1、在动手查杀熊猫烧香病毒之前,强烈建议先注意以下四点:1.本文包含两种熊猫烧香病毒变种的描述,请注意查看病毒症状,根据实际情况选用不同的查杀方法。 2.对于被熊猫烧香病毒感染的.exe 可执行文件,推荐先备份,再修复! 3.找回被熊猫烧香病毒删除的 ghost(.gho)文件,详情请见文中! 4.对计算机了解不多的用户,请在专家指导下清除熊猫烧香病毒。熊猫烧香病毒变种一:病毒进程为“spoclsv.exe”这是“熊猫烧香”早期变种之一,特别之处是“杀死杀毒软件”,最恶劣之处在于感染全盘.exe 文件和删除.gho 文件(Ghost 的镜像文件)。最有“灵感”的一招莫过于在所有 htm/html/
2、asp/php/jsp/aspx 文件末尾添加一段代码来调用病毒。目前所有专杀工具及杀毒软件均不会修复此病毒行为。需要手动清除病毒添加的代码,且一定要清除。否则访问了有此代码的网页,又会感染。其他老一点的“熊猫烧香”spoclsv 变种的病毒行为比此版本少。就不再单独列出。病毒描述:“武汉男生”,俗称“熊猫烧香”,这是一个感染型的蠕虫病毒,它能感染系统中 exe,com,pif,src,html,asp 等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为 gho 的文件,(.gho 为 GHOST 的备份文件),使用户的系统备份文件丢失。被感染的用户系统中所有.exe 可执行文件全部被改
3、成熊猫举着三根香的模样。 以下是熊猫烧香病毒详细行为和解决办法: 熊猫烧香病毒详细行为:1. 复制自身到系统目录下:%System%/drivers/spoclsv.exe(“%System%”代表 Windows 所在目录,比如:C:/Windows)不同的 spoclsv.exe 变种,此目录可不同。比如 12 月爆发的变种目录是:C:/WINDOWS/System32/Drivers/spoclsv.exe。2. 创建启动项:HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run“svcshare“=“%System
4、%/drivers/spoclsv.exe“3. 在各分区根目录生成病毒副本:X:/setup.exeX:/autorun.infautorun.inf 内容:AutoRunOPEN=setup.exeshellexecute=setup.exeshell/Auto/command=setup.exe4. 使用 net share 命令关闭管理共享:cmd.exe /c net share X$ /del /ycmd.exe /c net share admin$ /del /y5. 修改“显示所有文件和文件夹”设置:HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/
5、Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/SHOWALL“CheckedValue“=dword:000000006. 熊猫烧香病毒尝试关闭安全软件相关窗口:天网 防火墙 进程 VirusScan NOD32 网镖 杀毒 毒霸瑞星 江民 黄山 IE 超级兔子 优化大师 木马清道夫 QQ 病毒注册表编辑器 系统配置实用程序 卡巴斯基反病毒 Symantec AntiVirusDuba Windows 任务管理器 esteem procs 绿鹰 PC 密码防盗 噬菌体木马辅助查找器 System Safety Monitor Wr
6、apped gift Killer Winsock Expert游戏木马检测大师 超级巡警 msctls_statusbar32 pjf(ustc) IceSword7. 尝试结束安全软件相关进程以及 Viking 病毒(威金病毒)进程:Mcshield.exe VsTskMgr.exe naPrdMgr.exe UpdaterUI.exe TBMon.exescan32.exe Ravmond.exe CCenter.exe RavTask.exe Rav.exeRavmon.exe RavmonD.exe RavStub.exe KVXP.kxp KvMonXP.kxpKVCenter.k
7、xp KVSrvXP.exe KRegEx.exe UIHost.exe TrojDie.kxpFrogAgent.exe Logo1_.exe Logo_1.exe Rundl132.exe8. 禁用安全软件相关服务:Schedule sharedaccess RsCCenter RsRavMon KVWSC KVSrvXPkavsvc AVP McAfeeFramework McShield McTaskManager navapsvcwscsvc KPfwSvc SNDSrvc ccProxy ccEvtMgr ccSetMgrSPBBCSvc Symantec Core LC NPFM
8、ntor MskService FireSvc9. 删除安全软件相关启动项:SOFTWARE/Microsoft/Windows/CurrentVersion/Run/RavTaskSOFTWARE/Microsoft/Windows/CurrentVersion/Run/KvMonXPSOFTWARE/Microsoft/Windows/CurrentVersion/Run/kavSOFTWARE/Microsoft/Windows/CurrentVersion/Run/KAVPersonal50SOFTWARE/Microsoft/Windows/CurrentVersion/Run/Mc
9、AfeeUpdaterUISOFTWARE/Microsoft/Windows/CurrentVersion/Run/Network Associates Error Reporting ServiceSOFTWARE/Microsoft/Windows/CurrentVersion/Run/ShStatEXESOFTWARE/Microsoft/Windows/CurrentVersion/Run/YLive.exeSOFTWARE/Microsoft/Windows/CurrentVersion/Run/yassistse10. 遍历目录修改 htm/html/asp/php/jsp/as
10、px 等网页文件,在这些文件尾部追加信息:但不修改以下目录中的网页文件:C:/WINDOWSC:/WINNTC:/system32C:/Documents and SettingsC:/System Volume InformationC:/RecycledProgram Files/Windows NTProgram Files/WindowsUpdateProgram Files/Windows Media PlayerProgram Files/Outlook ExpressProgram Files/Internet ExplorerProgram Files/NetMeetingPr
11、ogram Files/Common FilesProgram Files/ComPlus ApplicationsProgram Files/MessengerProgram Files/InstallShield Installation InformationProgram Files/MSNProgram Files/Microsoft FrontpageProgram Files/Movie MakerProgram Files/MSN Gamin Zone11. 在访问过的目录下生成 Desktop_.ini 文件,内容为当前日期。12. 此外,病毒还会尝试删除 GHO 文件。病毒
12、还尝试使用弱密码将副本以 GameSetup.exe 的文件名复制到局域网内其它计算机中:password harley golf pussy mustang shadow fish qwertybaseball letmein ccc admin abc pass passwd databaseabcd abc123 sybase 123qwe server computer super 123asdihavenopass godblessyou enable alpha 1234qwer 123abc aaapatrick pat administrator root sex god fuckyou fuck testtest123 temp temp123 win asdf pwd qwer yxcv zxcvhome xxx owner login Login love mypc mypc123admin123 mypass mypass123 Administrator Guest admin Root病毒文件内含有这些信息:whboy*武*汉*男*生*感*染*下*载*者*P class=MsoNormal style=“MARGIN: 15.6pt 0cm; mso
