熊貓燒香

病毒原理

熊貓燒香

熊貓燒香其實是一種蠕蟲病毒的變種，而且是經過多次變種而來的，由於中毒電腦的執行檔會出現“熊貓燒香”圖案，所以也被稱為 “熊貓燒香”病毒。但原病毒只會對EXE圖示進行替換，並不會對系統本身進行破壞。而大多數是中等病毒變種，用戶電腦中毒後可能會出現藍屏、頻繁重啟以及系統硬碟中數據檔案被破壞等現象。同時，該病毒的某些變種可以通過區域網路進行傳播，進而感染區域網路內所有計算機系統，最終導致企業區域網路癱瘓，無法正常使用，它能感染系統中exe，com，pif，src，html，asp等檔案，它還能終止大量的反病毒軟體進程並且會刪除擴展名為gho的備份檔案。被感染的用戶系統中所有.exe執行檔全部被改成熊貓舉著三根香的模樣。

中毒症狀

中毒時的電腦桌面

除通過網站帶毒感染用戶之外，此病毒還會在區域網路中傳播，在極短時間之內就可以感染幾千台計算機，嚴重時可以導致網路癱瘓。中毒電腦上會出現“熊貓燒香”圖案，所以也被稱為“熊貓燒香”病毒。中毒電腦會出現藍屏、頻繁重啟以及系統硬碟中數據檔案被破壞等現象。

病毒危害

中毒時會彈出的視窗

病毒會刪除擴展名為gho的檔案，使用戶無法使用ghost軟體恢復作業系統。“熊貓燒香”感染系統的.exe .com. f.src .html.asp檔案，添加病毒網址，導致用戶一打開這些網頁檔案，IE就會自動連線到指定的病毒網址中下載病毒。在硬碟各個分區下生成檔案autorun.inf和setup.exe，可以通過隨身碟和移動硬碟等方式進行傳播，並且利用Windows系統的自動播放功能來運行，搜尋硬碟中的.exe執行檔並感染，感染後的檔案圖示變成“熊貓燒香”圖案。“熊貓燒香”還可以通過已分享檔案夾、用戶簡單密碼等多種方式進行傳播。該病毒會在中毒電腦中所有的網頁檔案尾部添加病毒代碼。一些網站編輯人員的電腦如果被該病毒感染，上傳網頁到網站後，就會導致用戶瀏覽這些網站時也被病毒感染。據悉，多家著名網站已經遭到此類攻擊，而相繼被植入病毒。由於這些網站的瀏覽量非常大，致使“熊貓燒香”病毒的感染範圍非常廣，中毒企業和政府機構已經超過千家，其中不乏金融、稅務、能源等關係到國計民生的重要單位。註：江蘇等地區成為“熊貓燒香”重災區。

變種病毒

至此，據不完全統計，僅12月份至今，變種數已達90多個，個人用戶感染熊貓燒香的已經高達幾百萬，企業用戶感染數還在繼續上升。反病毒專家表示，伴隨著各大防毒廠商對“熊貓燒香”病毒的集中絞殺，該病毒正在不斷“繁衍”新的變種，密謀更加隱蔽的傳播方式。反病毒專家建議，用戶不打開可疑郵件和可疑網站，不要隨便運行不知名程式或打開陌生人郵件的附屬檔案。

傳播方法

金山分析：這是一個感染型的蠕蟲病毒，它能感染系統中exe，com，pif，src，html，asp等檔案，它還能結束大量的反病毒軟體進程。

1、拷貝檔案

病毒運行後，會把自己拷貝到

C:\WINDOWS\System32\Drivers\spoclsv.exe

2、添加註冊表自啟動

病毒會添加自啟動項

svcshare ->C:\WINDOWS\System32\Drivers\spoclsv.exe

3、病毒行為

a：每隔1秒

尋找桌面視窗，並關閉視窗標題中含有以下字元的程式：

•QQKav

•QQAV

•防火牆

•進程

•VirusScan

•網鏢

•防毒

•毒霸

•瑞星

•江民

•黃山IE

•超級兔子

•最佳化大師

•木馬剋星

•木馬清道夫

•QQ病毒

•註冊表編輯器

•系統配置實用程式

•卡巴斯基反病毒

•Symantec AntiVirus

•Duba

•esteem proces

•綠鷹PC

•密碼防盜

•噬菌體

•木馬輔助查找器

•System Safety Monitor

•Wrapped gift Killer

•Winsock Expert

•遊戲木馬檢測大師

•msctls_statusbar32

•pjf(ustc)

•IceSword

並使用的鍵盤映射的方法關閉安全軟體IceSword

添加註冊表使自己自啟動

•HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

•svcshare ->C:\WINDOWS\System32\Drivers\spoclsv.exe

並結束系統中以下的進程：

•Mcshield.exe

•VsTskMgr.exe

•naPrdMgr.exe

•UpdaterUI.exe

•TBMon.exe

•scan32.exe

•Ravmond.exe

•CCenter.exe

•RavTask.exe

•Rav.exe

•Ravmon.exe

•RavmonD.exe

•RavStub.exe

•KVXP.kxp

•kvMonXP.kxp

•KVCenter.kxp

•KVSrvXP.exe

•KRegEx.exe

•UIHost.exe

•TrojDie.kxp

•FrogAgent.exe

•Logo1_.exe

•Logo_1.exe

•Rundll32.exe

b：每隔18秒

點擊病毒作者指定的網頁，

並用命令行檢查系統中是否存在共享

共享存在的話就運行net share命令關閉admin$共享

c：每隔10秒

下載病毒作者指定的檔案，

並用命令行檢查系統中是否存在共享

共享存在的話就運行net share命令關閉admin$共享

d：每隔6秒

刪除安全軟體在註冊表中的鍵值

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

RavTask

KvMonXP

kav

KAVPersonal50

McAfeeUpdaterUI

Network Associates Error Reporting Service

ShStartEXE

YLive.exe

yassistse

並修改以下值不顯示隱藏檔案

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

CheckedValue -> 0x00

刪除以下服務：

navapsvc

wscsvc

KPfwSvc

SNDSrvc

ccProxy

ccEvtMgr

ccSetMgr

SPBBCSvc

Symantec Core LC

NPFMntor

MskService

FireSvc

e：感染檔案

病毒會感染擴展名為exe,pif,com,src的檔案，把自己附加到檔案的頭部

並在擴展名為htm,html,asp,php,jsp,aspx的檔案中添加一網址，

用戶一但打開了該檔案，IE就會不斷的在後台點擊寫入的網址，達到

增加點擊量的目的，但病毒不會感染以下資料夾名中的檔案：

WINDOW

Winnt

System Volume Information

Recycled

Windows NT

Windows Update

Windows Media Player

Outlook Express

Internet Explorer

NetMeeting

Common Files

ComPlus Applications

Messenger

InstallShield Installation Information

MSN

Microsoft Frontpage

Movie Maker

MSN Gamin Zone

g：刪除檔案

病毒會刪除擴展名為gho的檔案，該檔案是一系統備份工具GHOST的備份檔案；

使用戶的系統備份檔案丟失；

瑞星最新病毒分析報告：“Nimaya（熊貓燒香）”；

這是一個傳染型的DownLoad，使用Delphi編寫。

運行過程

本地磁碟感染

熊貓燒香

病毒對系統中所有除了盤符為A，B的磁碟類型為DRⅣE_REMOTE，DRⅣE_FⅨED的磁碟進行檔案遍歷感染

註：不感染檔案大小超過10485760位元組以上的

（病毒將不感染如下目錄的檔案）：

Microsoft Frontpage

Movie Maker

MSN Gamin Zone

Common Files

Windows NT

Recycled

System Volume Information

Documents and Settings

……

（病毒將不感染檔案名稱如下的檔案）：

setup.exe

病毒將使用兩類感染方式應對不同後綴的檔案名稱進行感染

1）二進制執行檔（後綴名為：EXE,SCR,PIF,COM): 將感染目標檔案和病毒溶合成一個檔案（被感染檔案貼在病毒檔案尾部）完成感染.

2）腳本類（後綴名為：htm,html,asp,php,jsp,aspx): 在這些腳本檔案尾加上如下連結（下邊的頁面存在安全漏洞）：

<iframe src=></iframe>

在感染時會刪除這些磁碟上的後綴名為.GHO的Ghost備份檔案

生成檔案

病毒建立一個計時器，以6秒為周期在磁碟的根目錄下生成setup.exe（病毒本身）autorun.inf，並利用AutoRun Open關聯使病毒在用戶點擊被感染磁碟時能被自動運行。

區域網路傳播

病毒生成隨機個區域網路傳播執行緒實現如下的傳播方式：

當病毒發現能成功聯接攻擊目標的139或445連線埠後，將使用內置的一個用戶列表及密碼字典進行聯接（猜測被攻擊端的密碼）。當成功聯接上以後將自己複製過去，並利用計畫任務啟動激活病毒。

修改作業系統的啟動關聯

下載檔案啟動

與防毒軟體對抗

變種病毒

金豬報喜病毒實際就是熊貓燒香的新變種，

春節將至，然而廣大網路用戶仍沒有徹底擺脫“熊貓燒香”的陰霾。伴隨著大量“熊貓燒香”變種的出現，對用戶的危害一浪高過一浪。1月29日，來自金山毒霸反病毒中心最新訊息：“熊貓燒香”化身“金豬”，危害指數再度升級，被感染的電腦中不但“熊貓”成群，而且“金豬”滿圈。但象徵財富的金豬仍然讓用戶無法擺脫“系統被破壞，大量套用軟體無法套用”的噩夢。

病毒描述：

“武漢男生”，俗稱“熊貓燒香”， 2006年12月又化身為“金豬報喜” ，這是一個感染型的蠕蟲病毒，它能感染系統中exe，com，pif，src，html，asp等檔案，它還能中止大量的反病毒軟體進程並且會刪除擴展名為gho的檔案，該檔案是一系統備份工具GHOST的備份檔案，使用戶的系統備份檔案丟失。被感染的用戶系統中所有.exe執行檔全部被改成可愛金豬的模樣。

2007年1月30日，江民科技反病毒中心監測到，肆虐網際網路的“熊貓燒香”又出新變種。此次變種把“熊貓燒香”圖案變成“金豬報喜”。江民反病毒專家提醒用戶，春節臨近，謹防春節期間病毒借人們互致祝福之際大面積爆發。

專家介紹，“熊貓燒香”2006年11月中旬被首次發現，短短兩個月時間，新老變種已達700多種，據江民反病毒預警中心監測到的數據顯示，“熊貓燒香”病毒2006年12月一舉闖入病毒排名前20名，2007年1月份更是有望進入前10名。疫情最嚴重的地區分別為：廣東、山東、江蘇、北京和遼寧。

針對該病毒，江民防毒軟體KV系列已緊急升級，用戶升級到最新病毒庫即可有效防範該病毒於系統之外。江民“熊貓燒香”專殺工具已同步更新，未安裝防毒軟體的用戶可以登入江民網站下載防毒。此外，針對“熊貓燒香”變種頻繁的特徵，江民防毒軟體KV2007主動防禦規則庫可徹底防範“熊貓燒香”及其變種，用戶可以登入江民反病毒論壇下載使用。

此外學生寒假開始，上網人群短期內集中上升，病毒的傳播速度也空前加快，所以用戶在進行上網的過程中要更加警惕病毒的入侵。據了解，前幾天在網路上出現了“熊貓燒香”作者聲稱不再有變種出現，而“金豬”的出現再次粉碎了人們的美夢，再次將人們拉回到熊貓燒香的夢魘之中。專家稱，按照當時“熊貓燒香”破壞程度，威脅將延伸至春節。

專家提醒大家，遇到“金豬”不要心慌，用熊貓燒香專殺工具就可以完全對付這小金豬啦！

熊貓燒香變身“金豬報喜”再作亂

“熊貓燒香”餘毒未盡，新變種接踵而來。據悉，熊貓燒香已改頭換面變成新病毒“金豬報喜”。日前，江民、瑞星、金山等反病毒公司已經陸續截獲大量“金豬報喜”病毒的報告，而這一病毒甚至可以清除用戶機器里原有的“熊貓燒香”病毒，並自動取而代之。

由於“熊貓燒香”病毒作者不斷更新變種程式，眾多防毒軟體無法跟隨病毒的發展速度。而近日出現的“金豬報喜”病毒圖表，同樣是可愛的小動物，但危害卻在與“熊貓燒香”一樣感染EXE檔案外，還能感染RAR跟ZIP等格式檔案。據悉當時2008年幾家反病毒廠商尚未推出針對“金豬報喜”的專殺工具。

由於春節臨近，更多新 病毒可能集中出現，因此反病毒專家提醒用戶要加強警惕，及時升級 防毒軟體，不要隨便點擊莫名來歷檔案。

最虔誠的病毒--熊貓燒香

對於這個在06年給人們帶來黑色記憶的病毒，其成因只因為作者為了炫耀自己而產生，其藉助隨身碟的傳播方式也引領新的反病毒課題，但這一切都沒有其LOGO的熊貓給人的印象深刻，熊貓拿著三根香虔誠的祈禱什麼？這給很多人以遐想。所以最虔誠的病毒只能頒給舉著香在祈禱的熊貓。

2007年9月24日，“熊貓燒香”案一審宣判，主犯李俊被判刑4年。庭審中，李俊的辯護律師王萬雄出示了一份某網路公司發給李俊的邀請函，請他擔任公司的技術總監。據悉，案發後已有不下10家網路大公司跟李俊聯繫，欲以100萬年薪邀請其加入（見9月25日《長江商報》）。

熊貓燒香傳播性極高，中病毒者會在短時間內傳染區域網路內其他用戶。

應對方法

防毒方法

熊貓燒香

雖然用戶及時更新防毒軟體病毒庫，並下載各防毒軟體公司提供的專殺工具，即可對“熊貓燒香”病毒進行查殺，但是如果能做到防患於未然豈不更好。

解決辦法

【1】 立即檢查本機administrator組成員口令，一定要放棄簡單口令甚至空口令，

【2】 利用組策略，關閉所有驅動器的自動播放功能。

•步驟1

單擊開始，運行，輸入gpedit.msc，打開組策略編輯器，瀏覽到計算機配置，管理模板，系統，在右邊的窗格中選擇關閉自動播放，該配置預設是未配置，在下拉框中選擇所有驅動器，再選取已啟用，確定後關閉。最後，在開始，運行中輸入gpupdate，確定後，該策略就生效了。

【3】 修改資料夾選項，以查看不明檔案的真實屬性，避免無意雙擊騙子程式中毒。

•步驟2

打開資源管理器（按windows徽標鍵+E），點工具選單下資料夾選項，再點查看，在高級設定中，選擇查看所有檔案，取消隱藏受保護的作業系統檔案，取消隱藏檔案擴展名。

【4】 時刻保持作業系統獲得最新的安全更新，不要隨意訪問來源不明的網站，特別是微軟的 MS06-014漏洞，應立即打好該漏洞補丁。

同時，QQ、UC的漏洞也可以被該病毒利用，因此，用戶應該去他們的官方網站打好最新補丁。此外，由於該病毒會利用IE瀏覽器的漏洞進行攻擊，因此用戶還應該給IE打好所有的補丁。如果必要的話，用戶可以暫時換用Firefox、Opera等比較安全的瀏覽器。

【5】 啟用Windows防火牆保護本地計算機。同時，區域網路用戶儘量避免創建可寫的已分享資料夾，已經創建已分享資料夾的應立即停止共享。

此外，對於未感染的用戶，病毒專家建議，不要登錄不良網站，及時下載微軟公布的最新補丁，來避免病毒利用漏洞襲擊用戶的電腦，同時上網時應採用“防毒軟體+防火牆”的立體防禦體系。病毒源碼。

防禦方法

計世網訊息 在2007年新年出現的“PE_FUJACKS”就是一種讓廣大網際網路用戶聞之色變的“熊貓燒香”。該病毒的作者為“武漢男生”（檔案末簽名”WhBoy”），這個版本的病毒已經集成了PE_FUJA CK和QQ大盜的代碼，通過網路共享，檔案感染和移動存儲設備傳播，尤其是感染網頁檔案，並在網頁檔案寫入自動更新的代碼，一旦瀏覽該網頁，就會感染更新後的變種。

不幸中招的用戶都知道，“熊貓燒香”會占用區域網路頻寬，使得電腦變得緩慢，計算機會出現以下症狀：熊貓燒香病毒會在網路已分享檔案夾中生成一個名為GameSetup.exe的病毒檔案；結束某些應用程式以及防毒軟體的進程，導致應用程式異常，或不能正常執行，或速度變慢；硬碟分區或者隨身碟不能訪問使用；exe程式無法使用程式圖示變成熊貓燒香圖示；硬碟的根目錄出現setup.exe auturun.INF檔案 ；同時瀏覽器會莫名其妙地開啟或關閉。

該病毒主要通過瀏覽惡意網站、網路共享、檔案感染和移動存儲設備（如隨身碟）等途徑感染，其中網路共享和檔案感染的風險係數較高，而通過Web和移動存儲感染的風險相對較低。該病毒會自行啟動安裝，生成註冊列表和病毒檔案%System%\drivers\spoclsv.exe ，並在所有磁碟跟目錄下生成病毒檔案setup.exe,autorun.inf。

套用統一變為熊貓燒香的圖示其實就是在註冊表的HKEY_CLASSES_ROOT這個分支中寫入了一個值，將所有的EXE檔案圖示指向一個圖示檔案，所以一般只要刪除此值，改回原貌就可以了。

幕後黑手

製作者

熊貓燒香製作者：李俊

2007年2月3日，“熊貓燒香”電腦病毒製造者李俊在武漢落網。“熊貓燒香”被列為2007十大電腦病毒之首，曾讓上百萬台電腦受害。

2013年6月，據浙江省麗水市人民政府官方微博“麗水發布”提供的訊息稱，“熊貓燒香”病毒製造者張順、李俊因設立“金元寶棋牌”網路賭場，非法斂財數百萬元，已經被麗水市蓮都區檢察院批准逮捕。

現年29歲的張順是麗水雲和人，他與李俊兩人因製造“熊貓燒香”計算機病毒，在2007年9月24日被湖北省仙桃市人民法院以破壞計算機信息系統罪分別處以2年有期徒刑和4年有期徒刑。

破案介紹

我國破獲的國內首例製作計算機病毒的大案

[2007年2月12日]湖北省公安廳12日宣布，根據統一部署，湖北網監在浙江、山東、廣西、天津、廣東、四川、江西、雲南、新疆、河南等地公安機關的配合下，一舉偵破了製作傳播“熊貓燒香”病毒案，抓獲病毒作者李俊（男，25歲，武漢新洲區人），他於2006年10月16日編寫了“熊貓燒香”病毒並在網上廣泛傳播，並且還以自己出售和由他人代賣的方式，在網路上將該病毒銷售給120餘人，非法獲利10萬餘元。

其他重要犯罪嫌疑人：雷磊（男，25歲，武漢新洲區人）、王磊（男，22歲，山東威海人）、葉培新（男，21歲，浙江溫州人）、張順（男，23歲，浙江麗水人）、王哲（男，24歲，湖北仙桃人）通過改寫、傳播“熊貓燒香”等病毒，構建“殭屍網路”，通過盜竊各種遊戲賬號等方式非法牟利。

這是中國近些年來，發生比較嚴重的一次蠕蟲病毒發作。影響較多公司，造成較大的損失。且對於一些疏於防範的用戶來說，該病毒導致較為嚴重的損失。

由於此病毒可以盜取用戶名與密碼，因此，帶有明顯的牟利目的。所以，作者才有可能將此病毒當作商品出售，與一般的病毒製作者只是自娛自樂、或顯示威力、或炫耀技術有很大的不同。

另外，製作者李俊在被捕後，在公安的監視下，編寫解毒軟體。

大事記

2006年12月，一種被稱為“尼姆亞”新型病毒在網際網路上大規模爆發。

2007年1月7日，國家計算機病毒應急處理中心發出“熊貓燒香”的緊急預警。

2007年1月9日，湖北仙桃市公安局接報，該市“江漢熱線”不幸感染“熊貓燒香”病毒而致網路癱瘓。

2007年1月31日下午，各路專家齊聚省公安廳，對“1·22”案進行“會診”，同時成立聯合工作專班。

2007年2月3日，回出租屋取東西準備潛逃的李俊被當場抓獲。隨後將其同夥雷磊抓獲歸案。

2007年9月24日，“熊貓燒香”計算機病毒製造者及主要傳播者李俊等4人，被湖北省仙桃市人民法院以破壞計算機信息系統罪判處李俊有期徒刑四年、王磊有期徒刑二年六個月、張順有期徒刑二年、雷磊有期徒刑一年，並判決李俊、王磊、張順的違法所得予以追繳，上繳國庫;被告人李俊有立功表現，依法可以從輕處罰。

製造者獲刑

2014年1月8日，浙江省麗水市蓮都區人民法院依法一審審結了曾因製造並傳播“熊貓燒香”計算機病毒而引發社會關注的張順和李俊夥同他人開設網路賭場案。張順、李俊被法院以開設賭場罪分別判處有期徒刑五年和三年，並分別處罰金20萬元和8萬元。

金豬報喜

金豬報喜，是“熊貓燒香”的新變種。伴隨著大量“熊貓燒香病毒”變種的出現，對網路用戶的危害一浪高過一浪。2012年1月29日，來自金山毒霸反病毒中心最新訊息：“熊貓燒香”化身“金豬報喜”，危害指數再度升級，被感染的電腦中不但“熊貓”成群，而且“金豬”滿圈。但象徵財富的金豬仍然讓用戶無法擺脫“系統被破壞，大量套用軟體無法使用”的噩夢。

IT軟體大全