『熊貓燒香』病毒變種蔓延 專殺工具大全[下載]

　　病毒中文名：熊貓燒香(武漢男生)

　　病毒類型：蠕蟲

　　危險級別：★★★★★

　　影響平臺：Win 9x/ME，Win 2000/NT，Win XP，Win 2003

　　專殺工具下載：金山專殺工具   江民專殺工具  安博士專殺工具  瑞星專殺工具

　　病毒描述：

　　“武漢男生”，俗稱“熊貓燒香”，這是一個感染型的蠕蟲病毒，它能感染系統中exe，com，pif，src，html，asp等文件，它還能中止大量的反病毒軟件進程並且會刪除擴展名為gho的文件，該文件是一系統備份工具GHOST的備份文件，使用戶的系統備份文件丟失。被感染的用戶系統中所有.exe可執行文件全部被改成熊貓舉著三根香的模樣。據了解，近段時間，“熊貓燒香”(Worm.WhBoy.h) 病毒正處於急速變種期，僅12月份至今，變種數已達上百個，感染用戶的數量也在不斷擴大。據初步統計，個人用戶感染熊貓燒香的已經高達幾百萬，企業用戶感染數更是成倍上昇。

　　病毒新變種(多個變種名Worm.Win32.Fujack.b、Worm.Nimaya.w、I-Worm.Luder.b、Worm/Viking.qo……)還會自動從網站下載“天堂殺手”以及“QQ大盜（QQpass）”等10餘種木馬病毒，企圖盜取包括天堂、征途、夢幻西游、傳奇等多種流行網游以及QQ的帳號、密碼。

　　反病毒專家提醒，用戶在上網時不要隨意點擊不明鏈接，瀏覽網站時，要先開啟殺毒軟件的“網頁監控”功能。如果已經感染該病毒，用戶可以登陸反病毒廠商的官方網站，下載安裝免費的殺毒軟件來進行病毒查殺。

　　發作行為：

　　1：拷貝文件

　　病毒運行後，會把自己拷貝到C:\WINDOWS\System32\Drivers\spoclsv.exe。

　　2：添加注冊表自啟動

　　3：病毒行為

　　a：每隔1秒尋找桌面窗口，並關閉窗口標題中含有以下字符的程序：

　　QQKav、QQAV、防火牆、進程、VirusScan、網鏢、殺毒、毒霸、瑞星、江民、黃山IE、超級兔子、優化大師、木馬克星、木馬清道夫、QQ病毒、注冊表編輯器、系統配置實用程序、卡巴斯基反病毒、Symantec AntiVirus、Duba、esteem proces、綠鷹PC、密碼防盜、噬菌體、木馬輔助查找器、System Safety Monitor、Wrapped gift Killer、Winsock Expert、游戲木馬檢測大師、msctls_statusbar32、pjf(ustc)、IceSword。

　　並使用的鍵盤映射的方法關閉安全軟件IceSword。

　　並中止系統中以下的進程：

　　Mcshield.exe、VsTskMgr.exe、naPrdMgr.exe、UpdaterUI.exe、TBMon.exe、scan32.exe、Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、RavmonD.exe、RavStub.exe、KVXP.kxp、kvMonXP.kxp、KVCenter.kxp、KVSrvXP.exe、KRegEx.exe、UIHost.exe、TrojDie.kxp、FrogAgent.exe、Logo1_.exe、Logo_1.exe、Rundl132.exe。

　　b：每隔18秒點擊病毒作者指定的網頁，並用命令行檢查系統中是否存在共享，共存在的話就運行net share命令關閉admin$共享。

　　c：每隔10秒下載病毒作者指定的文件，並用命令行檢查系統中是否存在共享，共存在的話就運行net share命令關閉admin$共享。

　　d：每隔6秒刪除安全軟件在注冊表中的鍵值。

　　並修改以下值不顯示隱藏文件：

　　刪除以下服務：

　　navapsvc、wscsvc、KPfwSvc、SNDSrvc、ccProxy、ccEvtMgr、ccSetMgr、SPBBCSvc、Symantec Core LC、NPFMntor MskService、FireSvc。

　　e：感染文件

　　病毒會感染擴展名為exe，pif，com，src的文件，把自己附加到文件的頭部，並在擴展名為htm，html， asp，php，jsp，aspx的文件中添加一網址，用戶一但打開了該文件，IE就會不斷的在後臺點擊寫入的網址，達到增加點擊量的目的，但病毒不會感染以下文件夾名中的文件：

　　WINDOW、Winnt、System Volume Information、Recycled、Windows NT、WindowsUpdate、Windows Media Player、Outlook Express、Internet Explorer、NetMeeting、Common Files、ComPlus Applications、Messenger、InstallShield Installation Information、MSN、Microsoft Frontpage、Movie Maker、MSN Gamin Zone。

　　g：刪除文件

　　病毒會刪除擴展名為gho的文件，該文件是一系統備份工具GHOST的備份文件使用戶的系統備份文件丟失。