1、计算机的病毒 “熊猫烧香”,背景介绍: 2007年10月下旬,一种被命名为“熊猫烧香”的病毒在互联网上肆虐,该病毒通过多种方式传播,并将感染的所有程序文件改成熊猫举着3根香的模样。截至2008年1月中旬,已有上百万个人用户、网吧及企业局域网用户遭受感染和破坏,引起社会各界高度关注。,经调查,是由两位中专毕业后的学生,因为曾多次到北京、广州找IT方面的工作,但均未成功,为发泄心中不满,他们开始尝试编写电脑病毒,即2006年10月16日的“熊猫烧香”。 2006年11月14日,瑞星公司反病毒工程师们发现了一种新病毒。大家将病毒移到一台与网络隔离的电脑上,运行病毒之后,屏幕上出现了一排排的熊猫图案,
2、熊猫们手持三炷香,合十作揖。反病毒工程师们将其命名为“尼姆亚”。,其实,在瑞星公司捕获“尼姆亚”病毒之前一个月,卡卡网络社区反病毒论坛的版主mopery拿到了一个病毒样本,它才是“熊猫烧香”的原始版本。 2006年12月中旬,“熊猫烧香”进入急速变种期。2007年1月7日,国家计算机病毒应急处理中心发出“熊猫烧香”的紧急预警。1月9日,“熊猫烧香”全国性暴发。小江是黑龙江一家网吧的网管。1月9日,他打开网吧的电脑,屏幕上布满了“熊猫烧香”图标,系统崩溃。同一天,北京一家IT公司电脑全部感染“熊猫烧香”,正在研发中的软件毁于一旦。,分析:(1).“熊猫烧香”是一种超强病毒,感染病毒的电脑会在硬盘
3、的所有网页文件上附加病毒,如果被感染的是网站编辑电脑,通过中毒网页病毒就可能附身在网站所有网页上,访问中毒网站时网民就会感染病毒,“熊猫烧香”感染过天涯社区等门户网站,这就体现了计算机病毒的传染性特征。( 2).“熊猫烧香”除了带有病毒的所有特性外,还具有强烈的商业目的:可以暗中盗取用户游戏账号、QQ账号,以供出售牟利,还可以控制受感染电脑,将其变为“网络僵尸”,暗中访问一些按访问流量付费的网站,从而获利,部分变种中还含有盗号木马,这就体现了计算机病毒的破坏性特征。,(3). “熊猫烧香”在让众多网民叫苦不迭的同时,也引发了一场声势浩大的网络创作热潮,由唐诗宋词、流行歌曲到电影对白、原创漫画,
4、改编“作品”弥漫网络。,例如:李白成为“受灾大户”, “李白开机将上网,忽闻机内熊猫声。杀毒软件千千万,不及我猫三炷香”;将进酒 也惨遭篡改,其中一个版本说:“君不见熊猫之香网上来,系统崩溃不复回。君不见杀毒软件没办法,朝如青丝暮成靶。虽被感染须尽欢,莫使微机空对月。与君香一炷,请君为我倾耳听。系统文件不足贵,但愿熊猫不更新。古来病毒皆寂寞,唯有熊猫留其名。”,病毒特点1、病毒感染终端后将自身复制到Windows文件夹下,文件名为:%SystemRoot%autorun.inf 并将其属性改为隐藏2、病毒感染终端后,病毒将病毒体复制到为以下文件:%SystemRoot%setup.exe并将其
5、属性改为隐藏3、病毒在每个分区下生成gamesetup.exe/set.exe/autorun.exe文件,并在C:Documents and SettingsAdministratorLocal SettingsTemp下加载zt.exe和w1.exe或ztw1.exe等文件4、病毒会在c:winntsystem32drivers文件夹下生成spoclv.exe文件。5、病毒通过添加如下注册表项实现病毒开机自动运行:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun load=C:WINNTzt.exe或w1.ext”HKE
6、Y_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows load=C:WINNTrundl132.exe,6、枚举以下杀毒软件进程名,查找到后终止其进程:Ravmon.exe、Eghost.exe、Mailmon.exe、KAVPFW.EXE、IPARMOR.EXE、Ravmond.exe、 KV、 Mcshield.exe7、同时病毒尝试利用以下命令终止相关杀病毒软件并删除服务:net stop Kingsoft AntiVirus Servicenet stop “Ravservice”8、发送arp探测数据,判断网络状
7、态,网络可用时,枚举内网所有共享主机,并使用自带的口令库猜测破解IPC$、admin$等共享目录,连接成功后进行网络感染。,熊猫烧香病毒解决方案:1、首选专杀工具 专杀工具是效能最好的方案,能处理已知变种,缺点是有新变种后,专杀也需要更新。推荐去下载专杀。 2、在线杀毒 因为熊猫烧香病毒的特殊性,杀毒软件本身可能会被感染,病毒还会尝试结束杀毒软件进程和服务,但病毒不感染IE浏览器,用浏览器加载在线杀毒控件来清除病毒可以收到奇效。已经中招的,可以去试试。 3、重启系统到带网络连接的安全模式,升级杀毒软件后杀毒。 可单击开始,运行,输入msconfig,打开系统配置实用程序,点击BOOT.INI标
8、签,作如图修改,重启即可进入带网络连接的安全模式。,4、手工清除 因为熊猫烧香病毒是感染型的病毒,手工清除相当麻烦,网友公布的手工清除方案只能手工结束病毒进程,一段运行了感染过熊猫烧香病毒的程序,还会再中招。以下简单介绍手工结束病毒进程,修复注册表项的步骤: a.断开网络,禁用网卡或拔掉网线就行; b.结束病毒进程,因为任务管理器、IcdSword已无法运行,已感染病毒的机器上很难实现。建议去http:/ Explorer备用,郁闷的是光缆没修好,官网下载速度巨慢。可以百度一下,到新浪、华军、天空去下载。如果在进程中发现FuckJacks.exe、setup.exe、spoclsv.exe(注
9、意和正常的打印服务就差一个字母,打印服务文件名为spoolsv.exe),就用这个工具结束掉。 c.在本地计算机上搜索并删除以下病毒执行文件: 分区根目录下:setup.exe、autorun.inf(这个本身不是病毒,但它的存在是为了双击磁盘自动调用病毒程序,建议删了吧) %System%Fuckjacks.exe;%System%Driversspoclsv.exe局域网环境下:GameSetup.exe,d. 开始-运行输入regedit,确定后,打开注册表编辑器,删除病毒创建的启动项: HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVe
10、rsionRunFuckJacks=%System%FuckJacks.exeHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunsvohost=%System%FuckJacks.exe浏览到 HKEY_LOCAL_MACHINESoftwareMicrosoftwindowsCurrentVersionexplorerAdvancedFolderHiddenSHOWALL,单击右键,点新建Dword值命名为CheckedValue(如果已经有,可以删除后重建),修改它的键值为1,为十六进制,按确定后,退出注册表编辑器。以恢复文件夹选项中的“显示所有隐藏文件”和“显示系统文件” e.修复或重新安装反病毒软件,以恢复被病毒删除的注册键值,恢复杀毒软件 的功能。 f.最后,还是要更新反病毒软件全盘扫描,把感染的EXE程序、网页格式的文件修复。特别提醒网页编辑,一定要保护好自己编辑的Web文档,保护好自己的Web服务器,如果发现网站上传文件带毒,应该及时删除,重新上传。,谢谢!,
