“熊貓燒香”，是由李俊制作并肆虐網(wǎng)絡(luò)的一款電腦病毒,，熊貓燒香跟灰鴿子不同,，是一款擁有自動傳播,、自動感染硬盤能力和強大的破壞能力的病毒,，它不但能感染系統(tǒng)中exe,，com,，pif,，src,，html，asp等文件,，它還能終止大量的反病毒軟件進程并且會刪除擴展名為gho的文件（該類文件是一系統(tǒng)備份工具“GHOST”的備份文件,，刪除后會使用戶的系統(tǒng)備份文件丟失）,。

被感染的用戶系統(tǒng)中所有.exe可執(zhí)行文件全部被改成熊貓舉著三根香的模樣,。2006年10月16日由25歲的湖北武漢新洲區(qū)人李俊編寫,，2007年1月初肆虐網(wǎng)絡(luò),，它主要通過下載的文件傳染,。2007年2月12日，湖北省公安廳宣布,，李俊以及其同伙共8人已經(jīng)落網(wǎng),，這是中國警方破獲的首例計算機病毒大案,。2014年,，張順,、李俊被法院以開設(shè)賭場罪分別判處有期徒刑五年和三年,，并分別處罰金20萬元和8萬元,。

發(fā)展沿革

2006年12月,，一種被稱為“尼姆亞”新型病毒在互聯(lián)網(wǎng)上大規(guī)模爆發(fā),。

2006年12月份—2007年1月30日,，變種數(shù)已達90多個,，個人用戶感染熊貓燒香的已經(jīng)高達幾百萬,，企業(yè)用戶感染數(shù)還在繼續(xù)上升,。

2007年1月7日,，國家計算機病毒應(yīng)急處理中心發(fā)出“熊貓燒香”的緊急預(yù)警,。

2007年1月9日,，湖北仙桃市公安局接報，該市“江漢熱線”不幸感染“熊貓燒香”病毒而致網(wǎng)絡(luò)癱瘓,。

2007年1月31日下午,，各路專家齊聚省公安廳，對“1·22”案進行“會診”,，同時成立聯(lián)合工作專班,。

2007年2月3日，回出租屋取東西準(zhǔn)備潛逃的李俊被當(dāng)場抓獲,。隨后將其同伙雷磊抓獲歸案,。

2007年9月24日,，“熊貓燒香”計算機病毒制造者及主要傳播者李俊等4人，被湖北省仙桃市人民法院以破壞計算機信息系統(tǒng)罪判處李俊有期徒刑四年,、王磊有期徒刑二年六個月,、張順有期徒刑二年,、雷磊有期徒刑一年，并判決李俊,、王磊,、張順的違法所得予以追繳,，上繳國庫,；被告人李俊有立功表現(xiàn),，依法可以從輕處罰,。

2012年1月29日,，金山毒霸反病毒中心稱：“熊貓燒香”化身“金豬報喜”，危害指數(shù)再度升級,。

2013年6月，據(jù)浙江省麗水市人民政府官方微博“麗水發(fā)布”提供的消息稱,，“熊貓燒香”病毒制造者張順,、李俊因設(shè)立“金元寶棋牌”網(wǎng)絡(luò)賭場,，非法斂財數(shù)百萬元，已經(jīng)被麗水市蓮都區(qū)檢察院批準(zhǔn)逮捕,。

運行過程

磁盤感染

熊貓燒香病毒對系統(tǒng)中所有除了盤符為A，B的磁盤類型為DRⅣE_REMOTE,，DRⅣE_FⅨED的磁盤進行文件遍歷感染

注：不感染文件大小超過10MB以上的

（病毒將不感染如下目錄的文件）：

Microsoft Frontpage

Movie Maker

MSN Gamin Zone

Common Files

Windows NT

Recycled

System Volume Information

Documents and Settings

……

（病毒將不感染文件名如下的文件）：

setup.exe

病毒將使用兩類感染方式應(yīng)對不同后綴的文件名進行感染

（1）二進制可執(zhí)行文件（后綴名為：EXE,SCR,PIF,COM）:將感染目標(biāo)文件和病毒溶合成一個文件（被感染文件貼在病毒文件尾部）完成感染.

（2）腳本類（后綴名為：htm,html,asp,php,jsp,aspx）:在這些腳本文件尾加上如下鏈接（下邊的頁面存在安全漏洞）：

<iframe src=></iframe>

在感染時會刪除這些磁盤上的后綴名為.GHO的Ghost備份文件

生成文件

病毒建立一個計時器,，以6秒為周期在磁盤的根目錄下生成setup.exe（病毒本身）autorun.inf,，并利用AutoRun Open關(guān)聯(lián)使病毒在用戶點擊被感染磁盤時能被自動運行。

局域網(wǎng)傳播

病毒生成隨機個局域網(wǎng)傳播線程實現(xiàn)如下的傳播方式：

當(dāng)病毒發(fā)現(xiàn)能成功聯(lián)接攻擊目標(biāo)的139或445端口后,，將使用內(nèi)置的一個用戶列表及密碼字典進行聯(lián)接（猜測被攻擊端的密碼）,。當(dāng)成功聯(lián)接上以后將自己復(fù)制過去，并利用計劃任務(wù)啟動激活病毒,。

修改操作系統(tǒng)的啟動關(guān)聯(lián)

下載文件啟動

與殺毒軟件對抗

特點原理

熊貓燒香是一種蠕蟲病毒的變種,，經(jīng)過多次變種而來，由于中毒電腦的可執(zhí)行文件會出現(xiàn)“熊貓燒香”圖案,，所以也被稱為 “熊貓燒香”病毒,。但原病毒只會對exe文件的圖標(biāo)進行替換，并不會對系統(tǒng)本身進行破壞,。而大多數(shù)是中等病毒變種,，用戶電腦中毒后可能會出現(xiàn)藍屏、頻繁重啟以及系統(tǒng)硬盤中數(shù)據(jù)文件被破壞等現(xiàn)象,。同時,，該病毒的某些變種可以通過局域網(wǎng)進行傳播，進而感染局域網(wǎng)內(nèi)所有計算機系統(tǒng),，最終導(dǎo)致企業(yè)局域網(wǎng)癱瘓,，無法正常使用，它能感染系統(tǒng)中exe,，com,，pif，src,，html,，asp等文件，它還能終止大量的反病毒軟件進程并且會刪除擴展名為gho的備份文件,。被感染的用戶系統(tǒng)中所有.exe可執(zhí)行文件全部被改成熊貓舉著三根香的模樣,。

傳播方法

熊貓燒香是一個感染型的蠕蟲病毒，它能感染系統(tǒng)中exe,，com,，pif,，src，html,，asp等文件,，它還能結(jié)束大量的反病毒軟件進程。

1,、拷貝文件

病毒運行后,，會把自己拷貝到

C:WINDOWSSystem32Driversspoclsv.exe

2、添加注冊表自啟動

病毒會添加自啟動項

svcshare->C:WINDOWSSystem32Driversspoclsv.exe

3,、病毒行為

a：每隔1秒

尋找桌面窗口,，并關(guān)閉窗口標(biāo)題中含有以下字符的程序：

QQKav

QQAV

防火墻

進程

VirusScan

網(wǎng)鏢

殺毒

毒霸

瑞星

江民

黃山IE

超級兔子

優(yōu)化大師

木馬克星

木馬清道夫

QQ病毒

注冊表編輯器

系統(tǒng)配置實用程序

卡巴斯基反病毒

Symantec AntiVirus

Duba

esteem proces

綠鷹PC

密碼防盜

噬菌體

木馬輔助查找器

System Safety Monitor

Wrapped gift Killer

Winsock Expert

游戲木馬檢測大師

msctls_statusbar32

pjf(ustc)

IceSword

并使用的鍵盤映射的方法關(guān)閉安全軟件IceSword

添加注冊表使自己自啟動

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun

svcshare->C:WINDOWSSystem32Driversspoclsv.exe

并結(jié)束系統(tǒng)中以下的進程：

Mcshield.exe

VsTskMgr.exe

naPrdMgr.exe

UpdaterUI.exe

TBMon.exe

scan32.exe

Ravmond.exe

CCenter.exe

RavTask.exe

Rav.exe

Ravmon.exe

RavmonD.exe

RavStub.exe

KVXP.kxp

kvMonXP.kxp

KVCenter.kxp

KVSrvXP.exe

KRegEx.exe

UIHost.exe

TrojDie.kxp

FrogAgent.exe

Logo1_.exe

Logo_1.exe

Rundll32.exe

b：每隔18秒

點擊病毒作者指定的網(wǎng)頁，

并用命令行檢查系統(tǒng)中是否存在共享

共享存在的話就運行net share命令關(guān)閉admin$共享

c：每隔10秒

下載病毒作者指定的文件,，

并用命令行檢查系統(tǒng)中是否存在共享

共享存在的話就運行net share命令關(guān)閉admin$共享

d：每隔6秒

刪除安全軟件在注冊表中的鍵值

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

RavTask

KvMonXP

kav

KAVPersonal50

McAfeeUpdaterUI

Network Associates Error Reporting Service

ShStartEXE

YLive.exe

yassistse

并修改以下值不顯示隱藏文件

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL

CheckedValue->0x00

刪除以下服務(wù)：

navapsvc

wscsvc

KPfwSvc

SNDSrvc

ccProxy

ccEvtMgr

ccSetMgr

SPBBCSvc

Symantec Core LC

NPFMntor

MskService

FireSvc

e：感染文件

病毒會感染擴展名為exe,pif,com,src的文件,，把自己附加到文件的頭部

并在擴展名為htm,html,asp,php,jsp,aspx的文件中添加一網(wǎng)址，

用戶一但打開了該文件,，IE就會不斷的在后臺點擊寫入的網(wǎng)址,，達到

增加點擊量的目的，但病毒不會感染以下文件夾名中的文件：

WINDOW

Winnt

System Volume Information

Recycled

Windows NT

Windows Update

Windows Media Player

Outlook Express

Internet Explorer

NetMeeting

Common Files

ComPlus Applications

Messenger

InstallShield Installation Information

MSN

Microsoft Frontpage

Movie Maker

MSN Gamin Zone

g：刪除文件

病毒會刪除擴展名為gho的文件,，該文件是一系統(tǒng)備份工具GHOST的備份文件,；

使用戶的系統(tǒng)備份文件丟失；

瑞星最新病毒分析報告：“Nimaya（熊貓燒香）”,；

這是一個傳染型的DownLoad,，使用Delphi編寫。

影響危害

熊貓燒香病毒會刪除擴展名為gho的文件,，使用戶無法使用ghost軟件恢復(fù)操作系統(tǒng),。“熊貓燒香”感染系統(tǒng)的.exe.com. f.src .html.asp文件,，添加病毒網(wǎng)址,，導(dǎo)致用戶一打開這些網(wǎng)頁文件，IE就會自動連接到指定的病毒網(wǎng)址中下載病毒,。在硬盤各個分區(qū)下生成文件autorun.inf和setup.exe,，可以通過U盤和移動硬盤等方式進行傳播，并且利用Windows系統(tǒng)的自動播放功能來運行,，搜索硬盤中的.exe可執(zhí)行文件并感染,，感染后的文件圖標(biāo)變成“熊貓燒香”圖案,?！靶茇垷恪边€可以通過共享文件夾、用戶簡單密碼等多種方式進行傳播,。該病毒會在中毒電腦中所有的網(wǎng)頁文件尾部添加病毒代碼,。一些網(wǎng)站編輯人員的電腦如果被該病毒感染,，上傳網(wǎng)頁到網(wǎng)站后，就會導(dǎo)致用戶瀏覽這些網(wǎng)站時也被病毒感染,。據(jù)悉,，多家著名網(wǎng)站已經(jīng)遭到此類攻擊，而相繼被植入病毒,。由于這些網(wǎng)站的瀏覽量非常大,，致使“熊貓燒香”病毒的感染范圍非常廣，中毒企業(yè)和政府機構(gòu)已經(jīng)超過千家,，其中不乏金融,、稅務(wù)、能源等關(guān)系到國計民生的重要單位,。

除通過網(wǎng)站帶毒感染用戶之外,，此病毒還會在局域網(wǎng)中傳播，在極短時間之內(nèi)就可以感染幾千臺計算機,，嚴(yán)重時可以導(dǎo)致網(wǎng)絡(luò)癱瘓,。中毒電腦上會出現(xiàn)“熊貓燒香”圖案，所以也被稱為“熊貓燒香”病毒,。中毒電腦會出現(xiàn)藍屏,、頻繁重啟以及系統(tǒng)硬盤中數(shù)據(jù)文件被破壞等現(xiàn)象。

應(yīng)對方案

解決辦法

【1】檢查本機administrator組成員口令,，一定要放棄簡單口令甚至空口令,，安全的口令是字母數(shù)字特殊字符的組合，自己記得住,，別讓病毒猜到就行,。

（修改方法：右鍵單擊我的電腦，選擇管理,，瀏覽到本地用戶和組,，在右邊的窗格中，選擇具備管理員權(quán)限的用戶名,，單擊右鍵,，選擇設(shè)置密碼，輸入新密碼就行,。）

【2】利用組策略,，關(guān)閉所有驅(qū)動器的自動播放功能。

步驟1

單擊開始,，運行,，輸入gpedit.msc，打開組策略編輯器,，瀏覽到計算機配置,，管理模板,，系統(tǒng)，在右邊的窗格中選擇關(guān)閉自動播放,，該配置缺省是未配置,，在下拉框中選擇所有驅(qū)動器，再選取已啟用,，確定后關(guān)閉,。最后，在開始,，運行中輸入gpupdate,，確定后，該策略就生效了,。

【3】修改文件夾選項,，以查看不明文件的真實屬性，避免無意雙擊騙子程序中毒,。

步驟2

打開資源管理器（按windows徽標(biāo)鍵 E）,，點工具菜單下文件夾選項，再點查看,，在高級設(shè)置中,，選擇查看所有文件，取消隱藏受保護的操作系統(tǒng)文件,，取消隱藏文件擴展名,。

【4】時刻保持操作系統(tǒng)獲得最新的安全更新，不要隨意訪問來源不明的網(wǎng)站,，特別是微軟的MS06-014漏洞,，應(yīng)立即打好該漏洞補丁。

同時,，QQ,、UC的漏洞也可以被該病毒利用，因此,，用戶應(yīng)該去他們的官方網(wǎng)站打好最新補丁,。此外，由于該病毒會利用IE瀏覽器的漏洞進行攻擊,，因此用戶還應(yīng)該給IE打好所有的補丁,。如果必要的話，用戶可以暫時換用Firefox,、Opera等比較安全的瀏覽器,。

【5】啟用Windows防火墻保護本地計算機。同時，局域網(wǎng)用戶盡量避免創(chuàng)建可寫的共享目錄,，已經(jīng)創(chuàng)建共享目錄的應(yīng)立即停止共享。

此外,，對于未感染的用戶,，病毒專家建議，不要登錄不良網(wǎng)站,，及時下載微軟公布的最新補丁,，來避免病毒利用漏洞襲擊用戶的電腦，同時上網(wǎng)時應(yīng)采用“殺毒軟件 防火墻”的立體防御體系,。

防御方法

在2007年新年出現(xiàn)的“PE_FUJACKS”就是一種讓廣大互聯(lián)網(wǎng)用戶聞之色變的“熊貓燒香”,。該病毒的作者為“武漢男生”（文件末簽名”WhBoy”），這個版本的病毒已經(jīng)集成了PE_FUJA CK和QQ大盜的代碼,，通過網(wǎng)絡(luò)共享,，文件感染和移動存儲設(shè)備傳播，尤其是感染網(wǎng)頁文件,，并在網(wǎng)頁文件寫入自動更新的代碼,，一旦瀏覽該網(wǎng)頁，就會感染更新后的變種,。

不幸中招的用戶都知道,，“熊貓燒香”會占用局域網(wǎng)帶寬，使得電腦變得緩慢,，計算機會出現(xiàn)以下癥狀：熊貓燒香病毒會在網(wǎng)絡(luò)共享文件夾中生成一個名為GameSetup.exe的病毒文件,；結(jié)束某些應(yīng)用程序以及防毒軟件的進程，導(dǎo)致應(yīng)用程序異常,，或不能正常執(zhí)行,，或速度變慢；硬盤分區(qū)或者U盤不能訪問使用,；exe程序無法使用程序圖標(biāo)變成熊貓燒香圖標(biāo),；硬盤的根目錄出現(xiàn)setup.exe auturun.INF文件；同時瀏覽器會莫名其妙地開啟或關(guān)閉,。

該病毒主要通過瀏覽惡意網(wǎng)站,、網(wǎng)絡(luò)共享、文件感染和移動存儲設(shè)備（如U盤）等途徑感染,，其中網(wǎng)絡(luò)共享和文件感染的風(fēng)險系數(shù)較高,，而通過Web和移動存儲感染的風(fēng)險相對較低。該病毒會自行啟動安裝,，生成注冊列表和病毒文件%System%driversspoclsv.exe,，并在所有磁盤跟目錄下生成病毒文件setup.exe,autorun.inf。

應(yīng)用統(tǒng)一變?yōu)樾茇垷愕膱D標(biāo)其實就是在注冊表的HKEY_CLASSES_ROOT這個分支中寫入了一個值，將所有的EXE文件圖標(biāo)指向一個圖標(biāo)文件,，所以一般只要刪除此值,，改回原貌就可以了。