熊貓燒香病毒高危

「武漢男生」，俗稱「熊貓燒香」，這是一個感染型的蠕蟲病毒，它能感染系統中exe，com，pif，src，html，asp等文件，它還能中止大量的反病毒軟件進程並且會刪除擴展名為gho的文件，該文件是一系統備份工具GHOST的備份文件，使用戶的系統備份文件丟失。



被感染的用戶系統中所有.exe可執行文件全部被改成熊貓舉著三根香的模樣。

一、病毒描述：
含有病毒體的檔被運行後，病毒將自身拷貝至系統目錄，同時修改註冊表將自身設置為開機 啟動項，並遍曆各個驅動器，將自身寫入磁片根目錄下，增加一個Autorun.inf檔，使得用戶打開該盤時啟動病毒體。隨後病毒體開一個線程進行本地 檔感染，同時開另外一個線程連接某網站下載ddos程式進行發動惡意攻擊。

二、病毒基本情況：
[檔資訊]
病毒名: Virus.Win32.EvilPanda.a.ex$
大 小: 0xDA00 (55808), (disk) 0xDA00 (55808)
SHA1 : F0C3DA82E1620701AD2F0C8B531EEBEA0E8AF69D
殼信息: 未知
危害級別：高

病毒名: Flooder.Win32.FloodBots.a.ex$
大 小: 0xE800 (59392), (disk) 0xE800 (59392)
SHA1 : B71A7EF22A36DBE27E3830888DAFC3B2A7D5DA0D
殼信息: UPX 0.89.6 - 1.02 / 1.05 - 1.24
危害級別：高

Virus.Win32.EvilPanda.a.ex$ ：
1、病毒體執行後，將自身拷貝到系統目錄：
%SystemRoot%\system32\FuckJacks.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Userinit "C:\WIN2K\system32\SVCH0ST.exe"

2、添加註冊表啟動專案確保自身在系統重啟動後被載入：
鍵路徑：HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
鍵名：FuckJacks
鍵值："C:\WINDOWS\system32\FuckJacks.exe"

鍵路徑：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
鍵名：svohost
鍵值："C:\WINDOWS\system32\FuckJacks.exe"

3、拷貝自身到所有驅動器根目錄，命名為Setup.exe，並生成一個autorun.inf使得用戶打開該盤運行病毒，並將這兩個檔屬性設置為隱藏、唯讀、系統。 C:\autorun.inf 1KB RHS
C:\setup.exe 230KB RHS

4、關閉眾多殺毒軟體和安全工具。
5、連接*****.3322.org下載某檔，並根據該檔記錄的位址，去www.****.com下載某ddos程式，下載成功後執行該程式。
6、刷新bbs.qq.com，某QQ秀鏈結。
7、迴圈遍曆磁片目錄，感染檔，對關鍵系統檔跳過，不感染Windows媒體播放器、MSN、IE 等程式。

熊貓燒香......難道作者是中國人........

看見這個名字﹐反而覺得唔係中國人做。

點樣先中？

人人自危
防毒無效化

這幾天「熊貓燒香」的變種更是表象異常活躍，近半數的網民深受其害。用戶除了可以從下載金山毒霸的「熊貓燒香」專殺來對付該病毒外，金山毒霸技術專家還總結的以下預防措施，幫你遠離「熊貓燒香」病毒的騷擾。[
　　1、立即檢查本機administrator組成員口令，一定放棄簡單口令甚至空口令，安全的口令是字母數字特殊字符的組合，自己記得住，別讓病毒猜到就行。
　　修改方法：右鍵單擊我的電腦，選擇管理，瀏覽到本地用戶和組，在右邊的窗中，選擇具備管理員權限的用戶名，單擊右鍵，選擇設置密碼，輸入新密碼就行。
　　2.、利用組策略，關閉所有驅動器的自動播放功能。
　　步驟：單擊開始，運行，輸入gpedit.msc，打開組策略編輯器，瀏覽到計算機配置，管理模板，系統，在右邊的窗格中選擇關閉自動播放，該配置缺省是未配置，在下拉框中選擇所有驅動器，再選取已啟用，確定後關閉。最後，在開始，運行中輸入gpupdate，確定後，該策略就生效了。
　　3、修改文件夾選項，以查看不明文件的真實屬性，避免無意雙擊騙子程序中毒。
　　步驟：打開資源管理器（按windows徽標鍵＋E），點工具菜單下文件夾選項，再點查看，在高級設置中，選擇查看所有文件，取消隱藏受保護的操作系統文件，取消隱藏文件擴展名。
　　4、時刻保持操作系統獲得最新的安全更新，建議用毒霸的漏洞掃瞄功能。
　　5、啟用windows防火牆保護本地計算機。
　　對於已經感染「熊貓燒香」病毒的用戶，金山毒霸反病毒專家建議及時安裝正版金山毒霸並升級到最新版本進行查殺，也可登陸免費下載熊貓燒香的專殺工具。
　　對於未感染的用戶，專家建議，不要登陸不良網站，及時下載微軟公佈的最新補丁，來避免病毒利用漏洞襲擊用戶的電腦，同時上網時應採用「殺毒軟件+防火牆」的立體防禦體系。

閒逛時看到的


http://news.sina.com.tw/tech/sinacn/cn/200...238127387.shtml

東方早報：熊貓燒香制造者看守所寫下殺毒程式
北京新浪網 (2007-02-16 10:52)

　　早報訊 負責偵辦『熊貓燒香』病毒案的湖北省仙桃市公安局副局長葉鐵官昨日透露：『熊貓燒香』病毒製造者李俊已編寫出專殺程式，公安部門正組織專家對這一程式進行鑒定，預計一周內可在互聯網上公布，供網民免費下載。

　　據葉鐵官介紹，李俊向警方表示，他最初編制病毒是應網友要求『編得好玩』，後來見被感染的電腦數量眾多，網上輿論憤怒聲討，『事情鬧大了』，他便編制專殺程式，想把病毒都殺掉，但編好後不敢挂在網上，擔心警方以此為線索找到他。警方將李俊抓獲後，李在看守所里寫下殺毒軟件程式，交給了警方。

　　仙桃市公安局網監部門利用李俊的專殺程式進行了初步試驗，結果表明其程式完全能殺盡『熊貓燒香』病毒及其變種。

　　2006年12月初，我國互聯網上大規模爆發『熊貓燒香』病毒及其變種，這一病毒通過多種方式進行傳播，並將感染的所有程式文件改成熊貓舉著三根香的模樣，同時該病毒還具有盜取用戶遊戲賬號、QQ賬號等功能。短短兩個月內，已有上百萬個人用戶、網吧及企業局域網用戶遭受感染和破壞，引起社會各界高度關注。據新華社、《楚天都市報》

　　病毒製造者李俊自白 『沒想到後果這麼嚴重』

　　據新華社武漢電昨日下午，當記者在湖北省仙桃市第一看守所與『熊貓燒香』病毒製造者李俊面對面時，感覺他相貌平平，表情木訥，看不出有何過人之處。

　　『我是1999年開始接觸電腦的，學習電腦知識也主要是靠泡網吧。』李俊垂著頭低聲說，『最初我設計病毒只是好奇和好玩，後來有網友找我買木馬，我看靠這個能賺錢，就……』

　　據仙桃市公安局網監大隊大隊長萬正敏介紹，去年9月，李俊應網友之邀製作『熊貓燒香』病毒，從去年12月初開始，這一病毒在互聯網上蔓延肆虐，泛濫成災，短短兩個月內，被感染中毒的電腦達百萬台以上，引起一片恐慌，一些損失慘重的企業和網民還發出重金懸賞追查病毒製造者的『通緝令』。

　　身高1.75米的李俊剃著光頭，身穿黃色馬甲，略顯頹廢。他說：『開始，我也預計不出會有什麼後果，沒想到後果這麼嚴重，事情鬧得這麼大，慢慢就害怕起來，所以後來就編制殺毒程式，想把病毒都殺掉，但編好後不敢挂在網上，怕警察找到我。』

　　李俊今年25歲，武漢市新洲區人。他中專畢業後，曾到廣東等地的IT企業應聘，但一直沒能如願。後來，李俊到武漢市電腦城打工，月工資約1000元。

　　『熊貓燒香』病毒問世後，浙江一位病毒販賣傳播者先是每天給李俊在銀行賬戶上匯3500元，後來每天匯6000元，直至被抓捕前，總計不到一個月時間，他就牟利十幾萬元。李俊把錢存在銀行卡里，很少出去玩。辦案民警告訴記者，他的錢主要用來到外地見網友。

　　當李俊緩緩走回監舍時，記者想到了一個詞：玩火自焚。

　　動機 多次求職失敗，為發洩不滿

　　2004年畢業後，李俊曾多次到北京、廣州等地尋找IT方面的工作，尤其鐘情于網路安全公司，但均u憐言\。為發洩不滿，同時抱著賺錢的目的，李俊開始編寫病毒，2003年編寫『武漢男生』病毒，2005年編寫『武漢男生2005』病毒及『QQ尾巴』病毒。

　　李俊交代，他于2006年10月16日編寫了『熊貓燒香』。感染病毒的電腦會在硬盤的所有網頁文件上附加病毒。如果被感染的是網站編輯電腦，通過中毒網頁病毒就可能附身在網站所有網頁上，訪問中毒網站時網民就會感染病毒。

　　牟利 自己出售或由他人代賣

　　『熊貓燒香』除了帶有病毒的所有特性外，還具有強烈的商業目的：一種形式是，採取『製作病毒-散布-盜號、上付費網站賺錢』的方式，暗中盜取用戶遊戲賬號、QQ賬號，以供出售牟利。

　　另一種形式是，『用病毒控制受感染的電腦』，將其變為『網路殭尸』。暗中訪問一些按訪問流量付費的網站，從而獲利。部分變種中還含有盜號木馬。

　　李俊以自己出售和由他人代賣的方式，每次要價500-1000元不等，將該病毒銷售給120余人，非法獲利10萬余元。經病毒購買者進一步傳播，該病毒的各種變種在網上大面積傳播。

　　據估算，被『熊貓燒香』病毒控制的『網路殭尸』數以百萬計，其訪問按訪問流量付費的網站，一年下來累計可獲利上千萬元。

　　量刑 可處5年以上有期徒刑

　　有關法律專家稱，『熊貓燒香』病毒的製造者是典型的故意製作、傳播電腦病毒等破壞性程式，影響電腦系統正常運行的行為。根據《刑法》規定，後果嚴重的，處5年以下有期徒刑或者拘役；後果特別嚴重的，處5年以上有期徒刑。

　　6名主要嫌犯簡介

　　李俊男，1982年生，湖北武漢新洲人，涉嫌以『whboy』、『武漢男生』、『武漢男孩』為簽名製作、傳播『熊貓燒香』病毒。

　　王磊男，1985年生，山東威海人，涉嫌傳播和販賣病毒。

　　張順男，1984年出生，浙江麗水人，涉嫌販賣傳播病毒。

　　葉培新男，1986年生，浙江溫州人，涉嫌販賣傳播病毒。

　　王哲男，1983年生，仙桃人，涉嫌傳播病毒。

　　雷磊男，涉嫌製作木馬。

　　肆虐內幕

　　熊貓燒香蠕蟲不但對用戶系統進行破壞，導致大量應用軟件無法使用，還可刪除副檔名為gho的所有文件，造成用戶系統備份文件丟失，從而無法進行系統恢復。還能終止大量反病毒軟件進程。

　　抓捕全過程

　　2006年12月一種神秘的新型病毒開始在互聯網上大規模爆發，許多企業局域網、網吧和個人電腦遭到重創。該病毒通過多種方式傳播，染上後，電腦螢幕上會出現一排排熊貓圖案，熊貓們持香作揖。反病毒工程師們將其命名為『尼姆亞』；

　　12月中旬『熊貓燒香』進入急速變種期；

　　2007年1月7日國家電腦病毒應急處理中心發出『熊貓燒香』的緊急預警；

　　1月9日湖北仙桃市公安局接報，該市『江漢熱線』不幸感染『熊貓燒香』病毒而致網路癱瘓。貌似忠厚的『熊貓』就這樣正式進入了警方的視野；

　　1月中旬湖北省公安廳網監總隊根據公安部公共資訊網路安全監察局的部署，開始對『熊貓燒香』製作者開展調查。而『熊貓』懵然不覺，繼續四處『燒香』；

　　1月22日國家電腦病毒應急處理中心再發警報：全國通緝『熊貓燒香』；

　　1月24日仙桃市網監大隊正式u蒏蛂A並命名其為『1•22』製作傳播電腦病毒案；1月31日各路專家『會診』後，確定犯罪嫌疑人『武漢男孩』的身份資訊。『武漢男孩』又名『小俊』，男，25歲左右。警方將目標鎖定一個叫羅某的人；

　　2月3日警方在出租屋抓獲了『小俊』的弟弟李明。晚7時左右，回出租屋取東西準備潛逃的李俊被當場抓獲。據《長江商報》

根据日本McAfee的报道,我国的著名病毒"熊猫烧香"在日本登陆,日本将其称为お祈りパンダ,即祈祷中的熊猫,已经开始发作并造成严重影响.

お祈りパンダに要注意──McAfeeがウイルス

注意熊猫烧香--McAfee发布病毒警告

手を合わせて祈るパンダのアイコン。実はウイルスファイルが隠されているという。

标志是一只双手合十，祈祷烧香的熊猫。里面隐藏着病毒文件。

お線香を捧げ持って両手を合わせるパンダのアイコンが自分のマシンに現れたら要注意──。セキュリティソフトメーカーのMcAfeeが、ウイルス関連でこんな注意を呼び掛けている。

如果这样的标志出现在自己的机器里，你就要注意了--。McAfee提醒用户注意有关病毒方面的相关信息。

McAfeeによると、パンダが祈る姿のこのアイコンは、“W32/F.x.x.ks”というウイルスのファイル。2006年11月以降、複数の亜種が出回っているという。

据称在其中隐藏的名为“W32/F.x.x.ks”的病毒文件，在2006年11月以后已经出现了多个亚种变体。

お線香を手に祈るパンダのアイコン初期のF.x.x.ksワームは、安易なパスワードを使ったネットワーク共有を通じて拡散し、“.html”“.asp”“.php”などのWebベースファイルに感染。htmlファイルの末尾にiframeタグを付け加える。

初期症状：用户的密码将通过网络传播出去，并感染“.html”“.asp” “.php”等系统文件。html末尾将被添加iframe相关信息。

ブラウザでこの感染ファイルを開くと、同ワームの別の亜種がダウンロードされてしまう。最近では、実行可能ファイルとhtmlファイルの両方に感染する亜種も出現しているという。

打开染毒文件后，其变体就会自动被下载并感染，最近发现了对可执行文件和html文件可同时造成感染的新型亚种变体。

対策は、まず最新のパッチを適用し、Webブラウザなどのセキュリティホールをふさぐ。そして、ウイルス対策ソフトを最新の状態にアップデートするとともに、不用意に怪しいWebサイトにアクセスしないよう心掛ける。また、ネットワーク共有に、簡単に推測できそうな弱いパスワードを使っていた場合は、それをより強固なものに変更することも挙げられる。



支持國產熊貓登錄日本