- 中文名
- 熊猫烧香
- 外文名
- Worm.WhBoy.cw
- 别 名
- Nimaya [4]
- 程序类别
- 蠕虫病毒
- 感染系统
- Win9x/NT/2000/ME/XP/2003/Vista
- 制作人
- 李俊
- 泛滥时间
- 2006年底—2007年初
- 病毒类型
- 蠕虫病毒新变种类
- 病毒源文件名
- gamesetup.exe [4]
发展沿革
播报编辑
2006年12月,一种被称为“尼姆亚”新型病毒在互联网上大规模爆发。
2006年12月份—2007年1月30日,变种数已达90多个,个人用户感染熊猫烧香的已经高达几百万,企业用户感染数还在继续上升 [1]。
2007年2月3日,回出租屋取东西准备潜逃的李俊被当场抓获。随后将其同伙雷磊抓获归案。 [2]
2007年9月24日,“熊猫烧香”计算机病毒制造者及主要传播者李俊等4人,被湖北省仙桃市人民法院以破坏计算机信息系统罪判处李俊有期徒刑四年、王磊有期徒刑二年六个月、张顺有期徒刑二年、雷磊有期徒刑一年,并判决李俊、王磊、张顺的违法所得予以追缴,上缴国库;被告人李俊有立功表现,依法可以从轻处罚。 [2]
运行过程
播报编辑
磁盘感染
熊猫烧香(病毒将不感染如下目录的文件):
Microsoft Frontpage
Movie Maker
MSN Gamin Zone
Recycled
……
(病毒将不感染文件名如下的文件):
病毒将使用两类感染方式应对不同后缀的文件名进行感染
<iframe src=></iframe>
生成文件
局域网传播
修改操作系统的启动关联
下载文件启动
特点原理
播报编辑
熊猫烧香传播方法
播报编辑
1、拷贝文件
病毒运行后,会把自己拷贝到
C:\WINDOWS\System32\Drivers\spoclsv.exe
2、添加注册表自启动
病毒会添加自启动项
svcshare ->C:\WINDOWS\System32\Drivers\spoclsv.exe
3、病毒行为
a:每隔1秒
寻找桌面窗口,并关闭窗口标题中含有以下字符的程序:
- QQAV
- 网镖
- 黄山IE
- 系统配置实用程序
- Duba
- esteem proces
- 绿鹰PC
- 密码防盗
- 噬菌体
- 木马辅助查找器
- Wrapped gift Killer
- Winsock Expert
- 游戏木马检测大师
- msctls_statusbar32
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- svcshare ->C:\WINDOWS\System32\Drivers\spoclsv.exe
并结束系统中以下的进程:
- KVXP.kxp
- KVCenter.kxp
b:每隔18秒
点击病毒作者指定的网页,
c:每隔10秒
下载病毒作者指定的文件,
并用命令行检查系统中是否存在共享
共享存在的话就运行net share命令关闭admin$共享
d:每隔6秒
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
RavTask
KvMonXP
KAVPersonal50
McAfeeUpdaterUI
Network Associates Error Reporting Service
ShStartEXE
yassistse
并修改以下值不显示隐藏文件
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
CheckedValue -> 0x00
删除以下服务:
navapsvc
wscsvc
SNDSrvc
SPBBCSvc
Symantec Core LC
NPFMntor
MskService
FireSvc
e:感染文件
后缀名为exe,pif,com,src
用户一但打开了该文件,IE就会不断的在后台点击写入的网址,达到
WINDOW
Recycled
InstallShield Installation Information
Microsoft Frontpage
Movie Maker
MSN Gamin Zone
g:删除文件
病毒会删除扩展名为.GHO的文件,该文件是一系统备份工具GHOST的备份文件;
使用户的系统备份文件丢失;
影响危害
播报编辑
中毒时的电脑桌面除通过网站带毒感染用户之外,此病毒还会在局域网中传播,在极短时间之内就可以感染几千台计算机,严重时可以导致网络瘫痪。中毒电脑上会出现“熊猫烧香”图案,所以也被称为“熊猫烧香”病毒。中毒电脑会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。
应对方案
播报编辑
解决办法
- 步骤1
单击开始,运行,输入gpedit.msc,打开组策略编辑器,浏览到计算机配置,管理模板,系统,在右边的窗格中选择关闭自动播放,该配置缺省是未配置,在下拉框中选择所有驱动器,再选取已启用,确定后关闭。最后,在开始,运行中输入gpupdate,确定后,该策略就生效了。
- 步骤2
同时,QQ、UC的漏洞也可以被该病毒利用,因此,用户应该去他们的官方网站打好最新补丁。此外,由于该病毒会利用IE浏览器的漏洞进行攻击,因此用户还应该给IE打好所有的补丁。如果必要的话,用户可以暂时换用Firefox、Opera等比较安全的浏览器。
防御方法
在2007年新年出现的“PE_FUJACKS”就是一种让广大互联网用户闻之色变的“熊猫烧香”。该病毒的作者为“武汉男生”(文件末签名”WhBoy”),这个版本的病毒已经集成了PE_FUJA CK和QQ大盗的代码,通过网络共享,文件感染和移动存储设备传播,尤其是感染网页文件,并在网页文件写入自动更新的代码,一旦浏览该网页,就会感染更新后的变种。
不幸中招的用户都知道,“熊猫烧香”会占用局域网带宽,使得电脑变得缓慢,计算机会出现以下症状:熊猫烧香病毒会在网络共享文件夹中生成一个名为GameSetup.exe的病毒文件;结束某些应用程序以及防毒软件的进程,导致应用程序异常,或不能正常执行,或速度变慢;硬盘分区或者U盘不能访问使用;exe程序无法使用程序图标变成熊猫烧香图标;硬盘的根目录出现setup.exe auturun.INF文件 ;同时浏览器会莫名其妙地开启或关闭。
该病毒主要通过浏览恶意网站、网络共享、文件感染和移动存储设备(如U盘)等途径感染,其中网络共享和文件感染的风险系数较高,而通过Web和移动存储感染的风险相对较低。该病毒会自行启动安装,生成注册列表和病毒文件%System%\drivers\spoclsv.exe ,并在所有磁盘跟目录下生成病毒文件setup.exe,autorun.inf。
