“熊貓燒香”，是一種經(jīng)過(guò)多次變種的蠕蟲(chóng)病毒變種，它能感染系統(tǒng)中exe，com，pif，src，html，asp等文件，它還能中止大量的反病毒軟件進(jìn)程并且會(huì)刪除擴(kuò)展名為gho的文件，下面由學(xué)習(xí)啦小編給你做出詳細(xì)的介紹!希望對(duì)你有幫助!

　　熊貓燒香病毒：

　　該文件是一系統(tǒng)備份工具GHOST的備份文件，使用戶的系統(tǒng)備份文件丟失。被感染的用戶系統(tǒng)中所有.exe可執(zhí)行文件全部被改成熊貓舉著三根香的模樣。2006年10月16日由25歲的中國(guó)湖北武漢新洲區(qū)人李俊編寫，2007年1月初肆虐網(wǎng)絡(luò)，它主要透過(guò)下載的文件傳染。2007年2月12日，湖北省公安廳宣布，李俊以及其同伙共8人已經(jīng)落網(wǎng)，這是中國(guó)警方破獲的首例計(jì)算機(jī)病毒大案。[1]2014年，“熊貓燒香”之父因涉案網(wǎng)絡(luò)賭場(chǎng)，獲刑5年。

　　中文名熊貓燒香

　　程序類別計(jì)算機(jī)病毒

　　編寫者李俊

　　病毒類型蠕蟲(chóng)病毒新變種

　　外文名Worm.WhBoy或Worm.Nimaya

　　感染系統(tǒng)Win9x/2000/NT/XP/2003/Vista/7

　　泛濫時(shí)間2006年底2007年初

　　1基本介紹編輯

　　病毒名稱：熊貓燒香，Worm.WhBoy.(金山稱)，Worm.Nimaya。(瑞星稱)

　　病毒別名：尼姆亞，武漢男生，后又化身為“金豬報(bào)喜”，國(guó)外稱“熊貓燒香”

　　危險(xiǎn)級(jí)別：★★★★★

　　病毒類型：蠕蟲(chóng)病毒，能夠終止大量的反病毒軟件和防火墻軟件進(jìn)程。

　　影響系統(tǒng)：Windows 9x/ME、Windows 2000/NT、Windows XP、Windows 2003 、Windows Vista 、Windows 7

　　發(fā)現(xiàn)時(shí)間：2006年10月16日

　　來(lái)源地：中國(guó)武漢東湖高新技術(shù)開(kāi)發(fā)區(qū)關(guān)山

　　2病毒描述編輯

　　熊貓燒香其實(shí)是一種蠕蟲(chóng)病毒的變種，而且是經(jīng)過(guò)多次變種而來(lái)的，由于中毒電腦的可執(zhí)行文件會(huì)出現(xiàn)“熊貓燒香”圖案，所以也被稱為 “熊貓燒香”病毒。但原病毒只會(huì)對(duì)EXE圖標(biāo)進(jìn)行替換，并不會(huì)對(duì)系統(tǒng)本身進(jìn)行破壞。而大多數(shù)是中的病毒變種，用戶電腦中毒后可能會(huì)出現(xiàn)藍(lán)屏、頻繁重啟以及系統(tǒng)硬盤中數(shù)據(jù)文件被破壞等現(xiàn)象。同時(shí)，該病毒的某些變種可以通過(guò)局域網(wǎng)進(jìn)行傳播，進(jìn)而感染局域網(wǎng)內(nèi)所有計(jì)算機(jī)系統(tǒng)，最終導(dǎo)致企業(yè)局域網(wǎng)癱瘓，無(wú)法正常使用。[2]

　　3中毒癥狀編輯

　　除了通過(guò)網(wǎng)站帶毒感染用戶之外，此病毒還會(huì)在局域網(wǎng)中傳播，在極短時(shí)間之內(nèi)就 可以感染幾千臺(tái)計(jì)算機(jī)，嚴(yán)重時(shí)可以導(dǎo)致網(wǎng)絡(luò)癱瘓。中毒電腦上會(huì)出現(xiàn)“熊貓燒香”圖案，所以也被稱為“熊貓燒香”病毒。中毒電腦會(huì)出現(xiàn)藍(lán)屏、頻繁重啟以及系統(tǒng)硬盤中數(shù)據(jù)文件被破壞等現(xiàn)象。

　　4病毒危害編輯

　　熊貓燒香病毒會(huì)刪除擴(kuò)展名為gho的文件，使用戶無(wú)法使用ghost軟件恢復(fù)操作系統(tǒng)。“熊貓燒香”感染系統(tǒng)的.exe .com. f.src .html.asp文件，添加病毒網(wǎng)址，導(dǎo)致用戶一打開(kāi)這些網(wǎng)頁(yè)文件，IE就會(huì)自動(dòng)連接到指定的病毒網(wǎng)址中下載病毒。在硬盤各個(gè)分區(qū)下生成文件autorun.inf和setup.exe，可以通過(guò)U盤和移動(dòng)硬盤等方式進(jìn)行傳播，并且利用Windows系統(tǒng)的自動(dòng)播放功能來(lái)運(yùn)行，搜索硬盤中的.exe可執(zhí)行文件并感染，感染后的文件圖標(biāo)變成“熊貓燒香”圖案。“熊貓燒香”還可以通過(guò)共享文件夾、用戶簡(jiǎn)單密碼等多種方式進(jìn)行傳播。該病毒會(huì)在中毒電腦中所有的網(wǎng)頁(yè)文件尾部添加病毒代碼。一些網(wǎng)站編輯人員的電腦如果被該病毒感染，上傳網(wǎng)頁(yè)到網(wǎng)站后，就會(huì)導(dǎo)致用戶瀏覽這些網(wǎng)站時(shí)也被病毒感染。據(jù)悉，多家著名網(wǎng)站已經(jīng)遭到此類攻擊，而相繼被植入病毒。由于這些網(wǎng)站的瀏覽量非常大，致使“熊貓燒香”病毒的感染范圍非常廣，中毒企業(yè)和政府機(jī)構(gòu)已經(jīng)超過(guò)千家，其中不乏金融、稅務(wù)、能源等關(guān)系到國(guó)計(jì)民生的重要單位。注：江蘇等地區(qū)成為“熊貓燒香”重災(zāi)區(qū)。

　　5傳播方法編輯

　　金山分析：這是一個(gè)感染型的蠕蟲(chóng)病毒，它能感染系統(tǒng)中exe,com,pif,src,html,asp等文件，它還能中止大量的反病毒軟件進(jìn)程

　　1拷貝文件

　　病毒運(yùn)行后，會(huì)把自己拷貝到

　　C:\WINDOWS\System32\Drivers\spoclsv.exe

　　2添加注冊(cè)表自啟動(dòng)

　　病毒會(huì)添加自啟動(dòng)項(xiàng)

　　svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe

　　3病毒行為

　　a：每隔1秒

　　尋找桌面窗口，并關(guān)閉窗口標(biāo)題中含有以下字符的程序

　　QQKav

　　QQAV

　　防火墻

　　進(jìn)程

　　VirusScan

　　網(wǎng)鏢

　　殺毒

　　毒霸

　　瑞星

　　江民

　　黃山IE

　　超級(jí)兔子

　　優(yōu)化大師

　　木馬克星

　　木馬清道夫

　　QQ病毒

　　注冊(cè)表編輯器

　　系統(tǒng)配置實(shí)用程序

　　卡巴斯基反病毒

　　Symantec AntiVirus

　　Duba

　　熊貓燒香esteem proces

　　綠鷹PC

　　密碼防盜

　　噬菌體

　　木馬輔助查找器

　　System Safety Monito

　　Wrapped gift Killer

　　Winsock Expert

　　游戲木馬檢測(cè)大師

　　msctls_statusbar32

　　pjf(ustc)

　　IceSword

　　并使用的鍵盤映射的方法關(guān)閉安全軟件IceSword

　　添加注冊(cè)表使自己自啟動(dòng)

　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

　　svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe

　　并中止系統(tǒng)中以下的進(jìn)程：

　　Mcshield.exe

　　VsTskMgr.exe

　　naPrdMgr.exe

　　UpdaterUI.exe

　　TBMon.exe

　　scan32.exe

　　Ravmond.exe

　　CCenter.exe

　　RavTask.exe

　　Rav.exe

　　Ravmon.exe

　　RavmonD.exe

　　RavStub.exe

　　熊貓燒香KVXP.kxp

　　kvMonXP.kxp

　　KVCenter.kxp

　　KVSrvXP.exe

　　KRegEx.exe

　　UIHost.exe

　　TrojDie.kxp

　　FrogAgent.exe

　　Logo1_.ex

　　Logo_1.exe

　　Rundl132.exe

　　b：每隔18秒

　　點(diǎn)擊病毒作者指定的網(wǎng)頁(yè)，并用命令行檢查系統(tǒng)中是否存在共享

　　共享存在的話就運(yùn)行net share命令關(guān)閉admin$共享

　　c：每隔10秒

　　下載病毒作者指定的文件，并用命令行檢查系統(tǒng)中是否存在共享

　　共享存在的話就運(yùn)行net share命令關(guān)閉admin$共享

　　d：每隔6秒

　　刪除安全軟件在注冊(cè)表中的鍵值

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

　　RavTask

　　KvMonXP

　　kav

　　KAVPersonal50

　　McAfeeUpdaterUI

　　Network Associates Error Reporting Service

　　ShStartEXE

　　YLive.exe

　　yassistse

　　并修改以下值不顯示隱藏文件

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

　　CheckedValue -> 0x00

　　刪除以下服務(wù)：

　　navapsvc

　　wscsvc

　　KPfwSvc

　　SNDSrvc

　　ccProxy

　　ccEvtMgr

　　ccSetMgr

　　SPBBCSvc

　　Symantec Core LC

　　NPFMntor

　　MskService

　　FireSvc

　　e：感染文件

　　病毒會(huì)感染擴(kuò)展名為exe,pif,com,src的文件，把自己附加到文件的頭部

　　并在擴(kuò)展名為htm,html,asp,php,jsp,aspx的文件中添加一網(wǎng)址，

　　用戶一但打開(kāi)了該文件，IE就會(huì)不斷的在后臺(tái)點(diǎn)擊寫入的網(wǎng)址，達(dá)到

　　增加點(diǎn)擊量的目的，但病毒不會(huì)感染以下文件夾名中的文件：

　　熊貓燒香WINDOW

　　Winnt

　　System Volume Information

　　Recycled

　　Windows NT

　　WindowsUpdate

　　Windows Media Player

　　Outlook Express

　　Internet Explorer

　　NetMeeting

　　Common Files

　　ComPlus Applications

　　Messenger

　　InstallShield Installation Information

　　MSN

　　Microsoft Frontpage

　　Movie Maker

　　MSN Gamin Zone

　　g：刪除文件

　　病毒會(huì)刪除擴(kuò)展名為gho的文件，該文件是一系統(tǒng)備份工具GHOST的備份文件

　　使用戶的系統(tǒng)備份文件丟失.

　　瑞星病毒分析報(bào)告：“Nimaya(熊貓燒香)”

　　這是一個(gè)傳染型的DownLoad 使用Delphi編寫

　　6運(yùn)行過(guò)程編輯

　　本地磁盤感染

　　病毒對(duì)系統(tǒng)中所有除了盤符為A，

　　B的磁盤類型為DRⅣE_REMOTE，DRⅣE_FⅨED的磁盤進(jìn)行文件遍歷感染

　　注：不感染文件大小超過(guò)10485760字節(jié)以上的

　　(病毒將不感染如下目錄的文件)：

　　Microsoft Frontpage

　　Movie Maker

　　MSN Gamin Zone

　　Common Files

　　Windows NT

　　Recycled

　　System Volume Information

　　Documents and Settings

　　……

　　(病毒將不感染文件名如下的文件)：

　　setup.exe

　　病毒將使用兩類感染方式應(yīng)對(duì)不同后綴的文件名進(jìn)行感染

　　1)二進(jìn)制可執(zhí)行文件(后綴名為：EXE,SCR,PIF,COM): 將感染目標(biāo)文件和病毒溶合成一個(gè)文件(被感染文件貼在病毒文件尾部)完成感染.

　　2)腳本類(后綴名為：htm,html,asp,php,jsp,aspx): 在這些腳本文件尾加上如下鏈接(下邊的頁(yè)面存在安全漏洞)：

　　在感染時(shí)會(huì)刪除這些磁盤上的后綴名為.GHO

　　生成文件

　　病毒建立一個(gè)計(jì)時(shí)器，以6秒為周期在磁盤的根目錄下生成setup.exe(病毒本身)autorun.inf，并利用AutoRun Open關(guān)聯(lián)使病毒在用戶點(diǎn)擊被感染磁盤時(shí)能被自動(dòng)運(yùn)行。

　　局域網(wǎng)傳播

　　病毒生成隨機(jī)個(gè)局域網(wǎng)傳播線程實(shí)現(xiàn)如下的傳播方式：

　　當(dāng)病毒發(fā)現(xiàn)能成功聯(lián)接攻擊目標(biāo)的139或445端口后，將使用內(nèi)置的一個(gè)用戶列表及密碼字典進(jìn)行聯(lián)接(猜測(cè)被攻擊端的密碼)。當(dāng)成功聯(lián)接上以后將自己復(fù)制過(guò)去，并利用計(jì)劃任務(wù)啟動(dòng)激活病毒。

　　修改操作系統(tǒng)的啟動(dòng)關(guān)聯(lián)

　　下載文件啟動(dòng)

　　與殺毒軟件對(duì)抗

　　7殺毒方法編輯

　　各種版本的熊貓燒香專殺

　　瑞星　金山　江民

　　超級(jí)巡警　李俊

　　雖然用戶及時(shí)更新殺毒軟件病毒庫(kù)，并下載各殺毒軟件公司提供的專殺工具，即可對(duì)“熊貓燒香”病毒進(jìn)行查殺，但是如果能做到防患于未然豈不更好。

　　8解決辦法編輯

　　熊貓燒香【1】 立即檢查本機(jī)administrator組成員口令，一定要放棄簡(jiǎn)單口令甚至空口令，安全的口令是字母數(shù)字特殊字符的組合，自己記得住，別讓病毒猜到就行。

　　修改方法

　　右鍵單擊我的電腦，選擇管理，瀏覽到本地用戶和組，在右邊的窗格中，選擇具備管理員權(quán)限的用戶名，單擊右鍵，選擇設(shè)置密碼，輸入新密碼就行。

　　【2】 利用組策略，關(guān)閉所有驅(qū)動(dòng)器的自動(dòng)播放功能。

　　步驟1

　　單擊開(kāi)始，運(yùn)行，輸入gpedit.msc，打開(kāi)組策略編輯器，瀏覽到計(jì)算機(jī)配置，管理模板，系統(tǒng)，在右邊的窗格中選擇關(guān)閉自動(dòng)播放，該配置缺省是未配置，在下拉框中選擇所有驅(qū)動(dòng)器，再選取已啟用，確定后關(guān)閉。最后，在開(kāi)始，運(yùn)行中輸入gpupdate，確定后，該策略就生效了。

　　【3】 修改文件夾選項(xiàng)，以查看不明文件的真實(shí)屬性，避免無(wú)意雙擊騙子程序中毒。

　　步驟

　　打開(kāi)資源管理器(按windows徽標(biāo)鍵+E)，點(diǎn)工具菜單下文件夾選項(xiàng)，再點(diǎn)查看，在高級(jí)設(shè)置中，選擇查看所有文件，取消隱藏受保護(hù)的操作系統(tǒng)文件，取消隱藏文件擴(kuò)展名。

　　【4】 時(shí)刻保持操作系統(tǒng)獲得最新的安全更新，不要隨意訪問(wèn)來(lái)源不明的網(wǎng)站，特別是微軟的MS06-014漏洞，應(yīng)立即打好該漏洞補(bǔ)丁。

　　同時(shí)，QQ、UC的漏洞也可以被該病毒利用，因此，用戶應(yīng)該去他們的官方網(wǎng)站打好最新補(bǔ)丁。此外，由于該病毒會(huì)利用IE瀏覽器的漏洞進(jìn)行攻擊，因此用戶還應(yīng)該給IE打好所有的補(bǔ)丁。如果必要的話，用戶可以暫時(shí)換用Firefox、Opera等比較安全的瀏覽器。

　　【5】 啟用Windows防火墻保護(hù)本地計(jì)算機(jī)。同時(shí)，局域網(wǎng)用戶盡量避免創(chuàng)建可寫的共享目錄，已經(jīng)創(chuàng)建共享目錄的應(yīng)立即停止共享。

　　此外，對(duì)于未感染的用戶，病毒專家建議，不要登錄不良網(wǎng)站，及時(shí)下載微軟公布的最新補(bǔ)丁，來(lái)避免病毒利用漏洞襲擊用戶的電腦，同時(shí)上網(wǎng)時(shí)應(yīng)采用“殺毒軟件+防火墻”的立體防御體系。

　　9防御方法編輯

　　計(jì)世網(wǎng)消息 在2007年新年出現(xiàn)的“PE_FUJACKS”就是讓廣大互聯(lián)網(wǎng)用戶聞之色變的“熊貓燒香”。該病毒的作者為“武漢男生”(文件末簽名”WhBoy”)，這個(gè)版本的病毒已經(jīng)集成了PE_FUJA CK和QQ大盜的代碼，通過(guò)網(wǎng)絡(luò)共享，文件感染和移動(dòng)存儲(chǔ)設(shè)備傳播，尤其是感染網(wǎng)頁(yè)文件，并在網(wǎng)頁(yè)文件寫入自動(dòng)更新的代碼，一旦瀏覽該網(wǎng)頁(yè)，就會(huì)感染更新后的變種。

　　不幸中招的用戶都知道，“熊貓燒香”會(huì)占用局域網(wǎng)帶寬，使得電腦變得緩慢，計(jì)算機(jī)會(huì)出現(xiàn)以下癥狀：熊貓燒香病毒會(huì)在網(wǎng)絡(luò)共享文件夾中生成一個(gè)名為GameSetup.exe的病毒文件;結(jié)束某些應(yīng)用程序以及防毒軟件的進(jìn)程，導(dǎo)致應(yīng)用程序異常，或不能正常執(zhí)行，或速度變慢;硬盤分區(qū)或者U盤不能訪問(wèn)使用;exe程序無(wú)法使用程序圖標(biāo)變成熊貓燒香圖標(biāo);硬盤的根目錄出現(xiàn)setup.exe auturun.INF文件 ;同時(shí)瀏覽器會(huì)莫名其妙地開(kāi)啟或關(guān)閉。

　　該病毒主要通過(guò)瀏覽惡意網(wǎng)站、網(wǎng)絡(luò)共享、文件感染和移動(dòng)存儲(chǔ)設(shè)備(如U盤)等途徑感染，其中網(wǎng)絡(luò)共享和文件感染的風(fēng)險(xiǎn)系數(shù)較高，而通過(guò)Web和移動(dòng)存儲(chǔ)感染的風(fēng)險(xiǎn)相對(duì)較低。該病毒會(huì)自行啟動(dòng)安裝，生成注冊(cè)列表和病毒文件%System%\drivers\spoclsv.exe ，并在所有磁盤跟目錄下生成病毒文件setup.exe，autorun.inf。

　　應(yīng)用統(tǒng)一變?yōu)樾茇垷愕膱D標(biāo)其實(shí)就是在注冊(cè)表的HKEY_CLASSES_ROOT這個(gè)分支中寫入了一個(gè)值，將所有的EXE文件圖標(biāo)指向一個(gè)圖標(biāo)文件，所以一般只要?jiǎng)h除此值，改回原貌就可以了。

看了此文熊貓燒香病毒及禍害的人還看了：

1.計(jì)算機(jī)病毒-熊貓燒香知識(shí)科普

2.最新的2016年電腦病毒

3.2016年最新的計(jì)算機(jī)病毒是什么