最震撼最猛的”熊猫烧香“病毒

0577 · 发表于 2007-1-15 16:55:00

一个名为“熊猫烧香”(Worm.WhBoy.h)的蠕虫病毒，目前正在互联网上疯狂传播，该病毒为“威金”蠕虫病毒新变种。目前该病毒正处于急速变种期，仅11月份至今，变种数量已达十几个，变种速度之快，影响范围之广，与2006年横行于局域网的“维金”不相上下。中毒症状表现为系统蓝屏、频繁重启、硬盘数据被破坏等等。     “熊猫烧香”蠕虫不但可以对用户系统进行破坏，导致大量应用软件无法使用，而且还可删除扩展名为gho的所有文件，造成用户的系统备份文件丢失，从而无法进行系统恢复；同时该病毒还能终止大量反病毒软件进程，大大降低用户系统的安全性。

<h4>熊猫烧香病毒变种一：病毒进程为“spoclsv.exe”</h4>　　这是“熊猫烧香”早期变种之一，特别之处是“杀死杀毒软件”，最恶劣之处在于感染全盘.exe文件和删除.gho文件（Ghost的镜像文件）。　　最有“灵感”的一招莫过于在所有htm/html/asp/php/jsp/aspx文件末尾添加一段代码来调用病毒。目前所有专杀工具及杀毒软件均不会修复此病毒行为。需要手动清除病毒添加的代码，且一定要清除。否则访问了有此代码的网页，又会感染。      “武汉男生”，俗称“熊猫烧香”，这是一个感染型的蠕虫病毒，它能感染系统中exe，com，pif，src，html，asp等文件，它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件，（.gho为GHOST的备份文件），使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。

专杀工具大全请看
<a href="http://bbs.xiashahot.com/viewthread.php?tid=213074">http://bbs.xiashahot.com/viewthread.php?tid=213074</a>用不同专杀反复杀，可以清除

[此贴子已经被煎饼于2007-1-29 15:55:46编辑过]

writezy · 发表于 2007-1-15 17:17:00

 还没发现。。。

chencemm · 发表于 2007-1-15 18:09:00

抱歉楼主，据我所知，熊猫烧香是尼姆亚病毒worm.nimaya.x（x代表各变种）,和武汉男生没很大联系吧。而且感染熊猫最明显的症状为硬盘双击无法打开，隐藏文件无法显示，及任务管理器无法打开。熊猫感染系统的.exe文件，并在每个磁盘根目录下生成setup.exe和autorun.inf,同时在各个文件夹下生成系统隐藏保护的desktop_.ini文件（不同于desktop.ini系统配置文件），病毒借助双击磁盘运行，若使用‘右击—打开’或资源管理器打开则不会直接导致其运行。病毒在局域网内传播迅速，可以造成系统资源大量消耗，同时关闭一些敌对程序如大部分的杀毒软件、优化工具及icesword之类的可察看进程的工具。学校机房的江民及寝室里使用最多的瑞星、卡巴等常见的杀毒软件都会被关闭（我的f-secure没被关闭但崩溃过一次）。17、18周在学校7号经管楼做课程设计的同学很多都应该经历过熊猫，其猖獗于整个经管内部网，据说很多老师的pc和学校的局域网都感染了，经管楼机房老师在18周周三通过全盘格式化重装系统来解决。至于局域网中如何清除熊猫我不清楚，在单机上还是可以清除的（当然如果感染过于严重就不好说了）。超级巡警提供的pandakiller及瑞星提供的尼姆亚专杀都具备清除熊猫的能力，最好在安全模式下进行杀毒，同时避免双击磁盘和可疑的.exe文件，因为熊猫感染.exe文件后经常生成一个.exe文件如winrar.exe.exe,双后缀的坚决不要点击。清除病毒后可以通过下面的代码来修复注册表恢复隐藏文件显示功能。Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN] "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced" "Text"="@shell32.dll,-30501" "Type"="radio" "CheckedValue"=dword:00000002 "ValueName"="Hidden" "DefaultValue"=dword:00000002 "HKeyRoot"=dword:80000001 "HelpID"="shell.hlp#51104"[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced" "Text"="@shell32.dll,-30500" "Type"="radio" "CheckedValue"=dword:00000001 "ValueName"="Hidden" "DefaultValue"=dword:00000002 "HKeyRoot"=dword:80000001 "HelpID"="shell.hlp#51105"[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden] "Type"="checkbox" "Text"="@shell32.dll,-30508" "WarningIfNotDefault"="@shell32.dll,-28964" "HKeyRoot"=dword:80000001 "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced" "ValueName"="ShowSuperHidden" "CheckedValue"=dword:00000000 "UncheckedValue"=dword:00000001 "DefaultValue"=dword:00000000 "HelpID"="shell.hlp#51103"[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" 通过del X:\desktop_.ini /f/s/q/a 的批处理文件来清理desktop_.ini 。这样基本不会有影响。如果受伤太深那就只好放弃这个系统了。

海光凝莹 · 发表于 2007-1-15 18:16:00

好可爱的熊猫呀~

Q7 · 发表于 2007-1-15 18:19:00

还米中到过,印象8深`

AMD · 发表于 2007-1-15 18:52:00

早就听过了，不过自己注意下，别下载不明来历的东西就可以了

风中飘 · 发表于 2007-1-15 19:04:00

我同学就中彩了不过把文件删了就好了应该不是最强的那个呵呵

冷眼小花脸 · 发表于 2007-1-16 17:54:00

好恐怖的样子!!我要小心了~~

仗jian走田野 · 发表于 2007-1-16 18:07:00

xwzlyf · 发表于 2007-1-16 18:57:00

恶心的病毒啊~~

hhx.119 · 发表于 2007-1-16 19:58:00

<div class="tit_2">病毒排行榜</div><div class="box_2" align="center"><table width="508" border="0"><tbody></tbody></table><table cellpadding="3" width="95%" border="0" style="WORD-BREAK: break-all;"><tbody><tr align="center"><td></td></tr><tr></tr><tr><td><div align="center"></div><div class="f14" style="

ADDING-RIGHT: 15px; PADDING-LEFT: 15px; PADDING-BOTTOM: 15px; PADDING-TOP: 15px;">病毒名称：Worm.WhBoy.h 病毒中文名：熊猫烧香(武汉男生) 病毒类型：蠕虫 危险级别：★★★★★ 影响平台：Win 9x/ME,Win 2000/NT,Win XP,Win 2003 专杀工具：<a href="http://down.www.kingsoft.com/db/download/othertools/DuBaTool_WhBoy.BAT">金山专杀工具</a>     <a href="http://www.antiy.com/download/KillPP.scr">安天专杀工具</a>      <a href="http://ec.jiangmin.com/test/PandaKiller.rar">江民专杀工具</a>      <a href="http://dl00.x.baidu.com/x/20060915shadu/ahn_dellboy.rar">安博士专杀工具</a>      <a href="http://dl00.x.baidu.com/x/20060915shadu/FixFujacks.exe">赛门铁克专杀工具</a>
病毒描述： “武汉男生”，俗称“熊猫烧香”，这是一个感染型的蠕虫病毒，它能感染系统中exe，com，pif，src，html，asp等文件，它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件，该文件是一系统备份工具GHOST的备份文件，使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。 <img src="http://img.kingsoft.com/publish/duba/image/news/2006/12/26/001.gif" border="0" alt=""/>
1:拷贝文件 病毒运行后,会把自己拷贝到C:\WINDOWS\System32\Drivers\spoclsv.exe 2:添加注册表自启动 病毒会添加自启动项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe 3:病毒行为 a:每隔1秒寻找桌面窗口,并关闭窗口标题中含有以下字符的程序： QQKav、QQAV、防火墙、进程、VirusScan、网镖、杀毒、毒霸、瑞星、江民、黄山IE、超级兔子、优化大师、木马克星、木马清道夫、QQ病毒、注册表编辑器、系统配置实用程序、卡巴斯基反病毒、Symantec AntiVirus、Duba、esteem proces、绿鹰PC、密码防盗、噬菌体、木马辅助查找器、System Safety Monitor、Wrapped gift Killer、Winsock Expert、游戏木马检测大师、msctls_statusbar32、pjf(ustc)、IceSword 并使用的键盘映射的方法关闭安全软件IceSword 添加注册表使自己自启动 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe 并中止系统中以下的进程: Mcshield.exe、VsTskMgr.exe、naPrdMgr.exe、UpdaterUI.exe、TBMon.exe、scan32.exe、Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、RavmonD.exe、RavStub.exe、KVXP.kxp、kvMonXP.kxp、KVCenter.kxp、KVSrvXP.exe、KRegEx.exe、UIHost.exe、TrojDie.kxp、FrogAgent.exe、Logo1_.exe、Logo_1.exe、Rundl132.exe b:每隔18秒点击病毒作者指定的网页,并用命令行检查系统中是否存在共享，共存在的话就运行net share命令关闭admin$共享 c:每隔10秒下载病毒作者指定的文件,并用命令行检查系统中是否存在共享，共存在的话就运行net share命令关闭admin$共享 d:每隔6秒删除安全软件在注册表中的键值 并修改以下值不显示隐藏文件 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue -> 0x00 删除以下服务: navapsvc、wscsvc、KPfwSvc、SNDSrvc、ccProxy、ccEvtMgr、ccSetMgr、SPBBCSvc、Symantec Core LC、NPFMntor MskService、FireSvc e:感染文件 病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部，并在扩展名为htm,html, asp,php,jsp,aspx的文件中添加一网址，用户一但打开了该文件，IE就会不断的在后台点击写入的网址，达到增加点击量的目的,但病毒不会感染以下文件夹名中的文件： WINDOW、Winnt、System Volume Information、Recycled、Windows NT、WindowsUpdate、Windows Media Player、Outlook Express、Internet Explorer、NetMeeting、Common Files、ComPlus Applications、Messenger、InstallShield Installation Information、MSN、Microsoft Frontpage、Movie Maker、MSN Gamin Zone g:删除文件 病毒会删除扩展名为gho的文件，该文件是一系统备份工具GHOST的备份文件使用户的系统备份文件丢失。 </div></td></tr></tbody></table></div>

水之星 · 发表于 2007-1-16 20:43:00

我中过了,结果老重启,而且硬盘里好多安装软件都被破坏了...只好重装..而且还要重新去网上一个一个下那些安装软件..想起来就...噩梦啊!!

煎饼 · 发表于 2007-1-16 20:55:00

好一个厉害的熊猫啊

【深深】 · 发表于 2007-1-16 23:26:00

<span style="FONT-SIZE: 13.5pt; BACKGROUND: #2bd591; COLOR: #cc3370; FONT-FAMILY: 楷体_GB2312; mso-hansi-font-family: 'Times New Roman'; mso-bidi-font-family: 'Times New Roman'; mso-font-kerning: 1.0pt; mso-ansi-language: EN-US; mso-fareast-language: ZH-CN; mso-bidi-language: AR-SA;">【深深】:刚才电话里听到有人中了。.哈哈..

<span style="FONT-SIZE: 13.5pt; BACKGROUND: #2bd591; COLOR: #cc3370; FONT-FAMILY: 楷体_GB2312; mso-hansi-font-family: "Times New Roman"; mso-bidi-font-family: "Times New Roman"; mso-font-kerning: 1.0pt; mso-ansi-language: EN-US; mso-fareast-language: ZH-CN; mso-bidi-language: AR-SA;">怎么都那么幸运..数据啊。

隋文 · 发表于 2007-1-17 11:08:00

还好很幸运还没碰见它啊

0577 · 发表于 2007-1-19 02:47:00

DDDD

		自动登录	找回密码
密码			注册论坛(EC通行证)

最震撼最猛的”熊猫烧香“病毒

相关帖子

下沙大学生网推荐 /1