熊猫烧香病毒及祸害熊猫烧香病毒及祸害“熊猫烧香”,是一种经过多次变种的蠕虫病毒变种,它能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件,下面由我给你做出详细的介绍!希望对你有帮助!熊猫烧香病毒:该文件是一系统备份工具GHOST的备份文件,使用户的系统备份文件丢失。
被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。
2006年10月16日由25岁的中国湖北武汉新洲区人李俊编写,2007年1月初肆虐网络,它主要透过下载的文件传染。
2007年2月12日,湖北省公安厅宣布,李俊以及其同伙共8人已经落网,这是中国警方破获的首例计算机病毒大案。
[1]2014年,“熊猫烧香”之父因涉案网络赌场,获刑5年。
中文名熊猫烧香程序类别计算机病毒编写者李俊病毒类型蠕虫病毒新变种外文名Worm.WhBoy或Worm.Nimaya感染系统Win9x/2000/NT/XP/2003/Vista/7泛滥时间2006年底2007年初1基本介绍编辑病毒名称:熊猫烧香,Worm.WhBoy.金山称,Worm.Nimaya。
瑞星称病毒别名:尼姆亚,武汉男生,后又化身为“金猪报喜”,国外称“熊猫烧香”危险级别:★★★★★病毒类型:蠕虫病毒,能够终止大量的反病毒软件和防火墙软件进程。
影响系统:Windows 9x/ME、Windows 2000/NT、Windows XP、Windows 2003 、Windows Vista 、Windows 7发现时间:2006年10月16日来源地:中国武汉东湖高新技术开发区关山2病毒描述编辑熊猫烧香其实是一种蠕虫病毒的变种,而且是经过多次变种而来的,由于中毒电脑的可执行文件会出现“熊猫烧香”图案,所以也被称为“熊猫烧香”病毒。
但原病毒只会对EXE图标进行替换,并不会对系统本身进行破坏。
而大多数是中的病毒变种,用户电脑中毒后可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。
同时,该病毒的某些变种可以通过局域网进行传播,进而感染局域网内所有计算机系统,最终导致企业局域网瘫痪,无法正常使用。
[2]3中毒症状编辑除了通过网站带毒感染用户之外,此病毒还会在局域网中传播,在极短时间之内就可以感染几千台计算机,严重时可以导致网络瘫痪。
中毒电脑上会出现“熊猫烧香”图案,所以也被称为“熊猫烧香”病毒。
中毒电脑会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。
4病毒危害编辑熊猫烧香病毒会删除扩展名为gho的文件,使用户无法使用ghost软件恢复操作系统。
“熊猫烧香”感染系统的.exe . f.src.html.asp文件,添加病毒网址,导致用户一打开这些网页文件,IE就会自动连接到指定的病毒网址中下载病毒。
在硬盘各个分区下生成文件autorun.inf和setup.exe,可以通过U盘和移动硬盘等方式进行传播,并且利用Windows系统的自动播放功能来运行,搜索硬盘中的.exe可执行文件并感染,感染后的文件图标变成“熊猫烧香”图案。
“熊猫烧香”还可以通过共享文件夹、用户简单密码等多种方式进行传播。
该病毒会在中毒电脑中所有的网页文件尾部添加病毒代码。
一些网站编辑人员的电脑如果被该病毒感染,上传网页到网站后,就会导致用户浏览这些网站时也被病毒感染。
据悉,多家著名网站已经遭到此类攻击,而相继被植入病毒。
由于这些网站的浏览量非常大,致使“熊猫烧香”病毒的感染范围非常广,中毒企业和政府机构已经超过千家,其中不乏金融、税务、能源等关系到国计民生的重要单位。
注:江苏等地区成为“熊猫烧香”重灾区。
5传播方法编辑金山分析:这是一个感染型的蠕虫病毒,它能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程1拷贝文件病毒运行后,会把自己拷贝到C:\WINDOWS\System32\Drivers\spoclsv.exe2添加注册表自启动病毒会添加自启动项svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe 3病毒行为a:每隔1秒寻找桌面窗口,并关闭窗口标题中含有以下字符的程序QQKavQQAV防火墙进程VirusScan网镖杀毒毒霸瑞星江民黄山IE超级兔子优化大师木马克星木马清道夫QQ病毒注册表编辑器系统配置实用程序卡巴斯基反病毒Symantec AntiVirus Duba熊猫烧香esteem proces 绿鹰PC密码防盗噬菌体木马辅助查找器System Safety Monito Wrapped gift Killer Winsock Expert游戏木马检测大师msctls_statusbar32pjfustcIceSword并使用的键盘映射的方法关闭安全软件IceSword添加注册表使自己自启动HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe并中止系统中以下的进程:Mcshield.exeVsTskMgr.exenaPrdMgr.exeUpdaterUI.exeTBMon.exescan32.exe Ravmond.exe CCenter.exe RavTask.exe Rav.exe Ravmon.exe RavmonD.exe RavStub.exe熊猫烧香KVXP.kxp kvMonXP.kxp KVCenter.kxp KVSrvXP.exe KRegEx.exeUIHost.exeTrojDie.kxpFrogAgent.exeLogo1_.exLogo_1.exeRundl132.exeb:每隔18秒点击病毒作者指定的网页,并用命令行检查系统中是否存在共享共享存在的话就运行net share命令关闭admin$共享c:每隔10秒下载病毒作者指定的文件,并用命令行检查系统中是否存在共享共享存在的话就运行net share命令关闭admin$共享d:每隔6秒删除安全软件在注册表中的键值HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru nRavTaskKvMonXPkavKAVPersonal50McAfeeUpdaterUINetwork Associates Error Reporting ServiceShStartEXEYLive.exeyassistse并修改以下值不显示隐藏文件HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ex plorer\Advanced\Folder\Hidden\SHOWALLCheckedValue -> 0x00删除以下服务:navapsvcwscsvcKPfwSvcSNDSrvcccProxyccEvtMgrccSetMgrSPBBCSvcSymantec Core LCNPFMntorMskServiceFireSvce:感染文件病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部并在扩展名为htm,html,asp,php,jsp,aspx的文件中添加一网址,用户一但打开了该文件,IE就会不断的在后台点击写入的网址,达到增加点击量的目的,但病毒不会感染以下文件夹名中的文件:熊猫烧香WINDOWWinntSystem Volume InformationRecycledWindows NTWindowsUpdateWindows Media PlayerOutlook ExpressInternet ExplorerNetMeetingCommon FilesComPlus ApplicationsMessengerInstallShield Installation Information MSNMicrosoft FrontpageMovie MakerMSN Gamin Zoneg:删除文件病毒会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件使用户的系统备份文件丢失.瑞星病毒分析报告:“Nimaya熊猫烧香”这是一个传染型的DownLoad 使用Delphi编写6运行过程编辑本地磁盘感染病毒对系统中所有除了盘符为A,B的磁盘类型为DRⅣE_REMOTE,DRⅣE_FⅨED的磁盘进行文件遍历感染注:不感染文件大小超过10485760字节以上的病毒将不感染如下目录的文件:Microsoft FrontpageMovie MakerMSN Gamin ZoneCommon FilesWindows NTRecycledSystem Volume InformationDocuments and Settings……病毒将不感染文件名如下的文件:setup.exe病毒将使用两类感染方式应对不同后缀的文件名进行感染1二进制可执行文件后缀名为:EXE,SCR,PIF,COM: 将感染目标文件和病毒溶合成一个文件被感染文件贴在病毒文件尾部完成感染.2脚本类后缀名为:htm,html,asp,php,jsp,aspx: 在这些脚本文件尾加上如下链接下边的页面存在安全漏洞:在感染时会删除这些磁盘上的后缀名为.GHO生成文件病毒建立一个计时器,以6秒为周期在磁盘的根目录下生成setup.exe病毒本身autorun.inf,并利用AutoRun Open关联使病毒在用户点击被感染磁盘时能被自动运行。
局域网传播病毒生成随机个局域网传播线程实现如下的传播方式:当病毒发现能成功联接攻击目标的139或445端口后,将使用内置的一个用户列表及密码字典进行联接猜测被攻击端的密码。
当成功联接上以后将自己复制过去,并利用计划任务启动激活病毒。
修改操作系统的启动关联下载文件启动与杀毒软件对抗7杀毒方法编辑各种版本的熊猫烧香专杀瑞星金山江民超级巡警李俊虽然用户及时更新杀毒软件病毒库,并下载各杀毒软件公司提供的专杀工具,即可对“熊猫烧香”病毒进行查杀,但是如果能做到防患于未然岂不更好。
8解决办法编辑熊猫烧香【1】立即检查本机administrator组成员口令,一定要放弃简单口令甚至空口令,安全的口令是字母数字特殊字符的组合,自己记得住,别让病毒猜到就行。
修改方法右键单击我的电脑,选择管理,浏览到本地用户和组,在右边的窗格中,选择具备管理员权限的用户名,单击右键,选择设置密码,输入新密码就行。