防范“熊猫烧香”
时间:2022-04-06 09:52:55 浏览次数:次
近一段时间,一个属于威金的最新变种蠕虫病毒—“熊猫烧香”在互联网上疯狂肆虐,这种病毒以“熊猫烧香”头像作为可执行程序的图标,诱骗用户双击执行。不幸中招后,计算机中的所有.EXE文件都会被自动感染病毒,而且被感染的程序图标统统变成“熊猫烧香”标志。许多杀毒软件根本杀不死该病毒,一旦中招多数人往往只能“忍痛割爱”地将硬盘中所有程序文件全部删除。
从严格意义上来说,“熊猫烧香”病毒是从去年十二月份开始流行的,按理说常用的杀毒软件都应能升级应对了,不过考虑到“熊猫烧香”病毒的变种频出、生命力惊人,经过如此长的一段时间仍然没有死绝。为了让各位网民用户远离“熊猫烧香”病毒,本文下面就对该病毒的运行特征、预防、查杀进行全面介绍,希望能对各位带来帮助。
认识“熊猫烧香”病毒
“熊猫烧香”,也叫“武汉男生”,事实上属于蠕虫病毒的变种,而且是经过多次变种而来的。该病毒通过木马、软件或网页恶意代码进行传播,一旦计算机感染病毒后,计算机中的所有可执行文件图标都会自动变成“熊猫烧香”图案,这或许就是该病毒被称为“熊猫烧香”的缘由吧。用户计算机不小心感染该病毒后,计算机系统可能出现频繁重新启动、硬件文件被强行破坏,甚至还会发生系统蓝屏现象。此外,该病毒的其他变种还能通过局域网进行传播,感染局域网中所有工作站系统,危害极大,能使整个局域网瞬间发生崩溃,无法正常使用;有的变种病毒会自动在所有网页文件末尾添加病毒代码,一旦这些文件上传到网站服务器中的话,就会导致其他网友用户浏览这些网站内容时也被病毒感染。
病毒运行特征
“熊猫烧香”病毒运行后,会把自身复制到“C:\WINDOWS\System32\Drivers\spoclsv.exe”,同时修改注册表中“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run”分支下面的svcshare键值,让其数值变成“ C:\WINDOWS\System32\Drivers\spoclsv.exe”,从而实现随开机自动启动目的,同时该病毒还会自动在硬盘各分区根目录下生成“setup.exe”文件和“autorun.inf”文件。
该病毒一旦运行,计算机中的众多杀毒软件与安全程序都将被强行关闭,并禁用杀毒软件的相关服务,而且能够循环遍历计算机中所有分区下的文件夹,自动感染所有.EXE、.SCR、.PIF、.COM文件,并自动更改文件图标为熊猫举着三炷香的标志,同时跳过关键系统文件;打开每一个被感染过的文件夹时,我们能够看到“Desktop_ini”隐藏文件,该文件的内容就是病毒感染的具体日期。
该病毒还能感染所有.HTML、.HTM、.ASP、.PHP、.JSP、.ASPX文件,并在计算机所有脚本文件中自动加入类似“<iframe src=http:///worm.htm width="0" height="0"></iframe>”的网页代码。
病毒发作后,会自动修改注册表中“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL”分支下面的“CheckedValue”键值,导致用户无法查看隐藏文件与系统文件。
此外,该病毒还会自动删除.GHO文件,以便使用户的系统备份文件丢失,从而无法完成系统恢复。
手工清除病毒
一旦发现计算机不小心感染“熊猫烧香”病毒后,我们可以到网上寻找该病毒的专杀工具。手头暂时没有该病毒的专杀工具时,可以尝试使用以下手工方法清除病毒:
先断开被感染计算机的网络连接线,并依次单击“开始”|“运行”,从弹出的“运行”对话框中,输入字符串命令“ntsd -c q -pn spoclsv.exe”,单击回车键,将该病毒的运行进程暂时关闭;
然后打开系统的注册表编辑窗口,用鼠标逐一展开该窗口中的“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL”分支,在对应“SHOWALL”键值的右侧显示区域中,将“CheckedValue”选项的数值修改成“1”;之后再将鼠标定位于“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run”分支,在“Run”键值所对应的右侧显示区域中,选中“svcshare”选项(如图1),并执行右键菜单中的“删除”命令将它删除,这样一来病毒就不会随系统自动启动了;
完成了上面的设置操作后,我们现在就能打开硬盘中的所有隐藏文件了。依次进入硬盘中的各个分区根目录窗口中,找到 “setup.exe”文件和“autorun.inf”文件,将其全部删除;为了防止这些病毒文件自动再生,我们可以在各个分区根目录下面提前创建两个新文件,并将新文件的名称分别设置为“setup.exe”和“autorun.inf”。
最后进入“C:\Windows\System32\Drivers”文件夹窗口,将该窗口中的“spoclsv.exe”病毒文件选中并删除掉。
经过上面的清除操作后,重新启动计算机,此时我们会发现杀毒软件或者“熊猫烧香”病毒的专杀工具已经能够正常使用了。为了彻底清除计算机系统中的相关病毒文件,我们必须及时使用专杀工具来对该病毒进行全面清除,毕竟通过手工方法是无法将“熊猫烧香”病毒及其变种清杀干净的。
工具清除病毒
针对疯狂肆虐的“熊猫烧香”病毒,瑞星、江民、金山等主要防病毒软件厂商纷纷推出了专杀工具。例如,任何人均可登录瑞星网站http://download.rising.com.cn/zsgj/NimayaKiller.scr免费下载使用瑞星熊猫烧香专用清除工具,该工具采用独创的未知病毒查杀技术,能够有效清除“熊猫烧香”病毒及相关变种。当然,该专杀工具仅针对被感染计算机中的病毒,建议在登陆计算机后尽快使用专杀工具扫描系统,清理隐藏在网页文件中的木马病毒信息,杀毒后还需要使用最新版本的瑞星杀毒程序对系统进行彻底扫描。此外,登录江民网站http://ec.jiangmin.com/test/PandaKiller.rar和金山网站http://down./db/download/othertools/DuBaTool_WhBoy.BAT也可以免费下载使用江民和金山毒霸的“熊猫烧香”病毒专杀工具。
无论使用什么专杀工具,我们必须先确定计算机是否已经中毒,要是已经感染了该病毒的话,直接运行专杀工具可能无法成功,病毒会阻止程序的启动,此时我们必须重启计算机,并在启动时及时按下F8,选择“安全模式”,然后在安全模式中运行专杀工具,打开如图2的杀毒界面,再单击该界面中的“开始扫描”按钮,这样就能清除恢复被感染的.EXE文件了。
预防“熊猫烧香”
知道了“熊猫烧香”病毒的厉害后,相信没有一个人再愿意看到“熊猫”这个国宝到自己计算机中安家落户。为了帮助各位远离“熊猫烧香”病毒,我们可以采用下面的几项措施来防患于未然:
关闭硬盘自动播放功能
由于“熊猫烧香”病毒会自动在各个分区根目录下面生成“setup.exe”文件和“autorun.inf”文件,若硬盘启用了自动播放功能,无异于帮助运行“熊猫烧香”病毒,因此及时关闭硬盘自动播放功能十分必要。在关闭硬盘自动播放功能时,我们可以依次单击“开始”|“运行”命令,在弹出的“运行”对话框中,输入字符串命令“gpedit.msc”,单击“确定”按钮,打开系统的“组策略”编辑界面;在该编辑界面的左侧显示区域,依次选中“计算机配置”|“管理模板”|“系统”选项,在右侧显示区域中,用鼠标双击“关闭自动播放”项目,打开如图3的属性设置窗口,选中“已启用”选项,同时从下拉列表框中选择“所有驱动器”,最后单击“确定”按钮,这么一来硬盘自动播放功能就被关闭了。
使用复杂口令
为了防止“熊猫烧香”病毒通过局域网网络进行传播,我们有必要对计算机中的Administrator组成员设置比较复杂的密码,以免被病毒轻易猜中。在设置密码时,我们可以用鼠标右键单击系统桌面中的“我的电脑”图标,从弹出的快捷菜单中选择“管理”命令,打开“计算机管理”窗口;在该窗口的左侧显示区域中,依次选中“系统工具”|“本地用户和组”|“用户”选项,在对应“用户”选项的右侧显示区域中,右键单击具备系统管理员权限的用户帐号,从弹出的快捷菜单中执行“设置密码”命令(如图4),之后就能设置复杂的新密码了。
及时升级补丁程序
“熊猫烧香”病毒能够利用IE浏览器以及QQ程序自身的漏洞进行病毒传播,因此我们必须及时下载安装这些程序的补丁程序,以堵塞这些程序可能存在的各种安全漏洞。
更新杀毒软件
安装最新版本的杀毒软件和防火墙软件,并确保实时监控程序能够随系统自动启动,这样能够有效地阻止病毒利用系统漏洞进行任意传播。
时刻提高警惕
不要访问那些不良网站,也不要轻易接受陌生人发来的QQ消息。
“熊猫烧香”的几个变种
尽管“熊猫烧香”变种异常活跃,多数网民朋友屡受其害,但到目前为止“熊猫烧香”的变种主要分为四大类:第一类变种是常见的“尼姆亚”蠕虫病毒;第二类变种是我们在文中分析的spoclsv.exe进程,这类变种的隐藏路径是“%SystemRoot%Drivers/spoclsv.exe”,其他特征和第一类变种基本相同;第三类变种主要是用来对抗杀毒程序的,特别是超级巡警专杀工具,该变种能够自动查找标题有超级巡警字样的窗口,一旦找到就自动关闭该窗口,这样一来许多网友无法使用旧版的超级巡警专杀工具,而且“熊猫烧香”病毒还会导致Windows系统任务管理器无法打开;第四类变种是新出现的“CW(Worm.WhBoy.cw)”,这类变种不但能够感染可执行文件,而且还会感染系统中的网页文件,同时它还能通过网络进行传播,感染局域网中所有计算机,能使整个局域网发生崩溃。当然,“熊猫烧香”还有一些其他的变种,这些变种无一例外都是为了躲避病毒查杀进行修改或者下载不同后门的版本。
[防范“熊猫烧香”]相关文章
- 上一篇:手工肃清2006年上半年十大病毒(上)
- 下一篇:计算机网络安全防御策略