读书笔记摘抄新闻资讯
熊猫烧香
“熊猫烧香”,跟灰鸽子不同,是一款拥有自动传播、自动感染硬碟能力和强大的破坏能力的病毒,它不但能感染系统中exe,com,pif,src,html,asp等档案,它还能中止大量的反病毒软体进程并且会删除扩展名为gho的档案。
该档案是一系统备份工具GHOST的备份档案,使用户的系统备份档案丢失。被感染的用户系统中所有.exe执行档全部被改成熊猫举着三根香的模样。2006年10月16日由25岁的湖北武汉新洲区人李俊编写,2007年1月初肆虐网路,它主要通过下载的档案传染。2007年2月12日,湖北省公安厅宣布,李俊以及其同伙共8人已经落网,这是中国警方破获的首例计算机病毒大案。2014年,张顺、李俊被法院以开设赌场罪分别判处有期徒刑五年和三年,并分别处罚金20万元和8万元。
基本介绍
- 中文名:熊猫烧香
- 外文名:Worm.WhBoy.cw
- 程式类别:蠕虫病毒
- 感染系统:Win9x/NT/2000/ME/XP/2003/Vista
- 製作人:李俊
- 泛滥时间:2006年底2007年初
- 病毒类型:蠕虫病毒新变种类
病毒原理
熊猫烧香其实是一种蠕虫病毒的变种,而且是经过多次变种而来的,由于中毒电脑的执行档会出现“熊猫烧香”图案,所以也被称为 “熊猫烧香”病毒。但原病毒只会对EXE图示进行替换,并不会对系统本身进行破坏。而大多数是中等病毒变种,用户电脑中毒后可能会出现蓝屏、频繁重启以及系统硬碟中数据档案被破坏等现象。同时,该病毒的某些变种可以通过区域网路进行传播,进而感染区域网路内所有计算机系统,最终导致企业区域网路瘫痪,无法正常使用,它能感染系统中exe,com,pif,src,html,asp等档案,它还能终止大量的反病毒软体进程并且会删除扩展名为gho的备份档案。被感染的用户系统中所有.exe执行档全部被改成熊猫举着三根香的模样。
熊猫烧香
熊猫烧香中毒症状
除通过网站带毒感染用户之外,此病毒还会在区域网路中传播,在极短时间之内就可以感染几千台计算机,严重时可以导致网路瘫痪。中毒电脑上会出现“熊猫烧香”图案,所以也被称为“熊猫烧香”病毒。中毒电脑会出现蓝屏、频繁重启以及系统硬碟中数据档案被破坏等现象。
中毒时的电脑桌面
中毒时的电脑桌面病毒危害
病毒会删除扩展名为gho的档案,使用户无法使用ghost软体恢复作业系统。“熊猫烧香”感染系统的.exe .com. f.src .html.asp档案,添加病毒网址,导致用户一打开这些网页档案,IE就会自动连线到指定的病毒网址中下载病毒。在硬碟各个分区下生成档案autorun.inf和setup.exe,可以通过随身碟和移动硬碟等方式进行传播,并且利用Windows系统的自动播放功能来运行,搜寻硬碟中的.exe执行档并感染,感染后的档案图示变成“熊猫烧香”图案。“熊猫烧香”还可以通过已分享档案夹、用户简单密码等多种方式进行传播。该病毒会在中毒电脑中所有的网页档案尾部添加病毒代码。一些网站编辑人员的电脑如果被该病毒感染,上传网页到网站后,就会导致用户浏览这些网站时也被病毒感染。据悉,多家着名网站已经遭到此类攻击,而相继被植入病毒。由于这些网站的浏览量非常大,致使“熊猫烧香”病毒的感染範围非常广,中毒企业和政府机构已经超过千家,其中不乏金融、税务、能源等关係到国计民生的重要单位。注:江苏等地区成为“熊猫烧香”重灾区。
中毒时会弹出的视窗
中毒时会弹出的视窗变种病毒
至此,据不完全统计,仅12月份至今,变种数已达90多个,个人用户感染熊猫烧香的已经高达几百万,企业用户感染数还在继续上升。反病毒专家表示,伴随着各大防毒厂商对“熊猫烧香”病毒的集中绞杀,该病毒正在不断“繁衍”新的变种,密谋更加隐蔽的传播方式。反病毒专家建议,用户不打开可疑邮件和可疑网站,不要随便运行不知名程式或打开陌生人邮件的附属档案。
传播方法
金山分析:这是一个感染型的蠕虫病毒,它能感染系统中exe,com,pif,src,html,asp等档案,它还能结束大量的反病毒软体进程。
1、拷贝档案
病毒运行后,会把自己拷贝到
C:\WINDOWS\System32\Drivers\spoclsv.exe
2、添加注册表自启动
病毒会添加自启动项
svcshare ->C:\WINDOWS\System32\Drivers\spoclsv.exe
3、病毒行为
a:每隔1秒
寻找桌面视窗,并关闭视窗标题中含有以下字元的程式:
- QQKav
- QQAV
- 防火墙
- 进程
- VirusScan
- 网镖
- 防毒
- 毒霸
- 瑞星
- 江民
- 黄山IE
- 超级兔子
- 最佳化大师
- 木马剋星
- 木马清道夫
- QQ病毒
- 注册表编辑器
- 系统配置实用程式
- 卡巴斯基反病毒
- Symantec AntiVirus
- Duba
- esteem proces
- 绿鹰PC
- 密码防盗
- 噬菌体
- 木马辅助查找器
- System Safety Monitor
- Wrapped gift Killer
- Winsock Expert
- 游戏木马检测大师
- msctls_statusbar32
- pjf(ustc)
- IceSword
并使用的键盘映射的方法关闭安全软体IceSword
添加注册表使自己自启动
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- svcshare ->C:\WINDOWS\System32\Drivers\spoclsv.exe
并结束系统中以下的进程:
- Mcshield.exe
- VsTskMgr.exe
- naPrdMgr.exe
- UpdaterUI.exe
- TBMon.exe
- scan32.exe
- Ravmond.exe
- CCenter.exe
- RavTask.exe
- Rav.exe
- Ravmon.exe
- RavmonD.exe
- RavStub.exe
- KVXP.kxp
- kvMonXP.kxp
- KVCenter.kxp
- KVSrvXP.exe
- KRegEx.exe
- UIHost.exe
- TrojDie.kxp
- FrogAgent.exe
- Logo1_.exe
- Logo_1.exe
- Rundll32.exe
b:每隔18秒
点击病毒作者指定的网页,
并用命令行检查系统中是否存在共享
共享存在的话就运行net share命令关闭admin$共享
c:每隔10秒
下载病毒作者指定的档案,
并用命令行检查系统中是否存在共享
共享存在的话就运行net share命令关闭admin$共享
d:每隔6秒
删除安全软体在注册表中的键值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
RavTask
KvMonXP
kav
KAVPersonal50
McAfeeUpdaterUI
Network Associates Error Reporting Service
ShStartEXE
YLive.exe
yassistse
并修改以下值不显示隐藏档案
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
CheckedValue -> 0x00
删除以下服务:
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec Core LC
NPFMntor
MskService
FireSvc
e:感染档案
病毒会感染扩展名为exe,pif,com,src的档案,把自己附加到档案的头部
并在扩展名为htm,html,asp,php,jsp,aspx的档案中添加一网址,
用户一但打开了该档案,IE就会不断的在后台点击写入的网址,达到
增加点击量的目的,但病毒不会感染以下资料夹名中的档案:
WINDOW
Winnt
System Volume Information
Recycled
Windows NT
Windows Update
Windows Media Player
Outlook Express
Internet Explorer
NetMeeting
Common Files
ComPlus Applications
Messenger
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
MSN Gamin Zone
g:删除档案
病毒会删除扩展名为gho的档案,该档案是一系统备份工具GHOST的备份档案;
使用户的系统备份档案丢失;
瑞星最新病毒分析报告:“Nimaya(熊猫烧香)”;
这是一个传染型的DownLoad,使用Delphi编写。
运行过程
本地磁碟感染
病毒对系统中所有除了盘符为A,B的磁碟类型为DRⅣE_REMOTE,DRⅣE_FⅨED的磁碟进行档案遍历感染
熊猫烧香
熊猫烧香注:不感染档案大小超过10485760位元组以上的
(病毒将不感染如下目录的档案):
Microsoft Frontpage
Movie Maker
MSN Gamin Zone
Common Files
Windows NT
Recycled
System Volume Information
Documents and Settings
……
(病毒将不感染档案名称如下的档案):
setup.exe
病毒将使用两类感染方式应对不同后缀的档案名称进行感染
1)二进制执行档(后缀名为:EXE,SCR,PIF,COM): 将感染目标档案和病毒溶合成一个档案(被感染档案贴在病毒档案尾部)完成感染.
2)脚本类(后缀名为:htm,html,asp,php,jsp,aspx): 在这些脚本档案尾加上如下连结(下边的页面存在安全漏洞):
<iframe src=></iframe>
在感染时会删除这些磁碟上的后缀名为.GHO的Ghost备份档案
生成档案
病毒建立一个计时器,以6秒为周期在磁碟的根目录下生成setup.exe(病毒本身)autorun.inf,并利用AutoRun Open关联使病毒在用户点击被感染磁碟时能被自动运行。
区域网路传播
病毒生成随机个区域网路传播执行绪实现如下的传播方式:
当病毒发现能成功联接攻击目标的139或445连线埠后,将使用内置的一个用户列表及密码字典进行联接(猜测被攻击端的密码)。当成功联接上以后将自己複製过去,并利用计画任务启动激活病毒。
修改作业系统的启动关联
下载档案启动
与防毒软体对抗
变种病毒
金猪报喜病毒实际就是熊猫烧香的新变种,
春节将至,然而广大网路用户仍没有彻底摆脱“熊猫烧香”的阴霾。伴随着大量“熊猫烧香”变种的出现,对用户的危害一浪高过一浪。1月29日,来自金山毒霸反病毒中心最新讯息:“熊猫烧香”化身“金猪”,危害指数再度升级,被感染的电脑中不但“熊猫”成群,而且“金猪”满圈。但象徵财富的金猪仍然让用户无法摆脱“系统被破坏,大量套用软体无法套用”的噩梦。
病毒描述:
“武汉男生”,俗称“熊猫烧香”, 2006年12月又化身为“金猪报喜” ,这是一个感染型的蠕虫病毒,它能感染系统中exe,com,pif,src,html,asp等档案,它还能中止大量的反病毒软体进程并且会删除扩展名为gho的档案,该档案是一系统备份工具GHOST的备份档案,使用户的系统备份档案丢失。被感染的用户系统中所有.exe执行档全部被改成可爱金猪的模样。
2007年1月30日,江民科技反病毒中心监测到,肆虐网际网路的“熊猫烧香”又出新变种。此次变种把“熊猫烧香”图案变成“金猪报喜”。江民反病毒专家提醒用户,春节临近,谨防春节期间病毒借人们互致祝福之际大面积爆发。
专家介绍,“熊猫烧香”2006年11月中旬被首次发现,短短两个月时间,新老变种已达700多种,据江民反病毒预警中心监测到的数据显示,“熊猫烧香”病毒2006年12月一举闯入病毒排名前20名,2007年1月份更是有望进入前10名。疫情最严重的地区分别为:广东、山东、江苏、北京和辽宁。
针对该病毒,江民防毒软体KV系列已紧急升级,用户升级到最新病毒库即可有效防範该病毒于系统之外。江民“熊猫烧香”专杀工具已同步更新,未安装防毒软体的用户可以登入江民网站下载防毒。此外,针对“熊猫烧香”变种频繁的特徵,江民防毒软体KV2007主动防御规则库可彻底防範“熊猫烧香”及其变种,用户可以登入江民反病毒论坛下载使用。
此外学生寒假开始,上网人群短期内集中上升,病毒的传播速度也空前加快,所以用户在进行上网的过程中要更加警惕病毒的入侵。据了解,前几天在网路上出现了“熊猫烧香”作者声称不再有变种出现,而“金猪”的出现再次粉碎了人们的美梦,再次将人们拉回到熊猫烧香的梦魇之中。专家称,按照当时“熊猫烧香”破坏程度,威胁将延伸至春节。
专家提醒大家,遇到“金猪”不要心慌,用熊猫烧香专杀工具就可以完全对付这小金猪啦!
熊猫烧香变身“金猪报喜”再作乱
“熊猫烧香”余毒未尽,新变种接踵而来。据悉,熊猫烧香已改头换面变成新病毒“金猪报喜”。日前,江民、瑞星、金山等反病毒公司已经陆续截获大量“金猪报喜”病毒的报告,而这一病毒甚至可以清除用户机器里原有的“熊猫烧香”病毒,并自动取而代之。
由于“熊猫烧香”病毒作者不断更新变种程式,众多防毒软体无法跟随病毒的发展速度。而近日出现的“金猪报喜”病毒图表,同样是可爱的小动物,但危害却在与“熊猫烧香”一样感染EXE档案外,还能感染RAR跟ZIP等格式档案。据悉当时2008年几家反病毒厂商尚未推出针对“金猪报喜”的专杀工具。
由于春节临近,更多新 病毒可能集中出现,因此反病毒专家提醒用户要加强警惕,及时升级 防毒软体,不要随便点击莫名来历档案。
最虔诚的病毒--熊猫烧香
对于这个在06年给人们带来黑色记忆的病毒,其成因只因为作者为了炫耀自己而产生,其藉助随身碟的传播方式也引领新的反病毒课题,但这一切都没有其LOGO的熊猫给人的印象深刻,熊猫拿着三根香虔诚的祈祷什幺?这给很多人以遐想。所以最虔诚的病毒只能颁给举着香在祈祷的熊猫。
2007年9月24日,“熊猫烧香”案一审宣判,主犯李俊被判刑4年。庭审中,李俊的辩护律师王万雄出示了一份某网路公司发给李俊的邀请函,请他担任公司的技术总监。据悉,案发后已有不下10家网路大公司跟李俊联繫,欲以100万年薪邀请其加入(见9月25日《长江商报》)。
熊猫烧香传播性极高,中病毒者会在短时间内传染区域网路内其他用户。
应对方法
防毒方法
虽然用户及时更新防毒软体病毒库,并下载各防毒软体公司提供的专杀工具,即可对“熊猫烧香”病毒进行查杀,但是如果能做到防患于未然岂不更好。
解决办法
【1】 立即检查本机administrator组成员口令,一定要放弃简单口令甚至空口令,安全的口令是字母数字特殊字元的组合,自己记得住,别让病毒猜到就行。
(修改方法:右键单击我的电脑,选择管理,浏览到本地用户和组,在右边的窗格中,选择具备管理员许可权的用户名,单击右键,选择设定密码,输入新密码就行。)
(修改方法:右键单击我的电脑,选择管理,浏览到本地用户和组,在右边的窗格中,选择具备管理员许可权的用户名,单击右键,选择设定密码,输入新密码就行。)
【2】 利用组策略,关闭所有驱动器的自动播放功能。
- 步骤1
单击开始,运行,输入gpedit.msc,打开组策略编辑器,浏览到计算机配置,管理模板,系统,在右边的窗格中选择关闭自动播放,该配置预设是未配置,在下拉框中选择所有驱动器,再选取已启用,确定后关闭。最后,在开始,运行中输入gpupdate,确定后,该策略就生效了。
【3】 修改资料夹选项,以查看不明档案的真实属性,避免无意双击骗子程式中毒。
- 步骤2
打开资源管理器(按windows徽标键+E),点工具选单下资料夹选项,再点查看,在高级设定中,选择查看所有档案,取消隐藏受保护的作业系统档案,取消隐藏档案扩展名。
【4】 时刻保持作业系统获得最新的安全更新,不要随意访问来源不明的网站,特别是微软的MS06-014漏洞,应立即打好该漏洞补丁。
同时,QQ、UC的漏洞也可以被该病毒利用,因此,用户应该去他们的官方网站打好最新补丁。此外,由于该病毒会利用IE浏览器的漏洞进行攻击,因此用户还应该给IE打好所有的补丁。如果必要的话,用户可以暂时换用Firefox、Opera等比较安全的浏览器。
【5】 启用Windows防火墙保护本地计算机。同时,区域网路用户儘量避免创建可写的已分享资料夹,已经创建已分享资料夹的应立即停止共享。
此外,对于未感染的用户,病毒专家建议,不要登录不良网站,及时下载微软公布的最新补丁,来避免病毒利用漏洞袭击用户的电脑,同时上网时应採用“防毒软体+防火墙”的立体防御体系。病毒源码。
防御方法
计世网讯息 在2007年新年出现的“PE_FUJACKS”就是一种让广大网际网路用户闻之色变的“熊猫烧香”。该病毒的作者为“武汉男生”(档案末签名”WhBoy”),这个版本的病毒已经集成了PE_FUJA CK和QQ大盗的代码,通过网路共享,档案感染和移动存储设备传播,尤其是感染网页档案,并在网页档案写入自动更新的代码,一旦浏览该网页,就会感染更新后的变种。
不幸中招的用户都知道,“熊猫烧香”会占用区域网路频宽,使得电脑变得缓慢,计算机会出现以下症状:熊猫烧香病毒会在网路已分享档案夹中生成一个名为GameSetup.exe的病毒档案;结束某些应用程式以及防毒软体的进程,导致应用程式异常,或不能正常执行,或速度变慢;硬碟分区或者随身碟不能访问使用;exe程式无法使用程式图示变成熊猫烧香图示;硬碟的根目录出现setup.exe auturun.INF档案 ;同时浏览器会莫名其妙地开启或关闭。
该病毒主要通过浏览恶意网站、网路共享、档案感染和移动存储设备(如随身碟)等途径感染,其中网路共享和档案感染的风险係数较高,而通过Web和移动存储感染的风险相对较低。该病毒会自行启动安装,生成注册列表和病毒档案%System%\drivers\spoclsv.exe ,并在所有磁碟跟目录下生成病毒档案setup.exe,autorun.inf。
套用统一变为熊猫烧香的图示其实就是在注册表的HKEY_CLASSES_ROOT这个分支中写入了一个值,将所有的EXE档案图示指向一个图示档案,所以一般只要删除此值,改回原貌就可以了。
幕后黑手
製作者
熊猫烧香製作者:李俊
2007年2月3日,“熊猫烧香”电脑病毒製造者李俊在武汉落网。“熊猫烧香”被列为2007十大电脑病毒之首,曾让上百万台电脑受害。
2013年6月,据浙江省丽水市人民政府官方微博“丽水发布”提供的讯息称,“熊猫烧香”病毒製造者张顺、李俊因设立“金元宝棋牌”网路赌场,非法敛财数百万元,已经被丽水市莲都区检察院批准逮捕。
现年29岁的张顺是丽水云和人,他与李俊两人因製造“熊猫烧香”计算机病毒,在2007年9月24日被湖北省仙桃市人民法院以破坏计算机信息系统罪分别处以2年有期徒刑和4年有期徒刑。
破案介绍
我国破获的国内首例製作计算机病毒的大案
[2007年2月12日]湖北省公安厅12日宣布,根据统一部署,湖北网监在浙江、山东、广西、天津、广东、四川、江西、云南、新疆、河南等地公安机关的配合下,一举侦破了製作传播“熊猫烧香”病毒案,抓获病毒作者李俊(男,25岁,武汉新洲区人),他于2006年10月16日编写了“熊猫烧香”病毒并在网上广泛传播,并且还以自己出售和由他人代卖的方式,在网路上将该病毒销售给120余人,非法获利10万余元。
其他重要犯罪嫌疑人:雷磊(男,25岁,武汉新洲区人)、王磊(男,22岁,山东威海人)、叶培新(男,21岁,浙江温州人)、张顺(男,23岁,浙江丽水人)、王哲(男,24岁,湖北仙桃人)通过改写、传播“熊猫烧香”等病毒,构建“殭尸网路”,通过盗窃各种游戏账号等方式非法牟利。
这是中国近些年来,发生比较严重的一次蠕虫病毒发作。影响较多公司,造成较大的损失。且对于一些疏于防範的用户来说,该病毒导致较为严重的损失。
由于此病毒可以盗取用户名与密码,因此,带有明显的牟利目的。所以,作者才有可能将此病毒当作商品出售,与一般的病毒製作者只是自娱自乐、或显示威力、或炫耀技术有很大的不同。
另外,製作者李俊在被捕后,在公安的监视下,编写解毒软体。
大事记
2006年12月,一种被称为“尼姆亚”新型病毒在网际网路上大规模爆发。
2007年1月7日,国家计算机病毒应急处理中心发出“熊猫烧香”的紧急预警。
2007年1月9日,湖北仙桃市公安局接报,该市“江汉热线”不幸感染“熊猫烧香”病毒而致网路瘫痪。
2007年1月31日下午,各路专家齐聚省公安厅,对“1·22”案进行“会诊”,同时成立联合工作专班。
2007年2月3日,回出租屋取东西準备潜逃的李俊被当场抓获。随后将其同伙雷磊抓获归案。
2007年9月24日,“熊猫烧香”计算机病毒製造者及主要传播者李俊等4人,被湖北省仙桃市人民法院以破坏计算机信息系统罪判处李俊有期徒刑四年、王磊有期徒刑二年六个月、张顺有期徒刑二年、雷磊有期徒刑一年,并判决李俊、王磊、张顺的违法所得予以追缴,上缴国库;被告人李俊有立功表现,依法可以从轻处罚。
製造者获刑
2014年1月8日,浙江省丽水市莲都区人民法院依法一审审结了曾因製造并传播“熊猫烧香”计算机病毒而引发社会关注的张顺和李俊伙同他人开设网路赌场案。张顺、李俊被法院以开设赌场罪分别判处有期徒刑五年和三年,并分别处罚金20万元和8万元。
新变种:金猪报喜
金猪报喜,是“熊猫烧香”的新变种。伴随着大量“熊猫烧香病毒”变种的出现,对网路用户的危害一浪高过一浪。2012年1月29日,来自金山毒霸反病毒中心最新讯息:“熊猫烧香”化身“金猪报喜”,危害指数再度升级,被感染的电脑中不但“熊猫”成群,而且“金猪”满圈。但象徵财富的金猪仍然让用户无法摆脱“系统被破坏,大量套用软体无法使用”的噩梦。