忘了

核心提示：在两个多月的时间里，“熊猫烧香”病毒迅速化身数百种，不断入侵个人电脑，感染门户网站和近千家大型企业。病毒作者留名“武汉男孩”，他对病毒的更新使反毒人士不断加班通宵熬夜。目前，业内人士对“武汉男孩”的身份存在3种猜测。

“熊猫烧香”考问网络安全

京华时报1月26日报道 这是一波电脑病毒蔓延的狂潮。在两个多月的时间里，数百万电脑用户被卷将进去，那只憨态可掬、颔首敬香的“熊猫”除而不尽，成为人们噩梦般的记忆。

反病毒工程师们将它命名为“尼姆亚”。它还有一个更通俗的名字———“熊猫烧香”。它迅速化身数百种，不断入侵个人电脑，感染门户网站，击溃企业数据系统……它的蔓延考问着网络的公共安全，同时引发了一场虚拟世界里“道”与“魔”的较量。

反病毒工程师和民间反病毒人士纷纷投身其中。

1月19日，一个最新的“熊猫烧香”变种病毒出现。病毒作者宣称，这将是“熊猫烧香”最后一次更新。

这场历时两个多月的较量结束了吗？

忘了

来自Sophos病毒、间谍软件和垃圾邮件研究中心的全球网络——SophosLabs(tm)的专家们劝告Windows的用户们因关于声称已经在忠国大范围内感染了数百万用户的“五星级计算机”病毒的报道而产生恐慌。这款病毒已经可以被识别出来，因为它会把受感染！的程序的图标变成一个熊猫烧香的图片。 包括《上海日报》在内的一些忠国媒体报道都转述了上海信息技术服务中心成员的“顶级”威胁报告，因为它已经被公布于一些政付的机构和企业中了。至少有一家北京的安全公司被报道估计有上百万人的PC可能受到了该蠕虫的感染。

然而，Sophos却只收到少量的关于该恶意软件在外流窜的报告。 为人所知的Fujacks-I和Fujacks-J（在一些媒体报道中也被叫做whboy蠕虫）的病毒已经被Sophos的行为特征技术Mal/Packer前瞻性的监测到。 尽管《上海日报》的报道称到目前为止所有的感染都被发现在Windows的中文版上，然而Fujacks并不局限于此。这款病毒亦会在Windows的英文版上横行和传播。事实上，Fujacks因其寄生性质而得以在已受感染的PC中迅速传播，它通过现有的EXE文件作为宿主进行传播。这意味着单一一个PC上最终就会积攒几百个病毒。 另外，Fujacks也会在一些例如USB、音乐播放器和相机之类的移动设备上共享和感染传播。它会在移动设备上创建一个隐藏的OUTORUN文件，从而希望在受感染的设备被连接到其它PC的时候可以自动传播其病毒。

“不论它LAN的爬网能力有多强，Fujacks都不会悄无声息的传播，所以它似乎不会大规模流行。此款病毒会把EXE文件的图标变成一个熊猫烧香的图片。” Sophos的高级技术顾问Graham Cluley解释道，“另外，被此病毒感染的文件将不能正常工作，而被它感染的电脑在病毒被清除前似乎是不能使用的。这就使得感染行为更加显而易见。我们已经收到一两篇关于亚洲地区被感染PC的报告，但是并没有证据显示会有任何形式的‘毁灭破坏’爆发，至少商业用户不必恐慌，就像之前建议的。” Sophos反病毒产品的用户已经被保护免受Fujacks的危害。Sophos仍旧建议用户它们在电脑上运行的程序要谨慎。不要用管理员账号来进行日常的工作，将包含企业应用程序的网络共享写保护，并且运行最新的安全防护软件。

忘了

元月14日，家住团结路的左小姐告诉记者，她的电脑中毒了，桌面上的图标被换成一只熊猫在烧香的图片。

　　记者从业内人士处了解到，本周“Worm.Nimaya.w”病毒要特别注意防范。该病毒通过感染文件传播，可造成用户文件损坏，无法运行。被感染文件图标会变为一只举着三炷香的熊猫，因此该病毒又被业内称为“熊猫烧香”。

　　瑞星史工程师告诉记者，“熊猫烧香”是一个蠕虫病毒。该病毒采用“熊猫烧香”头像作为图标，诱使用户运行。该变种会感染用户计算机，导致感染后的文件图标变成一只烧香的熊猫。同时，受感染的计算机还会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。该病毒可通过局域网进行传播，进而感染局域网内所有计算机系统，最终导致整个局域网瘫痪，无法正常使用。

　　史工程师建议：安装专业的杀毒软件，升级到最新版本，并打开实时监控程序；安装个人防火墙软件，防止互联网上其它的病毒多重中毒：对于没有安装杀毒软件的用户可以登录杀毒软件官方网站进行免费在线杀毒。

忘了

日来，“熊猫烧香”已给个人和企业造成了严重的困扰，今天，这个病毒又出现了新的变种，用户需要及时升级杀毒软件，如果不幸中招，可以从金山毒霸或者瑞星反病毒官方网上下载专杀工具解决问题。不过今天除了“熊猫”这个老朋友，病毒家族中又出现了“宽带大盗”这个新的成员，2006年曾经出现过类似的病毒，也有不少用户因此遭受了经济上的损失，还请用户们今天上网时万分小心，在登录ADSL界面时如果出现密码错误等提示，请立即联系网通或者电信客服。下面将播报今天的病毒预警。

    北京信息安全测评中心、金山毒霸联合发布2007年01月17日热门病毒：

    今日提醒用户特别注意以下病毒：“宽带大盗变种f”(Troj.ADSL.f)和“Braban变种e”(Worm.Braban.e) 。

    “宽带大盗变种f”(Troj.ADSL.f)木马病毒，骗取用户输入账户、密码后将其相应信息发送给木马种植者。

    “Braban变种e”(Worm.Braban.e)蠕虫病毒，通过MSN传播，还将下载其他病毒。

    另外，据瑞星反病毒监测网报道，“尼姆亚变种BC（Worm.Nimaya.bc）”病毒（又名“熊猫烧香”）。该病毒通过局域网共享、优盘、感染可执行文件、软件漏洞等多种方式传播，可造成用户文件被损坏，无法运行。

    金山毒霸“熊猫烧香”病毒专杀工具下载地址：http://www.xiongmaoshaoxiang.com

    瑞星“熊猫烧香”病毒专杀工具下载地址：http://it.rising.com.cn/Channels ... 3505486d38734.shtml[page]

金山今日热门病毒：

    一、“宽带大盗变种f”(Troj.ADSL.f)  威胁级别：★★

    据金山毒霸反病毒工程师介绍，这是一个盗取北京宽带网账户的木马。该木马运行时弹出北京宽带网秘密修改图片，提示用户绑定电话号码和密码才能上网的信息，骗取用户输入账户和密码，并将其重要信息发送给木马种植者。

    二、“Braban变种e”(Worm.Braban.e)   威胁级别：★★

    据金山毒霸反病毒工程师介绍，这是一个通过MSN传播的蠕虫病毒。该病毒在受感染系统中生成以下病毒文件：%PROGRAM FILES%\MSN Messenger\msnmsgr.exe，修改原来的msnmsgr.exe为msnm.exe；该后台链接特定网站并下载其他病毒；同时，该病毒还将查找MSN聊天窗口，发送诱惑性语言将其自身发送出去。

忘了

附专杀熊猫烧香工具：下载：熊猫烧香(武汉男生)安博士专杀工具

      熊猫烧香(武汉男生) 金山专杀工具

      熊猫烧香(武汉男生)安天专杀工具

      熊猫烧香(武汉男生)江民专杀工具

忘了

通用的解决方法

    1、就是要关闭自己的默认共享。

    首先运行regedit，找到如下组建[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]把

RestrictAnonymous = DWORD的键值改为：00000001。

restrictanonymous REG_DWORD

0x0 缺省

0x1 匿名用户无法列举本机用户列表

0x2 匿名用户无法连接本机IPC

说明:不建议使用2，否则可能会造成你的一些服务无法启动，如SQL Server

    2、禁止默认共享

    1）察看本地共享资源

    运行-cmd-输入net share

    2）删除共享(每次输入一个）

net share ipc$ /delete

net share admin$ /delete

net share c$ /delete

net share d$ /delete（如果有e,f,……可以继续删除）

    3）修改注册表删除共享

    运行-regedit

    找到如下主键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]

    把AutoShareServer（DWORD）的键值改为0000000。

    如果上面所说的主键不存在，就新建(右击-新建-双字节值）一个主健再改键值。  

    我门再看看这个病毒功能是多么的强大： 瞬间复制整个硬盘、有监视QQ记录的功能、网吧的电脑依然有效！显然有了精灵的转存功能。值得注意的功能：删除GHOST的功能，控制电脑进行集体的DDOS，更出现了KILL掉KV、瑞星和金山的功能！

    再看看病毒的特型：网页传播！电脑的弱口令。默认共享传播！在内网的传播速度非常的快！对企业的居于网有很大的杀伤力！病毒瞬间复制整个硬盘。占用内存极小~

    熊猫这款病毒虽然不是很新鲜。但是病毒的作者真的很让人佩服~完全的网络高手！超强的优秀程序员！

    忘说了：网络巡警的熊猫专杀工具。就可以杀最新的变种！

忘了

你中过熊猫烧香么？！看到过熊猫拿着三支香的样子么！？中招后如何处理！？看完本文，你将学会如何从计算机中杀掉“熊猫烧香”。（第三页附专杀工具）

    惊险查杀过程

    1.熊猫烧香病毒：图片就是个熊猫在烧香感觉蛮可爱的！当时并没有很在意！第二天再次打开电脑的时候！几乎电脑所有的EXE文件都成了熊猫烧香图片！这时才有所感觉！

    部分EXE文件已经无法正常使用！新加一个AUTORUN.INF的文件！

    当初不明白这个文件的作用！在网上查了一些资料表明。才知道。只要用户打开盘符。就会运行这个病毒！用杀毒软件杀毒！没有效果！看来现在的杀毒软件越来越不行了~..

    2.想用组合键打开任务管理器！无法打开~失败....想看看注册表有没什么情况。依然失败！奇怪的是：电脑运行正常。也都不卡！难道不是病毒.是系统出了问题？从网上下了第三方工具查看进程！果然看到两个可疑进程！FuckJacks.exe貌似是最可疑的不敢贸然终止！赶快问问白度大叔！

    3.大叔告诉我。是熊猫病毒的进程！一切正如我意！懒的装系统了！

    4.先结束FuckJacks.exe进程！开始-运行-CMD 输入：ntsd -c q -p 病毒的PID~终于KILL掉了！一切恢复正常了！兴奋ING...赶快打开注册表

    突然注册表又关了.看看进程FuckJacks.exe。又出现了~~那应该它还有个守护进程！找找找。无发现....奇怪了。难道他的守护进程插入到系统

    进程了？不会吧.....头疼一阵...。

    5.算了，去向朋友找个专杀工具。有一个朋友说他写过熊猫的专杀工具！晕~~原来牛人在我身边。我都没发现~赶快想他请教~~才大概的了解了熊猫烧香~ 叫他给了我一个无壳的熊猫自己分析下~（自己动手.丰衣足食嘛~~）

    6.用UI32打开熊猫.看到了条用的部分资源！文件执行后。释放到\system32\FuckJacks.exe下。

    7.继续象下可以看到熊猫的一些传播过程相当的经典..有扫描同一网段的电脑~自我复制.等等相当强大公能~同时感染所有盘符的EXE文件~却不对一些重要的系统文件和常用文件进行感染！可见并不想早成太大破坏~修改注册表.禁止打开注册表.甚至禁用了部分服务~~

    8下面就是重要的时刻了！从后面的代码可以看出！病毒的作者是个非常出色的程序员！有非常好的编程习惯！对病毒的异常运行~进行了很好的定义~都很大段都是作者对病毒运行条件的判断定义~值得注意的一点：在感染EXE文件的同时！感染ASP。HTML文件。会在最后加一段类似挂马的基本代码.~~做到通过第三方尽快传播的办法~（如果被感染者是网站管理人员。后果可想而知了）

    病毒程序的运行

    在给大家说下病毒的部分运行实现！简单的修改注册表：

    有这样一句：WSHELL.REGWIRTE  MYREGKEY， MYREGVALUE， MY REGTYPE  

    第一个是参数的键名：完整路径..

    第二个是：键值。。

    第三个是：键的类型，

Set wshell=wscript.createobject("wscript.shell")

wshell.regWrite"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\windows NT\CurrentVersion\Winlogin\shell","eseplorer.exe","REG_SZ"

    这就是脚本病毒掼用技术~