUTORUN.INF和SETUP.EXE，将这些垃圾全部删除；

4.在注册表 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun中把病毒的启动项svcshare删除。如果存在多个用户账户，每个用户账户的HKEY_CURRENT_USER都要清理。

5. 恢复杀毒软件随系统启动的加载项，以瑞星为例，在注册表 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun中加上一个RavTask，设置命令为“C:\RiSingRav\RavTask.exe”-system即可，其中C:RisingRAV 是瑞星的默认安装位置。

6. 在另一台“安全中心”服务正常的电脑上打开注册表，将 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceswscsvc 的全部内容导出为.REG 文件，复制到故障电脑上导入注册表，然后重新启动 Windows，恢复被病毒删除的“安全中心”服务。

7.在反间谍软件《超级巡警》里找一个熊猫烧香病毒专杀工具1.6，名为KillPanda.BAT，通过扫描后可恢复被寄生的.EXE、.HTM等类型文件的默认图标，而且文件可以正常运行。

病毒警报 本周仍要防“熊猫”

据新华社最新消息，“熊猫烧香”病毒本周仍然活跃，仍是网络病毒防范重点。目前，瑞星公司已经截获到该病毒的数十个变种。因此，瑞星反病毒反木马一周播报（2007.01.29～02.04）仍将“熊猫烧香”病毒列为本周关注病毒，警惕程度为★★★★。

lktgwd

[转载]熊猫烧香病毒中毒现象及解决方法


注意啦注意啦！大家小心哦！

最近出现新的病毒名为熊猫烧香，危害较大，感染后所有EXE可执行文件图标变成一个烧香的熊猫，大家电脑如出现此现象可认真阅读以下文章：

一、病毒描述：
含有病毒体的文件被运行后，病毒将自身拷贝至系统目录，同时修改注册表将自身设置为开机启动项，并遍历各个驱动器，将自身写入磁盘根目录下，增加一个Autorun.inf文件，使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染，同时开另外一个线程连接某网站下载ddos程序进行发动恶意攻击。

中毒后的症状如图：

                               
登录/注册后可看大图

                               
登录/注册后可看大图

二、病毒基本情况：
[文件信息]
病毒名: Virus.Win32.EvilPanda.a.ex$
大 小: 0xDA00 (55808), (disk) 0xDA00 (55808)
SHA1 : F0C3DA82E1620701AD2F0C8B531EEBEA0E8AF69D
壳信息: 未知
危害级别：高

病毒名: Flooder.Win32.FloodBots.a.ex$
大 小: 0xE800 (59392), (disk) 0xE800 (59392)
SHA1 : B71A7EF22A36DBE27E3830888DAFC3B2A7D5DA0D
壳信息: UPX 0.89.6 - 1.02 / 1.05 - 1.24
危害级别：高

三、病毒行为：

Virus.Win32.EvilPanda.a.ex$ ：
1、病毒体执行后，将自身拷贝到系统目录：
%SystemRoot%\system32\FuckJacks.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Userinit "C:\WIN2K\system32\SVCH0ST.exe"

2、添加注册表启动项目确保自身在系统重启动后被加载：
键路径：HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键名：FuckJacks
键值："C:\WINDOWS\system32\FuckJacks.exe"

键路径：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键名：svohost
键值："C:\WINDOWS\system32\FuckJacks.exe"

3、拷贝自身到所有驱动器根目录，命名为Setup.exe，并生成一个autorun.inf使得用户打开该盘运行病毒，并将这两个文件属性设置为隐藏、只读、系统。 C:\autorun.inf 1KB RHS
C:\setup.exe 230KB RHS

4、关闭众多杀毒软件和安全工具。
5、连接*****.3322.org下载某文件，并根据该文件记录的地址，去www.****.com下载某ddos程序，下载成功后执行该程序。
6、刷新bbs.qq.com，某QQ秀链接。
7、循环遍历磁盘目录，感染文件，对关键系统文件跳过，不感染Windows媒体播放器、MSN、IE 等程序。

Flooder.Win32.FloodBots.a.ex$ ：

1、病毒体执行后，将自身拷贝到系统目录：
%SystemRoot%\SVCH0ST.EXE
%SystemRoot%\system32\SVCH0ST.EXE

2、该病毒后下载运行后，添加注册表启动项目，确保自身在系统重启动后被加载：
键路径：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键名：Userinit
键值："C:\WINDOWS\system32\SVCH0ST.exe"

3、尝试关闭窗口
QQKav
QQAV
天网防火墙进程
VirusScan
网镖杀毒
毒霸
瑞星
江民
黄山IE
超级兔子
优化大师
木马克星
木马清道夫
木馬清道夫
QQ病毒注册表编辑器
系统配置实用程序
卡巴斯基反病毒
Symantec AntiVirus
Duba
Windows 任务管理器
esteem procs
绿鹰PC
密码防盗
噬菌体
木马辅助查找器
System Safety Monitor
Wrapped gift Killer
Winsock Expert
游戏木马检测大师
小沈Q盗杀手
pjf(ustc)
IceSword

4、尝试关闭进程
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
KvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl132.exe

删除以下启动项
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RavTask
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KvMonXP
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kav
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KAVPersonal50
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\McAfeeUpdaterUI
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Network Associates Error Reporting

ServiceSOFTWARE\Microsoft\Windows\CurrentVersion\Run\ShStatEXE
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\YLive.exe
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\yassistse

禁用以下服务
kavsvc
AVP
AVPkavsvc
McAfeeFramework
McShield
McTaskManager
McAfeeFramework McShield
McTaskManager
navapsvc
KVWSC
KVSrvXP
KVWSC
KVSrvXP
Schedule
sharedaccess
RsCCenter
RsRavMon
RsCCenter
RsRavMon
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec
Core LC
NPFMntor
MskService
FireSvc

搜索感染除以下目录外的所有.EXE/.SCR/.PIF/.COM文件，并记有标记
WINDOWS
Winnt
System Volume Information
Recycled
Windows NT
Windows Update
Windows Media Player
Outlook Express
Internet Explorer
NetMeeting
Common Files
ComPlus
Applications
Messenger
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
MSN Gamin Zone

删除.GHO文件

添加以下启动位置
\Documents and Settings\All Users\Start Menu\Programs\Startup\
\Documents and Settings\All Users\「开始」菜单\程序\启动\
\WINDOWS\Start Menu\Programs\Startup\
\WINNT\Profiles\All Users\Start Menu\Programs\Startup\

监视记录QQ和访问局域网文件记录：c:\test.txt，试图QQ消息传送

试图用以下口令访问感染局域网文件（GameSetup.exe）
1234
password
……
admin
Root

所有根目录及移动存储生成
X:\setup.exe
X:\autorun.inf
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\Auto\command=setup.exe

删除隐藏共享
cmd.exe /c net share $ /del /y
cmd.exe /c net share admin$ /del /y
cmd.exe /c net share IPC$ /del /y

创建启动项：
Software\Microsoft\Windows\CurrentVersion\Run
svcshare=指向\%system32%\drivers\spoclsv.exe
禁用文件夹隐藏选项
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced
\Folder\Hidden\SHOWALL\CheckedValue
[瑞星熊猫烧香病毒专杀工具]

PandaKiller.rar (269.13 K)
http://bbs.blueidea.com/attachment.php?aid=23102
NimayaKiller.rar
http://bbs.blueidea.com/attachment.php?aid=23101

lktgwd

超级巡警2.7.0主动防御“熊猫烧香”病毒 + U盘免疫！



过去熊猫烧香在局域网内反复感染的问题一直困扰超级巡警实验室，也是熊猫烧香杀不干净的主要原因！本月9号这个问题终于得到解决，超级巡警最新版2.7.1可以主动预警防御熊猫烧香病毒。
并且具有u盘免疫器，
可以查杀1月9日前的所有变种彻底清除肆虐两个多月的熊猫病毒！


新版本超级巡警对熊猫烧香病毒有更好的监测与杀除功能，包括：
1、实时监控目前所有熊猫烧香病毒的变种，在病毒运行前清除；
2、全模块在线升级，一旦新变种出现，可以用最快速度升级与杀灭病毒；
3、内置的熊猫烧香专杀升级至V1.6，是目前专杀中功能最全最完整的。

一、超级巡警简介
专门查杀并可辅助查杀各种木马、流氓软件、利用Rootkit技术的各种后门和其它恶意代码(间谍软件、蠕虫病毒)等等。提供了多种专业工具，提供系统 /IE修复、隐私保护和安全优化功能，提供了全面的系统监测功能，使你对系统的变化了如指掌，配合手动分析可近100%的查杀未知恶意代码！

二、升级改动
v 2.7.0
1、引擎级全面查杀AUTORUN类病毒。
2、降低CPU占用：)
3、提供U盘病毒免疫器
4、熊猫烧香专杀升级至1.6，超级巡警全面监测熊猫烧香。
5、解决在主窗口上回车关闭的问题
6、解决右键扫描窗口清除病毒显示数不准确的问题
7、启动管理增加一个导出报告
8、升级程序在无人干预情况下30秒自动关闭
9、从本版开始全模块在线升级

主要功能：
启发预警，启动管理，IE插件管理，SPI链自动检测与修复，Rootkit检测，服务管理，隐藏服务检测，过滤微软默认服务，服务增加和删除，SSDT (服务描述表)恢复，进程管理，隐藏进程检测，DLL模块强制卸载，检测隐藏端口，断开连接，定位远程IP，WHOIS查询，关闭端口，IE修复，流氓插件免疫，恶意网站屏蔽，系统垃圾清理，智能扫描，文件粉碎机，软件卸载，系统优化，系统修复，漏洞检查和修复，右键查毒，漏洞检查和修复，系统诊断报告，论坛救援，启发扫描，NTFS数据流扫描，签名分析，全面扫描，内存扫描，目录扫描，信任列表，实时监控，智能升级。

四、程序下载

安装版下载：
http://wap.chinaz.com/x/AST/ast_setup.exe
http://61.235.71.100/ast/ast_setup.exe
http://221.130.184.102/ast/ast_setup.exe
http://ast.patching.net/ast_setup.exe
http://killer.9i3g.cn/download/ast_setup.exe

绿色版下载：
http://wap.chinaz.com/x/AST/ast.rar
http://61.235.71.100/ast/ast.rar
http://221.130.184.102/ast/ast.rar
http://ast.patching.net/ast.rar
http://killer.9i3g.cn/download/ast.rar

MD5校验和：
4f6825a478fa9e8a12d590b300f68415 *ast.rar
646b983ba6cd714e3c253b421981be2c *ast_setup.exe

lktgwd

最牛、最全“熊猫烧香”整体解决方案




　　“熊猫烧香”病毒无疑成了近期互联网最热门的关键字了，网上也能找到很多个有关熊猫烧香病毒的解决办法，这些方法都显得不尽完美，再加上熊猫的变种很多，有效性就更加大打折扣了。金山毒霸反病毒专家为广大感染熊猫烧香的用户提供了一个相对完整的解决方案供大家参考。



病毒名：



中文：熊猫烧香病毒（又称武汉男生）



英文：Worm.WhBoy




目前发现的变种数已超过50个



典型表现：



　　感染病毒后发现较多的.EXE文件图标变成点着香的熊猫，这也是该病毒命名的由来。现在发现的部分变种已经不再使用这个广为人知的图标了。部分变种可以直接通过互联网更新版本，部分变种可以感染htm、html、asp、php、jsp、aspx等网页格式文件。一段web服务器被感染，将意味着所有浏览这些网页的计算机可能会自动下载并感染上熊猫烧香病毒。



该系列变种会释放以下几个典型文件



分区根目录下：setup.exe、autorun.inf、%System%\Fuckjacks.exe、%System%\Drivers\



spoclsv.exe




局域网环境下：GameSetup.exe



病毒行为：



1、删除常用杀毒软件在注册表中的启动项或服务，终止杀毒软件的进程，几乎涉及目前所有杀毒软件



2、终止部分安全辅助工具的进程，如IceSword，任务管理器taskmon。



3、终止维金的相关进程Logo1_.exe、Logo_1.exe、Rundl123.exe。



4、弱口令破解局域网其他电脑的Administror帐号，并用GameSetup.exe进行复制传播。




5、修改注册表键值，导致不能查看隐藏文件和系统文件。



6、除C盘如下目录外，病毒会尝试破坏其它分区下的部分.exe、.com、.gho、.pif、.scr文件，病毒不会去感染以下目录中的文件（给我们解决此病毒留下机会了，请看下文中的有关描述）。





WINDOW， Winnt，System Volume Information，Recycled，Windows NT，Windows Update，Windows MediaP，Outlook Express，Internet Explorer，NetMeeting，Common Files，ComPlus Applications，Messenger，InstallShield Installation Information，MSN，Microsoft Frontpage，MovieMaker，MSN GaminZone



7、病毒会删除扩展名为gho的文件，该文件是一系统备份工具GHOST的备份文件，使用户的系统备份文件丢失。



解决办法：




1、首选专杀工具



专杀工具是效能最好的方案，能处理已知变种，缺点是有新变种后，专杀也需要更新。推荐去www.xiongmaoshaoxiang.com下载专杀。



2、在线杀毒



因为熊猫烧香病毒的特殊性，杀毒软件本身可能会被感染，病毒还会尝试结束杀毒软件进程和服务，但病毒不感染IE浏览器，用浏览器加载在线杀毒控件来清除病毒可以收到奇效。已经中招的，可以去shadu.duba.net试试。





3、重启系统到带网络连接的安全模式，升级杀毒软件后杀毒。可单击开始，运行，输入msconfig，打开系统配置实用程序，点击BOOT.INI标签，作如图修改，重启即可进入带网络连接的安全模式。

                               
登录/注册后可看大图

4、手工清除



因为熊猫烧香病毒是感染型的病毒，手工清除相当麻烦，网友公布的手工清除方案只能手工结束病毒进程，一段运行了感染过熊猫烧香病毒的程序，还会再中招。以下简单介绍手工结束病毒进程，修复注册表项的步骤：



a.断开网络，禁用网卡或拔掉网线就行；



b.结束病毒进程，因为任务管理器、IcdSword已无法运行，已感染病毒的机器上很难实现。建议去http://www.microsoft.com/technet ... rocessesAndThreads/



ProcessExplorer.mspx 下载一个Process Explorer备用，郁闷的是光缆没修好，官网下载速度巨慢。可以百度一下，到新浪、华军、天空去下载。如果在进程中发现FuckJacks.exe、 setup.exe、spoclsv.exe（注意和正常的打印服务就差一个字母，打印服务文件名为spoolsv.exe），就用这个工具结束掉。




c.在本地计算机上搜索并删除以下病毒执行文件：



分区根目录下：setup.exe、autorun.inf（这个本身不是病毒，但它的存在是为了双击磁盘自动调用病毒程序，建议删了吧）



%System%\Fuckjacks.exe；%System%\Drivers\spoclsv.exe



局域网环境下：GameSetup.exe



d. 开始-->运行—>输入regedit，确定后，打开注册表编辑器，删除病毒创建的启动项：




[HKEY_CURRENT_USER ＼Software＼Microsoft＼Windows＼CurrentVersion＼Run]"FuckJacks"="%System%＼ FuckJacks.exe[HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼ CurrentVersion＼Run]"svohost"="%System%＼FuckJacks.exe"



浏览到



［HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL］



，单击右键，点新建——Dword值——命名为CheckedValue（如果已经有，可以删除后重建），修改它的键值为1,为十六进制，按确定后，退出注册表编辑器。以恢复文件夹选项中的“显示所有隐藏文件”和“显示系统文件”



e.修复或重新安装反病毒软件，以恢复被病毒删除的注册键值，恢复杀毒软件的功能。



f.最后，还是要更新反病毒软件全盘扫描，把感染的EXE程序、网页格式的文件修复。特别提醒网页编辑，一定要保护好自己编辑的Web文档，保护好自己的Web服务器，如果发现网站上传文件带毒，应该及时删除，重新上传。




有关该病毒的预防，请参考www.xiongmaoshaoxiang.com上介绍的方法，或者看这里http://www.duba.net/zt/panda/ 。特别提示一下，今天更新的杀毒软件已经集成了针对熊猫烧香病毒的免疫功能，对预防熊猫烧香病毒会起到遏制作用

lktgwd

熊猫烧香专杀

病毒名称：Worm.WhBoy.h


病毒中文名：熊猫烧香(武汉男生)，近日又化身为“金猪报喜”


病毒类型：蠕虫


危险级别：★★★★★


影响平台：Win 9x/ME,Win 2000/NT,Win XP,Win 2003



专杀工具：
金山专杀工具: http://down.www.kingsoft.com/db/ ... /DuBaTool_WhBoy.BAT
安天专杀工具      江民专杀工具      安博士专杀工具     
赛门铁克专杀工具
熊猫烧香专杀   



病毒描述：


“武汉男生”，俗称“熊猫烧香”，这是一个感染型的蠕虫病毒，它能感染系统中exe，com，pif，src，html，asp等文件，它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件，该文件是一系统备份工具GHOST的备份文件，使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。



1:拷贝文件


病毒运行后,会把自己拷贝到C:\WINDOWS\System32\Drivers\spoclsv.exe



2:添加注册表自启动


病毒会添加自启动项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe


3:病毒行为


a:每隔1秒寻找桌面窗口,并关闭窗口标题中含有以下字符的程序：


QQKav、 QQAV、防火墙、进程、VirusScan、网镖、杀毒、毒霸、瑞星、江民、黄山IE、超级兔子、优化大师、木马克星、木马清道夫、QQ病毒、注册表编辑器、系统配置实用程序、卡巴斯基反病毒、Symantec AntiVirus、Duba、esteem proces、绿鹰PC、密码防盗、噬菌体、木马辅助查找器、System Safety Monitor、Wrapped gift Killer、Winsock Expert、游戏木马检测大师、msctls_statusbar32、pjf(ustc)、IceSword


并使用的键盘映射的方法关闭安全软件IceSword


添加注册表使自己自启动
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe


并中止系统中以下的进程:


Mcshield.exe、 VsTskMgr.exe、naPrdMgr.exe、UpdaterUI.exe、TBMon.exe、scan32.exe、 Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、RavmonD.exe、 RavStub.exe、KVXP.kxp、kvMonXP.kxp、KVCenter.kxp、KVSrvXP.exe、KRegEx.exe、 UIHost.exe、TrojDie.kxp、FrogAgent.exe、Logo1_.exe、Logo_1.exe、Rundl132.exe


b:每隔18秒点击病毒作者指定的网页,并用命令行检查系统中是否存在共享，共存在的话就运行net share命令关闭admin$共享


c:每隔10秒下载病毒作者指定的文件,并用命令行检查系统中是否存在共享，共存在的话就运行net share命令关闭admin$共享


d:每隔6秒删除安全软件在注册表中的键值


并修改以下值不显示隐藏文件
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
CheckedValue -> 0x00


删除以下服务:



navapsvc、wscsvc、KPfwSvc、SNDSrvc、ccProxy、ccEvtMgr、ccSetMgr、SPBBCSvc、Symantec Core LC、NPFMntor
MskService、FireSvc


e:感染文件


病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部，并在扩展名为htm,html, asp,php,jsp,aspx的文件中添加一网址，用户一但打开了该文件，IE就会不断的在后台点击写入的网址，达到增加点击量的目的,但病毒不会感染以下文件夹名中的文件：


WINDOW、Winnt、System Volume Information、Recycled、Windows NT、WindowsUpdate、Windows Media Player、Outlook Express、Internet Explorer、NetMeeting、Common Files、ComPlus Applications、Messenger、InstallShield Installation Information、MSN、Microsoft Frontpage、Movie Maker、MSN Gamin Zone


g:删除文件


病毒会删除扩展名为gho的文件，该文件是一系统备份工具GHOST的备份文件使用户的系统备份文件丢失。

lktgwd

偶没中这毒,不过看到好多人都深受其害....特意搜集了几个有关的帖子.
中了的和怕了的都可以看看

jaguard

杀病毒的没事就写写病毒

ngweiaun

2.及时安装微软的安全更新
我用的是盗版系统 如果到微软的官方网站更新 熊猫还没遇到 系统就先崩溃了

gaiagul

一向最怕病毒   最初接触电脑的时候中毒是家常便饭   我老爹吹胡子瞪眼的   我都怕了   这回要是我给染上这个熊猫   我估计以后不用碰电脑了    希望大家都不要感染    阿弥陀佛   菩萨保佑

lktgwd

“熊猫烧香”作者已编出杀毒程序　
新闻来源: 楚天都市报 于February 14


昨日下午1时30分，记者在仙桃某看守所见到了李俊。据其交待，制作“熊猫烧香”病毒仅用2个月，当初是为“好玩”，现在后悔不已。

                               
登录/注册后可看大图

警方将李俊抓获后，李在看守所里写下杀毒软件程序，交给了警方。经试验，该程序能在几分钟内彻底杀灭“熊猫烧香”病毒。

http://down10b.zol.com.cn/shadu/Worm_Nimaya_xt110.rar

注：部分安全工具可能提示有病毒，此为误报，可将安全工具暂时关闭，再运行此专杀程序

蝴蝶君

不知道该说“中招了”还是该说“中奖了”~~~~~~~~~~~~~~~~

居然还是潜伏性的~~

lktgwd

呵呵,你好幸运,居然现在才发现 .现在的话破解方法都已经完美出炉了,你照杀就可以.
好过当初一筹莫展的众人太多了.呵呵

蝴蝶君

可是感觉很恐怖啊~~~~~~~~~~~~~~~而且是半夜两点发现，偏俺所有的重要文件夹都过了一遍…………无语中…………

幸好俺承受能力还好，居然还是睡着了~~