可惡,那次害得我的電腦中了病毒,殺毒軟件無法啟動!
熊貓燒香”其實是壹種蠕蟲病毒的變種,而且是經過多次變種而來的。尼姆亞變種W(Worm.Nimaya.w),由於中毒電腦的可執行文件會出現“熊貓燒香”圖案,所以也被稱為“熊貓燒香”病毒。用戶電腦中毒後可能會出現藍屏、頻繁重啟以及系統硬盤中數據文件被破壞等現象。同時,該病毒的某些變種可以通過局域網進行傳播,進而感染局域網內所有計算機系統,最終導致企業局域網癱瘓,無法正常使用。
“熊貓燒香”(“威金”病毒變種)
病毒特征
1、這個病毒關閉眾多殺毒軟件和安全工具
2、循環遍歷磁盤目錄,感染文件,對關鍵系統文件跳過
3、感染所有EXE、SCR、PIF、COM文件
4、感染所有.htm/.html/.asp/.php/.jsp/.aspx文件,添加木馬惡意代碼
5、自動刪除*.gho文件(ghost系統備份鏡象文件)
6,病毒攻擊計算機弱口令以及利用微軟自動播放功能
7更改圖標為燒香熊貓(有的變種可能不會使用熊貓的圖標而換做其他的圖標)
“尼姆亞(Worm.Nimaya)”病毒:警惕程度★★★☆,蠕蟲病毒,通過感染文件傳播,依賴系統:WIN 9X/NT/2000/XP。
誘使用戶運行。病毒運行後,會自動查找Windows格式的EXE可執行文件,並進行感染。由於該病毒編寫存在
問題,用戶的壹些軟件可能會被其損壞,無法運行。
建議妳去瑞星官網下個專殺工具。
據悉,由於受臺灣地區地震影響,壹部分使用國外防病毒軟件的計算機用戶無法順利升級其病毒代碼庫,致使“威金”蠕蟲病毒新變種更加猖獗。針對這壹突發情況,國內的防病毒廠商,包括瑞星公司、江民公司、金山公司分別推出壹個月免費版本的防病毒軟件供計算機用戶下載使用,來應對這次突發事件。
病毒名:
中文:熊貓燒香病毒(又稱武漢男生)
英文:Worm.WhBoy
目前發現的變種數已超過50個
典型表現:
感染病毒後發現較多的.EXE文件圖標變成點著香的熊貓,這也是該病毒命名的由來。現在發現的部分變種已經不再使用這個廣為人知的圖標了。部分變種可以直接通過互聯網更新版本,部分變種可以感染htm、html、asp、php、jsp、aspx等網頁格式文件。壹段web服務器被感染,將意味著所有瀏覽這些網頁的計算機可能會自動下載並感染上熊貓燒香病毒。
該系列變種會釋放以下幾個典型文件
分區根目錄下:setup.exe、autorun.inf、%System%\Fuckjacks.exe、%System%\Drivers\spoclsv.exe
局域網環境下:GameSetup.exe
病毒行為:
1、刪除常用殺毒軟件在註冊表中的啟動項或服務,終止殺毒軟件的進程,幾乎涉及目前所有殺毒軟件
2、終止部分安全輔助工具的進程,如IceSword,任務管理器taskmon。
3、終止維金的相關進程Logo1_.exe、Logo_1.exe、Rundl123.exe。
4、弱口令破解局域網其他電腦的Administror帳號,並用GameSetup.exe進行復制傳播。
5、修改註冊表鍵值,導致不能查看隱藏文件和系統文件。
6、除C盤如下目錄外,病毒會嘗試破壞其它分區下的部分.exe、.com、.gho、.pif、.scr文件,病毒不會去感染以下目錄中的文件(給我們解決此病毒留下機會了,請看下文中的有關描述)。
WINDOW,Winnt,System Volume Information,Recycled,Windows NT,Windows Update,Windows MediaP,Outlook Express,Internet Explorer,NetMeeting,Common Files,ComPlus Applications,Messenger,InstallShield Installation Information,MSN,Microsoft Frontpage,MovieMaker,MSN GaminZone
7、病毒會刪除擴展名為gho的文件,該文件是壹系統備份工具GHOST的備份文件,使用戶的系統備份文件丟失。
解決辦法:
1、首選專殺工具
專殺工具是效能最好的方案,能處理已知變種,缺點是有新變種後,專殺也需要更新。推薦去www.xiongmaoshaoxiang.com下載專殺。
2、在線殺毒
因為熊貓燒香病毒的特殊性,殺毒軟件本身可能會被感染,病毒還會嘗試結束殺毒軟件進程和服務,但病毒不感染IE瀏覽器,用瀏覽器加載在線殺毒控件來清除病毒可以收到奇效。已經中招的,可以去shadu.duba.net試試。
3、重啟系統到帶網絡連接的安全模式,升級殺毒軟件後殺毒。可單擊開始,運行,輸入msconfig,打開系統配置實用程序,點擊BOOT.INI標簽,作如圖修改,重啟即可進入帶網絡連接的安全模式。
4、手工清除
因為熊貓燒香病毒是感染型的病毒,手工清除相當麻煩,網友公布的手工清除方案只能手工結束病毒進程,壹段運行了感染過熊貓燒香病毒的程序,還會再中招。以下簡單介紹手工結束病毒進程,修復註冊表項的步驟:
a.斷開網絡,禁用網卡或拔掉網線就行;
b.結束病毒進程,因為任務管理器、IcdSword已無法運行,已感染病毒的機器上很難實現。建議去/technet/sysinternals/ProcessesAndThreads/ProcessExplorer.mspx下載壹個Process Explorer備用,郁悶的是光纜沒修好,官網下載速度巨慢。可以百度壹下,到新浪、華軍、天空去下載。如果在進程中發現FuckJacks.exe、setup.exe、spoclsv.exe(註意和正常的打印服務就差壹個字母,打印服務文件名為spoolsv.exe),就用這個工具結束掉。
c.在本地計算機上搜索並刪除以下病毒執行文件:
分區根目錄下:setup.exe、autorun.inf(這個本身不是病毒,但它的存在是為了雙擊磁盤自動調用病毒程序,建議刪了吧)
%System%\Fuckjacks.exe;%System%\Drivers\spoclsv.exe
局域網環境下:GameSetup.exe
d. 開始-->運行—>輸入regedit,確定後,打開註冊表編輯器,刪除病毒創建的啟動項:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"FuckJacks"="%System%\FuckJacks.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"svohost"="%System%\FuckJacks.exe"
瀏覽到〔HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL〕,單擊右鍵,點新建——Dword值——命名為CheckedValue(如果已經有,可以刪除後重建),修改它的鍵值為1,為十六進制,按確定後,退出註冊表編輯器。以恢復文件夾選項中的“顯示所有隱藏文件”和“顯示系統文件”
e.修復或重新安裝反病毒軟件,以恢復被病毒刪除的註冊鍵值,恢復殺毒軟件的功能。
f.最後,還是要更新反病毒軟件全盤掃描,把感染的EXE程序、網頁格式的文件修復。特別提醒網頁編輯,壹定要保護好自己編輯的Web文檔,保護好自己的Web服務器,如果發現網站上傳文件帶毒,應該及時刪除,重新上傳。
有關該病毒的預防,請參考www.xiongmaoshaoxiang.com上介紹的方法,或者看這裏、pif、src、html、asp、sp等文件,被感染的電腦中不但“熊貓”成群,而且“金豬”滿圈。它的破壞力很強,給用戶的電腦系統造成巨大的危害,導致大量應用軟件無法應用。
今年1月中旬,湖北省網監部門根據公安部公***信息網絡安全監察局的部署,對“熊貓燒香”病毒的制作者開展調查。經查,熊貓燒香病毒的制作者為湖北省武漢市李俊,據李俊交代,其於2006年10月16日編寫了“熊貓燒香”病毒並在網上廣泛傳播,並且還以自己出售和由他人代賣的方式,在網絡上將該病毒銷售給120余人,非法獲利10萬余元。經病毒購買者進壹步傳播,導致該病毒的各種變種在網上大面積傳播,對互聯網用戶計算機安全造成了嚴重破壞。
據了解,李俊還於2003年編寫了“武漢男生”病毒、2005年編寫了“武漢男生2005”病毒及“QQ尾巴”病毒。另外,本案另有幾個重要犯罪嫌疑人雷磊(男,25歲,武漢新洲區人)、王磊(男,22歲,山東威海人)、葉培新(男,21歲,浙江溫州人)、張順(男,23歲,浙江麗水人)、王哲(男,24歲,湖北仙桃人)通過改寫、傳播“熊貓燒香”等病毒,構建“僵屍網絡”,通過盜竊各種遊戲和QQ賬號等方式非法牟利。戴光劍之前接受上海東方早報記者采訪時曾經判斷,在對“熊貓燒香”病毒防殺過程中,已經發現了病毒在變形過程中可能有人主動操縱,從而獲利。
根據統壹部署,湖北網監在浙江、山東、廣西、天津、廣東、四川、江西、雲南、新疆、河南等地公安機關的配合下,壹舉偵破制作傳播“熊貓燒香”病毒案,並將6名犯罪嫌疑人抓獲。
據辦案民警透露,李俊具備較高的編程技術。李俊被抓後,並沒有意識到自己制作傳播病毒是犯法的。民警告訴記者,李俊被捉後稱,自己編寫“熊貓燒香”病毒是為了顯示自己技術高超。
目前,6名犯罪嫌疑人已被刑事拘留。
嫌疑人檔案
李俊 男 25歲 湖北省武漢新洲區人 2003年編寫“武漢男生”病毒 2005年編寫“武漢男生2005”病毒及“QQ尾巴”病毒
“熊貓燒香”病毒
該病毒通過多種方式進行傳播,並將感染的所有程序文件改成熊貓舉著三根香的模樣。該病毒具有盜取用戶遊戲賬號、QQ賬號等功能。感染的計算機還會出現藍屏、頻繁重啟以及文件被破壞等現象。該病毒會在中毒電腦中所有的網頁文件尾部添加病毒代碼。截至案發為止,已有上百萬個人用戶、網吧及企業局域網用戶遭受感染和破壞。《瑞星2006安全報告》將其列為十大病毒之首,在《2006年度中國大陸地區電腦病毒疫情和互聯網安全報告》的十大病毒排行中壹舉成為“毒王”。
早報記者 殷玉生
參考資料: