-
熊貓燒香
鎖定
- 中文名
- 熊貓燒香
- 外文名
- Worm.WhBoy.cw
- 別 名
- Nimaya [4]
- 程序類別
- 蠕蟲病毒
- 感染系統
- Win9x/NT/2000/ME/XP/2003/Vista
- 製作人
- 李俊
- 氾濫時間
- 2006年底—2007年初
- 病毒類型
- 蠕蟲病毒新變種類
- 病毒源文件名
- gamesetup.exe [4]
熊貓燒香發展沿革
2006年12月,一種被稱為“尼姆亞”新型病毒在互聯網上大規模爆發。
2007年1月7日,國家計算機病毒應急處理中心發出“熊貓燒香”的緊急預警。
2007年1月31日下午,各路專家齊聚省公安廳,對“1·22”案進行“會診”,同時成立聯合工作專班。
2007年9月24日,“熊貓燒香”計算機病毒製造者及主要傳播者李俊等4人,被湖北省仙桃市人民法院以破壞計算機信息系統罪判處李俊有期徒刑四年、王磊有期徒刑二年六個月、張順有期徒刑二年、雷磊有期徒刑一年,並判決李俊、王磊、張順的違法所得予以追繳,上繳國庫;被告人李俊有立功表現,依法可以從輕處罰。
[2]
熊貓燒香運行過程
磁盤感染
注:不感染文件大小超過10MB以上的
(病毒將不感染如下目錄的文件):
Microsoft Frontpage
Movie Maker
MSN Gamin Zone
Recycled
……
(病毒將不感染文件名如下的文件):
病毒將使用兩類感染方式應對不同後綴的文件名進行感染
<iframe src=></iframe>
在感染時會刪除這些磁盤上的後綴名為.GHO的Ghost備份文件。
生成文件
局域網傳播
病毒生成隨機個局域網傳播線程實現如下的傳播方式:
修改操作系統的啓動關聯
下載文件啓動
與殺毒軟件對抗
熊貓燒香特點原理
熊貓燒香是一種蠕蟲病毒的變種,經過多次變種而來,由於中毒電腦的可執行文件會出現“熊貓燒香”圖案,所以也被稱為 “熊貓燒香”病毒。但原病毒只會對exe文件的圖標進行替換,並不會對系統本身進行破壞。而大多數是中等病毒變種,用户電腦中毒後可能會出現藍屏、頻繁重啓以及系統硬盤中數據文件被破壞等現象。同時,該病毒的某些變種可以通過局域網進行傳播,進而感染局域網內所有計算機系統,最終導致企業局域網癱瘓,無法正常使用,它能感染系統中exe,com,pif,src,html,asp等文件,它還能終止大量的反病毒軟件進程並且會刪除擴展名為gho的備份文件。被感染的用户系統中所有.exe可執行文件全部被改成熊貓舉着三根香的模樣。
熊貓燒香傳播方法
1、拷貝文件
病毒運行後,會把自己拷貝到
C:\WINDOWS\System32\Drivers\spoclsv.exe
2、添加註冊表自啓動
病毒會添加自啓動項
svcshare ->C:\WINDOWS\System32\Drivers\spoclsv.exe
3、病毒行為
a:每隔1秒
尋找桌面窗口,並關閉窗口標題中含有以下字符的程序:
- QQAV
- 網鏢
- 黃山IE
- 優化大師
- 系統配置實用程序
- Duba
- esteem proces
- 綠鷹PC
- 密碼防盜
- 噬菌體
- 木馬輔助查找器
- Wrapped gift Killer
- Winsock Expert
- 遊戲木馬檢測大師
- msctls_statusbar32
- pjf(ustc)
添加註冊表使自己自啓動
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- svcshare ->C:\WINDOWS\System32\Drivers\spoclsv.exe
並結束系統中以下的進程:
- KVXP.kxp
- KVCenter.kxp
- Logo1_.exe
- Logo_1.exe
b:每隔18秒
點擊病毒作者指定的網頁,
並用命令行檢查系統中是否存在共享
共享存在的話就運行net share命令關閉admin$共享
c:每隔10秒
下載病毒作者指定的文件,
並用命令行檢查系統中是否存在共享
共享存在的話就運行net share命令關閉admin$共享
d:每隔6秒
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
RavTask
KvMonXP
KAVPersonal50
McAfeeUpdaterUI
Network Associates Error Reporting Service
ShStartEXE
yassistse
並修改以下值不顯示隱藏文件
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
CheckedValue -> 0x00
刪除以下服務:
navapsvc
wscsvc
SNDSrvc
SPBBCSvc
Symantec Core LC
NPFMntor
MskService
FireSvc
e:感染文件
後綴名為exe,pif,com,src
用户一但打開了該文件,IE就會不斷的在後台點擊寫入的網址,達到
增加點擊量的目的,但病毒不會感染以下文件夾名中的文件:
WINDOW
Recycled
InstallShield Installation Information
Microsoft Frontpage
Movie Maker
MSN Gamin Zone
g:刪除文件
病毒會刪除擴展名為.GHO的文件,該文件是一系統備份工具GHOST的備份文件;
使用户的系統備份文件丟失;
熊貓燒香影響危害
熊貓燒香病毒會刪除擴展名為gho的文件,使用户無法使用ghost軟件恢復操作系統。“熊貓燒香”感染系統的.exe .com. f.src .html.asp文件,添加病毒網址,導致用户一打開這些網頁文件,IE就會自動連接到指定的病毒網址中下載病毒。在硬盤各個分區下生成文件autorun.inf和setup.exe,可以通過U盤和移動硬盤等方式進行傳播,並且利用Windows系統的自動播放功能來運行,搜索硬盤中的.exe可執行文件並感染,感染後的文件圖標變成“熊貓燒香”圖案。“熊貓燒香”還可以通過共享文件夾、用户簡單密碼等多種方式進行傳播。該病毒會在中毒電腦中所有的網頁文件尾部添加病毒代碼。一些網站編輯人員的電腦如果被該病毒感染,上傳網頁到網站後,就會導致用户瀏覽這些網站時也被病毒感染。據悉,多家著名網站已經遭到此類攻擊,而相繼被植入病毒。由於這些網站的瀏覽量非常大,致使“熊貓燒香”病毒的感染範圍非常廣,中毒企業和政府機構已經超過千家,其中不乏金融、税務、能源等關係到國計民生的重要單位
[2]
。
除通過網站帶毒感染用户之外,此病毒還會在局域網中傳播,在極短時間之內就可以感染幾千台計算機,嚴重時可以導致網絡癱瘓。中毒電腦上會出現“熊貓燒香”圖案,所以也被稱為“熊貓燒香”病毒。中毒電腦會出現藍屏、頻繁重啓以及系統硬盤中數據文件被破壞等現象。
熊貓燒香應對方案
熊貓燒香解決辦法
- 步驟1
單擊開始,運行,輸入gpedit.msc,打開組策略編輯器,瀏覽到計算機配置,管理模板,系統,在右邊的窗格中選擇關閉自動播放,該配置缺省是未配置,在下拉框中選擇所有驅動器,再選取已啓用,確定後關閉。最後,在開始,運行中輸入gpupdate,確定後,該策略就生效了。
【3】 修改文件夾選項,以查看不明文件的真實屬性,避免無意雙擊騙子程序中毒。
- 步驟2
同時,QQ、UC的漏洞也可以被該病毒利用,因此,用户應該去他們的官方網站打好最新補丁。此外,由於該病毒會利用IE瀏覽器的漏洞進行攻擊,因此用户還應該給IE打好所有的補丁。如果必要的話,用户可以暫時換用Firefox、Opera等比較安全的瀏覽器。
熊貓燒香防禦方法
在2007年新年出現的“PE_FUJACKS”就是一種讓廣大互聯網用户聞之色變的“熊貓燒香”。該病毒的作者為“武漢男生”(文件末簽名”WhBoy”),這個版本的病毒已經集成了PE_FUJA CK和QQ大盜的代碼,通過網絡共享,文件感染和移動存儲設備傳播,尤其是感染網頁文件,並在網頁文件寫入自動更新的代碼,一旦瀏覽該網頁,就會感染更新後的變種。
不幸中招的用户都知道,“熊貓燒香”會佔用局域網帶寬,使得電腦變得緩慢,計算機會出現以下症狀:熊貓燒香病毒會在網絡共享文件夾中生成一個名為GameSetup.exe的病毒文件;結束某些應用程序以及防毒軟件的進程,導致應用程序異常,或不能正常執行,或速度變慢;硬盤分區或者U盤不能訪問使用;exe程序無法使用程序圖標變成熊貓燒香圖標;硬盤的根目錄出現setup.exe auturun.INF文件 ;同時瀏覽器會莫名其妙地開啓或關閉。
該病毒主要通過瀏覽惡意網站、網絡共享、文件感染和移動存儲設備(如U盤)等途徑感染,其中網絡共享和文件感染的風險係數較高,而通過Web和移動存儲感染的風險相對較低。該病毒會自行啓動安裝,生成註冊列表和病毒文件%System%\drivers\spoclsv.exe ,並在所有磁盤跟目錄下生成病毒文件setup.exe,autorun.inf。
- 參考資料
-
- 1. ZDnet:熊貓燒香變種 危害指數再度升級 .新浪網[引用日期2020-04-14]
- 2. 熊貓燒香病毒網上肆虐入侵百萬台電腦(組圖) .新浪[引用日期2014-05-12]
- 3. “熊貓燒香”病毒製造者因開設網絡賭場再獲刑 .鳳凰網[引用日期2014-01-10]
- 4. Nimaya(熊貓燒香)病毒特點及解決方法 .西安交通大學網絡信息中心[引用日期2023-05-14]