技术:揭秘熊猫烧香病毒肆虐内幕(图)

本篇文章3117字，读完约8分钟

熊猫烧香是用delphi工具制作的蠕虫，结束大量的反病毒软件和防火墙软件过程。 病毒删除扩展名为gho的文件，用户无法使用ghost软件恢复操作系统。 “熊猫烧香”感染系统的. exe、. pif、. src和. asp文件，并添加病毒网址。 这允许客户在打开这些web文件时自动连接到指定病毒的网址并下载病毒。 可以为每个硬盘分区生成文件autorun.inf和setup.exe，通过USB存储器和可移动硬盘等方法传输，同时利用windows系统的自动播放功能执行，在硬盘内的 “熊猫烧香”也可以通过共享文件夹、系统弱密码等多种玩法传递。

前几天，电脑客户张先生生气地对记者说。 “今天早上一打开电脑，我就快晕了。 进入系统后，将无法采用多个应用程序，重新安装软件后不久将无法采用。 更奇怪的是，我发现电脑里所有的. exe可执行文件都变成熊猫带着三根香的样子。 而且，系统运行非常慢，非常忧郁。 ”。 据国内杀毒企业介绍，最近，名为“熊猫烧香”( worm.whboy.h )的病毒让电脑顾客很痛苦。 在人们心中，“熊猫”这个国宝不再可爱，似乎成了所有人呼喊的过街老鼠。 国内病毒专家表示，“熊猫烧香”蠕虫破坏了客户端系统，不仅很多应用程序无法采用，而且删除了所有带扩展名gho的文件，丢失了客户的系统备份文件，系统的 此外，此病毒还会终止大量的反病毒软件过程，大大降低您系统的安全性。

“熊猫烧香”因三个因素而肆虐

最近，“熊猫烧香”病毒泛滥，愤怒的人开始怀恨在心。 据悉，多个知名网站受到这样的病毒攻击，纷纷移植到病毒中。 由于这些网站的浏览次数非常多，这次“熊猫烧香”病毒的感染范围非常广。

瑞星反病毒专家说，“熊猫烧香”其实是“尼姆亚”病毒的新变种，最早出现在2006年11月。 这一直在进行变种，这个病毒在中毒的电脑的所有web文件的末尾追加了病毒代码，所以一旦网站的人的电脑感染了这个病毒，网站进入网页，就会把这个页面

另外，金山毒霸反病毒中心表示，“熊猫烧香”除了通过网站有毒感染顾客外，该病毒还通过qq的最新漏洞传递给自己，包括互联网文件共享、默认共享、系统的弱密码、以及 在局域网中，如果一台机器感染的话，瞬间扩展到全部网络，在极短的时间内就能感染数千台计算机，严重的情况下，有时互联网会瘫痪。 中毒的症状是，计算机上可执行的. exe文件全部变为奇怪的模式，显示为“熊猫烧香”，系统蓝屏、频繁重启、硬盘数据被破坏等，严重的企业局域网内的

对此，江民反病毒专家何公道分解认为病毒的迅速传播现在有三大原因。 一是很多公司的顾客采用了海外杀毒软件，而海外杀毒软件对这种国产病毒的响应速度特别慢。 第二，栽培“熊猫烧香”的病毒网站点击量的世界排名在前300位，因此在部分网站上机器感染病毒后，将感染的文件放入服务器后，访问者点击这样的感染页面就会中毒。 三是病毒具有非常强的变种能力，从2006年11月到年末仅一个多月，该病毒变种近30次。 这是因为如果多个顾客疏于预防而没有更新杀毒软件，则该病毒会迅速传播。

新年伊始，“熊猫烧香”的破坏就在进行

根据江民科技公布的2006年电脑病毒疫情，“熊猫烧香”(“威金”病毒变种)成为2006年电脑病毒最大的威胁。 去年去年去年去年只是只是只是只是只是只是只是只是只是只是只是只是只是只是去年就是去年

越来越多越来越多越来越越越来越越越越来越越越来越越越来越越越来越越越来越越越来越越来越来越来越来越来越来越来越来越来越来越来越来越来越来越来越来越来越来越来越来越来越来越来越来越来越来越来越来越来越来越来越来越来越来越来越来越来越 看什么看什么看什么看什么看，看什么看，看什么看，看什么看，看什么看，看什么看，看什么看，看什么看，看什么看，看什么看，特别是，

我还在开玩笑呢，我还在开玩笑呢，我还在开玩笑呢，我还在开玩笑呢，我还在开玩笑呢。 我很高兴，我很高兴，我很高兴，我很高兴，我很高兴，我很高兴。

但是最近也是如此，记者通过对国内一些杀毒软件企业的采访，总结并参考了比较完善的处理方案。 对于已经感染“熊猫烧香”病毒的客户，可以通过几种方法清除病毒:

★金山

金山毒霸2007对“熊猫烧香”具有免疫能力，金山毒霸抗病毒专家建议及时安装正版金山毒霸，升级到最新版进行调查杀死。 服务期间的毒霸客户，通过金山毒霸的积极实时升级功能，自动升级到最新版，实现对“熊猫烧香”的免疫。 没有安装杀毒软件的电脑客户可以登录tool.duba/zhuansha/253.shtml免费下载金山的“熊猫烧香”专杀工具。

★瑞星

安装防病毒软件和瑞星卡3.1的客户可以升级软件，在连接到互联网时打开网页实时监视。 然后瑞星推出了比较这种病毒的特杀工具，继续升级这种工具。 因此，没有安装杀毒软件的客户也可以登录it.rising/channels/service/index.shtml免费下载“熊猫烧香”特杀工具。

★江民

江民建议安装江民杀毒软件的客户将杀毒软件升级到最新的病毒库，全面调查和杀死电脑。 没有安装杀毒软件的客户也可以登录江民/ download/zhuan sha 04下载和安装江民“熊猫烧香”专用杀工具，病毒的清除和感染文件的修复比较

远离熊猫烧香骚扰。

金山毒霸反病毒中心表示，最近“熊猫烧香”的变种非常活跃。 这是因为从现在到春节，这种病毒在骚扰电脑顾客。 客户通过及时更新杀毒软件的病毒库，下载各杀毒软件企业提供的专用杀工具，可以消除“熊猫烧香”病毒，但如果能防患于未然就更好了吧。 因此，记者在采访中总结了以下五项预防措施，希望远离“熊猫烧香”病毒的骚扰。

1 .马上检查本机管理员组成员的密码，一定要放弃简单密码或空密码，安全密码是字母数字的特殊字符组合，请自己记住，不要让病毒推测。

编辑方法:右键单击我的电脑，选择“管理”，导航到本地客户和组，在右窗格中选择具有管理员权限的客户名称，右键单击，选择“设置密码”，输入新密码。

2 .利用组策略关闭所有驱动器的自动播放功能。

步骤:输入“开始”、“运行”、“gpedit.msc”，打开“组策略生成器”，浏览计算机配置，管理模板，在系统、右窗格中选择“关闭自动播放”。 默认情况下未配置。 在下拉框中选择所有驱动器，然后选择“启用”、“显式关闭”。 最后，如果在启动和运行期间输入gpupdate，则会启用此策略。

3 .创建文件夹选项以确认未知文件的真正属性，双击骗子程序以避免中毒。

步骤:打开资源管理器(按windows徽标+e )，单击“点工具”菜单下的文件夹选项，然后单击“查看”。 在高级设置中，选择“显示所有文件”，取消隐藏受保护的操作系统文件，取消隐藏文件扩展名。

4 .请始终保持操作系统的最新安全更新，不要随便访问来源不明的网站，特别是微软的ms06-014漏洞。 必须立即应用这个漏洞的修补程序。

而且qq、uc的脆弱性也可以用于这种病毒，所以客户应该去他们的官网打最新的补丁。 此外，由于此病毒利用ie浏览器的漏洞进行攻击，因此客户必须在ie上安装所有修补程序。 如果需要，客户可以暂时用firefox、opera等比较安全的浏览器替换。

启用windows防火墙以保护本地计算机。 此外，LAN客户必须避免创建可写共享目录，如果创建了共享目录，则必须立即停止共享。

另外，对于没有感染的客户，病毒专家建议不要登录故障网站，及时下载微软发布的最新补丁，防止病毒利用漏洞袭击客户的计算机。

本版以本报记者孙尚伟为插图

相关文章:

《熊猫烧香》拉着争论的瑞星反驳了卡巴斯基说