熊猫烧香动态图熊猫烧香是什么意思

大家好，今日小经来聊聊一篇关于熊猫烧香动态图，熊猫烧香是什么的文章，现在让我们往下看看吧！

熊猫烧香是一种经历了多次变异的蠕虫病毒变种。这是来自中国湖北省武汉市新洲区的25岁的李俊在2006年10月16日写的。它于2007年1月初在互联网上肆虐，主要通过下载文件传播。严重损害计算机程序和系统。

基本信息

病毒的名字叫：熊猫烧香，蠕虫。WhBoy(金山名)，虫子。尼玛亚(后起之秀)

病毒别名：Nimya，武汉男生，后化身“金猪报喜”，在国外被称为“熊猫烧香”。

危险等级：

病毒类型：蠕虫，可以终止大量杀毒软件和防火墙软件进程。

影响系统：Win 9x/ME，Win 2000/NT，Win XP，Win 2003，Win Vista，WIN 7

发现日期：2006年10月16日

来源：中国武汉东湖高新技术开发区关山

病毒描述

实际上，它是蠕虫病毒的一种变种，它出现在许多变种之后。因为中毒电脑的可执行文件会有“熊猫烧香”的图案，所以也叫“熊猫烧香”病毒。但原病毒只会替换EXE图标，不会破坏系统本身。但是，大部分都是病毒变种。用户电脑中毒后，可能会出现蓝屏、频繁重启、系统硬盘中的数据文件被破坏等情况。同时，病毒的一些变种可以通过局域网传播，进而感染局域网内的所有计算机系统，最终导致企业局域网瘫痪，无法正常使用。可以感染exe、com、pif、src、html、asp等文件。在系统中，并且还可以终止大量杀毒软件进程，删除扩展名为gho的文件，这是系统备份工具GHOST的备份文件，使用户的系统备份文件丢失。全部。被感染用户系统中的exe可执行文件被更改为一只手拿三支香的熊猫模样。

中毒症状

这种病毒除了通过网站感染用户，还会在局域网内传播，在极短的时间内感染数千台电脑，严重时甚至会造成网络瘫痪。中毒的电脑上会出现“熊猫烧香”的图案，所以也叫“熊猫烧香”病毒。中毒的电脑会蓝屏，频繁重启，系统硬盘中的数据文件被破坏。

病毒危害

该病毒会删除带有gho扩展名的文件，从而阻止用户使用ghost软件恢复操作系统。“熊猫烧香”感染系统的. exe.com.f.src.html.asp文件，添加病毒网址。只要用户打开这些网页文件，IE就会自动连接到指定的病毒网址下载病毒。硬盘各分区下生成autorun.inf和setup.exe文件，可以借助u盘和移动硬盘传播，利用Windows系统的自动播放功能运行。的可执行文件。exe被搜索感染，被感染的文件图标变成“熊猫烧香”的图案。“熊猫烧香”还可以通过共享文件夹、系统弱密码等方式传播。该病毒会将病毒代码添加到受感染计算机中所有web文件的尾部。如果一些网站编辑的电脑感染了这种病毒，那么在将网页上传到网站后，用户在浏览这些网站时也会感染这种病毒。据报道，许多著名网站都受到了这种攻击，并相继被植入病毒。由于这些网站的浏览量很大，“熊猫烧香”病毒的感染范围很广，中毒的企业和政府机关超过1000家，其中不乏财政、税务、能源等关系国计民生的重要单位。注：江苏等地区成为“熊猫烧香”重灾区。

通信方法

“熊猫烧香”还可以通过共享文件夹、系统弱密码等方式传播。

金山分析：这是一种传染性蠕虫。可以感染系统中的exe、com、pif、src、html、asp等文件，还可以停止大量杀毒软件进程。

1复制文件

病毒运行后，它会将自身复制到

c : \ WINDOWS \ System32 \ Drivers \ spoclsv . exe

2添加注册表自启动。

病毒会添加自启动物品。

HKEY _当前用户\软件\微软\ Windows \当前版本\运行

SVC share-c : \ WINDOWS \ System32 \ Drivers \ spoclsv . exe

3病毒行为

A:每1秒一次

找到桌面窗口，关闭标题中带有以下字符的程序

木马专杀工具

QQAV

防火墙

过程

病毒扫描

网镖

消毒

杜巴

瑞星杀毒软件

姜敏

黄山IE

超级兔子

最优化硕士

木马克星

特洛伊木马清道夫

QQ病毒

注册表编辑器

microsoft系统配置

卡巴斯基反病毒软件

赛门铁克红伞

　　Duba

　　esteem proces

　　绿鹰PC

　　密码防盗

　　噬菌体

　　木马辅助查找器

　　System Safety Monitor

　　Wrapped gift Killer

　　Winsock Expert

　　游戏木马检测大师

　　msctls_statusbar32

　　pjf(ustc)

　　IceSword

　　并使用的键盘映射的方法关闭安全软件IceSword

　　添加注册表使自己自启动

　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

　　svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe

　　并中止系统中以下的进程:

　　Mcshield.exe

　　VsTskMgr.exe

　　naPrdMgr.exe

　　UpdaterUI.exe

　　TBMon.exe

　　scan32.exe

　　Ravmond.exe

　　CCenter.exe

　　RavTask.exe

　　Rav.exe

　　Ravmon.exe

　　RavmonD.exe

　　RavStub.exe

　　KVXP.kxp

　　kvMonXP.kxp

　　KVCenter.kxp

　　KVSrvXP.exe

　　KRegEx.exe

　　UIHost.exe

　　TrojDie.kxp

　　FrogAgent.exe

　　Logo1_.exe

　　Logo_1.exe

　　Rundl132.exe

　　b:每隔18秒

　　点击病毒作者指定的网页,并用命令行检查系统中是否存在共享

　　共存在的话就运行net share命令关闭admin$共享

　　c:每隔10秒

　　下载病毒作者指定的文件,并用命令行检查系统中是否存在共享

　　共存在的话就运行net share命令关闭admin$共享

　　d:每隔6秒

　　删除安全软件在注册表中的键值

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

　　RavTask

　　KvMonXP

　　kav

　　KAVPersonal50

　　McAfeeUpdaterUI

　　Network Associates Error Reporting Service

　　ShStartEXE

　　YLive.exe

　　yassistse

　　并修改以下值不显示隐藏文件

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

　　CheckedValue -> 0x00

　　删除以下服务:

　　navapsvc

　　wscsvc

　　KPfwSvc

　　SNDSrvc

　　ccProxy

　　ccEvtMgr

　　ccSetMgr

　　SPBBCSvc

　　Symantec Core LC

　　NPFMntor

　　MskService

　　FireSvc

　　e:感染文件

　　病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部

　　并在扩展名为htm,html, asp,php,jsp,aspx的文件中添加一网址,

　　用户一但打开了该文件,IE就会不断的在后台点击写入的网址,达到

　　增加点击量的目的,但病毒不会感染以下文件夹名中的文件:

　　WINDOW

　　Winnt

　　System Volume Information

　　Recycled

　　Windows NT

　　WindowsUpdate

　　Windows Media Player

　　Outlook Express

　　Internet Explorer

　　NetMeeting

　　Common Files

　　ComPlus Applications

　　Messenger

　　InstallShield Installation Information

　　MSN

　　Microsoft Frontpage

　　Movie Maker

　　MSN Gamin Zone

　　g:删除文件

　　病毒会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件

　　使用户的系统备份文件丢失.

　　瑞星最新病毒分析报告：“Nimaya(熊猫烧香)”

　　这是一个传染型的DownLoad 使用Delphi编写

　　传播对象和运行过程

　　本地磁盘感染

　　病毒对系统中所有除了盘符为A,B的磁盘类型为DRIVE_REMOTE,DRIVE_FIXED的磁盘进行文件遍历感染

　　注:不感染文件大小超过10485760字节以上的.

　　(病毒将不感染如下目录的文件):

　　Microsoft Frontpage

　　Movie Maker

　　MSN Gamin Zone

　　Common Files

　　Windows NT

　　Recycled

　　System Volume Information

　　Documents and Settings

　　……

　　(病毒将不感染文件名如下的文件):

　　setup.exe

　　病毒将使用两类感染方式应对不同后缀的文件名进行感染

　　1)二进制可执行文件(后缀名为:EXE,SCR,PIF,COM): 将感染目标文件和病毒溶合成一个文件(被感染文件贴在病毒文件尾部)完成感染.

　　2)脚本类(后缀名为:htm,html,asp,php,jsp,aspx): 在这些脚本文件尾加上如下链接(下边的页面存在安全漏洞):

　　在感染时会删除这些磁盘上的后缀名为.GHO

　　生成autorun.inf

　　病毒建立一个计时器以，6秒为周期在磁盘的根目录下生成setup.exe(病毒本身) autorun.inf 并利用AutoRun Open关联使病毒在用户点击被感染磁盘时能被自动运行。

局域网传播

　　病毒生成随机个局域网传播线程实现如下的传播方式：

　　当病毒发现能成功联接攻击目标的139或445端口后，将使用内置的一个用户列表及密码字典进行联接。(猜测被攻击端的密码)当成功的联接上以后将自己复制过去并利用计划任务启动激活病毒。

　　修改操作系统的启动关联

　　下载文件启动

　　与杀毒软件对抗

杀毒方法

　　各种版本的熊猫烧香专杀

　　瑞星　金山　江民

　　超级巡警　李俊

　　虽然用户及时更新杀毒软件病毒库，并下载各杀毒软件公司提供的专杀工具，即可对“熊猫烧香”病毒进行查杀，但是如果能做到防患于未然岂不更好。

解决办法

　　【1】 立即检查本机administrator组成员口令，一定要放弃简单口令甚至空口令，安全的口令是字母数字特殊字符的组合，自己记得住，别让病毒猜到就行。

修改方法

　　右键单击我的电脑，选择管理，浏览到本地用户和组，在右边的窗格中，选择具备管理员权限的用户名，单击右键，选择设置密码，输入新密码就行。

　　【2】 利用组策略，关闭所有驱动器的自动播放功能。

　　步骤1

　　单击开始，运行，输入gpedit.msc，打开组策略编辑器，浏览到计算机配置，管理模板，系统，在右边的窗格中选择关闭自动播放，该配置缺省是未配置，在下拉框中选择所有驱动器，再选取已启用，确定后关闭。最后，在开始，运行中输入gpupdate，确定后，该策略就生效了。

　　【3】 修改文件夹选项，以查看不明文件的真实属性，避免无意双击骗子程序中毒。

　　步骤2

　　打开资源管理器(按windows徽标键 E)，点工具菜单下文件夹选项，再点查看，在高级设置中，选择查看所有文件，取消隐藏受保护的操作系统文件，取消隐藏文件扩展名。

　　【4】 时刻保持操作系统获得最新的安全更新，不要随意访问来源不明的网站，特别是微软的MS06-014漏洞，应立即打好该漏洞补丁。

　　同时，QQ、UC的漏洞也可以被该病毒利用，因此，用户应该去他们的官方网站打好最新补丁。此外，由于该病毒会利用IE浏览器的漏洞进行攻击，因此用户还应该给IE打好所有的补丁。如果必要的话，用户可以暂时换用Firefox、Opera等比较安全的浏览器。

　　【5】 启用Windows防火墙保护本地计算机。同时，局域网用户尽量避免创建可写的共享目录，已经创建共享目录的应立即停止共享。

　　此外，对于未感染的用户，病毒专家建议，不要登录不良网站，及时下载微软公布的最新补丁，来避免病毒利用漏洞袭击用户的电脑，同时上网时应采用“杀毒软件 防火墙”的立体防御体系。

本文到此结束，希望对大家有所帮助。

这篇好文章是转载于：知行礼动