基本介紹
病毒名稱:熊貓燒香,Worm.WhBoy.(金山稱),Worm.Nimaya。(瑞星稱)
病毒别名:尼姆亞,武漢男生,後又化身為“金豬報喜”,國外稱“熊貓燒香”
危險級别:★★★★★
病毒類型:蠕蟲病毒,能夠終止大量的反病毒軟件和防火牆軟件進程。
影響系統:Windows9x/ME、Windows2000/NT、WindowsXP、Windows2003、WindowsVista、Windows7
發現時間:2006年10月16日
來源地:中國武漢東湖高新技術開發區關山
傳播方法
金山分析:這是一個感染型的蠕蟲病毒,它能感染系統中exe,com,pif,src,html,asp等文件,它還能中止大量的反病毒軟件進程
1拷貝文件
病毒運行後,會把自己拷貝到
C:WINDOWSSystem32Driversspoclsv.exe
2添加注冊表自啟動
病毒會添加自啟動項
svcshare->C:WINDOWSSystem32Driversspoclsv.exe
3病毒行為
a:每隔1秒
尋找桌面窗口,并關閉窗口标題中含有以下字符的程序
QQKav
QQAV
防火牆
進程
VirusScan
網镖
殺毒
毒霸
瑞星
江民
黃山IE
超級兔子
優化大師
木馬克星
木馬清道夫
QQ病毒
注冊表編輯器
系統配置實用程序
卡巴斯基反病毒
SymantecAntiVirus
Duba
esteemproces
綠鷹PC
密碼防盜
噬菌體
木馬輔助查找器
SystemSafetyMonitor
WrappedgiftKiller
WinsockExpert
遊戲木馬檢測大師
msctls_statusbar32
pjf(ustc)
IceSword
并使用的鍵盤映射的方法關閉安全軟件IceSword
添加注冊表使自己自啟動
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
svcshare->C:WINDOWSSystem32Driversspoclsv.exe
并中止系統中以下的進程:
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
kvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl132.exe
b:每隔18秒
點擊病毒作者指定的網頁,并用命令行檢查系統中是否存在共享
共享存在的話就運行netshare命令關閉admin$共享
c:每隔10秒
下載病毒作者指定的文件,并用命令行檢查系統中是否存在共享
共享存在的話就運行netshare命令關閉admin$共享
d:每隔6秒
删除安全軟件在注冊表中的鍵值
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
RavTask
KvMonXP
kav
KAVPersonal50
McAfeeUpdaterUI
NetworkAssociatesErrorReportingService
ShStartEXE
YLive.exe
yassistse
并修改以下值不顯示隐藏文件
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL
CheckedValue->0x00
删除以下服務:
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
SymantecCoreLC
NPFMntor
MskService
FireSvc
e:感染文件
病毒會感染擴展名為exe,pif,com,src的文件,把自己附加到文件的頭部
并在擴展名為htm,html,asp,php,jsp,aspx的文件中添加一網址,
用戶一但打開了該文件,IE就會不斷的在後台點擊寫入的網址,達到
增加點擊量的目的,但病毒不會感染以下文件夾名中的文件:
WINDOW
Winnt
SystemVolumeInformation
Recycled
WindowsNT
WindowsUpdate
WindowsMediaPlayer
OutlookExpress
InternetExplorer
NetMeeting
CommonFiles
ComPlusApplications
Messenger
InstallShieldInstallationInformation
MSN
MicrosoftFrontpage
MovieMaker
MSNGaminZone
g:删除文件
病毒會删除擴展名為gho的文件,該文件是一系統備份工具GHOST的備份文件
使用戶的系統備份文件丢失.
瑞星病毒分析報告:“Nimaya(熊貓燒香)”
這是一個傳染型的DownLoad使用Delphi編寫
變種病毒
金豬報喜病毒實際就是熊貓燒香的新變種,春節将至,然而廣大網絡用戶仍沒有徹底擺脫“熊貓燒香”的陰霾。伴随着大量“熊貓燒香”變種的出現,對用戶的危害一浪高過一浪。1月29日,來自金山毒霸反病毒中心最新消息:“熊貓燒香”化身“金豬”,危害指數再度升級,被感染的電腦中不但“熊貓”成群,而且“金豬”滿圈。但象征财富的金豬仍然讓用戶無法擺脫“系統被破壞,大量應用軟件無法應用”的噩夢。
病毒描述:
“武漢男生”,俗稱“熊貓燒香”,2006年12月又化身為“金豬報喜”,這是一個感染型的蠕蟲病毒,它能感染系統中exe,com,pif,src,html,asp等文件,它還能中止大量的反病毒軟件進程并且會删除擴展名為gho的文件,該文件是一系統備份工具GHOST的備份文件,使用戶的系統備份文件丢失。被感染的用戶系統中所有.exe可執行文件全部被改成可愛金豬的模樣。
2007年1月30日,江民科技反病毒中心監測到,肆虐互聯網的“熊貓燒香”又出新變種。此次變種把“熊貓燒香”圖案變成“金豬報喜”。江民反病毒專家提醒用戶,春節臨近,謹防春節期間病毒借人們互緻祝福之際大面積爆發。
專家介紹,“熊貓燒香”2006年11月中旬被首次發現,短短兩個月時間,新老變種已達700多種,據江民反病毒預警中心監測到的數據顯示,“熊貓燒香”病毒2006年12月一舉闖入病毒排名前20名,2007年1月份更是有望進入前10名。疫情最嚴重的地區分别為:廣東、山東、江蘇、北京和遼甯。
針對該病毒,江民殺毒軟件KV系列已緊急升級,用戶升級到最新病毒庫即可有效防範該病毒于系統之外。江民“熊貓燒香”專殺工具已同步更新,未安裝殺毒軟件的用戶可以登陸江民網站下載殺毒。此外,針對“熊貓燒香”變種頻繁的特征,江民殺毒軟件KV2007主動防禦規則庫可徹底防範“熊貓燒香”及其變種,用戶可以登陸江民反病毒論壇下載使用。
此外學生寒假開始,上網人群短期内集中上升,病毒的傳播速度也空前加快,所以用戶在進行上網的過程中要更加警惕病毒的入侵。據了解,前幾天在網絡上出現了“熊貓燒香”作者聲稱不再有變種出現,而“金豬”的出現再次粉碎了人們的美夢,再次将人們拉回到熊貓燒香的夢魇之中。專家稱,按照當時“熊貓燒香”破壞程度,威脅将延伸至春節。
專家提醒大家,遇到“金豬”不要心慌,用熊貓燒香專殺工具就可以完全對付這隻小金豬啦!
熊貓燒香變身“金豬報喜”再作亂
“熊貓燒香”餘毒未盡,新變種接踵而來。據悉,熊貓燒香已改頭換面變成新病毒“金豬報喜”。日前,江民、瑞星、金山等反病毒公司已經陸續截獲大量“金豬報喜”病毒的報告,而這一病毒甚至可以清除用戶機器裡原有的“熊貓燒香”病毒,并自動取而代之。
由于“熊貓燒香”病毒作者不斷更新變種程序,衆多殺毒軟件無法跟随病毒的發展速度。而近日出現的“金豬報喜”病毒圖表,同樣是可愛的小動物,但危害卻在與“熊貓燒香”一樣感染EXE文件外,還能感染RAR跟ZIP等格式文件。據悉當時2008年幾家反病毒廠商尚未推出針對“金豬報喜”的專殺工具。
由于春節臨近,更多新病毒可能集中出現,因此反病毒專家提醒用戶要加強警惕,及時升級殺毒軟件,不要随便點擊莫名來曆文件。
最虔誠的病毒--熊貓燒香
對于這個在06年給人們帶來黑色記憶的病毒,其成因隻因為作者為了炫耀自己而産生,其借助U盤的傳播方式也引領新的反病毒課題,但這一切都沒有其LOGO的熊貓給人的印象深刻,熊貓拿着三根香虔誠的祈禱什麼?這給很多人以遐想。所以最虔誠的病毒隻能頒給舉着香在祈禱的熊貓。
2007年9月24日,“熊貓燒香”案一審宣判,主犯李俊被判刑4年。庭審中,李俊的辯護律師王萬雄出示了一份某網絡公司發給李俊的邀請函,請他擔任公司的技術總監。據悉,案發後已有不下10家網絡大公司跟李俊聯系,欲以100萬年薪邀請其加入(見9月25日《長江商報》)。
熊貓燒香傳播性極高,中病毒者會在短時間内傳染局域網内其他用戶。
應對方法
殺毒方法
雖然用戶及時更新殺毒軟件病毒庫,并下載各殺毒軟件公司提供的專殺工具,即可對“熊貓燒香”病毒進行查殺,但是如果能做到防患于未然豈不更好。
解決辦法
【1】立即檢查本機administrator組成員口令,一定要放棄簡單口令甚至空口令,
安全的口令是字母數字特殊字符的組合,自己記得住,别讓病毒猜到就行。
(修改方法:右鍵單擊我的電腦,選擇管理,浏覽到本地用戶和組,在右邊的窗格中,選擇具備管理員權限的用戶名,單擊右鍵,選擇設置密碼,輸入新密碼就行。)
【2】利用組策略,關閉所有驅動器的自動播放功能。
步驟1
單擊開始,運行,輸入gpedit.msc,打開組策略編輯器,浏覽到計算機配置,管理模闆,系統,在右邊的窗格中選擇關閉自動播放,該配置缺省是未配置,在下拉框中選擇所有驅動器,再選取已啟用,确定後關閉。最後,在開始,運行中輸入gpupdate,确定後,該策略就生效了。
【3】修改文件夾選項,以查看不明文件的真實屬性,避免無意雙擊騙子程序中毒。
步驟2
打開資源管理器(按windows徽标鍵+E),點工具菜單下文件夾選項,再點查看,在高級設置中,選擇查看所有文件,取消隐藏受保護的操作系統文件,取消隐藏文件擴展名。
【4】時刻保持操作系統獲得最新的安全更新,不要随意訪問來源不明的網站,特别是微軟的MS06-014漏洞,應立即打好該漏洞補丁。
同時,QQ、UC的漏洞也可以被該病毒利用,因此,用戶應該去他們的官方網站打好最新補丁。此外,由于該病毒會利用IE浏覽器的漏洞進行攻擊,因此用戶還應該給IE打好所有的補丁。如果必要的話,用戶可以暫時換用Firefox、Opera等比較安全的浏覽器。
【5】啟用Windows防火牆保護本地計算機。同時,局域網用戶盡量避免創建可寫的共享目錄,已經創建共享目錄的應立即停止共享。
此外,對于未感染的用戶,病毒專家建議,不要登錄不良網站,及時下載微軟公布的最新補丁,來避免病毒利用漏洞襲擊用戶的電腦,同時上網時應采用“殺毒軟件+防火牆”的立體防禦體系。病毒源碼。
防禦方法
計世網消息在2007年新年出現的“PE_FUJACKS”就是一種讓廣大互聯網用戶聞之色變的“熊貓燒香”。該病毒的作者為“武漢男生”(文件末簽名”WhBoy”),這個版本的病毒已經集成了PE_FUJACK和QQ大盜的代碼,通過網絡共享,文件感染和移動存儲設備傳播,尤其是感染網頁文件,并在網頁文件寫入自動更新的代碼,一旦浏覽該網頁,就會感染更新後的變種。
不幸中招的用戶都知道,“熊貓燒香”會占用局域網帶寬,使得電腦變得緩慢,計算機會出現以下症狀:熊貓燒香病毒會在網絡共享文件夾中生成一個名為GameSetup.exe的病毒文件;結束某些應用程序以及防毒軟件的進程,導緻應用程序異常,或不能正常執行,或速度變慢;硬盤分區或者U盤不能訪問使用;exe程序無法使用程序圖标變成熊貓燒香圖标;硬盤的根目錄出現setup.exeauturun.INF文件;同時浏覽器會莫名其妙地開啟或關閉。
該病毒主要通過浏覽惡意網站、網絡共享、文件感染和移動存儲設備(如U盤)等途徑感染,其中網絡共享和文件感染的風險系數較高,而通過Web和移動存儲感染的風險相對較低。該病毒會自行啟動安裝,生成注冊列表和病毒文件%System%driversspoclsv.exe,并在所有磁盤跟目錄下生成病毒文件setup.exe,autorun.inf。
應用統一變為熊貓燒香的圖标其實就是在注冊表的HKEY_CLASSES_ROOT這個分支中寫入了一個值,将所有的EXE文件圖标指向一個圖标文件,所以一般隻要删除此值,改回原貌就可以了。
