揭秘『熊貓燒香』蠕蟲病毒肆虐內幕[圖]

　　新年伊始『熊貓燒香』病毒愈演愈烈

　　-『熊貓燒香』病毒檔案

　　追殺目標：Worm.WhBoy.h

　　中 文 名：『熊貓燒香』

　　病毒長度：可變

　　病毒類型：蠕蟲

　　危害等級：★★★★

　　影響平臺：Win 9X/ME/NT/2000/XP/2003

　　典型表現：

　　『熊貓燒香』是一個由Delphi工具編寫的蠕蟲，終止大量的反病毒軟件和防火牆軟件進程。病毒會刪除擴展名為gho的文件，使用戶無法使用ghost軟件恢復操作系統。『熊貓燒香』感染系統的.exe、.com、.pif、.src、.html、.asp文件，添加病毒網址，導致用戶一打開這些網頁文件，IE就會自動連接到指定的病毒網址中下載病毒。在硬盤各個分區下生成文件autorun.inf和setup.exe，可以通過U盤和移動硬盤等方式進行傳播，並且利用Windows系統的自動播放功能來運行，搜索硬盤中的.exe可執行文件並感染，感染後的文件圖標變成『熊貓燒香』圖案。『熊貓燒香』還可以通過共享文件夾、系統弱口令等多種方式進行傳播。

　　日前，電腦用戶張先生氣憤地告訴記者：『今天早晨一打開電腦，我就快暈了。進入系統後，許多應用程序無法使用，重裝軟件後，不久又不能使用。更奇怪的是發現電腦中所有的.exe可執行文件全部變成小熊貓舉著三根香的模樣，而且系統運行異常緩慢，非常郁悶。』據記者從國內幾家殺毒公司了解到，近期，一個叫『熊貓燒香』(Worm.WhBoy.h)的病毒把電腦用戶折騰得苦不堪言。在人們心目中，『熊貓』這個國寶似乎不再可愛，而成了人人喊打的過街老鼠。據國內的病毒專家介紹，『熊貓燒香』蠕蟲不但對用戶系統進行破壞，導致大量應用軟件無法使用，而且還可刪除擴展名為gho的所有文件，造成用戶的系統備份文件丟失，從而無法進行系統恢復。此外，該病毒還能終止大量反病毒軟件進程，大大降低用戶系統的安全性。

　　三大原因導致『熊貓燒香』肆虐

　　近日，『熊貓燒香』病毒泛濫成災，已經到了天怒人怨的地步。據悉，由於多家著名網站遭到此類病毒攻擊而相繼被植入病毒。由於這些網站的瀏覽量非常大，致使此次『熊貓燒香』病毒的感染范圍非常廣。

　　據瑞星反病毒專家介紹，『熊貓燒香』其實是『尼姆亞』病毒的新變種，最早出現在2006年的11月。由於它一直在不停地進行變種，而且該病毒會在中毒電腦中所有的網頁文件尾部添加病毒代碼，因此，一旦一些網站編輯人員的電腦被該病毒感染，網站編輯在上傳網頁到網站後，就會導致所有瀏覽該網頁的計算機用戶也被感染上該病毒。

　　同時，據金山毒霸反病毒中心表示，『熊貓燒香』除了通過網站帶毒感染用戶之外，此病毒還會通過QQ最新漏洞傳播自身，通過網絡文件共享、默認共享、系統弱口令、U盤及移動硬盤等多種途徑傳播。而局域網中只要有一臺機器感染，就可以瞬間傳遍整個網絡，甚至在極短時間之內就可以感染幾千臺計算機，嚴重時可以導致網絡癱瘓。中毒癥狀表現為電腦中所有可執行的.exe文件都變成了一種怪異的圖案，該圖案顯示為『熊貓燒香』，繼而系統藍屏、頻繁重啟、硬盤數據被破壞等，嚴重的整個公司局域網內所有電腦會全部中毒。

　　對此，江民反病毒專家何公道分析認為：導致病毒快速傳播目前存在三大原因。一是大量的企業用戶使用國外殺毒軟件，而國外殺毒軟件對於此類國產病毒響應速度特別慢。二是由於被種植『熊貓燒香』病毒網站的點擊量的全球排名均在前300名之列，而當一部分網站編輯本身機器感染了病毒之後，當他們把受感染文件上傳到服務器後，訪問者點擊此類受感染網頁即中毒，因此，該病毒纔會得以迅速傳播。三是其病毒具有極強的變種能力，僅從2006年11月至年底短短一個多月的時間，該病毒就變種將近30餘次，因此在許多用戶疏於防范而沒有更新殺毒軟件時，該病毒即可借機迅速傳播。

　　新年伊始『熊貓燒香』破壞繼續加劇

　　據了解，江民科技發布的2006年計算機病毒疫情顯示，『熊貓燒香』(『威金』病毒變種)已成為2006年計算機病毒最大威脅。截至去年12月份，已有超過50萬臺計算機受此病毒感染，而受害企業用戶更是達到上千家，多數企業業務因此停頓，直接和間接損失無法估量，病毒疫情十分嚴重。

　　近日據記者從金山毒霸反病毒中心獲取的最新消息：『熊貓燒香』(Worm.WhBoy.h)病毒目前再次進入急速變種期，從元旦至今，僅半個多月，『熊貓燒香』變種數已高達50多個，並且其感染用戶的數量也在不斷擴大。據金山毒霸客戶服務中心初步統計，目前感染『熊貓燒香』病毒的個人用戶已經高達幾百萬，企業用戶感染數更是成倍上昇。特別是在近一周內，金山毒霸客服中心有關熊貓燒香的日諮詢量已高達73%，而感染用戶主要以北京、廣州、上海等大型城市為主。

　　另據金山毒霸反病毒專家戴光劍指出，當前由於大部分感染了『熊貓燒香』的用戶只能被動下載一些相關的專殺工具或殺毒軟件進行查殺，而由於熊貓燒香變種多，傳播速度快，一旦用戶沒能及時昇級殺毒軟件或專殺工具，查殺效果將大打折扣。所以如何徹底將『熊貓燒香』攔截於用戶的電腦之外，成為各大殺毒廠商目前急需解決的問題。

　　最全面的『熊貓燒香』整體解決方案

　　近期，『熊貓燒香』病毒無疑成了互聯網最熱門的關鍵字了，網上也能找到很多個有關熊貓燒香病毒的解決辦法。這些方法都顯得不盡完美，再加上熊貓的變種很多，有效性就更加大打折扣了。為此，記者通過對國內幾家殺毒軟件公司的采訪，整理出了一套相對完整的解決方案供大家參考。對於已經感染『熊貓燒香』病毒的用戶，可以采用以下幾種方式對該病毒進行查殺。

　　★金山

　　金山毒霸2007對『熊貓燒香』已經具備免疫能力，金山毒霸反病毒專家建議及時安裝正版金山毒霸並昇級到最新版本進行查殺。在服務期內的毒霸用戶，將會通過金山毒霸的主動實時昇級功能，自動昇級到最新版本，實現對『熊貓燒香』的免疫。對於沒有安裝殺毒軟件的電腦用戶，可以登錄到zhuansha/253.shtml免費下載金山的『熊貓燒香』專殺工具。

　　★瑞星

　　安裝殺毒軟件和瑞星卡卡3.1的用戶，可將軟件昇級，並在上網時打開網頁實時監控。同時，瑞星已經發布針對該病毒的專殺工具，並對該工具不斷昇級。因此，沒有安裝殺毒軟件的用戶，還可以登錄Channels/Service/index.shtml免費下載使用『熊貓燒香』專殺工具。

　　★江民

　　江民建議已安裝江民殺毒軟件的用戶將殺毒軟件昇級到最新病毒庫，並對電腦進行全盤查殺。未安裝殺毒軟件的用戶，也可登錄到download/zhuansha04.htm下載安裝江民『熊貓燒香』專殺工具，可以有效清除病毒和修復被感染文件。

　　五招遠離熊貓燒香騷擾

　　據金山毒霸反病毒中心表示，近期『熊貓燒香』的變種異常活躍，因此從目前至春節期間，該病毒還將會一直騷擾著電腦用戶。雖然用戶及時更新殺毒軟件病毒庫，並下載各殺毒軟件公司提供的專殺工具，即可對『熊貓燒香』病毒進行查殺，但是如果能做到防患於未然豈不更好。為此，記者在采訪中，還總結了以下五招預防措施，希望可以幫您遠離『熊貓燒香』病毒的騷擾。

　　1.立即檢查本機administrator組成員口令，一定要放棄簡單口令甚至空口令，安全的口令是字母數字特殊字符的組合，自己記得住，別讓病毒猜到就行。

　　修改方法：右鍵單擊我的電腦，選擇管理，瀏覽到本地用戶和組，在右邊的窗格中，選擇具備管理員權限的用戶名，單擊右鍵，選擇設置密碼，輸入新密碼就行。

　　2.利用組策略，關閉所有驅動器的自動播放功能。

　　步驟：單擊開始，運行，輸入gpedit.msc，打開組策略編輯器，瀏覽到計算機配置，管理模板，系統，在右邊的窗格中選擇關閉自動播放，該配置缺省是未配置，在下拉框中選擇所有驅動器，再選取已啟用，確定後關閉。最後，在開始，運行中輸入gpupdate，確定後，該策略就生效了。

　　3.修改文件夾選項，以查看不明文件的真實屬性，避免無意雙擊騙子程序中毒。

　　步驟：打開資源管理器(按windows徽標鍵＋E)，點工具菜單下文件夾選項，再點查看，在高級設置中，選擇查看所有文件，取消隱藏受保護的操作系統文件，取消隱藏文件擴展名。

　　4.時刻保持操作系統獲得最新的安全更新，不要隨意訪問來源不明的網站，特別是微軟的MS06-014漏洞，應立即打好該漏洞補丁。

　　同時，QQ、UC的漏洞也可以被該病毒利用，因此，用戶應該去他們的官方網站打好最新補丁。此外，由於該病毒會利用IE瀏覽器的漏洞進行攻擊，因此用戶還應該給IE打好所有的補丁。如果必要的話，用戶可以暫時換用Firefox、Opera等比較安全的瀏覽器。

　　5.啟用Windows防火牆保護本地計算機。同時，局域網用戶盡量避免創建可寫的共享目錄，已經創建共享目錄的應立即停止共享。

　　此外，對於未感染的用戶，病毒專家建議，不要登錄不良網站，及時下載微軟公布的最新補丁，來避免病毒利用漏洞襲擊用戶的電腦，同時上網時應采用『殺毒軟件+防火牆』的立體防御體系。