熊猫烧香”,是由李俊制作并肆虐网络的一款电脑病毒,熊猫烧香跟灰鸽子不同,是一款拥有自动传播、自动感染硬盘能力和强大的破坏能力的病毒,它不但能感染系统中exe,com,pif,src,html,asp等文件,它还能终止大量的反病毒软件进程并且会删除扩展名为gho的文件(该类文件是一系统备份工具“GHOST”的备份文件,删除后会使用户的系统备份文件丢失)。
被感染的用户系统中所有exe可执行文件全部被改成熊猫举着三根香的模样。10月16日由25岁的湖北武汉新洲区人李俊编写,1月初肆虐网络,它主要通过下载的文件传染。2月12日,湖北省公安厅宣布,李俊以及其同伙共8人已经落网,这是中国警方破获的首例计算机病毒大案。,张顺、李俊被法院以开设赌场罪分别判处有期徒刑五年和三年,并分别处罚金20万元和8万元。
中文名
熊猫烧香
外文名
Worm.WhBoy.cw
别名
Nimaya[4]
程序类别
蠕虫病毒
感染系统
Win9x/NT/2000/ME/XP//Vista
12月,一种被称为“尼姆亚”新型病毒在互联网上大规模爆发。
12月份—1月30日,变种数已达90多个,个人用户感染熊猫烧香的已经高达几百万,企业用户感染数还在继续上升[1]。
1月7日,国家计算机病毒应急处理中心发出“熊猫烧香”的紧急预警。
1月9日,湖北仙桃市公安局接报,该市“江汉热线”不幸感染“熊猫烧香”病毒而致网络瘫痪。
1月31日下午,各路专家齐聚省公安厅,对“1·22”案进行“会诊”,同时成立联合工作专班。
2月3日,回出租屋取东西准备潜逃的李俊被当场抓获。随后将其同伙雷磊抓获归案。[2]
9月24日,“熊猫烧香”计算机病毒制造者及主要传播者李俊等4人,被湖北省仙桃市人民法院以破坏计算机信息系统罪判处李俊有期徒刑四年、王磊有期徒刑二年六个月、张顺有期徒刑二年、雷磊有期徒刑一年,并判决李俊、王磊、张顺的违法所得予以追缴,上缴国库;被告人李俊有立功表现,依法可以从轻处罚。[2]
1月29日,金山毒霸反病毒中心称:“熊猫烧香”化身“金猪报喜”,危害指数再度升级。[3]
6月,据浙江省丽水市人民政府官方微博“丽水发布”提供的消息称,“熊猫烧香”病毒制造者张顺、李俊因设立“金元宝棋牌”网络赌场,非法敛财数百万元,已经被丽水市莲都区检察院批准逮捕。
运行过程
磁盘感染
熊猫烧香病毒对系统中所有除了盘符为A,B的磁盘类型为DRⅣE_REMOTE,DRⅣE_FⅨED的磁盘进行文件遍历感染。
熊猫烧香
注:不感染文件大小超过10MB以上的
(病毒将不感染如下目录的文件):
Microsoft Frontpage
Movie Maker
MSN Gamin Zone
Common Files
Windows NT
Recycled
System Volume Information
Documents and Settings
……
(病毒将不感染文件名如下的文件):
setup.exe
病毒将使用两类感染方式应对不同后缀的文件名进行感染
(1)二进制可执行文件(后缀名为:EXE,SCR,PIF,COM): 将感染目标文件和病毒溶合成一个文件(被感染文件贴在病毒文件尾部)完成感染.
(2)脚本类(后缀名为:htm,html,asp,php,jsp,aspx): 在这些脚本文件尾加上如下链接(下边的页面存在安全漏洞):
<iframe src=></iframe>
在感染时会删除这些磁盘上的后缀名为.GHO的Ghost备份文件。
生成文件
病毒建立一个计时器,以6秒为周期在磁盘的根目录下生成setup.exe(病毒本身)autorun.inf,并利用AutoRun Open关联使病毒在用户点击被感染磁盘时能被自动运行。
局域网传播
病毒生成随机个局域网传播线程实现如下的传播方式:
当病毒发现能成功联接攻击目标的139或445端口后,将使用内置的一个用户列表及密码字典进行联接(猜测被攻击端的密码)。当成功联接上以后将自己复制过去,并利用计划任务启动激活病毒。
修改操作系统的启动关联
下载文件启动
与杀毒软件对抗
特点原理
熊猫烧香是一种蠕虫病毒的变种,经过多次变种而来,由于中毒电脑的可执行文件会出现“熊猫烧香”图案,所以也被称为 “熊猫烧香”病毒。但原病毒只会对exe文件的图标进行替换,并不会对系统本身进行破坏。而大多数是中等病毒变种,用户电脑中毒后可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。同时,该病毒的某些变种可以通过局域网进行传播,进而感染局域网内所有计算机系统,最终导致企业局域网瘫痪,无法正常使用,它能感染系统中exe,com,pif,src,html,asp等文件,它还能终止大量的反病毒软件进程并且会删除扩展名为gho的备份文件。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。
熊猫烧香
传播方法
熊猫烧香是一个感染型的蠕虫病毒,它能感染系统中exe,com,pif,src,html,asp等文件,它还能结束大量的反病毒软件进程。
1、拷贝文件
病毒运行后,会把自己拷贝到
C:\WINDOWS\System32\Drivers\spoclsv.exe
2、添加注册表自启动
病毒会添加自启动项
svcshare ->C:\WINDOWS\System32\Drivers\spoclsv.exe
3、病毒行为
a:每隔1秒
寻找桌面窗口,并关闭窗口标题中含有以下字符的程序:
QQKav
QQAV
防火墙
进程
VirusScan
网镖
杀毒
毒霸
瑞星
江民
黄山IE
超级兔子
优化大师
木马克星
木马清道夫
QQ病毒
注册表编辑器
系统配置实用程序
卡巴斯基反病毒
Symantec AntiVirus
Duba
esteem proces
绿鹰PC
密码防盗
噬菌体
木马辅助查找器
System Safety Monitor
Wrapped gift Killer
Winsock Expert
游戏木马检测大师
msctls_statusbar32
pjf(ustc)
IceSword
并使用的键盘映射的方法关闭安全软件IceSword
添加注册表使自己自启动
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
svcshare ->C:\WINDOWS\System32\Drivers\spoclsv.exe
并结束系统中以下的进程:
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
kvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundll32.exe