計(jì)算機(jī)病毒-熊貓燒香知識科普

　　今天學(xué)習(xí)啦小編要跟大家講解下計(jì)算機(jī)病毒史中非常出名的“熊貓燒香”，下面就是學(xué)習(xí)啦小編為大家整理到的資料，請大家認(rèn)真看看!

　　計(jì)算機(jī)病毒-熊貓燒香知識科普

　　熊貓燒香跟灰鴿子不同,這是名副其實(shí)的病毒,是一種經(jīng)過多次變種的“蠕蟲病毒”變種，2006年10月16日由25歲的中國湖北武漢新洲區(qū)人李俊編寫，擁有感染傳播功能，2007年1月初肆虐網(wǎng)絡(luò)，它主要通過下載的檔案傳染，受到感染的機(jī)器文件因?yàn)楸徽`攜帶間接對其它計(jì)算機(jī)程序、系統(tǒng)破壞嚴(yán)重。2013年6月病毒制造者張順和李俊伙同他人開設(shè)網(wǎng)絡(luò)賭場案，再次獲刑。

　　病毒原理

　　其實(shí)是一種蠕蟲病毒的變種，

　　而且是經(jīng)過多次變種而來的，由于中毒電腦的可執(zhí)行文件會出現(xiàn)“熊貓燒香”圖案，所以也被稱為 “熊貓燒香”病毒。但原病毒只會對EXE圖標(biāo)進(jìn)行替換，并不會對系統(tǒng)本身進(jìn)行破壞。而大多數(shù)是中等病毒變種，用戶電腦中毒后可能會出現(xiàn)藍(lán)屏、頻繁重啟以及系統(tǒng)硬盤中數(shù)據(jù)文件被破壞等現(xiàn)象。同時(shí)，該病毒的某些變種可以通過局域網(wǎng)進(jìn)行傳播，進(jìn)而感染局域網(wǎng)內(nèi)所有計(jì)算機(jī)系統(tǒng)，最終導(dǎo)致企業(yè)局域網(wǎng)癱瘓，無法正常使用，它能感染系統(tǒng)中exe，com，pif，src，html，asp等文件，它還能終止大量的反病毒軟件進(jìn)程并且會刪除擴(kuò)展名為gho的備份文件。被感染的用戶系統(tǒng)中所有.exe可執(zhí)行文件全部被改成熊貓舉著三根香的模樣。

　　中毒癥狀

　　除通過網(wǎng)站帶毒感染用戶之外，此病毒還會在局域網(wǎng)中傳播，在極短時(shí)間之內(nèi)就可以感染幾千臺計(jì)算機(jī)，嚴(yán)重時(shí)可以導(dǎo)致網(wǎng)絡(luò)癱瘓。中毒電腦上會出現(xiàn)“熊貓燒香”圖案，所以也被稱為“熊貓燒香”病毒。中毒電腦會出現(xiàn)藍(lán)屏、頻繁重啟以及系統(tǒng)硬盤中數(shù)據(jù)文件被破壞等現(xiàn)象。

　　病毒危害

　　病毒會刪除擴(kuò)展名為gho的文件，使用戶無法使用ghost軟件恢復(fù)操作系統(tǒng)。

　　“熊貓燒香”感染系統(tǒng)的.exe .com. f.src .html.asp文件，添加病毒網(wǎng)址，導(dǎo)致用戶一打開這些網(wǎng)頁文件，IE就會自動連接到指定的病毒網(wǎng)址中下載病毒。在硬盤各個分區(qū)下生成文件autorun.inf和setup.exe，可以通過U盤和移動硬盤等方式進(jìn)行傳播，并且利用Windows系統(tǒng)的自動播放功能來運(yùn)行，搜索硬盤中的.exe可執(zhí)行文件并感染，感染后的文件圖標(biāo)變成“熊貓燒香”圖案。

　　“熊貓燒香”還可以通過共享文件夾、用戶簡單密碼等多種方式進(jìn)行傳播。該病毒會在中毒電腦中所有的網(wǎng)頁文件尾部添加病毒代碼。

　　一些網(wǎng)站編輯人員的電腦如果被該病毒感染，上傳網(wǎng)頁到網(wǎng)站后，就會導(dǎo)致用戶瀏覽這些網(wǎng)站時(shí)也被病毒感染。據(jù)悉，多家著名網(wǎng)站已經(jīng)遭到此類攻擊，而相繼被植入病毒。由于這些網(wǎng)站的瀏覽量非常大，致使“熊貓燒香”病毒的感染范圍非常廣，中毒企業(yè)和政府機(jī)構(gòu)已經(jīng)超過千家，其中不乏金融、稅務(wù)、能源等關(guān)系到國計(jì)民生的重要單位。注：江蘇等地區(qū)成為“熊貓燒香”重災(zāi)區(qū)。

　　變種病毒

　　至此，據(jù)不完全統(tǒng)計(jì)，僅12月份至今，變種數(shù)已達(dá)90多個，個人用戶感染熊貓燒香的已經(jīng)高達(dá)幾百萬，企業(yè)用戶感染數(shù)還在繼續(xù)上升。反防毒專家表示，伴隨著各大殺毒廠商對“熊貓燒香”病毒的集中絞殺，該病毒正在不斷“繁衍”新的變種，密謀更加隱蔽的傳播方式。反病毒專家建議，用戶不打開可疑郵件和可疑網(wǎng)站，不要隨便運(yùn)行不知名程序或打開陌生人郵件的附件。

　　傳播方法

　　金山分析：這是一個感染型的蠕蟲病毒，它能感染系統(tǒng)中exe,com,pif,src,html,asp等文件，它還能結(jié)束大量的反病毒軟件進(jìn)程

　　1、拷貝文件

　　病毒運(yùn)行后，會把自己拷貝到C:\WINDOWS\System32\Drivers\spoclsv.exe

　　2、添加注冊表自啟動

　　病毒會添加自啟動項(xiàng)svcshare ->C:\WINDOWS\System32\Drivers\spoclsv.exe

　　3、病毒行為

　　a：每隔1秒

　　運(yùn)行過程

　　本地磁盤感染病毒對系統(tǒng)中所有除了盤符為A，B的磁盤類型為DRⅣE_REMOTE，DRⅣE_FⅨED的磁盤進(jìn)行文件遍歷感染。

　　局域網(wǎng)傳播病毒生成隨機(jī)個局域網(wǎng)傳播線程實(shí)現(xiàn)如下的傳播方式：當(dāng)病毒發(fā)現(xiàn)能成功聯(lián)接攻擊目標(biāo)的139或445端口后，將使用內(nèi)置的一個用戶列表及密碼字典進(jìn)行聯(lián)接(猜測被攻擊端的密碼)。當(dāng)成功聯(lián)接上以后將自己復(fù)制過去，并利用計(jì)劃任務(wù)啟動激活病毒。修改操作系統(tǒng)的啟動關(guān)聯(lián)下載文件啟動與殺毒軟件對抗。

　　變種病毒

　　金豬報(bào)喜病毒實(shí)際就是熊貓燒香的新變種，

　　春節(jié)將至，然而廣大網(wǎng)絡(luò)用戶仍沒有徹底擺脫“熊貓燒香”的陰霾。伴隨著大量“熊貓燒香”變種的出現(xiàn)，對用戶的危害一浪高過一浪。1月29日，來自金山毒霸反病毒中心最新消息：“熊貓燒香”化身“金豬”，危害指數(shù)再度升級，被感染的電腦中不但“熊貓”成群，而且“金豬”滿圈。但象征財(cái)富的金豬仍然讓用戶無法擺脫“系統(tǒng)被破壞，大量應(yīng)用軟件無法應(yīng)用”的噩夢。

　　病毒描述：

　　“武漢男生”，俗稱“熊貓燒香”， 2006年12月又化身為“金豬報(bào)喜” ，這是一個感染型的蠕蟲病毒，它能感染系統(tǒng)中exe，com，pif，src，html，asp等文件，它還能中止大量的反病毒軟件進(jìn)程并且會刪除擴(kuò)展名為gho的文件，該文件是一系統(tǒng)備份工具GHOST的備份文件，使用戶的系統(tǒng)備份文件丟失。被感染的用戶系統(tǒng)中所有.exe可執(zhí)行文件全部被改成可愛金豬的模樣。

　　2007年1月30日，江民科技反病毒中心監(jiān)測到，肆虐互聯(lián)網(wǎng)的“熊貓燒香”又出新變種。此次變種把“熊貓燒香”圖案變成“金豬報(bào)喜”。江民反病毒專家提醒用戶，春節(jié)臨近，謹(jǐn)防春節(jié)期間病毒借人們互致祝福之際大面積爆發(fā)。

　　專家介紹，“熊貓燒香”2006年11月中旬被首次發(fā)現(xiàn)，短短兩個月時(shí)間，新老變種已達(dá)700多種，據(jù)江民反病毒預(yù)警中心監(jiān)測到的數(shù)據(jù)顯示，“熊貓燒香”病毒2006年12月一舉闖入病毒排名前20名，2007年1月份更是有望進(jìn)入前10名。疫情最嚴(yán)重的地區(qū)分別為：廣東、山東、江蘇、北京和遼寧。

　　針對該病毒，江民殺毒軟件KV系列已緊急升級，用戶升級到最新病毒庫即可有效防范該病毒于系統(tǒng)之外。江民“熊貓燒香”專殺工具已同步更新，未安裝殺毒軟件的用戶可以登陸江民網(wǎng)站下載殺毒。此外，針對“熊貓燒香”變種頻繁的特征，江民殺毒軟件KV2007主動防御規(guī)則庫可徹底防范“熊貓燒香”及其變種，用戶可以登陸江民反病毒論壇下載使用。

　　此外學(xué)生寒假開始，上網(wǎng)人群短期內(nèi)集中上升，病毒的傳播速度也空前加快，所以用戶在進(jìn)行上網(wǎng)的過程中要更加警惕病毒的入侵。據(jù)了解，前幾天在網(wǎng)絡(luò)上出現(xiàn)了“熊貓燒香”作者聲稱不再有變種出現(xiàn)，而“金豬”的出現(xiàn)再次粉碎了人們的美夢，再次將人們拉回到熊貓燒香的夢魘之中。專家稱，按照當(dāng)時(shí)“熊貓燒香”破壞程度，威脅將延伸至春節(jié)。

　　專家提醒大家，遇到“金豬”不要心慌，用熊貓燒香專殺工具就可以完全對付這只小金豬啦!

　　熊貓燒香變身“金豬報(bào)喜”再作亂“熊貓燒香”余毒未盡，新變種接踵而來。據(jù)悉，熊貓燒香已改頭換面變成新病毒“金豬報(bào)喜”。日前，江民、瑞星、金山等反病毒公司已經(jīng)陸續(xù)截獲大量“金豬報(bào)喜”病毒的報(bào)告，而這一病毒甚至可以清除用戶機(jī)器里原有的“熊貓燒香”病毒，并自動取而代之。

　　由于“熊貓燒香”病毒作者不斷更新變種程序，眾多殺毒軟件無法跟隨病毒的發(fā)展速度。而近日出現(xiàn)的“金豬報(bào)喜”病毒圖表，同樣是可愛的小動物，但危害卻在與“熊貓燒香”一樣感染EXE文件外，還能感染RAR跟ZIP等格式文件。據(jù)悉當(dāng)時(shí)2008年幾家反病毒廠商尚未推出針對“金豬報(bào)喜”的專殺工具。

　　由于春節(jié)臨近，更多新 病毒可能集中出現(xiàn)，因此反病毒專家提醒用戶要加強(qiáng)警惕，及時(shí)升級 殺毒軟件，不要隨便點(diǎn)擊莫名來歷文件。

　　最虔誠的病毒--熊貓燒香

　　對于這個在06年給人們帶來黑色記憶的病毒，其成因只因?yàn)樽髡邽榱遂乓约憾a(chǎn)生，其借助U盤的傳播方式也引領(lǐng)新的反病毒課題，但這一切都沒有其LOGO的熊貓給人的印象深刻，熊貓拿著三根香虔誠的祈禱什么?這給很多人以遐想。所以最虔誠的病毒只能頒給舉著香在祈禱的熊貓。

　　2007年9月24日，“熊貓燒香”案一審宣判，主犯李俊被判刑4年。庭審中，李俊的辯護(hù)律師王萬雄出示了一份某網(wǎng)絡(luò)公司發(fā)給李俊的邀請函，請他擔(dān)任公司的技術(shù)總監(jiān)。據(jù)悉，案發(fā)后已有不下10家網(wǎng)絡(luò)大公司跟李俊聯(lián)系，欲以100萬年薪邀請其加入(見9月25日《長江商報(bào)》)。

　　熊貓燒香傳播性極高，中病毒者會在短時(shí)間內(nèi)傳染局域網(wǎng)內(nèi)其他用戶。

　　應(yīng)對方法

　　殺毒方法

　　雖然用戶及時(shí)更新殺毒軟件病毒庫，并下載各殺毒軟件公司提供的專殺工具，即可對“熊貓燒香”病毒進(jìn)行查殺，但是如果能做到防患于未然豈不更好。

　　解決辦法

　　【1】 立即檢查本機(jī)administrator組成員口令，一定要放棄簡單口令甚至空口令，

　　安全的口令是字母數(shù)字特殊字符的組合，自己記得住，別讓病毒猜到就行。

　　(修改方法：右鍵單擊我的電腦，選擇管理，瀏覽到本地用戶和組，在右邊的窗格中，選擇具備管理員權(quán)限的用戶名，單擊右鍵，選擇設(shè)置密碼，輸入新密碼就行。)

　　【2】 利用組策略，關(guān)閉所有驅(qū)動器的自動播放功能。

　　步驟1

　　單擊開始，運(yùn)行，輸入gpedit.msc，打開組策略編輯器，瀏覽到計(jì)算機(jī)配置，管理模板，系統(tǒng)，在右邊的窗格中選擇關(guān)閉自動播放，該配置缺省是未配置，在下拉框中選擇所有驅(qū)動器，再選取已啟用，確定后關(guān)閉。最后，在開始，運(yùn)行中輸入gpupdate，確定后，該策略就生效了。

　　【3】 修改文件夾選項(xiàng)，以查看不明文件的真實(shí)屬性，避免無意雙擊騙子程序中毒。

　　步驟2

　　打開資源管理器(按windows徽標(biāo)鍵+E)，點(diǎn)工具菜單下文件夾選項(xiàng)，再點(diǎn)查看，在高級設(shè)置中，選擇查看所有文件，取消隱藏受保護(hù)的操作系統(tǒng)文件，取消隱藏文件擴(kuò)展名。

　　【4】 時(shí)刻保持操作系統(tǒng)獲得最新的安全更新，不要隨意訪問來源不明的網(wǎng)站，特別是微軟的MS06-014漏洞，應(yīng)立即打好該漏洞補(bǔ)丁。

　　同時(shí)，QQ、UC的漏洞也可以被該病毒利用，因此，用戶應(yīng)該去他們的官方網(wǎng)站打好最新補(bǔ)丁。此外，由于該病毒會利用IE瀏覽器的漏洞進(jìn)行攻擊，因此用戶還應(yīng)該給IE打好所有的補(bǔ)丁。如果必要的話，用戶可以暫時(shí)換用Firefox、Opera等比較安全的瀏覽器。

　　【5】 啟用Windows防火墻保護(hù)本地計(jì)算機(jī)。同時(shí)，局域網(wǎng)用戶盡量避免創(chuàng)建可寫的共享目錄，已經(jīng)創(chuàng)建共享目錄的應(yīng)立即停止共享。

　　此外，對于未感染的用戶，病毒專家建議，不要登錄不良網(wǎng)站，及時(shí)下載微軟公布的最新補(bǔ)丁，來避免病毒利用漏洞襲擊用戶的電腦，同時(shí)上網(wǎng)時(shí)應(yīng)采用“殺毒軟件+防火墻”的立體防御體系。病毒源碼。

　　防御方法

　　計(jì)世網(wǎng)消息 在2007年新年出現(xiàn)的“PE_FUJACKS”就是一種讓廣大互聯(lián)網(wǎng)用戶聞之色變的“熊貓燒香”。該病毒的作者為“武漢男生”(文件末簽名”WhBoy”)，這個版本的病毒已經(jīng)集成了PE_FUJA CK和QQ大盜的代碼，通過網(wǎng)絡(luò)共享，文件感染和移動存儲設(shè)備傳播，尤其是感染網(wǎng)頁文件，并在網(wǎng)頁文件寫入自動更新的代碼，一旦瀏覽該網(wǎng)頁，就會感染更新后的變種。

　　不幸中招的用戶都知道，“熊貓燒香”會占用局域網(wǎng)帶寬，使得電腦變得緩慢，計(jì)算機(jī)會出現(xiàn)以下癥狀：熊貓燒香病毒會在網(wǎng)絡(luò)共享文件夾中生成一個名為GameSetup.exe的病毒文件;結(jié)束某些應(yīng)用程序以及防毒軟件的進(jìn)程，導(dǎo)致應(yīng)用程序異常，或不能正常執(zhí)行，或速度變慢;硬盤分區(qū)或者U盤不能訪問使用;exe程序無法使用程序圖標(biāo)變成熊貓燒香圖標(biāo);硬盤的根目錄出現(xiàn)setup.exe auturun.INF文件 ;同時(shí)瀏覽器會莫名其妙地開啟或關(guān)閉。

　　該病毒主要通過瀏覽惡意網(wǎng)站、網(wǎng)絡(luò)共享、文件感染和移動存儲設(shè)備(如U盤)等途徑感染，其中網(wǎng)絡(luò)共享和文件感染的風(fēng)險(xiǎn)系數(shù)較高，而通過Web和移動存儲感染的風(fēng)險(xiǎn)相對較低。該病毒會自行啟動安裝，生成注冊列表和病毒文件%System%\drivers\spoclsv.exe ，并在所有磁盤跟目錄下生成病毒文件setup.exe,autorun.inf。

　　應(yīng)用統(tǒng)一變?yōu)樾茇垷愕膱D標(biāo)其實(shí)就是在注冊表的HKEY_CLASSES_ROOT這個分支中寫入了一個值，將所有的EXE文件圖標(biāo)指向一個圖標(biāo)文件，所以一般只要刪除此值，改回原貌就可以了。