忘了

2007/2/6/9:12



——剖析手机病毒始末

    前些日子，一只手握三支香的“可爱熊猫”让广大计算机用户吃尽了苦头。截至到2007年1月25日，这个以手拿三支香的熊猫图标为代表的“熊猫烧香”病毒已攻击千余企业网站，其中不乏金融、税务、能源等关系到国计民生的重要单位，而受到攻击的个人用户更不下千万，其危害程度不亚于CIH、震荡波、冲击波等老牌电脑病毒。

    　“熊猫烧香”只是用Delphi语言工具编写一种蠕虫病毒的变种，只不过经过多次变种，威力大增。它通过感染用户电脑上的.exe文件用户电脑中毒，中毒后可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。同时，该病毒可以通过局域网进行传播，进而感染局域网内所有计算机系统，最终导致企业局域网瘫痪。那么，作为与WINDOWS桌面操作系统一脉相承的WINDOWSMOBILE智能手机会不会也被感染了？会不会像电脑用户一样数据被毁，无法正常使用了？

    熊猫烧香拿手机没辙

    那么手机是否会被感染熊猫烧香病毒了？我们的回答是：可能也不可能。为什么会是这样的回答了？我们说可能，指的是智能手机的存储卡如果与感染了熊猫烧香的PC设备进行数据交换，比如你把存储卡插在读卡器上连接到已感染熊猫烧香的PC机上，“熊猫烧香”病毒就会感染到存储卡上的.exe程序，说明智能手机受到病毒的威胁不是空穴来风。但是，熊猫烧香并不能在智能手机上运行，这就是我们所说的不可能。

    熊猫烧香对于智能手机而言仅限于“感染”，或者形容它只是一具僵尸，并不能产生任何的破坏作用。对于这个结论，我们采访了几名精于WINDOWSMOBILE平台编程的专家，其中还有几名是拥有微软MVP头衔的“高手”，他们的理由如下：

    第一，熊猫烧香是一个win32病毒，而不是wince病毒，运行在不同的系统环境上，所以智能手机根本不能运行?X86的PE程序。所以，在wince平台上熊猫烧香不可能发作。

    第二，WINDOWSMOBILE智能手机的CPU和PC机的CPU普遍不同，PC机上x86的指令集编译的程序根本不能够在采用ARM架构的CPU上运行，生成的机器码也不同，所以病毒体不可能被执行。

    第三，如果用读卡器连接台式机，熊猫烧香会感染卡中的程序。因为win32和wince的exe格式相同，“熊猫烧香”会以为这些.exe文件是win32可执行文件从而感染之。但是，这些程序因为平台不同无法运行，所以并不会在智能手机上形成病毒传播，也就是说，这些程序中的病毒形如僵尸，没有破坏能力。

    第四、WINDOWSMOBILE智能手机本身自带的核心程序是在rom中以xip方式执行的。Xip运行方式最大的特点是不载入内存，直接用rom中的地址来运行。因为rom不可写，所以不会被修改，就算熊猫烧香想感染也不可能。也不会造成系统崩溃之类的破坏。最坏最坏的打算就是硬启动一下机器，只要你平时做好了备份，这点损失根本不算是损失，何况这种可能性几乎没有。没有这样的巨大破坏，那这个病毒还用那么嚣张吗？

    　“烧香烧到手机”传言的起源

    对于熊猫烧香能够影响手机说法始于何处，我们已经无从考证。但是我们从网上找到了一个熊猫烧香的手机主题。这个适用于智能手机的主题文件安装后，确实能在手机上显示感染熊猫烧香病毒后的图标，但实际上并不影响手机的正常使用和功能。

忘了

看来，这只是好事者借“熊猫烧香”之名而搞出的一个恶作剧，但是以讹传讹，到最后就变成了“烧香烧到手机”的传言了。

    熊猫烧香不是手机病毒代言人

    手机病毒的原理其实和计算机病毒一样，它以手机为感染对象，以手机网络和计算机网络为平台，通过病毒短信、蓝牙等形式，对手机进行攻击，从而造成手机异常的一种新型病毒。手机病毒并不是骇人听闻的谣言，它是随着计算机应用与网络的普及所产生的必然产物，但目前出现的种类还不是很多，因此有很多人还不了解手机病毒，还不知道手机病毒是什么样子，会做什么样的破坏。

    就算是没有了“熊猫烧香”的威胁，手机病毒仍是智能手机所面对的头号敌人。早在2000年6月，西班牙发生了一件让人匪夷所思的事情，许多人无故收到一些骂人的垃圾短信，而这些短信全部来自当地一家叫做Telefonica移动运营商，正当用户们感到一头雾水的时候，其它垃圾短信及广告信息又接踵而至，经有关部门查证，得出一个出人意料的结论——此为手机病毒所为，并把其命名为VBS.Timofonica，VBS.Timofonica同时也获得了全球第一个手机病毒的“美誉”。

    其实VBS.Timofonica并不能准确地称为“病毒”，它不符合基本的病毒转播模型，不具备病毒最基本的特地。简单的说，至少它不具备传染性，VBS.Timofonica自身不会进行传播及复制，它只不过是一种攻击程序。

    第一个真正意义上的病毒叫EPOC.Cabir.A（又名卡波尔），该病毒通过蓝牙技术在一定范围内的蓝牙设备间传播，专门感染智能手机系统。“卡波尔”病毒是针对Symbian系统的“proofofconcept类蠕虫病毒，虽然影响不大破坏力不强，但是作为第一款具有病毒特征的手机病毒，其划时代的意义远远大于实际价值。   

    目前在SYMBIAN平台上的手机病毒数量最多，大约占了整个数量的七成，但这不能说明像WINDOWSMOBILE这类智能手机操作系统就是一方净土。例如WinCE4.Dust就是第一款以ARM芯片和WM2003为攻击目标的WinCE病毒。它工作原理是感染PPC根目录上所有以*.EXE命名的软件，但危害并不大，受感染的文件依然可以正常的运行。

.~龍包-.

原帖由 箹錠 于 2007-2-6 13:40 发表



如果是熊猫烧香就不是那么轻松过关的了！！

那熊猫不是很恐怖....

忘了

不是很恐怖....

            是非常恐怖！！



你看：你的泪光，柔弱中带伤，
满屏的熊猫香，删除过往，
熊猫猖狂，点上三根香，是谁在电脑前冰冷的绝望
猫慢慢拜，暗黄色的香，
我瘫坐椅子上，精神错乱，
路在何方，谁为我思量，冷风吹乱憔悴模样。
熊猫拜，三根香，你的笑容已泛黄，
重装又重装，我心里在发慌。
江民杀，瑞星除，你的影子剪不断，
徒留我在机旁神伤。
爱机已死两忙忙，不思量，自难忘。
熊猫烧香，无处话凄凉。
纵使相逢应不识，恨满面，屏如霜。
夜来恶梦忽还乡，小熊猫，正烧香。
相顾无言，唯有泪千行。
料得重装爱机日，熊猫来，还烧香

忘了

2007年02月06日 20:02   :34


360安全中心发布：为了帮助解决360安全卫士用户被“熊猫烧香”频频骚扰的问题，奇虎公司特别开辟“熊猫烧香”专杀工具平台，所有360安全卫士的用户都能够在此平台上获得金山、瑞星、江民等公司提供“熊猫烧香“专杀工具，有效的对电脑进行安全防护。

　　360安全中心表示，未来将加强与国内外各大安全厂商的
合作，致力于为广大网民提供全方位的电脑安全防护平台。

　　与此同时，奇虎公司还宣布发起“悬赏缉凶”活动。任何网民，只要能够提供包括my123在内的恶意软件制作者的重要线索，都有机会得到奇虎公司提供的总额高达100万元的奖金。

　　360安全中心称，希望“悬赏缉凶”活动能够调动广大网民的主动性，积极检举、揭发恶意软件的制作者，从而达到从源头上扼制恶意软件泛滥的目的。这项“悬赏缉凶”活动将长期的开展下去，2007年爆发的任何一款重大恶意软件，用户均可以提供线索，如果被公安机关采纳并破案，奇虎将给予重奖。

　　对于能够提供my123等恶意软件制作者重要线索、证实“360安全卫士后门”确实存在的任何个人和公司，均可以发邮件service@360safe.com提供线索。

　　另据最新数据显示，360安全卫士的累计安装量超过1500万，日查杀恶意软件数百万次。为了更好的服务网民，在此我们呼吁广大网民保持警惕及时向360安全中心的技术人员举报电脑中不正常现象。

　　我们还建议广大网民建立良好的软件安装习惯，安装下载软件时尽量到官方网站和正规下载站下载；及时给系统打安全补丁；定期使用360安全卫士为您的电脑体检。

　　如果用户发现机器已经被恶意软件控制，无法正常访问360安全卫士网站，请直接用ip地址方式下载最新版进行查杀：http://220.181.34.241/setup.exe。

忘了

建议您用卡巴6.0到安全模式下全盘杀毒     一. 关闭病毒进程 　　Ctrl + Alt + Del 任务管理器，在进程中查找 sxs 或 SVOHOST（不是SVCHOST，相差一个字母），有的话就将它结束掉（我的电脑里出现的是SVCHOST）注意别搞错了。 　　二、 显示出被隐藏的系统文件 　　运行——regedit 　　HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL，将CheckedValue键值修改为1 　　这里要注意，病毒会把本来有效的DWORD值CheckedValue删除掉，新建了一个无效的字符串值CheckedValue，并且把键值改为0！我们将这个改为1是毫无作用的。（有部分病毒变种会直接把这个CheckedValue给删掉，只需和下面一样，自己再重新建一个就可以了） 　　方法：删除此CheckedValue键值，单击右键 新建——Dword值——命名为CheckedValue，然后修改它的键值为1，这样就可以选择“显示所有隐藏文件”和“显示系统文件”。 　　在文件夹——工具——文件夹选项中将系统文件和隐藏文件设置为显示 　　三、删除病毒 　　在分区盘上单击鼠标右键——打开，看到每个盘跟目录下有 autorun.inf 和 sxs.exe 两个文件，将其删除。 　　四、删除病毒的自动运行项 　　打开注册表运行——regedit 　　HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run 　　下找到 SoundMam 键值，可能有两个，删除其中的键值为 C:\\WINDOWS\system32\SVOHOST.exe 的 　　最后到 C:\\WINDOWS\system32\ 目录下删除 SVOHOST.exe 或 sxs.exe 　　重启电脑后，发现杀毒软件可以打开，分区盘双击可以打开了。

§Angel§

如果哪天我傢電腦給他黑了。

我就好好學習。

然後再找出那男的。

我黑他電腦!

忘了

最近，一个叫“熊猫烧香”的病毒把电脑用户折腾得苦不堪言，在人们心目中，“熊猫”这个国宝似乎不再可爱，而成了人人喊打的过街老鼠。 “熊猫烧香”蠕虫不但可以对用户系统进行破坏，导致大量应用软件无法使用，而且还可删除扩展名为gho的所有文件，造成用户的系统备份文件丢失，从而无法进行系统恢复；同时该病
毒还能终止大量反病毒软件进程，大大降低用户系统的安全性。

　　这几天“熊猫烧香”的变种更是表象异常活跃，近半数的网民深受其害。用户除了可以从http://tool.duba.net/zhuansha/253.shtml下载金山毒霸的“熊猫烧香”专杀来对付该病毒外，金山毒霸技术专家还总结的以下预防措施，帮你远离“熊猫烧香”病毒的骚扰。

　　【专家总结】

　　1、立即检查本机administrator组成员口令，一定放弃简单口令甚至空口令，安全的口令是字母数字特殊字符的组合，自己记得住，别让病毒猜到就行。

　　修改方法：右键单击我的电脑，选择管理，浏览到本地用户和组，在右边的窗中，选择具备管理员权限的用户名，单击右键，选择设置密码，输入新密码就行。

　　2、利用组策略，关闭所有驱动器的自动播放功能。

　　步骤：单击开始，运行，输入gpedit.msc，打开组策略编辑器，浏览到计算机配置，管理模板，系统，在右边的窗格中选择关闭自动播放，该配置缺省是未配置，在下拉框中选择所有驱动器，再选取已启用，确定后关闭。最后，在开始，运行中输入gpupdate，确定后，该策略就生效了。

忘了

原帖由 §Angel§ 于 2007-2-6 23:05 发表


如果哪天我傢電腦給他黑了。

我就好好學習。

然後再找出那男的。

我黑他電腦!

嘎嘎！又被你注意到我发新信息啦？？

              我们河源应该相对比较安全吧！！！

§Angel§

原帖由 箹錠 于 2007-2-6 23:07 发表



嘎嘎！又被你注意到我发新信息啦？？

              我们河源应该相对比较安全吧！！！

嘿嘿,
對阿~

我上面的那條信息千萬別給他看到...

亨.以後我要嫁給電腦高手。

管它熊貓還是狗熊.燒香還是拜佛。

啥病毒都不怕。

嘿嘿。