熊猫烧香成最恐怖病毒 搜索量大幅攀升

江南有雪

　　元旦前后，流感病毒的肆虐令很多人色变；同时，互联网界也正遭遇着另一场计算机病毒侵袭，各种数据显示，“熊猫烧香”正成为年初最令网民惊恐的计算机病毒，该病毒近日在百度上搜索量大幅攀升。
　　这种情况在新近推出的百度杀毒服务中，已经得到了严重警示，在由百度杀毒公布的病毒排行榜（http://shadu.baidu.com）上，熊猫烧香病毒位居首位。
　　事实上，早在06年圣诞节前后，百度杀毒在第一时间对“熊猫烧香”病毒就予以播报，之后更协同多家合厂商，金山公司、江民公司、安天实验室等，及时发布多种针对此病毒的专杀工具供用户选择，下载使用。
　　而从百度指数（http://index.baidu.com）中也可以发现，12月26日开始，熊猫烧香受到的关注度开始大幅增加，到目前还在持续快速上升中。
　　对于引起不小恐慌的这个病毒，百度杀毒平台（http://shadu.baidu.com）上有详细的描述：“熊猫烧香”又称“武汉男生”，是一个感染型的蠕虫病毒，能感染系统中exe，com，pif，src，html，asp等文件，还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件，该文件是一系统备份工具GHOST的备份文件，使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。
; n6 Q# G0 J6 c: m1 T1 N+ e, \　　同时，据百度杀毒平台上的安全厂商介绍，熊猫烧香病毒正处于一个急速变种期，仅12月份至今，变种数量就已达30余种。据不完全统计，截止到目前为止，国内感染“熊猫烧香”病毒的企业已接近千家，其中外企用户居多，个人用户更是不计其数。广大的用户还需多加防护。
* Q0 ^* ?! _. {8 Z
1 u& |# }: ~4 \* {. H2 I
0 @* D; p( _+ Q1 @5 y5 ~3 p/ O. @转自：太平洋网络
. w/ @  w; x+ J/ ^
. F: O8 T3 w2 {- h% a
. Q, r* {- e1 A2 ~9 X/ _

江南有雪

病毒排行榜

[/table][table=95%]

病毒名称：Worm.WhBoy.h 病毒中文名：熊猫烧香(武汉男生)
9 s- f5 g1 X) T& F6 I$ {7 ]病毒类型：蠕虫
危险级别：★★
影响平台：Win 9x/ME,Win 2000/NT,Win XP,Win 2003
" v" F7 r4 F4 _7 }专杀工具：金山专杀工具     安天专杀工具      江民专杀工具
  U% ~6 f5 p5 I病毒描述：
“武汉男生”，俗称“熊猫烧香”，这是一个感染型的蠕虫病毒，它能感染系统中exe，com，pif，src，html，asp等文件，它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件，该文件是一系统备份工具GHOST的备份文件，使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。
http://img.kingsoft.com/publish/duba/image/news/2006/12/26/001.gif
2 i$ r' Q+ C% w7 ~0 E, {1:拷贝文件
病毒运行后,会把自己拷贝到C:\WINDOWS\System32\Drivers\spoclsv.exe
2:添加注册表自启动
" g3 M+ C  M' k$ P) \病毒会添加自启动项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe
3:病毒行为
  v6 X4 Q4 n7 o7 m. Ba:每隔1秒寻找桌面窗口,并关闭窗口标题中含有以下字符的程序：
QQKav、QQAV、防火墙、进程、VirusScan、网镖、杀毒、毒霸、瑞星、江民、黄山IE、超级兔子、优化大师、木马克星、木马清道夫、QQ病毒、注册表编辑器、系统配置实用程序、卡巴斯基反病毒、Symantec AntiVirus、Duba、esteem proces、绿鹰PC、密码防盗、噬菌体、木马辅助查找器、System Safety Monitor、Wrapped gift Killer、Winsock Expert、游戏木马检测大师、msctls_statusbar32、pjf(ustc)、IceSword
! n6 l! Q' }3 @并使用的键盘映射的方法关闭安全软件IceSword
- K( j0 Z% ^6 c* s2 z添加注册表使自己自启动 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe
并中止系统中以下的进程:
2 x  a( ^3 d( q- s" a  g6 @Mcshield.exe、VsTskMgr.exe、naPrdMgr.exe、UpdaterUI.exe、TBMon.exe、scan32.exe、Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、RavmonD.exe、RavStub.exe、KVXP.kxp、kvMonXP.kxp、KVCenter.kxp、KVSrvXP.exe、KRegEx.exe、UIHost.exe、TrojDie.kxp、FrogAgent.exe、Logo1_.exe、Logo_1.exe、Rundl132.exe
0 m1 P0 ]8 q% L1 ~* R! L8 V+ Cb:每隔18秒点击病毒作者指定的网页,并用命令行检查系统中是否存在共享，共存在的话就运行net share命令关闭admin$共享
c:每隔10秒下载病毒作者指定的文件,并用命令行检查系统中是否存在共享，共存在的话就运行net share命令关闭admin$共享
d:每隔6秒删除安全软件在注册表中的键值
并修改以下值不显示隐藏文件 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue -> 0x00
删除以下服务:
" \" E6 S2 J  Q, rnavapsvc、wscsvc、KPfwSvc、SNDSrvc、ccProxy、ccEvtMgr、ccSetMgr、SPBBCSvc、Symantec Core LC、NPFMntor MskService、FireSvc
- v4 R$ v9 T6 F, j8 ?3 V3 Qe:感染文件
病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部，并在扩展名为htm,html, asp,php,jsp,aspx的文件中添加一网址，用户一但打开了该文件，IE就会不断的在后台点击写入的网址，达到增加点击量的目的,但病毒不会感染以下文件夹名中的文件：
WINDOW、Winnt、System Volume Information、Recycled、Windows NT、WindowsUpdate、Windows Media Player、Outlook Express、Internet Explorer、NetMeeting、Common Files、ComPlus Applications、Messenger、InstallShield Installation Information、MSN、Microsoft Frontpage、Movie Maker、MSN Gamin Zone
g:删除文件
病毒会删除扩展名为gho的文件，该文件是一系统备份工具GHOST的备份文件使用户的系统备份文件丢失。
: C% _, ]: l! R! t- e

江南有雪

熊猫烧香病毒、熊猫烧香病毒变种的查杀方法，及熊猫烧香病毒的手动清除方案。提供了病毒进程为spoclsv.exe和FuckJacks.exe变种的解决方案，和烧香病毒专杀工具。
　　在动手查杀熊猫烧香病毒之前，强烈建议先注意以下四点：

• 　　1.本文包含两种熊猫烧香病毒变种的描述，请注意查看病毒症状，根据实际情况选用不同的查杀方法。
• 　　2.对于被熊猫烧香病毒感染的.exe可执行文件，推荐先备份，再修复！
• 　　3.找回被熊猫烧香病毒删除的ghost(.gho)文件，详情请见文中！
• 　　4.对计算机了解不多的用户，请在专家指导下清除熊猫烧香病毒。

熊猫烧香病毒变种一：病毒进程为“spoclsv.exe”　　这是“熊猫烧香”早期变种之一，特别之处是“杀死杀毒软件”，最恶劣之处在于感染全盘.exe文件和删除.gho文件（Ghost的镜像文件）。
- h8 A. z' _" s# v: E- x+ j　　最有“灵感”的一招莫过于在所有htm/html/asp/php/jsp/aspx文件末尾添加一段代码来调用病毒。目前所有专杀工具及杀毒软件均不会修复此病毒行为。需要手动清除病毒添加的代码，且一定要清除。否则访问了有此代码的网页，又会感染。
, b0 Q) Q. ^" Y3 Y- t　　其他老一点的“熊猫烧香”spoclsv变种的病毒行为比此版本少。就不再单独列出。
　　病毒描述：
$ C) e8 `* ^3 m7 B, f: I- j　　“武汉男生”，俗称“熊猫烧香”，这是一个感染型的蠕虫病毒，它能感染系统中exe，com，pif，src，html，asp等文件，它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件，（.gho为GHOST的备份文件），使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。

http://img2.pconline.com.cn/pconline/0701/13/942893_001_PConline.gif

熊猫烧香病毒（非原图）

http://img2.pconline.com.cn/pconline/0701/13/942893_2.jpg

被感染的程序（实际图）

JWJ9952

【新版下载】超级巡警2.7.0 主动防御 “熊猫烧香” 病毒 + U盘免疫！

) P0 i: z4 _5 L0 x0 M/ O, `

使用最新版超级巡警2.7.0主动防御“熊猫烧香”病毒 + U盘免疫！

http://image2.sina.com.cn/blog/tmpl/v3/theme/images/sun.gif2007-01-09　15:13:17 过去熊猫烧香在局域网内反复感染的问题一直困扰超级巡警实验室，也是熊猫烧香杀不干净的主要原因！本月9号这个问题终于得到解决，超级巡警最新版2.7.1可以主动预警防御熊猫烧香病毒。 8 R$ L8 v' l# ], W; ^) N, H9 s' j并且具有u盘免疫器， 可以查杀1月9日前的所有变种彻底清除肆虐两个多月的熊猫病毒！ * [, S" _6 K* m9 K " `& [1 q, o' J( ]5 S ' [1 C! w8 {- x+ C9 T3 E: x- x新版本超级巡警对熊猫烧香病毒有更好的监测与杀除功能，包括： ' }8 E6 ?* O- K7 q: a7 z1、实时监控目前所有熊猫烧香病毒的变种，在病毒运行前清除；   s: M5 v) r4 E1 \0 v2、全模块在线升级，一旦新变种出现，可以用最快速度升级与杀灭病毒； 3 ]$ V6 U2 O4 a& Z3、内置的熊猫烧香专杀升级至V1.6，是目前专杀中功能最全最完整的。 9 y- z4 I2 K. V8 F一、超级巡警简介 专门查杀并可辅助查杀各种木马、流氓软件、利用Rootkit技术的各种后门和其它恶意代码(间谍软件、蠕虫病毒)等等。提供了多种专业工具，提供系统 /IE修复、隐私保护和安全优化功能，提供了全面的系统监测功能，使你对系统的变化了如指掌，配合手动分析可近100%的查杀未知恶意代码！ ) c0 b4 C4 x+ b8 V 6 l6 q% d, T) q5 N7 T9 z! m3 T+ Z# z二、升级改动 7 `/ }  ?4 F) b( L; z, `v 2.7.0 1、引擎级全面查杀AUTORUN类病毒。 2、降低CPU占用：) ; W$ J" t! W2 \5 m" U3、提供U盘病毒免疫器 4、熊猫烧香专杀升级至1.6，超级巡警全面监测熊猫烧香。 4 Y. {& B* _6 t4 ?5、解决在主窗口上回车关闭的问题 , Y5 _; G1 P( g. B1 ~' g0 g' Z; E6、解决右键扫描窗口清除病毒显示数不准确的问题 7、启动管理增加一个导出报告 ) q5 h3 B6 A. ?( u& h8、升级程序在无人干预情况下30秒自动关闭 & u9 b3 g- G1 H& K3 I3 w9、从本版开始全模块在线升级 8 E7 q+ g6 T; C 主要功能： 启发预警，启动管理，IE插件管理，SPI链自动检测与修复，Rootkit检测，服务管理，隐藏服务检测，过滤微软默认服务，服务增加和删除，SSDT (服务描述表)恢复，进程管理，隐藏进程检测，DLL模块强制卸载，检测隐藏端口，断开连接，定位远程IP，WHOIS查询，关闭端口，IE修复，流氓插件免疫，恶意网站屏蔽，系统垃圾清理，智能扫描，文件粉碎机，软件卸载，系统优化，系统修复，漏洞检查和修复，右键查毒，漏洞检查和修复，系统诊断报告，论坛救援，启发扫描，NTFS数据流扫描，签名分析，全面扫描，内存扫描，目录扫描，信任列表，实时监控，智能升级。 四、程序下载 2 F! \) ]' _: G& W, b$ u5 B* ^ , W0 ~* o2 s8 U9 ~: {6 x: \安装版下载： ) W& \. S0 C$ T: Y" Ghttp://wap.chinaz.com/x/AST/ast_setup.exe 0 e0 x* H' S& a/ i8 Z. Ahttp://61.235.71.100/ast/ast_setup.exe http://221.130.184.102/ast/ast_setup.exe http://ast.patching.net/ast_setup.exe ( \  m; u# a$ e2 c6 X8 z6 L! @http://killer.9i3g.cn/download/ast_setup.exe   r6 K" \$ }* F 绿色版下载： 8 `  W' G. l% a3 Xhttp://wap.chinaz.com/x/AST/ast.rar http://61.235.71.100/ast/ast.rar http://221.130.184.102/ast/ast.rar http://ast.patching.net/ast.rar http://killer.9i3g.cn/download/ast.rar 2 ?# `. l) P4 kMD5校验和： " T2 s8 t5 V, ]: c7 F0 z4f6825a478fa9e8a12d590b300f68415 *ast.rar $ J- X. m/ L' j1 @646b983ba6cd714e3c253b421981be2c *ast_setup.exe

山联2

今天中了这个毒.........
/ o9 a0 b* [6 [- j. {8 t0 t% H
9 ^: [6 z) C; [/ `8 J发作速度惊人...........
+ d3 h4 X$ z  S! A& V
类似冲击波.........
( k5 w; C' D8 i8 M3 Z1 X% j0 i
. R7 d0 q  U2 v; q! O, X0 H但手动可以清除..............

山联2

可以选用搜索........后直接删除................
  Y; M7 k+ r/ N5 [' d4 E
[ 本帖最后由 山联2 于 2007-1-13 18:41 编辑 ]

helloyf

嗯，偶也中过，不过并不是所有的可执行文件都被感染，只是在分区根目录下有烧香图案的setup.exe及autorun.inf。好不容易才清掉。