“熊猫烧香”!!!

丹霞隐士

今早上班，同事说电脑卡机，我以为只是运行应用程序太多的缘故，随手帮他关掉几个进程，可是并没有太大的改善，没多久还死机了。重启后，我再次打开进程，看到有两上陌生的进程，不认识，干脆关掉，可一关就死机。正当我思考问题所在的时候，那位同事开始复制硬盘里的资料，他以为要重装。突然他笑嘻嘻地告诉我，F盘里有一只可爱迷人的国宝大熊猫，两手握着三柱香，顶礼膜拜，样子很虔诚。我伸头去看，突然想起了2007 年第一周排行榜第一位的病毒，莫非……这就是传说中的“熊猫烧香”？

想到这里脚有点软了，据说它最喜欢漫游局域网，只要进入其中一台电脑，很快就会游遍整个局域网，已经有数十家企业的局域网因此瘫痪。于是我不敢多想，第一时间冲进机房断掉了网络，然后仔细检查了所有的电脑。还算幸运，只有两台电脑中招。折腾了一整天，终于把其中一台电脑的熊猫干掉，另一台因为没有重要数据，干脆把硬盘格掉重装，还好它没有参观我们的服务器，否则后果不堪设想。

现在想起来仍然心有余悸，因为我曾经看过关于它的传说。“熊猫烧香”对 Windows 和常用的系统组件，如 IE、Messenger 等的运行没有多大影响，所以一般并不引人注意。如果不是那位同事的电脑死机，或许今天根本不会发现它。“熊猫烧香”会自行搜索硬盘上扩展名为 .EXE、.HTM、.ASP、.CHM 等几种类型的文件，把这些文件当作宿主，寄生在这些文件里。一旦这几种类型的文件被感染，文件的图标就会变成一只烧香熊猫的样子，同时文件变大（病毒已经寄生在其中），如果运行这些中毒的文件，病毒就会疯狂扩散。不但可以对用户系统进行破坏，导致大量应用软件无法使用，而且还可删除扩展名为gho的所有文件，造成用户的系统备份文件丢失，从而无法进行系统恢复。同时该病毒还能终止大量反病毒软件的进程，具有自行关闭防火墙和杀毒软件的能力，电脑上的瑞星防火墙便被强制禁用，病毒监控虽然可以运行，但也被取消了随系统启动一同加载的权利。连 Windows 安全中心也不能幸免，Security Center 服务被整个删除，另外在文件夹选项中也无法查看隐藏的文件夹和文件，在文件夹选项中设置“显示所有文件夹和文件”后无法保存设置。

“熊猫烧香”属于“威金”的一个最新变种蠕虫病毒，自从去年被截获以来，已经感染了超过30万台电脑，几乎每天都有新变种出现。它的生命力惊人，变种速度快，影响范围广，与06年横行于局域网的“威金”不相上下。近段时间，“熊猫烧香”(Worm.WhBoy.h) 蠕虫正处于急速变种期，仅11月份至今，变种数量已达十几个，尼姆亚变种W(Worm.Nimaya.w)就是其中之一。用户电脑中毒后可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。同时，该病毒的某些变种可以通过局域网进行传播，进而感染局域网内所有计算机系统，最终导致企业局域网瘫痪，无法正常使用。

“熊猫烧香”有几大变种，变种A就是大家常说的spoclsv.exe进程，它藏身的全路径是：% SystemRoot%Driversspoclsv.exe。变种B主要的改动是对抗杀毒软件，尤其是超级巡警的专杀，该专杀旧版本被360安全卫士内置到工具列表中，变种B通过查找窗口标题有超级巡警字样，即关闭该窗口，即使在桌面新建一个名为超级巡警的文本文件，用记事本打开也会被关闭，同时还会关闭其它一些常见的进程管理，比如常用的Windows任务管理器。变种C是最近才出现的一个变种，该变种感染文件后图标不再是熊猫模样，当感染该变种会在临时目录发现100个图标文件。还有其它一些变种，基本都是为了躲避查杀进行修改和下载不同的后门的版本。

“熊猫烧香”在感染的系统上，会关闭杀毒软件进程，删除杀毒软件的注册表项目，禁用杀毒软件的服务，修改资源管理器不显示隐藏文件等。还会调用如下命令来删除共享：
cmd.exe /c net share C$ /del /y
cmd.exe /c net share D$ /del /y
cmd.exe /c net share admin$ /del /y

旧变种会全面感染系统文件，新变种会感染除系统目录外的文件，即尽量不感染微软操作系统自身的文件。新旧变种都会删除.gho，一般人会在安装完成系统后，使用Norton Ghost进行备份，熊猫会恶意删除这个备份文件。其中一个变种还会在感染目录生成desktop_.ini。最大的破坏是，熊猫烧香本身就是一个下载者，会在指定的网站下载后门、木马、各种盗号程序，甚至DDoS程序。

有人使用了超级巡警和巡警之熊猫专杀后，将一个机子杀干净了，但不久又发现感染了，这是因为，熊猫烧香在感染了一个系统后，开启一个单独的线程进行C类网络扫描感染，访问同网段的139/445端口，进行IPC$密码猜解和查找共享，并感染共享中的文件。这样只要网络内有一个机子还有存活的“熊猫烧香”病毒，就依然存在再次感染全网的可能。

我在网上遍寻良方，最后选用了手动查杀的方法，整个过程如下：

1、 在任务管理器的进程列表中关闭 SPCOLSV.EXE 病毒进程。这个SPCOLSV.EXE 明显是在模仿系统进程 SPOOLSV.EXE。
2、 删除位于%SystemRoot%system32Drivers 文件夹中的SPCOLSV.EXE 文件。%SystemRoot%system32Drivers 文件夹中不应该存在 .EXE 文件，所以很好找。
3、 每个硬盘分区的根目录都有两个隐含的文件 AUTORUN.INF 和 SETUP.EXE，将这些垃圾全部删除。
4、 在注册表 HKEY_CURRENT_USER/Software/Microsoft/Windows/Current Version/Run 中把病毒的启动项 svcshare 删除。
5、 恢复杀毒软件随系统启动的加载项，在注册表 HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/Current Version/Run 中加上一个 RavTask，设置命令为 "C:RiSingRavRavTask.exe" -system 即可，其中 C:RisingRAV 是瑞星的默认安装位置。
6、 在另一台“安全中心”服务正常的电脑上打开注册表，将 HKEY_LOCAL_MACHINE/SYSTEM/Current/Control/Set/Serviceswscsvc 的全部内容导出为 .REG 文件，复制到故障电脑上导入注册表，然后重新启动 Windows，恢复被病毒删除的“安全中心”服务。

到这个地步，病毒的主要文件基本上就被清理干净了。但是还剩下那些已经变成了熊猫嘴脸的 .EXE 文件，一开始不知道如何恢复。试过瑞星、江民和金山提供的熊猫烧香病毒专杀工具，但它们都只能清理上面提到的 AUTORUN.INF 和 SETUP.EXE，对于已经被寄生的 .EXE 文件无法自动恢复。后来在反间谍软件“超级巡警”里找到了一个熊猫烧香病毒专杀工具1.6，名为 KillPanda.BAT，这个工具总算没有让人失望，经过扫描后，被寄生的 .EXE、.HTM 等类型的文件都恢复了默认图标，而且文件大小也恢复正常了，可以正常运行，总算避免了需要全部重新安装的厄运。不过所有被寄生过的文件，文件的生成时间、修改时间和访问时间就都保不住了，最后还是留下了一点“后遗症”。查杀完成后使用超级巡警的补丁检查检查系统没有打的补丁，及时打上补丁，尤其是IE补丁。然后修改口令(这点很重要，因为熊猫病毒会自动破解密码进入计算机，空密码或是简单的密码都很危险)，取消本地共享目录。

舞动的猪

厉害！ [M29]

sun20060126

比较有同感!!

最近的熊猫病毒比较嚣张!!普通的手动删除比较棘手!通常对待病毒我都是手动删除的,而对待熊猫好象效果不佳......

starkyoyo

[M14] 俺还没见识过,只听很多朋友同学说起,还有原来的同事说单位的机子全都中啦, [M01] [M01] [M01] ~~~

邪明少

宝典啊！ [M29] [M29]
已经收藏 [M14] [M14]

请问LZ：是原创不？ [M05]

小王子

上周我们公司的好几台电脑都中招了，然后大家围着嚷嚷要看那可爱的小熊猫～

好多文件的图标都变成了一个憨厚的小熊猫毕恭毕敬的举着三支香 [M04]
表现为：双击打不开文件，非要按右键点击“打开”

后来不知道他们怎么杀掉的，反正我幸免于难了～ [M24]

邪明少

俺前两天帮一个阿姨解决这个问题，最终用了重装系统这个万能招！ [M01] [M01]

小王子

引用作者 邪明少 于 2007-1-23发表的原文
俺前两天帮一个阿姨解决这个问题，最终用了重装系统这个万能招！ [M01] [M01]

唉～看来电脑盲也要去学学如何重装系统了 [M13]
不过还有一招：一键恢复！ [M04]

丹霞隐士

引用作者 sun20060126 于 2007-1-22发表的原文
比较有同感!!

最近的熊猫病毒比较嚣张!!普通的手动删除比较棘手!通常对待病毒我都是手动删除的,而对待熊猫好象效果不佳......

这玩意是比较麻烦，手动删除也会有手尾，重装是最好的办法。只是有些电脑中毒以后根本无法操作，而里面又有重要数据。所以只能耐心地手动删除。

丹霞隐士

引用作者 邪明少 于 2007-1-23发表的原文
宝典啊！ [M29] [M29]
已经收藏 [M14] [M14]

请问LZ：是原创不？ [M05]

一半一半吧，因为有几招是在网上搜索到的，在操作中遇到了不同的情况，我又用自己的方法解决了一部分，最后总结出这一套杀毒方法。 [M05]

seafeeling

预防的招数在哪？

是否：
1）安装防火墙；
2）升级WIN系统；
3）更新杀毒软件。
4）没事拔掉网线？

小王子

...看看中毒后的文件图标～

小王子

这个可爱吧～ [M24]就是左上角那个～
[本帖由小王子修改于2007-01-23 09:17:38]

GIGI

偶单位上个星期因为这个"熊猫烧香"，局域网瘫痪了两天 [M13]

aaaznh

我也中招了,也是手动删除的,特别要注意的是可以通过USB盘传染!记得把USB盘也清一清.