熊貓燒香

　　說到，估計很多早接觸電腦的朋友們都不會陌生吧，但是對於一些接觸電腦沒多久的朋友估計就不知道了，下面就讓小編給大家詳細的說一下這個病毒吧。

　　基本資訊

　　病毒名稱:，Worm.WhBoy.***金山稱***，Worm.Nimaya. ***瑞星稱***

　　病毒別名：尼姆亞，武漢男生，後又化身為“金豬報喜”，國外稱“”

　　危險級別：★★★★★

　　病毒型別：蠕蟲病毒，能夠終止大量的反病毒軟體和防火牆軟體程序。

　　影響系統：Win 9x/ME、Win 2000/NT、Win XP、Win 2003 、Win Vista、WIN 7

　　發現時間：2006年10月16日

　　來源地：中國武漢東湖高新技術開發區關山

　　病毒描述

　　其實是一種蠕蟲病毒的變種，而且是經過多次變種而來的，由於中毒電腦的可執行檔案會出現“”圖案，所以也被稱為 “”病毒。但原病毒只會對EXE圖示進行替換，並不會對系統本身進行破壞。而大多數 是中的病毒變種，使用者電腦中毒後可能會出現藍屏、頻繁重啟以及系統硬碟中資料檔案被破壞等現象。同時，該病毒的某些變種可以通過區域網進行傳播，進而感染區域網內所有計算機系統，最終導致企業區域網癱瘓，無法正常使用，它能感染系統中exe，com，pif，src，html，asp等檔案，它還能終止大量的反病毒軟體程序並且會刪除副檔名為gho的檔案，該檔案是一系統備份工具GHOST的備份檔案，使使用者的系統備份檔案丟失。被感染的使用者系統中所有.exe可執行檔案全部被改成熊貓舉著三根香的模樣。

　　中毒症狀

　　除了通過網站帶毒感染使用者之外，此病毒還會在區域網中傳播，在極短時間之內就 可以感染幾千臺計算機，嚴重時可以導致網路癱瘓。中毒電腦上會出現“”圖案，所以也被稱為“”病毒。中毒電腦會出現藍屏、頻繁重啟以及系統硬碟中資料檔案被破壞等現象。

　　病毒危害

　　病毒會刪除副檔名為gho的檔案，使使用者無法使用ghost軟體恢復作業系統。“”感染系統的.exe . f.src .html.asp檔案，新增病毒網址，導致使用者一開啟這些網頁檔案，IE就會自動連線到指定的病毒網址中下載病毒。在硬碟各個分割槽下生成檔案autorun.inf和setup.exe，可以通過U盤和行動硬碟等方式進行傳播，並且利用Windows系統的自動播放功能來執行，搜尋硬碟中的.exe可執行檔案並感染，感染後的檔案圖示變成“”圖案。“”還可以通過共享資料夾、系統弱口令等多種方式進行傳播。該病毒會在中毒電腦中所有的網頁檔案尾部新增病毒程式碼。一些網站編輯人員的電腦如果被該病毒感染，上傳網頁到網站後，就會導致使用者瀏覽這些網站時也被病毒感染。 據悉，多家著名網站已經遭到此類攻擊，而相繼被植入病毒。由於這些網站的瀏覽量非常大，致使“”病毒的感染範圍非常廣，中毒企業和政府機構已經超過千家，其中不乏金融、稅務、能源等關係到國計民生的重要單位。注：江蘇等地區成為“”重災區。

　　傳播方法

　　“”還可以通過共享資料夾、系統弱口令等多種方式進行傳播。

　　金山分析：這是一個感染型的蠕蟲病毒,它能感染系統中exe,com,pif,src,html,asp等檔案,它還能中止大量的反病毒軟體程序

　　1 拷貝檔案

　　病毒執行後,會把自己拷貝到

　　C:\WINDOWS\System32\Drivers\spoclsv.exe

　　2 添加註冊表自啟動

　　病毒會新增自啟動項

　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

　　svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe

　　3 病毒行為

　　a:每隔1秒

　　尋找桌面視窗,並關閉視窗標題中含有以下字元的程式

　　QQKav

　　QQAV

　　防火牆

　　程序

　　VirusScan

　　網鏢

　　防毒

　　毒霸

　　瑞星

　　江民

　　黃山IE

　　超級兔子

　　優化大師

　　木馬克星

　　木馬清道夫

　　QQ病毒

　　登錄檔編輯器

　　系統配置實用程式

　　卡巴斯基反病毒

　　Symantec AntiVirus

　　Duba

　　esteem proces

　　綠鷹PC

　　密碼防盜

　　噬菌體

　　木馬輔助查詢器

　　System Safety Monitor

　　Wrapped gift Killer

　　Winsock Expert

　　遊戲木馬檢測大師

　　msctls_statusbar32

　　pjf***ustc***

　　IceSword

　　並使用的鍵盤對映的方法關閉安全軟體IceSword

　　添加註冊表使自己自啟動

　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

　　svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe

　　並中止系統中以下的程序:

　　Mcshield.exe

　　VsTskMgr.exe

　　naPrdMgr.exe

　　UpdaterUI.exe

　　TBMon.exe

　　scan32.exe

　　Ravmond.exe

　　CCenter.exe

　　RavTask.exe

　　Rav.exe

　　Ravmon.exe

　　RavmonD.exe

　　RavStub.exe

　　KVXP.kxp

　　kvMonXP.kxp

　　KVCenter.kxp

　　KVSrvXP.exe

　　KRegEx.exe

　　UIHost.exe

　　TrojDie.kxp

　　FrogAgent.exe

　　Logo1_.exe

　　Logo_1.exe

　　Rundl132.exe

　　b:每隔18秒

　　點選病毒作者指定的網頁,並用命令列檢查系統中是否存在共享

　　共存在的話就執行net share命令關閉admin$共享

　　c:每隔10秒

　　下載病毒作者指定的檔案,並用命令列檢查系統中是否存在共享

　　共存在的話就執行net share命令關閉admin$共享

　　d:每隔6秒

　　刪除安全軟體在登錄檔中的鍵值

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

　　RavTask

　　KvMonXP

　　kav

　　KAVPersonal50

　　McAfeeUpdaterUI

　　Network Associates Error Reporting Service

　　ShStartEXE

　　YLive.exe

　　yassistse

　　並修改以下值不顯示隱藏檔案

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

　　CheckedValue -> 0x00

　　刪除以下服務:

　　navapsvc

　　wscsvc

　　KPfwSvc

　　SNDSrvc

　　ccProxy

　　ccEvtMgr

　　ccSetMgr

　　SPBBCSvc

　　Symantec Core LC

　　NPFMntor

　　MskService

　　FireSvc

　　e:感染檔案

　　病毒會感染副檔名為exe,pif,com,src的檔案,把自己附加到檔案的頭部

　　並在副檔名為htm,html, asp,php,jsp,aspx的檔案中新增一網址,

　　使用者一但打開了該檔案,IE就會不斷的在後臺點選寫入的網址,達到

　　增加點選量的目的,但病毒不會感染以下資料夾名中的檔案:

　　WINDOW

　　Winnt

　　System Volume Information

　　Recycled

　　Windows NT

　　WindowsUpdate

　　Windows Media Player

　　Outlook Express

　　Internet Explorer

　　NetMeeting

　　Common Files

　　ComPlus Applications

　　Messenger

　　InstallShield Installation Information

　　MSN

　　Microsoft Frontpage

　　Movie Maker

　　MSN Gamin Zone

　　g:刪除檔案

　　病毒會刪除副檔名為gho的檔案,該檔案是一系統備份工具GHOST的備份檔案

　　使使用者的系統備份檔案丟失.

　　瑞星最新病毒分析報告：“Nimaya******”

　　這是一個傳染型的DownLoad 使用Delphi編寫

　　傳播物件和執行過程

　　本地磁碟感染

　　病毒對系統中所有除了碟符為A,B的磁碟型別為DRIVE_REMOTE,DRIVE_FIXED的磁碟進行檔案遍歷感染

　　注:不感染檔案大小超過10485760位元組以上的.

　　***病毒將不感染如下目錄的檔案***:

　　Microsoft Frontpage

　　Movie Maker

　　MSN Gamin Zone

　　Common Files

　　Windows NT

　　Recycled

　　System Volume Information

　　Documents and Settings

　　……

　　***病毒將不感染檔名如下的檔案***:

　　setup.exe

　　病毒將使用兩類感染方式應對不同字尾的檔名進行感染

　　1***二進位制可執行檔案***字尾名為:EXE,SCR,PIF,COM***: 將感染目標檔案和病毒溶合成一個檔案***被感染檔案貼在病毒檔案尾部***完成感染.

　　2***指令碼類***字尾名為:htm,html,asp,php,jsp,aspx***: 在這些指令碼檔案尾加上如下連結***下邊的頁面存在安全漏洞***:

　　在感染時會刪除這些磁碟上的字尾名為.GHO

　　生成autorun.inf

　　病毒建立一個計時器以，6秒為週期在磁碟的根目錄下生成setup.exe***病毒本身*** autorun.inf 並利用AutoRun Open關聯使病毒在使用者點選被感染磁碟時能被自動執行。

　　區域網傳播

　　病毒生成隨機個區域網傳播執行緒實現如下的傳播方式：

　　當病毒發現能成功聯接攻擊目標的139或445埠後，將使用內建的一個使用者列表及密碼字典進行聯接。***猜測被攻擊端的密碼***當成功的聯接上以後將自己複製過去並利用計劃任務啟動啟用病毒。

　　修改作業系統的啟動關聯

　　下載檔案啟動

　　與防毒軟體對抗

　　防毒方法

　　各種版本的專殺

　　瑞星　金山　江民

　　超級巡警　李俊

　　雖然使用者及時更新防毒軟體病毒庫，並下載各防毒軟體公司提供的專殺工具，即可對“”病毒進行查殺，但是如果能做到防患於未然豈不更好。

　　解決辦法

　　【1】 立即檢查本機administrator組成員口令，一定要放棄簡單口令甚至空口令，安全的口令是字母數字特殊字元的組合，自己記得住，別讓病毒猜到就行。

　　修改方法

　　右鍵單擊我的電腦，選擇管理，瀏覽到本地使用者和組，在右邊的窗格中，選擇具備管理員許可權的使用者名稱，單擊右鍵，選擇設定密碼，輸入新密碼就行。

　　【2】 利用組策略，關閉所有驅動器的自動播放功能。

　　步驟1

　　單擊開始，執行，輸入gpedit.msc，開啟組策略編輯器，瀏覽到計算機配置，管理模板，系統，在右邊的窗格中選擇關閉自動播放，該配置預設是未配置，在下拉框中選擇所有驅動器，再選取已啟用，確定後關閉。最後，在開始，執行中輸入gpupdate，確定後，該策略就生效了。

　　【3】 修改資料夾選項，以檢視不明檔案的真實屬性，避免無意雙擊騙子程式中毒。

　　步驟2

　　開啟資源管理器***按windows徽標鍵+E***，點工具選單下資料夾選項，再點檢視，在高階設定中，選擇檢視所有檔案，取消隱藏受保護的作業系統檔案，取消隱藏副檔名。

　　【4】 時刻保持作業系統獲得最新的安全更新，不要隨意訪問來源不明的網站，特別是微軟的MS06-014漏洞，應立即打好該漏洞補丁。

　　同時，QQ、UC的漏洞也可以被該病毒利用，因此，使用者應該去他們的官方網站打好最新補丁。此外，由於該病毒會利用IE瀏覽器的漏洞進行攻擊，因此使用者還應該給IE打好所有的補丁。如果必要的話，使用者可以暫時換用Firefox、Opera等比較安全的瀏覽器。

　　【5】 啟用Windows防火牆保護本地計算機。同時，區域網使用者儘量避免建立可寫的共享目錄，已經建立共享目錄的應立即停止共享。

　　此外，對於未感染的使用者，病毒專家建議，不要登入不良網站，及時下載微軟公佈的最新補丁，來避免病毒利用漏洞襲擊使用者的電腦，同時上網時應採用“防毒軟體+防火牆”的立體防禦體系。