熊猫烧香跟灰鸽子不同,这是名副其实的病毒,这是一个感染型的蠕虫病毒,它能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件,使用户的系统备份文件丢失。被感染的用户系统中所有exe可执行文件全部被改成熊猫举着三根香的模样。2006年10月16日由25岁的中国湖北武汉新洲区人李俊编写,拥有感染传播功能,2007年1月初肆虐网络,它主要通过下载的档案传染,受到感染的机器文件因为被误携带间接对其它计算机程序、系统破坏严重。2013年6月病毒制造者张顺和李俊伙同他人开设网络赌场案,再次获刑。
熊猫烧香是什么_熊猫烧香 -基本介绍
病毒名称:熊猫烧香,Worm.WhBoy.(金山称),Worm.Nimaya。(瑞星称)
病毒别名:尼姆亚,武汉男生,后又化身为“金猪报喜”,国外称“熊猫烧香”
危险级别:★★★★★
病毒类型:蠕虫病毒,能够终止大量的反病毒软件和防火墙软件进程。
影响系统:Windows 9x/ME、Windows 2000/NT、Windows XP、Windows 2003 、Windows Vista 、Windows 7
发现时间:2006年10月16日
来源地:中国武汉东湖高新技术开发区关山
熊猫烧香是什么_熊猫烧香 -传播方法
金山分析:这是一个感染型的蠕虫病毒,它能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程
1拷贝文件
病毒运行后,会把自己拷贝到
C:WINDOWSSystem32Driversspoclsv.exe
2添加注册表自启动
病毒会添加自启动项
svcshare ->C:WINDOWSSystem32Driversspoclsv.exe
3病毒行为
a:每隔1秒
寻找桌面窗口,并关闭窗口标题中含有以下字符的程序
QQKav
QQAV
防火墙
进程
VirusScan
网镖
杀毒
毒霸
瑞星
江民
黄山IE
超级兔子
优化大师
木马克星
木马清道夫
QQ病毒
注册表编辑器
系统配置实用程序
卡巴斯基反病毒
Symantec AntiVirus
Duba
熊猫烧香
esteem proces
绿鹰PC
密码防盗
噬菌体
木马辅助查找器
System Safety Monitor
Wrapped gift Killer
Winsock Expert
游戏木马检测大师
msctls_statusbar32
pjf(ustc)
IceSword
并使用的键盘映射的方法关闭安全软件IceSword
添加注册表使自己自启动
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
svcshare ->C:WINDOWSSystem32Driversspoclsv.exe
并中止系统中以下的进程:
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
熊猫烧香
KVXP.kxp
kvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl132.exe
b:每隔18秒
点击病毒作者指定的网页,并用命令行检查系统中是否存在共享
共享存在的话就运行net share命令关闭admin$共享
c:每隔10秒
下载病毒作者指定的文件,并用命令行检查系统中是否存在共享
共享存在的话就运行net share命令关闭admin$共享
d:每隔6秒
删除安全软件在注册表中的键值
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
RavTask
KvMonXP
kav
KAVPersonal50
McAfeeUpdaterUI
Network Associates Error Reporting Service
ShStartEXE
YLive.exe
yassistse
并修改以下值不显示隐藏文件
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL
CheckedValue ->0x00
删除以下服务:
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec Core LC
NPFMntor
MskService
FireSvc
e:感染文件
病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部
并在扩展名为htm,html,asp,php,jsp,aspx的文件中添加一网址,
用户一但打开了该文件,IE就会不断的在后台点击写入的网址,达到
增加点击量的目的,但病毒不会感染以下文件夹名中的文件:
熊猫烧香
WINDOW
Winnt
System Volume Information
Recycled
Windows NT
WindowsUpdate
Windows Media Player
Outlook Express
Internet Explorer
NetMeeting
Common Files
ComPlus Applications
Messenger
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
MSN Gamin Zone
g:删除文件
病毒会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件
使用户的系统备份文件丢失.
瑞星病毒分析报告:“Nimaya(熊猫烧香)”
这是一个传染型的DownLoad 使用Delphi编写
熊猫烧香是什么_熊猫烧香 -变种病毒
金猪报喜病毒实际就是熊猫烧香的新变种,
春节将至,然而广大网络用户仍没有彻底摆脱“熊猫烧香”的阴霾。伴随着大量“熊猫烧香”变种的出现,对用户的危害一浪高过一浪。1月29日,来自金山毒霸反病毒中心最新消息:“熊猫烧香”化身“金猪”,危害指数再度升级,被感染的电脑中不但“熊猫”成群,而且“金猪”满圈。但象征财富的金猪仍然让用户无法摆脱“系统被破坏,大量应用软件无法应用”的噩梦。
病毒描述:
“武汉男生”,俗称“熊猫烧香”, 2006年12月又化身为“金猪报喜” ,这是一个感染型的蠕虫病毒,它能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件,使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成可爱金猪的模样。
2007年1月30日,江民科技反病毒中心监测到,肆虐互联网的“熊猫烧香”又出新变种。此次变种把“熊猫烧香”图案变成“金猪报喜”。江民反病毒专家提醒用户,春节临近,谨防春节期间病毒借人们互致祝福之际大面积爆发。
专家介绍,“熊猫烧香”2006年11月中旬被首次发现,短短两个月时间,新老变种已达700多种,据江民反病毒预警中心监测到的数据显示,“熊猫烧香”病毒2006年12月一举闯入病毒排名前20名,2007年1月份更是有望进入前10名。疫情最严重的地区分别为:广东、山东、江苏、北京和辽宁。
针对该病毒,江民杀毒软件KV系列已紧急升级,用户升级到最新病毒库即可有效防范该病毒于系统之外。江民“熊猫烧香”专杀工具已同步更新,未安装杀毒软件的用户可以登陆江民网站下载杀毒。此外,针对“熊猫烧香”变种频繁的特征,江民杀毒软件KV2007主动防御规则库可彻底防范“熊猫烧香”及其变种,用户可以登陆江民反病毒论坛下载使用。
此外学生寒假开始,上网人群短期内集中上升,病毒的传播速度也空前加快,所以用户在进行上网的过程中要更加警惕病毒的入侵。据了解,前几天在网络上出现了“熊猫烧香”作者声称不再有变种出现,而“金猪”的出现再次粉碎了人们的美梦,再次将人们拉回到熊猫烧香的梦魇之中。专家称,按照当时“熊猫烧香”破坏程度,威胁将延伸至春节。
专家提醒大家,遇到“金猪”不要心慌,用熊猫烧香专杀工具就可以完全对付这只小金猪啦!
熊猫烧香变身“金猪报喜”再作乱
“熊猫烧香”余毒未尽,新变种接踵而来。据悉,熊猫烧香已改头换面变成新病毒“金猪报喜”。日前,江民、瑞星、金山等反病毒公司已经陆续截获大量“金猪报喜”病毒的报告,而这一病毒甚至可以清除用户机器里原有的“熊猫烧香”病毒,并自动取而代之。
由于“熊猫烧香”病毒作者不断更新变种程序,众多杀毒软件无法跟随病毒的发展速度。而近日出现的“金猪报喜”病毒图表,同样是可爱的小动物,但危害却在与“熊猫烧香”一样感染EXE文件外,还能感染RAR跟ZIP等格式文件。据悉当时2008年几家反病毒厂商尚未推出针对“金猪报喜”的专杀工具。
由于春节临近,更多新 病毒可能集中出现,因此反病毒专家提醒用户要加强警惕,及时升级 杀毒软件,不要随便点击莫名来历文件。
最虔诚的病毒--熊猫烧香
对于这个在06年给人们带来黑色记忆的病毒,其成因只因为作者为了炫耀自己而产生,其借助U盘的传播方式也引领新的反病毒课题,但这一切都没有其LOGO的熊猫给人的印象深刻,熊猫拿着三根香虔诚的祈祷什么?这给很多人以遐想。所以最虔诚的病毒只能颁给举着香在祈祷的熊猫。
2007年9月24日,“熊猫烧香”案一审宣判,主犯李俊被判刑4年。庭审中,李俊的辩护律师王万雄出示了一份某网络公司发给李俊的邀请函,请他担任公司的技术总监。据悉,案发后已有不下10家网络大公司跟李俊联系,欲以100万年薪邀请其加入(见9月25日《长江商报》)。
熊猫烧香传播性极高,中病毒者会在短时间内传染局域网内其他用户。
熊猫烧香是什么_熊猫烧香 -应对方法
杀毒方法
虽然用户及时更新杀毒软件病毒库,并下载各杀毒软件公司提供的专杀工具,即可对“熊猫烧香”病毒进行查杀,但是如果能做到防患于未然岂不更好。
解决办法
熊猫烧香
【1】 立即检查本机administrator组成员口令,一定要放弃简单口令甚至空口令,
安全的口令是字母数字特殊字符的组合,自己记得住,别让病毒猜到就行。
(修改方法:右键单击我的电脑,选择管理,浏览到本地用户和组,在右边的窗格中,选择具备管理员权限的用户名,单击右键,选择设置密码,输入新密码就行。)
【2】 利用组策略,关闭所有驱动器的自动播放功能。
步骤1
单击开始,运行,输入gpedit.msc,打开组策略编辑器,浏览到计算机配置,管理模板,系统,在右边的窗格中选择关闭自动播放,该配置缺省是未配置,在下拉框中选择所有驱动器,再选取已启用,确定后关闭。最后,在开始,运行中输入gpupdate,确定后,该策略就生效了。
【3】 修改文件夹选项,以查看不明文件的真实属性,避免无意双击骗子程序中毒。
步骤2
打开资源管理器(按windows徽标键+E),点工具菜单下文件夹选项,再点查看,在高级设置中,选择查看所有文件,取消隐藏受保护的操作系统文件,取消隐藏文件扩展名。
【4】 时刻保持操作系统获得最新的安全更新,不要随意访问来源不明的网站,特别是微软的MS06-014漏洞,应立即打好该漏洞补丁。
同时,QQ、UC的漏洞也可以被该病毒利用,因此,用户应该去他们的官方网站打好最新补丁。此外,由于该病毒会利用IE浏览器的漏洞进行攻击,因此用户还应该给IE打好所有的补丁。如果必要的话,用户可以暂时换用Firefox、Opera等比较安全的浏览器。
【5】 启用Windows防火墙保护本地计算机。同时,局域网用户尽量避免创建可写的共享目录,已经创建共享目录的应立即停止共享。
此外,对于未感染的用户,病毒专家建议,不要登录不良网站,及时下载微软公布的最新补丁,来避免病毒利用漏洞袭击用户的电脑,同时上网时应采用“杀毒软件+防火墙”的立体防御体系。病毒源码。
防御方法
计世网消息 在2007年新年出现的“PE_FUJACKS”就是一种让广大互联网用户闻之色变的“熊猫烧香”。该病毒的作者为“武汉男生”(文件末签名”WhBoy”),这个版本的病毒已经集成了PE_FUJA CK和QQ大盗的代码,通过网络共享,文件感染和移动存储设备传播,尤其是感染网页文件,并在网页文件写入自动更新的代码,一旦浏览该网页,就会感染更新后的变种。
不幸中招的用户都知道,“熊猫烧香”会占用局域网带宽,使得电脑变得缓慢,计算机会出现以下症状:熊猫烧香病毒会在网络共享文件夹中生成一个名为GameSetup.exe的病毒文件;结束某些应用程序以及防毒软件的进程,导致应用程序异常,或不能正常执行,或速度变慢;硬盘分区或者U盘不能访问使用;exe程序无法使用程序图标变成熊猫烧香图标;硬盘的根目录出现setup.exe auturun.INF文件 ;同时浏览器会莫名其妙地开启或关闭。
该病毒主要通过浏览恶意网站、网络共享、文件感染和移动存储设备(如U盘)等途径感染,其中网络共享和文件感染的风险系数较高,而通过Web和移动存储感染的风险相对较低。该病毒会自行启动安装,生成注册列表和病毒文件%System%driversspoclsv.exe ,并在所有磁盘跟目录下生成病毒文件setup.exe,autorun.inf。
应用统一变为熊猫烧香的图标其实就是在注册表的HKEY_CLASSES_ROOT这个分支中写入了一个值,将所有的EXE文件图标指向一个图标文件,所以一般只要删除此值,改回原貌就可以了。