“熊猫烧香”,是由李俊制作并肆虐网络的一款电脑病毒,熊猫烧香跟灰鸽子不同,是一款拥有自动传播、自动感染硬盘能力和强大的破坏能力的病毒,它不但能感染系统中exe,com,pif,src,html,asp等文件,它还能终止大量的反病毒软件进程并且会删除扩展名为gho的文件(该类文件是一系统备份工具“GHOST”的备份文件,删除后会使用户的系统备份文件丢失)。
被感染的用户系统中所有exe可执行文件全部被改成熊猫举着三根香的模样。2006年10月16日由25岁的湖北武汉新洲区人李俊编写,2007年1月初肆虐网络,它主要通过下载的文件传染。2007年2月12日,湖北省公安厅宣布,李俊以及其同伙共8人已经落网,这是中国警方破获的首例计算机病毒大案。2014年,张顺、李俊被法院以开设赌场罪分别判处有期徒刑五年和三年,并分别处罚金20万元和8万元。
“熊猫烧香”,是由李俊制作并肆虐网络的一款电脑病毒,熊猫烧香跟灰鸽子不同,是一款拥有自动传播、自动感染硬盘能力和强大的破坏能力的病毒,它不但能感染系统中exe,com,pif,src,html,asp等文件,它还能终止大量的反病毒软件进程并且会删除扩展名为gho的文件(该类文件是一系统备份工具“GHOST”的备份文件,删除后会使用户的系统备份文件丢失)。
被感染的用户系统中所有exe可执行文件全部被改成熊猫举着三根香的模样。2006年10月16日由25岁的湖北武汉新洲区人李俊编写,2007年1月初肆虐网络,它主要通过下载的文件传染。2007年2月12日,湖北省公安厅宣布,李俊以及其同伙共8人已经落网,这是中国警方破获的首例计算机病毒大案。2014年,张顺、李俊被法院以开设赌场罪分别判处有期徒刑五年和三年,并分别处罚金20万元和8万元。
磁盘感染
熊猫烧香病毒对系统中所有除了盘符为A,B的磁盘类型为DRⅣE_REMOTE,DRⅣE_FⅨED的磁盘进行文件遍历感染。
注:不感染文件大小超过10MB以上的
(病毒将不感染如下目录的文件):
Microsoft Frontpage
Movie Maker
MSN Gamin Zone
Recycled
……
(病毒将不感染文件名如下的文件):
病毒将使用两类感染方式应对不同后缀的文件名进行感染
(1)二进制可执行文件(后缀名为:EXE,SCR,PIF,COM): 将感染目标文件和病毒溶合成一个文件(被感染文件贴在病毒文件尾部)完成感染.
(2)脚本类(后缀名为:htm,html,asp,php,jsp,aspx): 在这些脚本文件尾加上如下链接(下边的页面存在安全漏洞):
<iframe src=></iframe>
在感染时会删除这些磁盘上的后缀名为.GHO的Ghost备份文件。
生成文件
病毒建立一个计时器,以6秒为周期在磁盘的根目录下生成setup.exe(病毒本身)autorun.inf,并利用AutoRun Open关联使病毒在用户点击被感染磁盘时能被自动运行。
局域网传播
病毒生成随机个局域网传播线程实现如下的传播方式:
当病毒发现能成功联接攻击目标的139或445端口后,将使用内置的一个用户列表及密码字典进行联接(猜测被攻击端的密码)。当成功联接上以后将自己复制过去,并利用计划任务启动激活病毒。
修改操作系统的启动关联
下载文件启动
与杀毒软件对抗
熊猫烧香是一种蠕虫病毒的变种,经过多次变种而来,由于中毒电脑的可执行文件会出现“熊猫烧香”图案,所以也被称为 “熊猫烧香”病毒。但原病毒只会对exe文件的图标进行替换,并不会对系统本身进行破坏。而大多数是中等病毒变种,用户电脑中毒后可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。同时,该病毒的某些变种可以通过局域网进行传播,进而感染局域网内所有计算机系统,最终导致企业局域网瘫痪,无法正常使用,它能感染系统中exe,com,pif,src,html,asp等文件,它还能终止大量的反病毒软件进程并且会删除扩展名为gho的备份文件。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。
熊猫烧香是一个感染型的蠕虫病毒,它能感染系统中exe,com,pif,src,html,asp等文件,它还能结束大量的反病毒软件进程。
1、拷贝文件
病毒运行后,会把自己拷贝到
C:\WINDOWS\System32\Drivers\spoclsv.exe
2、添加注册表自启动
病毒会添加自启动项
svcshare ->C:\WINDOWS\System32\Drivers\spoclsv.exe
3、病毒行为
a:每隔1秒
寻找桌面窗口,并关闭窗口标题中含有以下字符的程序:
-
QQAV
-
网镖
-
黄山IE
-
系统配置实用程序
-
Duba
-
esteem proces
-
绿鹰PC
-
密码防盗
-
噬菌体
-
木马辅助查找器
-
Wrapped gift Killer
-
Winsock Expert
-
游戏木马检测大师
-
msctls_statusbar32
-
pjf(ustc)
添加注册表使自己自启动
-
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
-
svcshare ->C:\WINDOWS\System32\Drivers\spoclsv.exe
并结束系统中以下的进程:
-
KVXP.kxp
-
KVCenter.kxp
b:每隔18秒
点击病毒作者指定的网页,
并用命令行检查系统中是否存在共享
共享存在的话就运行net share命令关闭admin$共享
c:每隔10秒
下载病毒作者指定的文件,
并用命令行检查系统中是否存在共享
共享存在的话就运行net share命令关闭admin$共享
d:每隔6秒
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
RavTask
KvMonXP
KAVPersonal50
McAfeeUpdaterUI
Network Associates Error Reporting Service
ShStartEXE
yassistse
并修改以下值不显示隐藏文件
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
CheckedValue -> 0x00
删除以下服务:
navapsvc
wscsvc
SNDSrvc
SPBBCSvc
Symantec Core LC
NPFMntor
MskService
FireSvc
e:感染文件
病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部
并在扩展名为htm,html,asp,php,jsp,aspx的文件中添加一网址,
用户一但打开了该文件,IE就会不断的在后台点击写入的网址,达到
增加点击量的目的,但病毒不会感染以下文件夹名中的文件:
WINDOW
Recycled
InstallShield Installation Information
Microsoft Frontpage
Movie Maker
MSN Gamin Zone
g:删除文件
病毒会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件;
使用户的系统备份文件丢失;
熊猫烧香病毒会删除扩展名为gho的文件,使用户无法使用ghost软件恢复操作系统。“熊猫烧香”感染系统的.exe .com. f.src .html.asp文件,添加病毒网址,导致用户一打开这些网页文件,IE就会自动连接到指定的病毒网址中下载病毒。在硬盘各个分区下生成文件autorun.inf和setup.exe,可以通过U盘和移动硬盘等方式进行传播,并且利用Windows系统的自动播放功能来运行,搜索硬盘中的.exe可执行文件并感染,感染后的文件图标变成“熊猫烧香”图案。“熊猫烧香”还可以通过共享文件夹、用户简单密码等多种方式进行传播。该病毒会在中毒电脑中所有的网页文件尾部添加病毒代码。一些网站编辑人员的电脑如果被该病毒感染,上传网页到网站后,就会导致用户浏览这些网站时也被病毒感染。据悉,多家著名网站已经遭到此类攻击,而相继被植入病毒。由于这些网站的浏览量非常大,致使“熊猫烧香”病毒的感染范围非常广,中毒企业和政府机构已经超过千家,其中不乏金融、税务、能源等关系到国计民生的重要单位 [2] 。
除通过网站带毒感染用户之外,此病毒还会在局域网中传播,在极短时间之内就可以感染几千台计算机,严重时可以导致网络瘫痪。中毒电脑上会出现“熊猫烧香”图案,所以也被称为“熊猫烧香”病毒。中毒电脑会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。
解决办法
【1】 检查本机administrator组成员口令,一定要放弃简单口令甚至空口令,安全的口令是字母数字特殊字符的组合,自己记得住,别让病毒猜到就行。
(修改方法:右键单击我的电脑,选择管理,浏览到本地用户和组,在右边的窗格中,选择具备管理员权限的用户名,单击右键,选择设置密码,输入新密码就行。)
-
步骤1
单击开始,运行,输入gpedit.msc,打开组策略编辑器,浏览到计算机配置,管理模板,系统,在右边的窗格中选择关闭自动播放,该配置缺省是未配置,在下拉框中选择所有驱动器,再选取已启用,确定后关闭。最后,在开始,运行中输入gpupdate,确定后,该策略就生效了。
【3】 修改文件夹选项,以查看不明文件的真实属性,避免无意双击骗子程序中毒。
-
步骤2
打开资源管理器(按windows徽标键+E),点工具菜单下文件夹选项,再点查看,在高级设置中,选择查看所有文件,取消隐藏受保护的操作系统文件,取消隐藏文件扩展名。
【4】 时刻保持操作系统获得最新的安全更新,不要随意访问来源不明的网站,特别是微软的MS06-014漏洞,应立即打好该漏洞补丁。
同时,QQ、UC的漏洞也可以被该病毒利用,因此,用户应该去他们的官方网站打好最新补丁。此外,由于该病毒会利用IE浏览器的漏洞进行攻击,因此用户还应该给IE打好所有的补丁。如果必要的话,用户可以暂时换用Firefox、Opera等比较安全的浏览器。
【5】 启用Windows防火墙保护本地计算机。同时,局域网用户尽量避免创建可写的共享目录,已经创建共享目录的应立即停止共享。
此外,对于未感染的用户,病毒专家建议,不要登录不良网站,及时下载微软公布的最新补丁,来避免病毒利用漏洞袭击用户的电脑,同时上网时应采用“杀毒软件+防火墙”的立体防御体系。
防御方法
在2007年新年出现的“PE_FUJACKS”就是一种让广大互联网用户闻之色变的“熊猫烧香”。该病毒的作者为“武汉男生”(文件末签名”WhBoy”),这个版本的病毒已经集成了PE_FUJA CK和QQ大盗的代码,通过网络共享,文件感染和移动存储设备传播,尤其是感染网页文件,并在网页文件写入自动更新的代码,一旦浏览该网页,就会感染更新后的变种。
不幸中招的用户都知道,“熊猫烧香”会占用局域网带宽,使得电脑变得缓慢,计算机会出现以下症状:熊猫烧香病毒会在网络共享文件夹中生成一个名为GameSetup.exe的病毒文件;结束某些应用程序以及防毒软件的进程,导致应用程序异常,或不能正常执行,或速度变慢;硬盘分区或者U盘不能访问使用;exe程序无法使用程序图标变成熊猫烧香图标;硬盘的根目录出现setup.exe auturun.INF文件 ;同时浏览器会莫名其妙地开启或关闭。
该病毒主要通过浏览恶意网站、网络共享、文件感染和移动存储设备(如U盘)等途径感染,其中网络共享和文件感染的风险系数较高,而通过Web和移动存储感染的风险相对较低。该病毒会自行启动安装,生成注册列表和病毒文件%System%\drivers\spoclsv.exe ,并在所有磁盘跟目录下生成病毒文件setup.exe,autorun.inf。
应用统一变为熊猫烧香的图标其实就是在注册表的HKEY_CLASSES_ROOT这个分支中写入了一个值,将所有的EXE文件图标指向一个图标文件,所以一般只要删除此值,改回原貌就可以了。