武漢男生病毒中文名:熊貓燒香(武漢男生)
病毒類型:蠕蟲
危險級別:★★
影響平台:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
專殺工具:金山專殺工具 安天專殺工具 江民專殺工具
病毒描述
“武漢男生”,俗稱“熊貓燒香”,這是一個感染型的蠕蟲病毒,它能感染系統中exe,com,pif,src,html,asp等檔案,它還能中止大量的反病毒軟體進程並且會刪除擴展名為gho的檔案,該檔案是一系統備份工具GHOST的備份檔案,使用戶的系統備份檔案丟失。被感染的用戶系統中所有.exe執行檔全部被改成熊貓舉著三根香的模樣。
製作者簡介
李俊(男,25歲,武漢市新洲區陽邏街人)
雷磊(男,25歲,武漢市新洲區陽邏街人)
王磊(男,22歲,山東威海人)
葉培新(男,21歲,浙江溫州人)
張順(男,23歲,浙江麗水人)
王哲(男,24歲,湖北仙桃人)
大事記
2006年12月,一種被稱為“尼姆亞”新型病毒在網際網路上大規模爆發。
2007年1月7日,國家計算機病毒應急處理中心發出“熊貓燒香”的緊急預警。
2007年1月9日,湖北仙桃市公安局接報,該市“江漢熱線”不幸感染“熊貓燒香”病毒而致網路癱瘓。
2007年1月31日下午,各路專家齊聚省公安廳,對“1·22”案進行“會診”,同時成立聯合工作專班。
2007年2月3日,回出租屋取東西準備潛逃的李俊被當場抓獲。隨後將其同夥雷磊抓獲歸案。
2007年9月24日,“熊貓燒香”計算機病毒製造者及主要傳播者李俊等4人,被湖北省仙桃市人民法院以破壞計算機信息系統罪判處李俊有期徒刑四年、王磊有期徒刑二年六個月、張順有期徒刑二年、雷磊有期徒刑一年,並判決李俊、王磊、張順的違法所得予以追繳,上繳國庫;被告人李俊有立功表現,依法可以從輕處罰。
相關報導
1月12號,瑞星全球反病毒監測網向企業區域網路發布警告,目前“尼姆亞(也稱熊貓燒香)”病毒的攻擊重點正在轉向企業區域網路和網站,廣大企業和網站應提高警惕緊密防範。瑞星反病毒專家介紹說,該病毒會在中毒電腦中所有的網頁檔案尾部添加病毒代碼。一些網站編輯人員的電腦如果被該病毒感染,上傳網頁到網站後,就會導致用戶瀏覽這些網站時也被病毒感染。據悉,目前多家著名網站已經遭到此類攻擊,而相繼被植入病毒。由於這些網站的瀏覽量非常大,致使此次“熊貓燒香”病毒的感染範圍非常廣,中毒企業和政府機構已經超過千家,其中不乏金融、稅務、能源等關係到國計民生的重要單位。
瑞星反病毒專家介紹說,“熊貓燒香”其實是“尼姆亞”病毒的新變種,最早出現在2006年的11月,到目前為止已經有數十個不同變種,在此期間瑞星已經發布針對該病毒的專殺工具,今天該工具已經升級,用戶可以去瑞星網站(http://it.rising.com.cn/Channels/Service/index.shtml)免費下載使用。
除了通過網站帶毒感染用戶之外,此病毒還會在區域網路中傳播,在極短時間之內就可以感染幾千台計算機,嚴重時可以導致網路癱瘓。中毒電腦上會出現“熊貓燒香”圖案,所以也被稱為“熊貓燒香”病毒。中毒電腦會出現藍屏、頻繁重啟以及系統硬碟中數據檔案被破壞等現象。
那么,用戶應該如何防範“熊貓燒香”病毒的攻擊?
專家建議,第一,安裝防毒軟體和瑞星卡卡3.1,並在上網時打開網頁實時監控。由於現在海底光纜中斷,很多國外防毒軟體難以升級,瑞星防毒軟體免費為用戶提供一個月服務,可以登入:http://www.rising.com.cn 免費下載並使用。用戶還可以通過瑞星線上專家門診:http://help.rising.com.cn取得幫助。
第二,網站管理員應該更改機器密碼,以防止病毒通過區域網路傳播。
第三,QQ、UC的漏洞已經被該病毒利用,用戶應該去他們的官方網站打好最新補丁。
第四,該病毒會利用IE瀏覽器的漏洞進行攻擊,因此用戶應該給IE打好所有的補丁。如果必要的話,用戶可以暫時換用Firefox、Opera等比較安全的瀏覽器。
操作方法
1:拷貝檔案病毒運行後,會把自己拷貝到C:\WINDOWS\System32\Drivers\spoclsv.exe
2:添加註冊表自啟動
病毒會添加自啟動項HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe
3:病毒行為
a:每隔1秒尋找桌面視窗,並關閉視窗標題中含有以下字元的程式:
qqkav、QQAV、防火牆、進程、VirusScan、網鏢、防毒、毒霸、瑞星、江民、黃山IE、超級兔子、最佳化大師、木馬剋星、木馬清道夫、QQ病毒、註冊表編輯器、系統配置實用程式、卡巴斯基反病毒、Symantec AntiVirus、Duba、esteem proces、綠鷹PC、密碼防盜、噬菌體、木馬輔助查找器、System Safety Monitor、Wrapped gift Killer、Winsock Expert、遊戲木馬檢測大師、msctls_statusbar32、pjf(ustc)、IceSword
並使用的鍵盤映射的方法關閉安全軟體IceSword
添加註冊表使自己自啟動 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe
並中止系統中以下的進程:
mcshield.exe、
vstskmgr.exe、
naprdmgr.exe、
updaterui.exe、
TBMon.exe、
scan32.exe、
Ravmond.exe、
CCenter.exe、
RavTask.exe、
Rav.exe、
Ravmon.exe、
RavmonD.exe、
RavStub.exe、
KVXP.kxp、
kvMonXP.kxp、
KVCenter.kxp、
kvsrvxp.exe、
kregex.exe、
uihost.exe、
TrojDie.kxp、
FrogAgent.exe、
logo1_.exe、
Logo_1.exe、
Rundl132.exe
b:每隔18秒點擊病毒作者指定的網頁,並用命令行檢查系統中是否存在共享,共存在的話就運行net share命令關閉admin$共享
c:每隔10秒下載病毒作者指定的檔案,並用命令行檢查系統中是否存在共享,共存在的話就運行net share命令關閉admin$共享
d:每隔6秒刪除安全軟體在註冊表中的鍵值
並修改以下值不顯示隱藏檔案 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue -> 0x00
刪除以下服務:
navapsvc、wscsvc、kpfwsvc、SNDSrvc、ccProxy、ccEvtMgr、CCSETMGR、SPBBCSvc、Symantec Core LC、NPFMntor MskService、FireSvc
e:感染檔案
病毒會感染擴展名為exe,pif,com,src的檔案,把自己附加到檔案的頭部,並在擴展名為htm,html, asp,php,jsp,aspx的檔案中添加一網址,用戶一但打開了該檔案,IE就會不斷的在後台點擊寫入的網址,達到增加點擊量的目的,但病毒不會感染以下資料夾名中的檔案:
WINDOW、Winnt、System Volume Information、Recycled、Windows NT、WindowsUpdate、Windows Media Player、Outlook Express、Internet Explorer、NetMeeting、Common Files、ComPlus Applications、Messenger、InstallShield Installation Information、MSN、Microsoft Frontpage、Movie Maker、MSN Gamin Zone
g:刪除檔案
病毒會刪除擴展名為gho的檔案,該檔案是一系統備份工具GHOST的備份檔案使用戶的系統備份檔案丟失。
怎樣預防“熊貓燒香”系列病毒?
1、立即檢查本機administrator組成員口令,一定放棄簡單口令甚至空口令,安全的口令是字母數字特殊字元的組合,自己記得住,別讓病毒猜到就行。
修改方法:右鍵單擊我的電腦,選擇管理,瀏覽到本地用戶和組,在右邊的窗中,選擇具備管理員許可權的用戶名,單擊右鍵,選擇設定密碼,輸入新密碼就行。
2.、利用組策略,關閉所有驅動器的自動播放功能。
步驟:單擊開始,運行,輸入gpedit.msc,打開組策略編輯器,瀏覽到計算機配置,管理模板,系統,在右邊的窗格中選擇關閉自動播放,該配置預設是未配置,在下拉框中選擇所有驅動器,再選取已啟用,確定後關閉。最後,在開始,運行中輸入gpupdate,確定後,該策略就生效了。
3、修改資料夾選項,以查看不明檔案的真實屬性,避免無意雙擊騙子程式中毒。
步驟:打開資源管理器(按windows徽標鍵+E),點工具選單下資料夾選項,再點查看,在高級設定中,選擇查看所有檔案,取消隱藏受保護的作業系統檔案,取消隱藏檔案擴展名。
4、時刻保持作業系統獲得最新的安全更新,建議用毒霸的漏洞掃描功能。
5、啟用windows防火牆保護本地計算機。
對於已經感染“熊貓燒香”病毒的用戶,金山毒霸反病毒專家建議及時安裝正版金山毒霸並升級到最新版本進行查殺,也可登入http://tool.duba.net/zhuansha/253.shtml免費下載熊貓燒香的專殺工具。
對於未感染的用戶,專家建議,不要登入不良網站,及時下載微軟公布的最新補丁,來避免病毒利用漏洞襲擊用戶的電腦,同時上網時應採用“防毒軟體+防火牆”的立體防禦體.
