熊猫烧香

武汉男生”，俗称“熊猫烧香”，这是一个感染型的蠕虫病毒，它能感染系统中exe，com，pif，src，html，asp等文件，它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件，（.gho为GHOST的备份文件），使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。
    熊猫烧香病毒详细行为：
　　1.复制自身到系统目录下：
　　%System%/drivers/spoclsv.exe（“%System%”代表Windows所在目录，比如：C:/Windows）
　　不同的spoclsv.exe变种，此目录可不同。比如12月爆发的变种目录是：C:/WINDOWS/System32/Drivers/spoclsv.exe。
　　2.创建启动项：
　　[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run]
　　"svcshare"="%System%/drivers/spoclsv.exe"
　　3.在各分区根目录生成病毒副本：
　　X:/setup.exe
　　X:/autorun.inf
　　autorun.inf内容：
　　[AutoRun]
　　OPEN=setup.exe
　　shellexecute=setup.exe
　　shell/Auto/command=setup.exe
　　4.使用net share命令关闭管理共享：
　　cmd.exe /c net share X$ /del /y
　　cmd.exe /c net share admin$ /del /y
　　5.修改“显示所有文件和文件夹”设置：
　　[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion
　　/Explorer/Advanced/Folder/Hidden/SHOWALL]
　　"CheckedValue"=dword:00000000
　　6.熊猫烧香病毒尝试关闭安全软件相关窗口
解决方案：
　　1. 结束病毒进程：
　　%System%/drivers/spoclsv.exe
　　不同的spoclsv.exe变种，此目录可不同。比如12月爆发的变种目录是：C:/WINDOWS/System32/Drivers/spoclsv.exe。但可用此方法清除。
　　“%System%/system32/spoclsv.exe”是系统文件。（目前看来没有出现插入该系统进程的变种，不排除变种的手法变化。）
　　查看当前运行spoclsv.exe的路径，可使用超级兔子魔法设置。
　　2. 删除病毒文件：
　　%System%/drivers/spoclsv.exe
　　请注意区分病毒和系统文件。详见步骤1。
　　3. 删除病毒启动项：
　　[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run]
　　"svcshare"="%System%/drivers/spoclsv.exe"
　　4. 通过分区盘符右键菜单中的“打开”进入分区根目录，删除根目录下的病毒文件：
　　X:/setup.exe
　　X:/autorun.inf
　　5. 恢复被修改的“显示所有文件和文件夹”设置：
　　[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion
　　/Explorer/Advanced/Folder/Hidden/SHOWALL]
　　"CheckedValue"=dword:00000001
　　6. 修复或重新安装被破坏的安全软件。
　　7.修复被感染的程序。可用专杀工具进行修复，收集了四个供读者使用。[url=http://down.www.kingsoft.com/db/download/othertools/DuBaTool_WhBoy.BAT]金山熊猫烧香病毒专杀工具[/url]、安天熊猫烧香病毒专杀工具、江民熊猫烧香病毒专杀工具和瑞星熊猫烧香病毒专杀工具。也可用手动方法（见本文末）。
　　8. 恢复被修改的网页文件，可以使用某些编辑网页的工具替换被添加文字为空。机器上有htm/html/asp/php/jsp/aspx等网页文件，一定要删除此段代码。有危险代码的网页一但发布到网页可能会感染其他用户。

解决方案：
　　1. 断开网络
　　2. 结束病毒进程：%System%/FuckJacks.exe
　　3. 删除病毒文件：%System%/FuckJacks.exe
　　4. 右键点击分区盘符，点击右键菜单中的“打开”进入分区根目录，删除根目录下的文件：
　　X:/autorun.inf
　　X:/setup.exe
　　5. 删除病毒创建的启动项：
　　[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run]
　　"FuckJacks"="%System%/FuckJacks.exe"
　　[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
　　"svohost"="%System%/FuckJacks.exe"
　　6. 修复或重新安装反病毒软件
　　7. 使用反病毒软件或专杀工具进行全盘扫描，清除恢复被感染的exe文件。也可用以下的手动方法恢复文件。
　　手动恢复中毒文件（在虚拟机上通过测试，供参考）
　　1.在清除病毒文件的同时不删除%SYSTEM%下面释放FuckJacks.exe的这个文件，即执行之前的步骤1、2、4、5。
　　2.打开“运行”输入“gpedit.msc”打开组策略－本地计算机策略－windows设置－安全设置－软件限制策略－其它规则。在其它规则上右键选择－新散列规则－打开新散列规则窗口
　　3.在文件散列上点击浏览找到%SYSTEM%下面释放FuckJacks.exe文件。安全级别选择－不允许的。确定后重启。
　　4.重启后可以双击运行已经被熊猫感染的程序。运行程序后该FuckJacks.exe文件会在注册表里的Run键下建立启动项（不会有问题的）。
　　5.双击运行被感染的程序已经恢复原来样子了。全部回复后，用SREng把FuckJacks.exe在注册表里的启动项删除即可！
中此病毒后不可双击盘符(C:  D: E:等等)否则病毒会散播到各个盘，到时候只能格式化所有盘，重装系统了。各大软件给的专杀工具都不能完全清除病毒。

预防第一！熊猫烧香病毒的预防方法
“熊猫烧香”病毒不但可以对用户系统进行破坏，导致大量应用软件无法使用，而且还可删除扩展名为gho的所有文件，造成用户的系统备份文件丢失，从而无法进行系统恢复；同时该病毒还能终止大量反病毒软件进程，大大降低用户系统的安全性。 　　这几天“熊猫烧香”的变种更是表象异常活跃，近半数的网民深受其害。对于已经感染“熊猫烧香”病毒的用户，建议参考《熊猫烧香病毒专杀及手动修复方案》，下载其中的专钉工具进行查杀，也可手动查杀。技术专家还总结了以下预防措施，帮你远离“熊猫烧香”病毒的骚扰。
　　1、立即检查本机administrator组成员口令，一定放弃简单口令甚至空口令，安全的口令是字母数字特殊字符的组合，自己记得住，别让病毒猜到就行。
　　修改方法：右键单击“我的电脑”，选择管理，浏览到本地用户和组，在右边的窗中，选择具备管理员权限的用户名，单击右键，选择设置密码，输入新密码就行。　　



图1 修改Administrator密码

　　2.、利用组策略，关闭所有驱动器的自动播放功能。
　　步骤：单击开始，运行，输入gpedit.msc，打开组策略编辑器，浏览到计算机配置，管理模板，系统，在右边的窗格中选择关闭自动播放，该配置缺省是未配置，在下拉框中选择所有驱动器，再选取已启用，确定后关闭。最后，在开始，运行中输入gpupdate，确定后，该策略就生效了。　　



图2 关闭所有驱动器的自动播放功能




图3 关闭所有驱动器的自动播放功能

　　3、修改文件夹选项，以查看不明文件的真实属性，避免无意双击骗子程序中毒。
　　步骤：打开资源管理器（按windows徽标键＋E），点工具菜单下文件夹选项，再点查看，在高级设置中，选择查看所有文件，取消隐藏受保护的操作系统文件，取消隐藏文件扩展名。　　



图4 修改文件夹属性

　　4、时刻保持操作系统获得最新的安全更新，建议用毒霸的漏洞扫描功能。　　
　　5、启用windows防火墙保护本地计算机。　　
　　对于已经感染“熊猫烧香”病毒的用户，建议参考《熊猫烧香病毒专杀及手动修复方案》，下载其中的专钉工具进行查杀，也可手动查杀。
　　对于未感染的用户，专家建议，不要登陆不良网站，及时下载微软公布的最新补丁，来避免病毒利用漏洞袭击用户的电脑，同时上网时应采用“杀毒软件＋防火墙”的立体防御体系。