打印本文 打印本文  关闭窗口 关闭窗口  
熊猫烧香病毒特性分析及解决方案
作者:陈鹏  文章来源:eNet  点击数  更新时间:2009/9/11 23:18:40  文章录入:陈鹏  责任编辑:陈鹏
国家计算机病毒应急处理中心通过对互联网的监测发现,一伪装成“熊猫烧香”图案的蠕虫正在互联网上进行传播,已有数百万个人计算机用户和企业局域网遭受感染。国家计算机病毒应急处理中心分析发现,该蠕虫为“威金”蠕虫的一个新变种。该变种感染计算机系统后,可使系统中所有.exe文件都变成了一种奇怪的图案,该图案显示为“熊猫烧香”,同时受感染的计算机系统会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。变种可以通过局域网进行传播,进而感染局域网内所有计算机系统,最终导致整个局域网瘫痪,无法正常使用。

  该蠕虫先后出现很多变种,再出现后的短时期内迅速传播,遭受感染的用户难于彻底清除,给其工作带来诸多不便。

  蠕虫情况分析如下:

  病毒名称:Worm_Viking

  中 文 名:“熊猫烧香”

  其他名称:

  Worm/Viking(江民)

  Worm.WhBoy.h (金山)

  PE_FUJACKS (趋势)

  Worm.Nimaya (瑞星)

  W32/Fujacks (McAfee)

  病毒类型:蠕虫

  感染系统:Windows 9X/ Windows ME/ Windows NT/ Windows 2000/

  Windows XP/ Windows 2003

  病毒特性:

  “熊猫烧香”是蠕虫“威金”的一个变种,是一个由 Delphi 工具编写的蠕虫,它会感染计算机系统中后缀名为exe、com、pif、src、html、asp等文件,它还会终止一些计算机系统中安装的防病毒软件和防火墙的进程。

热门推荐 网页制作中常用的辅助代码 网吧交换机的选购原则及技术分析

  1、生成病毒文件

  蠕虫运行后在%System%目录下生成文件spoclsv.exe,并且在每个文件夹下面生成 desktop_.ini 文件,里面标记着病毒发作日期。蠕虫还会在硬盘各个分

  区下面生成autorun.inf 文件和 setup.exe 文件。(其中,%System%为系统文件夹,在默认情况下,Windows 95/98/Me中为 C:\Windows\System、Windows NT/2000中为C:\Winnt\System32、WindowsXP中C:\Windows\System32)

  2、 修改注册表项

  蠕虫添加注册表项,使得自身能够在系统启动时自动运行,在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 下添加

   "svcshare" = %System%\drivers\spoclsv.exe(其中,%System%在Windows95/98/Me 下为C:\Windows\System,在Windows NT/2000下为C:\Winnt\System32,在Windows XP下为 C:\Windows\System32)

  3、感染系统中文件

  该蠕虫是一个复合型病毒,不但具有蠕虫的特性,还可以感染可执行文件。它会搜索硬盘中的EXE文件并且感染,感染后的文件图标变成“熊猫烧香”的图案。蠕虫感染计算机系统中文件扩展名为exe、pif、com、src等文件,把自己附加到这些文件的头部。另外,蠕虫还会感染计算机系统中文件扩展名为htm、html、asp、php、jsp、aspx等文件,在其中添加进蠕虫的恶意代码(蠕虫下载的链接网页地址)。计算机用户一但浏览这些受到感染的网页,计算机系统的IE浏览器就会自动链接到指定的服务器网址下载蠕虫并运行,进而进一步传播和扩散。

  4、 传播途径

  该蠕虫具有多种传播途径,可以通过U盘和移动硬盘进行传播,并且利用Windows 系统的自动播放功能来运行,并且可以通过共享文件夹、系统弱口令等多种方式进行传播。

  5、删除文件

  蠕虫会删除计算机系统中文件扩展名为.gho(一种备份硬盘数据的扩展名)的文件,使计算机用户的系统备份文件丢失,无法使用GHOST软件(备份工具)恢复操作系统。

热门推荐 网页制作中常用的辅助代码 网吧交换机的选购原则及技术分析

  6、其他

  近来很多网站、论坛均被植入蠕虫“熊猫烧香”,就是由于网站的程序文件被“熊猫烧香”病毒感染所致。蠕虫会在受感染的计算机系统中所有网页文件(后缀名为.html)尾部添加病毒代码,如果一些网站编辑人员的计算机系统被该蠕虫感染,没有及时进行查杀处理,一旦把带有该病毒代码的网页文件上传到网站上,就会导致浏览这些网站的计算机用户被蠕虫感染。

  解决方法:

  1、对没有遭受感染的计算机用户,应该及时升级系统中的防病毒软件,同时打开防病毒软件的“实时监控”功能。

  2、对已经感染变种的计算机用户,建议尽快下载专杀工具进行查杀修复工作。

  专杀工具下载链接地址:

  http://download.jiangmin.info/jmsoft/vikingkiller.exe (江民公司)

  http://tool.duba.net/zhuansha/253.shtml (金山公司)

  http://it.rising.com.cn/Channels/Service/2006-11/1163505486d38734.shtml (瑞星公司)

  http://www.trendmicro.com/ftp/products/tsc/sysclean.com (趋势公司)

  安全建议:

  1、局域网的计算机用户尽量避免创建可写的共享目录,已经创建共享目 录的应立即停止共享。

  2、如无必要,Windows 2000/XP用户应尽量关闭IPC$共享,并给具有管理员权限的帐号设置复杂的密码。

  3、及时安装微软的安全更新,不要随意访问来源不明的网站。

  4、计算机系统安装防病毒软件,并及时升级病毒定义库

  5、计算机用户使用U盘等移动设备交换文件时,务必开启杀毒软件的“实时监控”功能,或先用防病毒软件扫描,并关闭自动播放功能。

热门推荐 网页制作中常用的辅助代码 网吧交换机的选购原则及技术分析

  

【责任编辑 徐洋】
打印本文 打印本文  关闭窗口 关闭窗口