武漢男生病毒

該變種的特點是，病毒運行後定時發給QQ網友同樣網址，還趁機盜取“傳奇”遊戲的帳戶、密碼以及其他信息，並以郵件形式發給盜密碼者，還結束反病毒軟體。如果點擊病毒網頁將顯示美女圖片，同時彈出標題為“asp空間”的不可見視窗。此網頁利用IE漏洞，下載並運行leoexe.gif和leo.asp檔案，其中leoexe.gif是exe類型的病毒體，leo.asp是病毒釋放器；每隔一段時間給QQ網友傳送信息，病毒運行後複製自身到系統目錄下，檔案名稱是updater.exe、Systary.exe、sysnot.exe，修改文本檔案（*.txt）關聯和執行檔關聯，用戶運行任意的txt檔案和exe檔案都會激活病毒。病毒在計算機中搜尋傳奇遊戲的帳戶密碼以及其他信息，傳送到指定信箱。

清除病毒方法是，刪除病毒在系統目錄下釋放的病毒檔案，刪除病毒在註冊表下生成的鍵值，運行防毒軟體，對病毒進行全面清除。

支持熊貓燒香所有變種的查殺，請重啟系統到帶網路連線的安全模式下使用專殺工具查殺。如果已經中毒，直接運行專殺工具也會失敗，病毒會阻止專殺工具啟動，請重啟系統時，按F8，選擇安全模式，再運行專殺工具處理。

“熊貓燒香”，又稱“武漢男生”，這是一個感染型的蠕蟲病毒，它能感染系統中exe，com，pif，src，html，asp等檔案，它還能中止大量的反病毒軟體進程並且會刪除擴展名為gho的檔案，該檔案是一系統備份工具GHOST的備份檔案，使用戶的系統備份檔案丟失。

此病毒是“武漢男生”的一系列新變種，病毒發作後會利用QQ聊天工具進行傳播，定時給QQ網友傳送包含網址的信息來誘使用戶點擊，該網頁利用了IE的Object Data漏洞下載並運行病毒本身，該漏洞是由HTML中OBJECT的DATA標籤引起的。對於DATA所標記的URL，IE會根據伺服器返回的HTTP頭來處理數據。如果HTTP頭中返回的URL類型Content-Type是Application/hta，那么該URL指定的檔案就能夠執行，無論IE設定的安全級別有多高。

該變種較明顯的特點是，病毒運行後，除定時發給QQ網友同樣的網址外還會趁機盜取“傳奇”遊戲的帳戶、密碼以及其他信息，並以郵件形式發給盜密碼者，還會結束多種反病毒軟體，以保護自身不被清除。

⑴如果點擊病毒網頁，將會顯示美女圖片，而同時彈出一個標題為“asp空間”的不可見視窗。此網頁利用IE漏洞，下載並運行leoexe.gif和leo.asp檔案，其中leoexe.gif並不是圖像檔案，而是exe類型的病毒體，leo.asp是病毒釋放器；

⑵病毒一旦運行，將結束大部分防毒軟體、防火牆以及某些病毒專殺工具；

⑶每隔一段時間給QQ網友傳送信息

⑷病毒運行後會複製自身到系統目錄下，檔案名稱是updater.exe、Systary.exe、sysnot.exe，並在註冊表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices中添加：“windows update” = “%安裝目錄%\system\updater.exe” %安裝目錄% 是Windows 系統的安裝目錄，在不同系統下該目標表現可能不同，可能的有：c:\windows；c:\winnt 等。

⑸修改文本檔案（*.txt）關聯和執行檔關聯，直接指向病毒本身，如果用戶運行任意的txt檔案和exe檔案都會激活病毒。

⑹病毒會在計算機中搜尋傳奇遊戲的帳戶、密碼以及其他信息，傳送到指定的E-Mail信箱。

1、刪除病毒在系統目錄下釋放的病毒檔案

2、刪除病毒在註冊表下生成的鍵值

3、運行防毒軟體，對病毒進行全面清除

病毒名稱：熊貓燒香 ，Worm.WhBoy.（金山稱），Worm.Nimaya.（瑞星稱）

病毒別名：尼姆亞，武漢男生，後又化身為“金豬報喜”，國外稱“熊貓燒香”

病毒類型：蠕蟲病毒，能夠終止大量的反病毒軟體和防火牆軟體進程。

影響系統：Win 9x/ME、Win 2000/NT、Win XP、Win 2003 、Win Vista

熊貓燒香病毒的製造者-李俊

一個水泥廠技校畢業的中專生，一個從未接受過專業訓練的電腦愛好者，一個被防毒軟體公司拒之門外的年輕人，荼毒了小半箇中國網際網路。如果不是地震引發海底光纜故障，那隻頷首敬香的“熊貓”，還將“遷徙”到更遠的地方。

家人眼中的李俊：

李俊的父母一直在家鄉一水泥廠上班，前幾年雙雙下崗，他媽媽做了個小推車在街上賣早點，他爸爸則到了一家私人瓦廠打工。52歲的李俊媽媽陳女士說，李俊很小的時候就喜歡玩電腦，沒事就到網咖去玩，因為怕他在外面學壞，家裡就給他買了台電腦。沒想到到頭來兒子卻是因為“玩電腦”被警察抓走，陳女士感到悔恨不已。

李俊的父親則說，四五歲時，李俊愛上了玩積木及拆卸家中的小機械，那時候，李俊將家中的收音機、鬧鐘、手電筒等凡是能拆開的物品，都拆成一個個零部件，歪著腦袋觀察每個零部件後，又將零部件重新組裝起來，恢復原樣。如果鬧鐘再次走動或收音機能發出聲音時，李俊往往會拍手大笑，自顧自慶祝半天。

李俊的弟弟李明比他小三歲，西南民族大學音樂教育專業學生，放寒假回家，他偶爾和哥哥提起最近他和同學都中過的“熊貓燒香”電腦病毒。哥哥聽說後卻一改以往的內向和謙卑，不屑一故地笑說：“這病毒沒什麼大不了。”當時李明並沒有想到，他的哥哥就是“熊貓燒香”的始作俑者。

李明告訴記者，哥哥在上學時數學和英語非常優秀，儘管如此，哥哥還是沒能考上高中，而是進了水泥廠里自辦的一所技校（現已改名為“媧石職業技術學校”），後於2000年到武漢一家電腦城打工後，自己有了收入，但他很少給家人錢花。在李明的記憶中，哥哥從不找父母要錢花。有人曾對李俊說，李明是他弟弟，他應該給李明點零花錢。李俊總是很嚴肅地說：“錢要靠自己掙！掙不到錢的人，是無能的人。”

【1】 立即檢查本機administrator組成員口令，一定要放棄簡單口令甚至空口令，安全的口令是字母數字特殊字元的組合，自己記得住，別讓病毒猜到就行。

修改方法：右鍵單擊我的電腦，選擇管理，瀏覽到本地用戶和組，在右邊的窗格中，選擇具備管理員許可權的用戶名，單擊右鍵，選擇設定密碼，輸入新密碼就行。

【2】 利用組策略，關閉所有驅動器的自動播放功能。

步驟：單擊開始，運行，輸入gpedit.msc，打開組策略編輯器，瀏覽到計算機配置，管理模板，系統，在右邊的窗格中選擇關閉自動播放，該配置預設是未配置，在下拉框中選擇所有驅動器，再選取已啟用，確定後關閉。最後，在開始，運行中輸入gpupdate，確定後，該策略就生效了。

【3】 修改資料夾選項，以查看不明檔案的真實屬性，避免無意雙擊騙子程式中毒。

步驟：打開資源管理器（按windows徽標鍵+E），點工具選單下資料夾選項，再點查看，在高級設定中，選擇查看所有檔案，取消隱藏受保護的作業系統檔案，取消隱藏檔案擴展名。

【4】 時刻保持作業系統獲得最新的安全更新，不要隨意訪問來源不明的網站，特別是微軟的MS06-014漏洞，應立即打好該漏洞補丁。

同時，QQ、UC的漏洞也可以被該病毒利用，因此，用戶應該去他們的官方網站打好最新補丁。此外，由於該病毒會利用IE瀏覽器的漏洞進行攻擊，因此用戶還應該給IE打好所有的補丁。如果必要的話，用戶可以暫時換用Firefox、Opera等比較安全的瀏覽器。

【5】 啟用Windows防火牆保護本地計算機。同時，區域網路用戶儘量避免創建可寫的已分享資料夾，已經創建已分享資料夾的應立即停止共享。

此外，對於未感染的用戶，病毒專家建議，不要登錄不良網站，及時下載微軟公布的最新補丁，來避免病毒利用漏洞襲擊用戶的電腦，同時上網時應採用“防毒軟體+防火牆”的立體防禦體系。

“熊貓燒香”還可以通過已分享檔案夾、系統弱口令等多種方式進行傳播。

金山分析

這是一個感染型的蠕蟲病毒，它能感染系統中exe,com,pif,src,html,asp等檔案，它還能中止大量的反病毒軟體進程

拷貝檔案

病毒運行後，會把自己拷貝到

C:\WINDOWS\System32\Drivers\spoclsv.exe

添加註冊表自啟動

病毒會添加自啟動項

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe

病毒行為

a：每隔1秒

尋找桌面視窗，並關閉視窗標題中含有以下字元的程式

QQKav

QQAV

防火牆

進程

VirusScan

網鏢

防毒

黃山IE

最佳化大師

木馬清道夫

QQ病毒

系統配置實用程式

卡巴斯基反病毒

Symantec AntiVirus

Duba

esteem proces

綠鷹PC

密碼防盜

噬菌體

木馬輔助查找器

System Safety Monitor

Wrapped gift Killer

Winsock Expert

遊戲木馬檢測大師

msctls_statusbar32

pjf(ustc)

IceSword

並使用的鍵盤映射的方法關閉安全軟體IceSword

添加註冊表使自己自啟動

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe

並中止系統中以下的進程：

Mcshield.exe

VsTskMgr.exe

naPrdMgr.exe

UpdaterUI.exe

TBMon.exe

scan32.exe

Ravmond.exe

CCenter.exe

RavTask.exe

Rav.exe

Ravmon.exe

RavmonD.exe

RavStub.exe

KVXP.kxp

kvMonXP.kxp

KVCenter.kxp

KVSrvXP.exe

KRegEx.exe

UIHost.exe

TrojDie.kxp

FrogAgent.exe

Logo1_.exe

Logo_1.exe

Rundl132.exe

b：每隔18秒

點擊病毒作者指定的網頁，並用命令行檢查系統中是否存在共享

共存在的話就運行net share命令關閉admin$共享

c：每隔10秒

下載病毒作者指定的檔案，並用命令行檢查系統中是否存在共享

共存在的話就運行net share命令關閉admin$共享

d：每隔6秒

刪除安全軟體在註冊表中的鍵值

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

RavTask

KvMonXP

kav

KAVPersonal50

McAfeeUpdaterUI

Network Associates Error Reporting Service

ShStartEXE

YLive.exe

yassistse

並修改以下值不顯示隱藏檔案

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

CheckedValue -> 0x00

刪除以下服務：

navapsvc

wscsvc

KPfwSvc

SNDSrvc

ccProxy

ccEvtMgr

ccSetMgr

SPBBCSvc

Symantec Core LC

NPFMntor

MskService

FireSvc

e：感染檔案

病毒會感染擴展名為exe,pif,com,src的檔案，把自己附加到檔案的頭部

並在擴展名為htm,html,asp,php,jsp,aspx的檔案中添加一網址，

用戶一但打開了該檔案，IE就會不斷的在後台點擊寫入的網址，達到

增加點擊量的目的，但病毒不會感染以下資料夾名中的檔案：

WINDOW

Winnt

System Volume Information

Recycled

Windows NT

WindowsUpdate

Windows Media Player

Outlook Express

Internet Explorer

NetMeeting

Common Files

ComPlus Applications

Messenger

InstallShield Installation Information

MSN

Microsoft Frontpage

Movie Maker

MSN Gamin Zone

g：刪除檔案

病毒會刪除擴展名為gho的檔案，該檔案是一系統備份工具GHOST的備份檔案

使用戶的系統備份檔案丟失.

瑞星最新病毒分析報告：“Nimaya（熊貓燒香）”

這是一個傳染型的DownLoad 使用Delphi編寫