[交流] 极度警报：提高防范意识，警惕“熊猫烧香”入侵

极度警报：提高防范意识，警惕“熊猫烧香”入侵
近日，一个名为“熊猫烧香”的病毒非常泛滥，已经入侵并毁坏数千电脑。请大家及时防范，以防万一。来论坛的战友们很多是通过代理上网的，大家要知道，通过代理上网，可能有染病毒。我从个人角度给几点建议：一，安装防火墙和在线防护。
天网：http://www.sky.net.cn/
瑞星：http://www.rising.com.cn/default_sy.htm
二，就浏览网页的朋友来说，要及时清除IE缓存和cookies。（具体方法：打开IE，点工具，点删除，就会看到有选项）
三，尽可能的使用Firefox和opera等比较安全的浏览器。
Firefox下载：http://www.mozilla.org.cn/
Opera下载：http://www.opera.com
四，及时删除系统垃圾文件。（有些文件中可能缓存着某些有害东西，清理垃圾文件是很重要的）推荐使用优化大师，这里下载：
http://www.skycn.com/soft/2988.html
五，如果你曾安装过其他杀毒软件，并且在使用，请及时到官方查看“熊猫烧香”的专杀和防护工具。

五点都很重要。
另外，有战友已经发布了手工清除“熊猫烧香”的方法，我个人认为一般。推荐去各大杀毒软件官方查看专杀工具。
红色部分是小弟的建议，以下为“熊猫烧香”的资料。


病毒名称：Worm.WhBoy.h 病毒中文名：熊猫烧香(武汉男生)
病毒类型：蠕虫
危险级别：★★★★★
影响平台：Win 9x/ME,Win 2000/NT,Win XP,Win 2003
专杀工具：金山专杀工具     安天专杀工具      江民专杀工具      安博士专杀工具      赛门铁克专杀工具
病毒描述：
“武汉男生”，俗称“熊猫烧香”，这是一个感染型的蠕虫病毒，它能感染系统中exe，com，pif，src，html，asp等文件，它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件，该文件是一系统备份工具GHOST的备份文件，使用户的系统备份文件丢失。被感染的用户系统中所有. exe可执行文件全部被改成熊猫举着三根香的模样。

1:拷贝文件
病毒运行后,会把自己拷贝到C:\WINDOWS\System32\Drivers\spoclsv.exe
2:添加注册表自启动
病毒会添加自启动项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe
3:病毒行为
a:每隔1秒寻找桌面窗口,并关闭窗口标题中含有以下字符的程序：
QQKav、QQAV、防火墙、进程、VirusScan、网镖、杀毒、毒霸、瑞星、江民、黄山IE、超级兔子、优化大师、木马克星、木马清道夫、QQ病毒、注册表编辑器、系统配置实用程序、卡巴斯基反病毒、Symantec AntiVirus、Duba、esteem proces、绿鹰PC、密码防盗、噬菌体、木马辅助查找器、System Safety Monitor、Wrapped gift Killer、Winsock Expert、游戏木马检测大师、msctls_statusbar32、pjf(ustc)、IceSword
并使用的键盘映射的方法关闭安全软件IceSword
添加注册表使自己自启动 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe
并中止系统中以下的进程:
Mcshield.exe、VsTskMgr.exe、naPrdMgr.exe、UpdaterUI.exe、TBMon.exe、 scan32.exe、Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、 RavmonD.exe、RavStub.exe、KVXP.kxp、kvMonXP.kxp、KVCenter.kxp、KVSrvXP.exe、 KRegEx.exe、UIHost.exe、TrojDie.kxp、FrogAgent.exe、Logo1_.exe、Logo_1.exe、 Rundl132.exe
b:每隔18秒点击病毒作者指定的网页,并用命令行检查系统中是否存在共享，共存在的话就运行net share命令关闭admin$共享
c:每隔10秒下载病毒作者指定的文件,并用命令行检查系统中是否存在共享，共存在的话就运行net share命令关闭admin$共享
d:每隔6秒删除安全软件在注册表中的键值
并修改以下值不显示隐藏文件 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue -> 0x00
删除以下服务:
navapsvc、wscsvc、KPfwSvc、SNDSrvc、ccProxy、ccEvtMgr、ccSetMgr、SPBBCSvc、Symantec Core LC、NPFMntor MskService、FireSvc
e:感染文件
病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部，并在扩展名为htm,html, asp,php,jsp,aspx的文件中添加一网址，用户一但打开了该文件，IE就会不断的在后台点击写入的网址，达到增加点击量的目的,但病毒不会感染以下文件夹名中的文件：
WINDOW、Winnt、System Volume Information、Recycled、Windows NT、WindowsUpdate、Windows Media Player、Outlook Express、Internet Explorer、NetMeeting、Common Files、ComPlus Applications、Messenger、InstallShield Installation Information、MSN、Microsoft Frontpage、Movie Maker、MSN Gamin Zone
g:删除文件
病毒会删除扩展名为gho的文件，该文件是一系统备份工具GHOST的备份文件使用户的系统备份文件丢失。

介绍很详细.感谢楼主的发部,我去查一下我的电脑里面的病毒.支持一下./

请大家装一个“影子管理系统”吧！可以让病毒无法进入。

我这就去  安全第一

我想知道，这个病毒是不是需要运行才能感染的？如果病毒源文件放在那里，我不点它，电脑应该不会中毒吧？因为它的初始化感染并没有利用系统自动漏洞，而是需要人手激活。到现在为止，不许运行便可以使计算机中毒的只有2004年那个RPC病毒。。。
这个熊猫烧香只能说是破坏性比较大，比较难以清除。看他的行为，也只是集中了多种病毒于一身而已（咦？有点像集合多种杀人武器，西瓜刀、铁链、火药、硫酸、毒药、手枪、手榴弹、杀虫剂的“摞你命3000”）。。。如果不运行就不中毒的话，那其实不太可怕。

还有，根据病毒描述“把自己附加到文件的头部”，我希望这是笔误。因为一个好的病毒，都只是改动文件头的几个字节，把自己的主体写在原文件的后面，如果把自己完全写在原文件前面，这样会浪费很多心思，而且使病毒传播速度大大减慢。

还没有出现这个图片，未免也太过恐怖了点！！

我的机器还没有中到这种病毒，不过谢谢楼主分享，先收藏，万一中了还有补救。

canory
这个病毒非常恐怖，他自运行，不需要你点。
第二个不是笔误。
所以希望你，还有下面的朋友提供防范意识，赶快安装运行防火墙和在线防护。以防万一。
不然你届时连sis也来不了啦。

另外谢谢版主加分。
大家给不给红心无所谓，因为安全第一。

谢谢楼主提醒，看来安全起见还是先ghost备份一个系统好了。。。
至于杀毒软件和防火墙，我个人习惯是不安装，因为个人需要吧，
有时候程序安装了防火墙运行速度慢呀，没办法。。
不过再次谢谢你提醒啦