Question

熊猫烧香病毒介绍

Answer 1

　　熊猫烧香病毒介绍：

　　由于中毒电脑的可执行文件会出现“熊猫烧香”图案，所以也被称为 “熊猫烧香”病毒。但原病毒只会对EXE图标进行替换，并不会对系统本身进行破坏。而大多数是中的病毒变种，用户电脑中毒后可能会出现 蓝屏 、频繁重启以及系统硬盘中数据文件被破坏等现象。同时，该病毒的某些变种可以通过局域网进行传播，进而感染局域网内所有计算机系统，最终导致企业局域网瘫痪，无法正常使用。[2]

　　3中毒症状编辑

　　除了通过网站带毒感染用户之外，此病毒还会在局域网中传播，在极短时间之内就 可以感染几千台计算机，严重时可以导致网络瘫痪。中毒电脑上会出现“熊猫烧香”图案，所以也被称为“熊猫烧香”病毒。中毒电脑会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。

　　4病毒危害编辑

　　熊猫烧香病毒会删除扩展名为gho的文件，使用户无法使用ghost软件恢复 操作系统 。“熊猫烧香”感染系统的.exe .com. f.src .html.asp文件，添加病毒网址，导致用户一打开这些网页文件，IE就会自动连接到指定的病毒网址中下载病毒。在硬盘各个分区下生成文件autorun.inf和setup.exe，可以通过U盘和移动硬盘等方式进行传播，并且利用Windows系统的自动播放功能来运行，搜索硬盘中的.exe可执行文件并感染，感染后的文件图标变成“熊猫烧香”图案。“熊猫烧香”还可以通过共享文件夹、用户简单密码等多种方式进行传播。该病毒会在中毒电脑中所有的网页文件尾部添加病毒代码。一些网站编辑人员的电脑如果被该病毒感染，上传网页到网站后，就会导致用户浏览这些网站时也被病毒感染。据悉，多家著名网站已经遭到此类攻击，而相继被植入病毒。由于这些网站的浏览量非常大，致使“熊猫烧香”病毒的感染范围非常广，中毒企业和政府机构已经超过千家，其中不乏金融、税务、能源等关系到国计民生的重要单位。注：江苏等地区成为“熊猫烧香”重灾区。

　　5传播 方法 编辑

　　金山分析：这是一个感染型的蠕虫病毒，它能感染系统中exe,com,pif,src,html,asp等文件，它还能中止大量的反病毒软件进程

　　1拷贝文件

　　病毒运行后，会把自己拷贝到

　　C:\WINDOWS\System32\Drivers\spoclsv.exe

　　2添加注册表自启动

　　病毒会添加自启动项

　　svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe

　　3病毒行为

　　a：每隔1秒

　　寻找桌面窗口，并关闭窗口标题中含有以下字符的程序

　　QQKav

　　QQAV

　　防火墙

　　进程

　　VirusScan

　　网镖

　　杀毒

　　毒霸

　　瑞星

　　江民

　　黄山IE

　　超级兔子

　　优化大师

　　木马克星

　　木马清道夫

　　QQ病毒

　　注册表编辑器

　　系统配置实用程序

　　卡巴斯基反病毒

　　Symantec AntiVirus

　　Duba

　　熊猫烧香esteem proces

　　绿鹰PC

　　密码防盗

　　噬菌体

　　木马辅助查找器

　　System Safety Monitor

　　Wrapped gift Killer

　　Winsock Expert

　　游戏木马检测大师

　　msctls_statusbar32

　　pjf(ustc)

　　IceSword

　　并使用的键盘映射的方法关闭安全软件IceSword

　　添加注册表使自己自启动

　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

　　svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe

　　并中止系统中以下的进程：

　　Mcshield.exe

　　VsTskMgr.exe

　　naPrdMgr.exe

　　UpdaterUI.exe

　　TBMon.exe

　　scan32.exe

　　Ravmond.exe

　　CCenter.exe

　　RavTask.exe

　　Rav.exe

　　Ravmon.exe

　　RavmonD.exe

　　RavStub.exe

　　熊猫烧香KVXP.kxp

　　kvMonXP.kxp

　　KVCenter.kxp

　　KVSrvXP.exe

　　KRegEx.exe

　　UIHost.exe

　　TrojDie.kxp

　　FrogAgent.exe

　　Logo1_.exe

　　Logo_1.exe

　　Rundl132.exe

　　b：每隔18秒

　　点击病毒作者指定的网页，并用命令行检查系统中是否存在共享

　　共享存在的话就运行net share命令关闭admin$共享

　　c：每隔10秒

　　下载病毒作者指定的文件，并用命令行检查系统中是否存在共享

　　共享存在的话就运行net share命令关闭admin$共享

　　d：每隔6秒

　　删除安全软件在注册表中的键值

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

　　RavTask

　　KvMonXP

　　kav

　　KAVPersonal50

　　McAfeeUpdaterUI

　　Network Associates Error Reporting Service

　　ShStartEXE

　　YLive.exe

　　yassistse

　　并修改以下值不显示隐藏文件

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

　　CheckedValue -> 0x00

　　删除以下服务：

　　navapsvc

　　wscsvc

　　KPfwSvc

　　SNDSrvc

　　ccProxy

　　ccEvtMgr

　　ccSetMgr

　　SPBBCSvc

　　Symantec Core LC

　　NPFMntor

　　MskService

　　FireSvc

　　e：感染文件

　　病毒会感染扩展名为exe,pif,com,src的文件，把自己附加到文件的头部

　　并在扩展名为htm,html,asp,php,jsp,aspx的文件中添加一网址，

　　用户一但打开了该文件，IE就会不断的在后台点击写入的网址，达到

　　增加点击量的目的，但病毒不会感染以下文件夹名中的文件：

　　熊猫烧香WINDOW

　　Winnt

　　System Volume Information

　　Recycled

　　Windows NT

　　WindowsUpdate

　　Windows Media Player

　　Outlook Express

　　Internet Explorer

　　NetMeeting

　　Common Files

　　ComPlus Applications

　　Messenger

　　InstallShield Installation Information

　　MSN

　　Microsoft Frontpage

　　Movie Maker

　　MSN Gamin Zone

　　g：删除文件

　　病毒会删除扩展名为gho的文件，该文件是一系统备份工具GHOST的备份文件

　　使用户的系统备份文件丢失.

　　瑞星病毒分析 报告 ：“Nimaya(熊猫烧香)”