熊猫烧香病毒揭密

图：“熊猫烧香”是一个由Delphi工具编写的蠕虫 图：感染后的文件图标会变成“熊猫烧香”图案 　　新年伊始“熊猫烧香”病毒愈演愈烈 　　-“熊猫烧香”病毒档案 　　追杀目标：Worm.WhBoy.h 　　中 文 名：“熊猫烧香” 　　病毒长度：可变 　　病毒类型：蠕虫 　　危害等级：★★★★ 　　影响平台：Windows 9X/ME/NT/2000/XP/Server 2003 　　典型表现： 　　“熊猫烧香”是一个由Delphi工具编写的蠕虫，终止大量的反病毒软件和防火墙软件进程。病毒会删除扩展名为gho的文件，使用户无法使用ghost 软件恢复操作系统。“熊猫烧香”感染系统的.exe、.com、.pif、.src、.html、.asp文件，添加病毒网址，导致用户一打开这些网页文件，IE就会自动连接到指定的病毒网址中下载病毒。在硬盘各个分区下生成文件autorun.inf和setup.exe，可以通过U盘和移动硬盘等方式进行传播，并且利用Windows系统的自动播放功能来运行，搜索硬盘中的.exe可执行文件并感染，感染后的文件图标变成“熊猫烧香”图案。“熊猫烧香”还可以通过共享文件夹、系统弱口令等多种方式进行传播。 　　日前，电脑用户张先生气愤地告诉记者：“今天早晨一打开电脑，我就快晕了。进入系统后，许多应用程序无法使用，重装软件后，不久又不能使用。更奇怪的是发现电脑中所有的.exe可执行文件全部变成小熊猫举着三根香的模样，而且系统运行异常缓慢，非常郁闷。”据记者从国内几家杀毒公司了解到，近期，一个叫“熊猫烧香”(Worm.WhBoy.h)的病毒把电脑用户折腾得苦不堪言。在人们心目中，“熊猫”这个国宝似乎不再可爱，而成了人人喊打的过街老鼠。据国内的病毒专家介绍，“熊猫烧香”蠕虫不但对用户系统进行破坏，导致大量应用软件无法使用，而且还可删除扩展名为gho的所有文件，造成用户的系统备份文件丢失，从而无法进行系统恢复。此外，该病毒还能终止大量反病毒软件进程，大大降低用户系统的安全性。 　　三大原因导致“熊猫烧香”肆虐 　　近日，“熊猫烧香”病毒泛滥成灾，已经到了天怒人怨的地步。据悉，由于多家著名网站遭到此类病毒攻击而相继被植入病毒。由于这些网站的浏览量非常大，致使此次“熊猫烧香”病毒的感染范围非常广。 　　据瑞星反病毒专家介绍，“熊猫烧香”其实是“尼姆亚”病毒的新变种，最早出现在2006年的11月。由于它一直在不停地进行变种，而且该病毒会在中毒电脑中所有的网页文件尾部添加病毒代码，因此，一旦一些网站编辑人员的电脑被该病毒感染，网站编辑在上传网页到网站后，就会导致所有浏览该网页的计算机用户也被感染上该病毒。 　　同时，据金山毒霸反病毒中心表示，“熊猫烧香”除了通过网站带毒感染用户之外，此病毒还会通过QQ最新漏洞传播自身，通过网络文件共享、默认共享、系统弱口令、U盘及移动硬盘等多种途径传播。而局域网中只要有一台机器感染，就可以瞬间传遍整个网络，甚至在极短时间之内就可以感染几千台计算机，严重时可以导致网络瘫痪。中毒症状表现为电脑中所有可执行的.exe文件都变成了一种怪异的图案，该图案显示为“熊猫烧香”，继而系统蓝屏、频繁重启、硬盘数据被破坏等，严重的整个公司局域网内所有电脑会全部中毒。 　 　　对此，江民反病毒专家何公道分析认为：导致病毒快速传播目前存在三大原因。一是大量的企业用户使用国外杀毒软件，而国外杀毒软件对于此类国产病毒响应速度特别慢。二是由于被种植“熊猫烧香”病毒网站的点击量的全球排名均在前 300名之列，而当一部分网站编辑本身机器感染了病毒之后，当他们把受感染文件上传到服务器后，访问者点击此类受感染网页即中毒，因此，该病毒才会得以迅速传播。三是其病毒具有极强的变种能力，仅从2006年11月至年底短短一个多月的时间，该病毒就变种将近30余次，因此在许多用户疏于防范而没有更新杀毒软件时，该病毒即可借机迅速传播。 　　新年伊始“熊猫烧香”破坏继续加剧 　　据了解，江民科技发布的2006年计算机病毒疫情显示，“熊猫烧香”(“威金”病毒变种)已成为2006年计算机病毒最大威胁。截至去年12月份，已有超过50万台计算机受此病毒感染，而受害企业用户更是达到上千家，多数企业业务因此停顿，直接和间接损失无法估量，病毒疫情十分严重。 　　近日据记者从金山毒霸反病毒中心获取的最新消息：“熊猫烧香”(Worm.WhBoy.h)病毒目前再次进入急速变种期，从元旦至今，仅半个多月，“熊猫烧香”变种数已高达50多个，并且其感染用户的数量也在不断扩大。据金山毒霸客户服务中心初步统计，目前感染“熊猫烧香”病毒的个人用户已经高达几百万，企业用户感染数更是成倍上升。特别是在近一周内，金山毒霸客服中心有关熊猫烧香的日咨询量已高达73%，而感染用户主要以北京、广州、上海等大型城市为主。 　　另据金山毒霸反病毒专家戴光剑指出，当前由于大部分感染了“熊猫烧香”的用户只能被动下载一些相关的专杀工具或杀毒软件进行查杀，而由于熊猫烧香变种多，传播速度快，一旦用户没能及时升级杀毒软件或专杀工具，查杀效果将大打折扣。所以如何彻底将“熊猫烧香”拦截于用户的电脑之外，成为各大杀毒厂商目前急需解决的问题。 　　最全面的“熊猫烧香”整体解决方案 　　近期，“熊猫烧香”病毒无疑成了互联网最热门的关键字了，网上也能找到很多个有关熊猫烧香病毒的解决办法。这些方法都显得不尽完美，再加上熊猫的变种很多，有效性就更加大打折扣了。为此，记者通过对国内几家杀毒软件公司的采访，整理出了一套相对完整的解决方案供大家参考。对于已经感染“熊猫烧香”病毒的用户，可以采用以下几种方式对该病毒进行查杀。 　　★金山 　　金山毒霸2007对“熊猫烧香”已经具备免疫能力，金山毒霸反病毒专家建议及时安装正版金山毒霸并升级到最新版本进行查杀。在服务期内的毒霸用户，将会通过金山毒霸的主动实时升级功能，自动升级到最新版本，实现对“熊猫烧香”的免疫。对于没有安装杀毒软件的电脑用户，可以登录到tool.duba.net/zhuansha/253.shtml免费下载金山的“熊猫烧香”专杀工具。 　　★瑞星 　　安装杀毒软件和瑞星卡卡3.1的用户，可将软件升级，并在上网时打开网页实时监控。同时，瑞星已经发布针对该病毒的专杀工具，并对该工具不断升级。因此，没有安装杀毒软件的用户，还可以登录it.rising.com.cn/Channels/Service/index.shtml免费下载使用“熊猫烧香”专杀工具。 　　★江民 　　江民建议已安装江民杀毒软件的用户将杀毒软件升级到最新病毒库，并对电脑进行全盘查杀。未安装杀毒软件的用户，也可登录到www.jiangmin.com/download/zhuansha04.htm下载安装江民“熊猫烧香”专杀工具，可以有效清除病毒和修复被感染文件。 　　五招远离熊猫烧香骚扰 　　据金山毒霸反病毒中心表示，近期“熊猫烧香”的变种异常活跃，因此从目前至春节期间，该病毒还将会一直骚扰着电脑用户。虽然用户及时更新杀毒软件病毒库，并下载各杀毒软件公司提供的专杀工具，即可对“熊猫烧香”病毒进行查杀，但是如果能做到防患于未然岂不更好。为此，记者在采访中，还总结了以下五招预防措施，希望可以帮您远离“熊猫烧香”病毒的骚扰。 　　1.立即检查本机administrator组成员口令，一定要放弃简单口令甚至空口令，安全的口令是字母数字特殊字符的组合，自己记得住，别让病毒猜到就行。 　　修改方法：右键单击我的电脑，选择管理，浏览到本地用户和组，在右边的窗格中，选择具备管理员权限的用户名，单击右键，选择设置密码，输入新密码就行。 　　2.利用组策略，关闭所有驱动器的自动播放功能。 　步骤：单击开始，运行，输入gpedit.msc，打开组策略编辑器，浏览到计算机配置，管理模板，系统，在右边的窗格中选择关闭自动播放，该配置缺省是未配置，在下拉框中选择所有驱动器，再选取已启用，确定后关闭。最后，在开始，运行中输入gpupdate，确定后，该策略就生效了。 　　3.修改文件夹选项，以查看不明文件的真实属性，避免无意双击骗子程序中毒。 　　步骤：打开资源管理器(按windows徽标键＋E)，点工具菜单下文件夹选项，再点查看，在高级设置中，选择查看所有文件，取消隐藏受保护的操作系统文件，取消隐藏文件扩展名。 　　4.时刻保持操作系统获得最新的安全更新，不要随意访问来源不明的网站，特别是微软的MS06-014漏洞，应立即打好该漏洞补丁。 　　同时，QQ、UC的漏洞也可以被该病毒利用，因此，用户应该去他们的官方网站打好最新补丁。此外，由于该病毒会利用IE浏览器的漏洞进行攻击，因此用户还应该给IE打好所有的补丁。如果必要的话，用户可以暂时换用Firefox、Opera等比较安全的浏览器。 　　5.启用Windows防火墙保护本地计算机。同时，局域网用户尽量避免创建可写的共享目录，已经创建共享目录的应立即停止共享。 　　此外，对于未感染的用户，病毒专家建议，不要登录不良网站，及时下载微软公布的最新补丁，来避免病毒利用漏洞袭击用户的电脑，同时上网时应采用“杀毒软件+防火墙”的立体防御体系。