速报！手工查杀“熊猫烧香”新病毒

  　近日，一个名为“熊猫烧香”(Worm&#46;WhBoy&#46;h)的蠕虫病毒正在互联网上疯狂传播，该病毒为“威金”蠕虫病毒新变种，自从去年被截获以来，已经感染了超过30万台电脑，众多网民相继受到其危害。<div id="ArticleCnt"><p>　　目前该病毒正处于急速变种期，仅11月份至今，变种数量已达10几个，变种速度之快，影响范围之广，与06年横行于局域网的“维金”不相上下。</p><p><strong>　　病毒描述</strong></p><p>　　“熊猫烧香”蠕虫病毒可以将自身拷贝至系统目录，同时修改注册表将自身设置为开机启动项，并遍历各个驱动器，将自身写入磁盘根目录下，增加一个Autorun&#46;inf文件，使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染，同时开另外一个线程连接某网站下载ddos程序进行发动恶意攻击。</p><p>　　“熊猫烧香”蠕虫不但可以对用户系统进行破坏，导致大量应用软件无法使用，而且还可删除扩展名为gho的所有文件，造成用户的系统备份文件丢失，从而无法进行系统恢复；同时该病毒还能终止大量反病毒软件进程，大大降低用户系统的安全性。</p><p><strong>　　中毒症状</strong></p><p>　　被感染的用户系统中所有&#46;exe可执行文件全部被改成熊猫举着三根香的模样。</p><p align="center">&nbsp;</p><p><br />　　除了可执行文件外观上的变换外，系统蓝屏、频繁重启、硬盘数据被破坏等等现象均有发生，而且，中毒的机器系统运行异常缓慢，且很多应用软件无法使用，同时该病毒还能终止大量反病毒软件进程，大大降低用户系统的安全性。</p><p><strong>　　病毒行为</strong></p><p>　　目前常见的“熊猫烧香”病毒有两种：Virus&#46;Win32&#46;EvilPanda&#46;a&#46;ex$和Flooder&#46;Win32&#46;FloodBots&#46;a&#46;ex$。 </p><p>　　Virus&#46;Win32&#46;EvilPanda&#46;a&#46;ex$：</p><p>　　1、病毒体执行后，将自身拷贝到系统目录： </p><p>　　%SystemRoot%/system32/FuckJacks&#46;exe </p><p>　　HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Userinit &quot;C:/WIN2K/system32/SVCH0ST&#46;exe&quot; </p><p>　　2、添加注册表启动项目确保自身在系统重启动后被加载： </p><p>　　键路径：HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run <br />　　键名：FuckJacks <br />　　键值：&quot;C:/WINDOWS/system32/FuckJacks&#46;exe&quot; </p><p>　　键路径：HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run <br />　　键名：svohost <br />　　键值：&quot;C:/WINDOWS/system32/FuckJacks&#46;exe&quot; </p><p>　　3、拷贝自身到所有驱动器根目录，命名为Setup&#46;exe，并生成一个autorun&#46;inf使得用户打开该盘运行病毒，并将这两个文件属性设置为隐藏、只读、系统。 </p><p>　　C:/autorun&#46;inf 1KB RHS <br />　　C:/setup&#46;exe 230KB RHS </p><p>　　4、关闭众多杀毒软件和安全工具。 </p><p>　　5、连接*****&#46;3322&#46;org下载某文件，并根据该文件记录的地址，去<a href="http://www&#46;****&#46;com/"><u>www&#46;****&#46;com</u></a>下载某ddos程序，下载成功后执行该程序。 </p><p>　　6、刷新bbs&#46;qq&#46;com，某QQ秀链接。 </p><p>　　7、循环遍历磁盘目录，感染文件，对关键系统文件跳过，不感染Windows媒体播放器、MSN、IE 等程序。 </p><p>　　Flooder&#46;Win32&#46;FloodBots&#46;a&#46;ex$ ： </p><p>　　1、病毒体执行后，将自身拷贝到系统目录： </p><p>　　%SystemRoot%/SVCH0ST&#46;EXE <br />　　%SystemRoot%/system32/SVCH0ST&#46;EXE </p><p>　　2、该病毒后下载运行后，添加注册表启动项目确保自身在系统重启动后被加载： </p><p>　　键路径：HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run <br />　　键名：Userinit <br />　　键值：&quot;C:/WINDOWS/system32/SVCH0ST&#46;exe&quot; </p><p>　　3、连接ddos2&#46;****&#46;com，获取攻击地址列表和攻击配置，并根据配置文件，进行相应的攻击。 </p><p><strong>　　 查杀方案</strong></p><p>　　1&#46; 断开网络</p><p>　　2&#46; 结束病毒进程</p><p>　　%System%/drivers/spoclsv&#46;exe</p><p>　　3&#46; 删除病毒文件：</p><p>　　%System%/drivers/spoclsv&#46;exe</p><p>　　4&#46; 右键点击分区盘符，点击右键菜单中的“打开”进入分区根目录，删除根目录下的文件：</p><p>　　X:/setup&#46;exe<br />　　X:/autorun&#46;inf</p><p>　　5&#46; 删除病毒创建的启动项：</p><p>　　[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run]<br />　　&quot;svcshare&quot;=&quot;%System%/drivers/spoclsv&#46;exe&quot;</p><p>　　6&#46; 修改注册表设置，恢复“显示所有文件和文件夹”选项功能：</p><p>　　[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer<br />/Advanced/Folder/Hidden/SHOWALL]<br />　　&quot;CheckedValue&quot;=dword:00000001</p><p>　　7&#46; 修复或重新安装反病毒软件</p><p>　　8&#46; 使用反病毒软件或专杀工具进行全盘扫描，清除恢复被感染的exe文件</p><p>　　IT168安全频道提醒广大网民及时安装系统补丁，及时升级杀毒软件病毒库，以避免因各种病毒攻击而给工作和生活带来损失</p>