什么是熊猫病毒?

熊猫烧香自网络下载的木马名称多种，注意识别。alga.exe,zaq10.exe,wanmei.exe,windds32.dll等都是新面孔。其他的mhs2.exe，iexp1ore.exe等本博文章有说明，不再赘述。另外，发现此案例有LSP劫持。可以用最新版本的SRENG2.3的重置WINSOCK为默认来解决！

Winsock 提供者
MSAFD Tcpip [TCP/IP]
C:\WINDOWS\system32\WSD_SOCK32.dll(N/A, N/A)
MT-TcpFilter
C:\WINDOWS\system32\WSD_SOCK32.dll(N/A, N/A)

一、问题的提出：

提问地址:
http://zhidao.baidu.com/question/18323172.html
报告地址:(2页)
http://hi.baidu.com/sessoso/blog/item/754e1655fbde7ec4b645ae23.html
http://hi.baidu.com/sessoso/blog/item/4077720670529f7b03088123.html

二、分析

1. 杀毒前关闭系统还原(Win2000系统可以忽略）：右键 我的电脑 ，属性，系统还原，在所有驱动器上关闭系统还原 打勾即可。
清除IE的临时文件：打开IE 点工具-->Internet选项 : Internet临时文件，点“删除文件”按钮 ，将 删除所有脱机内容 打勾，点确定删除。

关闭QQ等应用程序。

2.用强制删除工具 PowerRMV 下载地址: http://post.baidu.com/f?kz=158203765
分别填入下面的文件（包括完整的路径） ，勾选“抑止杀灭对象再次生成”，点杀灭【如提示文件找不到，忽略错误】
C:\WINDOWS\system32\drivers\spoclsv.exe
C:\WINDOWS\system32\iexp1ore.exe
C:\WINDOWS\system32\iexpl0re.exe
C:\WINDOWS\zaq10.exe
C:\WINDOWS\mhs2.exe
C:\WINDOWS\alga.exe
C:\WINDOWS\wls3.exe
C:\WINDOWS\winlog0n.exe
C:\WINDOWS\iexp1ore.exe
C:\WINDOWS\wanmei.exe
C:\WINDOWS\system32\twunk32.exe
C:\Program Files\Common Files\Microsoft Shared\MSINFO\WinInfo.rxk
C:\WINDOWS\system32\Security.exe
C:\WINDOWS\system32\windds32.dll
C:\WINDOWS\system32\windhcp.ocx

重启计算机 然后再进入安全模式执行如下的操作
--------------------------------------------------------------
以下的操作都要求安全模式下进行。
[安全模式？重启电脑时按住F8 选择进入安全模式]
--------------------------------------------------------------
3. 用工具 SREng 删除如下各项
下载及其使用方法看下面的链接，看懂再下手操作！
http://hi.baidu.com/teyqiu/blog/item/f706213fc52346ec54e72351.html
【如下操作有风险，必须看懂上面的方法再操作。】
【打开SREng后提醒“函数的内容与预期值不符他们可能被一些恶意的软件所修改”的错误请忽略，装杀软后的正常修改。】

启动项目 -->注册表 的如下项
<SyrxMy><C:\WINDOWS\system32\iexp1ore.exe> [N/A]
<svcshare><C:\WINDOWS\system32\drivers\spoclsv.exe> [N/A]
<SymhMy><C:\WINDOWS\system32\iexpl0re.exe> [N/A]
<cmdbcs><C:\WINDOWS\zaq10.exe> [N/A]
<mhs2><C:\WINDOWS\mhs2.exe> [N/A]
<cv5fwzw5hlw><C:\WINDOWS\alga.exe> [N/A]
<wls3><C:\WINDOWS\wls3.exe> [N/A]
<tsghst7680dlzvi><C:\WINDOWS\winlog0n.exe> [N/A]
<h2ycf0jfe8><C:\WINDOWS\iexp1ore.exe> [N/A]
<wsvbs><C:\WINDOWS\wanmei.exe> [N/A]
<twin><C:\WINDOWS\system32\twunk32.exe> [N/A]
<{06A48AD9-FF57-4E73-937B-B493E72F4226}><C:\Program Files\Common Files\Microsoft Shared\MSINFO\WinInfo.rxk> [N/A]
==================================
启动项目 -->服务-->Win32服务应用程序 的如下项
[Server Advance / ServerAC][Stopped/Auto Start]
<C:\WINDOWS\system32\Security.exe><N/A>
[Win32 Display Driver / Win32DDS][Stopped/Auto Start]
<C:\WINDOWS\system32\\rundll32.exe windds32.dll,start><Microsoft Corporation>
[Windows DHCP Service / WinDHCPsvc][Stopped/Auto Start]
<C:\WINDOWS\system32\\rundll32.exe windhcp.ocx,start><Microsoft Corporation>

4、SREng 系统修复-->修复 winSock供应者 点“重置所有内容为默认值”
或者用如下的方法
开始菜单 运行 输入cmd
输入如下命令
netsh winsock reset 回车

手动删除文件 C:\WINDOWS\system32\WSD_SOCK32.dll

5. 用下文推荐的专杀工具清理其他受到感染的EXE文件
Viking专杀
http://hi.baidu.com/teyqiu/blog/item/bd8aa97731568f1bb051b928.html 注意里面的360SAFE的帖子链接里的工具都用一下 交叉检查。
熊猫专杀：
http://hi.baidu.com/teyqiu/blog/item/6369ddc4c3dc03cb39db496a.html

6. 最后用 下文推荐的工具清理（第四个） 把能检测到的全选后点清理（删除）参考
http://post.baidu.com/f?kz=149133630

PS：
复制的：

自去年11月初次现身，“熊猫烧香”迅速化身数百种，不断入侵个人电脑，感染门户网站，病毒作者将信息留言在病毒源代码中的古怪行为，更引发了一场虚拟世界里“道”与“魔”之间的激烈较量。

1月19日，一个最新的“熊猫烧香”变种病毒出现。病毒作者宣称，这将是“熊猫烧香”最后一次更新。

然而，隐藏在“熊猫”身后的利益集团开始浮出水面，据江民反病毒工程师向媒体报料，已发现产销一条龙盗窃销售网游设备的产业链，而这位“熊猫烧香”的作者，“只要他愿意，一年收入可赚一座别墅”。

“熊猫烧香”变体达400余个

2004年11月，熊猫第一次来袭。“最开始‘尼姆亚’(反病毒工程师们最初将‘熊猫烧香’命名为‘尼姆亚’)不算厉害。”瑞星病毒组工程师史瑀说，随着病毒作者的不断更新，它的破坏力和传染力也随之上升。

2006年11月底，“尼姆亚”只有不到十个变种，12月开始，病毒从数日一更新，变为一日数更新，变种数量成倍上升。

这时候，“熊猫烧香”已经取代了“尼姆亚”这个名字。

12月中旬，“熊猫烧香”进入急速变种期，在几次大面积爆发之后，“熊猫烧香”成为众多电脑用户谈之色变的词汇。圣诞节过后，“熊猫烧香”版本已达到近百个。

1月9日，“熊猫烧香”迎来了一次全国性的大规模爆发，它的变种数量定格在306个。

金山毒霸客服中心有关“熊猫烧香”的日咨询量高达73%，感染用户以北京、广州、上海等大型城市为主。截至目前，“熊猫烧香”病毒变种已达416个，受感染电脑用户达到数百万台。

“熊猫烧香”因何难退

史瑀说，传统蠕虫病毒通过一台中毒电脑传至局域网内其他电脑，而“熊猫烧香”还可以通过网站传播。

感染“熊猫烧香”电脑，会在硬盘所有网页文件上附加病毒。

“如果被感染的是网站编辑和记者的电脑，那么通过中毒网页，‘熊猫烧香’可附身在网站的所有网页上。”史瑀说，访问这种中毒的网站时，网民就会感染“熊猫烧香”病毒。

从传统的“点对点”，到现在的“点对面”，“熊猫烧香”借助中毒网站的访问量传播。

据工程师们称，他们曾监控到，“熊猫烧香”感染过天涯社区、硅谷动力、pconline等门户网站，在暴风影音等知名软件的下载链接中也曾有“熊猫烧香”附身的痕迹。

同时，“熊猫烧香”还可借助搜索引擎进行传播。

病毒内部列出“鸣谢单位”

mopery是卡卡社区反病毒论坛的版主，也是一名反病毒高手。

2006年10月中，mopery接到网友求助。在帮忙解决电脑故障的过程中，他拿到了一个病毒样本，它就是“熊猫烧香”的原始版本。

在繁复的程序代码中，mopery看到了一段与程序无关的信息，其中有一行字母——whboy。

“whboy”这个名字，对于病毒研究者有着不一般的含义。

2004年，whboy发布了其创作的病毒“武汉男孩”，那是一种通过QQ传播的盗号木马，因为其变种的疯狂和传播的广泛，一年后，被江民反病毒中心列入2005年十大病毒之列。

此后，whboy还在一些病毒论坛和黑客论坛发帖，表示可以提供盗取QQ号服务，但不久后便销声匿迹，直至“熊猫”出现。

2006年12月初，“熊猫烧香”变种加速。随着变种增多，代码内附带信息也越来越多。

随后，武汉男孩似乎迷恋上了这种病毒内部列出“鸣谢单位”的模式，在1月5日的病毒留言中，感谢名单上添加了艾玛的名字。1月9日，感谢名单中又多了杀毒高手“海色之月”的名字，文末还添加了一句“服了……艾玛……”此后，武汉男孩开始频繁用这种方式与对手“交流”。

1月15日，武汉男孩还在留言中和反毒者taylor77打起了招呼：“我制作的病毒已经‘满城尽烧国宝香’。”

在“熊猫烧香”的最后一个版本中，武汉男孩写下了临别赠语，“在此对各位中过木马的网友和各位网管人员表示深深的歉意！对不起，你们辛苦了！”

一场未结束的战争

对于“武汉男孩”的身份有着很多猜测，民间反毒高手Mopery及瑞星反毒工程师史瑀均表示，“从留言的内容和程序代码来看，武汉男孩是一位有丰富病毒编写经验的熟手”，“武汉男孩本身精通网络技术和入侵技术，通过他上网的痕迹追查真身很难实现。

1月19日，“熊猫烧香”发布了一个新的变种，病毒作者宣称，这将是“熊猫烧香”最后一次更新。

1月24日下午，反病毒工程师们又发现了一种新型病毒，这种病毒和“熊猫烧香”十分相似，工程师怀疑它是“熊猫烧香”作者创作的新版本病毒。

这种病毒会把受感染用户电脑上的所有图标换成一个男子的头像，在头像的眼睛位置是两个电灯泡。反病毒工程师们担心的是，“灯泡男子”会成为“熊猫烧香”的接班人。

病毒作者的真正目的

“熊猫烧香”的作者自称whboy——“武汉男孩”，对于这位神秘的杀手，网友对其制造病毒的目的有三种猜测：

其一，武汉男孩是一名武汉少年，电脑知识了得，堪称神童，制造“熊猫烧香”及其变种的目的乃出于挑战和成就感。

其二，制造者是国内杀毒软件公司的员工，故意编写病毒，促销相应的杀毒产品。

其三，制造者的背后是产销一条龙盗窃销售网游设备的产业链，病毒作者以获取经济利益为目标，与之前出现的网银大盗、证券大盗、游戏大盗、QQ大盗等类似。

从目前国内网络安全机构的调查初步来看，第三种可能性最大，几大国内杀毒软件厂商已严正否认了第二种说法。

- 名词解释

“熊猫”，香是怎么烧起来的？

“熊猫烧香”病毒是能在Windows 98／2000／XP／2003系统上运行的蠕虫病毒，它至今已衍生出上百个变种病毒。

刚开始时，它采用一个颇为常见的熊猫举着三根香的头像，诱使计算机用户运行，它能感染系统中exe、com、pif、src、html、asp等文件，它还能中止一些反病毒软件进程，并且会删除扩展名为gho的文件，使用户系统备份文件丢失。

最典型的病毒感染征象是被感染的用户系统中所有.exe文件标签全部被改成“熊猫烧香”的头像。

受感染PC还会出现蓝屏、频繁重启以及硬盘中数据文件被破坏等现象。

病毒能通过局域网、网页、移动存储设备进行传播。

“熊猫烧香”引发网友两大争论

杀毒软件是国内的好还是国外的好？

消费者在杀毒软件的使用选择上，究竟是国内厂商的瑞星、金山毒霸、江民好，还是选择国外大名鼎鼎的卡巴斯基、诺顿、McAfee？

最近爆发的“熊猫烧香”，引发了网友激烈争论。

有网友认为，国外杀毒软件技术力量雄厚、产品更可靠，更新至最新版本后基本可获得各种病毒的免疫能力。

有网友认为，国内厂商如瑞星、金山反应更快，针对热门病毒提供了专杀工具，台湾地震导致最近国外杀毒软件更新受阻、从而遭受“熊猫烧香”的攻击，因此，立足本土的杀毒软件更有保障。

感染后要不要重装系统？

不少用户在感染病毒后，往往将C盘格式化后重新安装干净的操作系统。然而，这一办法在目前行不通。

刚刚装好的Windows XP存在严重安全漏洞、需要补装很多安全更新，存在较多的安全风险，补丁修复必须访问微软服务器，受光缆损坏的影响，访问下载速度非常慢，修复补丁需要很长时间，新装好的系统来不及安全更新就再次感染“熊猫烧香”。

“台湾地震”助纣为虐？

大部分感染“熊猫烧香”的用户，只能被动下载一些杀毒软件进行查杀，由于变种多、传播速度快，一旦用户没能及时升级杀毒软件或专杀工具，查杀效果将大打折扣。

最近的台湾外海地震，多组通信光缆受损导致亚洲用户的互联网通信受阻，不少国内用户的操作系统来不及更新、反病毒软件没有及时升级到最新版本，给了病毒肆虐的机会。

“熊猫烧香”四大变种

“熊猫烧香”已衍生出上百个变种病毒，总体分为四大类。

变种1，就是FuckJacks.exe进程，将自身复制到系统文件夹，然后感染文件夹中的.exe文件，将图标改为“熊猫烧香”。

变种2，就是spoclsv.exe进程，感染时在C盘根目录下生成感染标记文件，将图标改为“熊猫烧香”。

变种3，不再感染用户系统中的.exe文件，而是感染用户系统中的脚本病毒，而且在文件夹中写下感染标记文件。对抗杀毒软件及专杀工具，令系统自动关闭反病毒软件。

变种4，最近才出现的一个变种，用户可执行文件时与A和B版本有所不同，用户中毒后的.exe文件的图标不改变，还有其他一些变种，基本都是为了躲避查杀。

危害与症状

1、感染硬盘中的其他应用程序的.exe文件，程序图标变成“熊猫烧香”图标，系统速度异常缓慢，出现蓝屏、频繁重启。

2、拷贝自身到所有驱动器根目录，生成setup.exe和auturun.inf文件，使得用户打开受感染驱动器运行病毒。

3、修改注册表，自行加载启动病毒程序、禁用杀毒工具运行，并禁止用户修改系统注册表。

4、局域网用户会共享跨机传染，造成其他电脑受感染，占用带宽导致网络瘫痪。

5、最可怕而且最特别之处是，病毒会在电脑中所有的网页文件尾部添加病毒代码。一些网站工作人员的PC如果被感染，则导致用户浏览这些网站时也被感染。

感染后的对策

方法一：这种方法比较简单，用户可以利用金山毒霸、瑞星等提供的专杀工具进行搜索和杀灭病毒。缺点是有新变种后，专杀工具也需更新。

用户可以到下列网站下载最新工具，注意选择不同工具进行多次查杀。

http：／／www.xiongmaoshaoxiang.com、http：／／tool.duba.net／zhuansha／253.shtml、http：／／it.rising.com.cn／Channels／Service／2006-11／1163505486d38734.shtml

方法二：此外，可通过修复注册表等操作进行彻底查杀：

1、断开网络。

2、结束病毒进程，如果在进程中发现FuckJacks.exe、setup.exe、spoclsv.exe，将其结束掉，也可以下载Process Explorer程序将病毒进程结束掉。

3、在计算机上搜索并删除以下病毒执行文件：setup.exe、autorun.inf、%System%Fuckjacks.exe、%System%Driversspoclsv.exe、GameSetup.exe。

4、开始-〉运行-〉输入regedit，确定后，打开注册表编辑器，删除病毒创建的启动项。

注册表信息如下：

〔HKEY＿CURRENT＿USERSoftwareMicrosoftWindowsCurrentVersionRun〕

“FuckJacks”＝“%System%FuckJacks.exe

〔HKEY＿LOCAL＿MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun〕

“svohost”＝“%System%FuckJacks.exe”

5、修复或重新安装反病毒软件，以恢复杀毒软件的功能。

6、最后，将反病毒软件更新到最新版本，进行全盘扫描，杀毒，并把感染文件修复。

预防方法

对于主要通过互联网进行传播的病毒，用户在上网中最重要的是注意网络安全。

1、确保windows防火墙处于开启状态、及时进行Windows Update；同时设立或修改系统管理员administrator用户口令，避免过于简单的密码。

2、关闭自动播放功能，“熊猫烧香”很多是通过插入U盘这样一个简单的动作入侵系统的。

3、开启反病毒软件的实时监控功能，并定期(3天至7天内)在线升级病毒库，保持反病毒软件的%B

病毒名称：Worm.WhBoy.h
病毒中文名：熊猫烧香(武汉男生)

病毒类型：蠕虫

危险级别：★★★★★

影响平台：Win 9x/ME,Win 2000/NT,Win XP,Win 2003

专杀工具：金山专杀工具 安天专杀工具 江民专杀工具 安博士专杀工具 赛门铁克专杀工具

病毒描述：

“武汉男生”，俗称“熊猫烧香”，这是一个感染型的蠕虫病毒，它能感染系统中exe，com，pif，src，html，asp等文件，它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件，该文件是一系统备份工具GHOST的备份文件，使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。

1:拷贝文件

病毒运行后,会把自己拷贝到C:\WINDOWS\System32\Drivers\spoclsv.exe

2:添加注册表自启动

病毒会添加自启动项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe

3:病毒行为

a:每隔1秒寻找桌面窗口,并关闭窗口标题中含有以下字符的程序：

QQKav、QQAV、防火墙、进程、VirusScan、网镖、杀毒、毒霸、瑞星、江民、黄山IE、超级兔子、优化大师、木马克星、木马清道夫、QQ病毒、注册表编辑器、系统配置实用程序、卡巴斯基反病毒、Symantec AntiVirus、Duba、esteem proces、绿鹰PC、密码防盗、噬菌体、木马辅助查找器、System Safety Monitor、Wrapped gift Killer、Winsock Expert、游戏木马检测大师、msctls_statusbar32、pjf(ustc)、IceSword

并使用的键盘映射的方法关闭安全软件IceSword

添加注册表使自己自启动 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe

并中止系统中以下的进程:

Mcshield.exe、VsTskMgr.exe、naPrdMgr.exe、UpdaterUI.exe、TBMon.exe、scan32.exe、Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、RavmonD.exe、RavStub.exe、KVXP.kxp、kvMonXP.kxp、KVCenter.kxp、KVSrvXP.exe、KRegEx.exe、UIHost.exe、TrojDie.kxp、FrogAgent.exe、Logo1_.exe、Logo_1.exe、Rundl132.exe

b:每隔18秒点击病毒作者指定的网页,并用命令行检查系统中是否存在共享，共存在的话就运行net share命令关闭admin$共享

c:每隔10秒下载病毒作者指定的文件,并用命令行检查系统中是否存在共享，共存在的话就运行net share命令关闭admin$共享

d:每隔6秒删除安全软件在注册表中的键值

并修改以下值不显示隐藏文件 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue -> 0x00

删除以下服务:

navapsvc、wscsvc、KPfwSvc、SNDSrvc、ccProxy、ccEvtMgr、ccSetMgr、SPBBCSvc、Symantec Core LC、NPFMntor MskService、FireSvc

e:感染文件

病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部，并在扩展名为htm,html, asp,php,jsp,aspx的文件中添加一网址，用户一但打开了该文件，IE就会不断的在后台点击写入的网址，达到增加点击量的目的,但病毒不会感染以下文件夹名中的文件：

WINDOW、Winnt、System Volume Information、Recycled、Windows NT、WindowsUpdate、Windows Media Player、Outlook Express、Internet Explorer、NetMeeting、Common Files、ComPlus Applications、Messenger、InstallShield Installation Information、MSN、Microsoft Frontpage、Movie Maker、MSN Gamin Zone

g:删除文件

病毒会删除扩展名为gho的文件，该文件是一系统备份工具GHOST的备份文件使用户的系统备份文件丢失。
参考资料：http://shadu.baidu.com/sitenews/rank.jsp?id=171