【病毒名稱】
熊貓燒香 ，worm.whBoy.（金山稱），worm.nimaya.（瑞星稱）  
  
【病毒別名】
尼姆亞，武漢男生，后又化身為“金豬報(bào)喜”

【警惕程度】
危險(xiǎn)級(jí)別：★★★★★  

【病毒類型】
蠕蟲(chóng)病毒，能夠終止大量的反病毒軟件和防火墻軟件進(jìn)程。

【影響系統(tǒng)】
Win 9x/ME,Win 2000/NT,Win XP,Win 2003

【病毒描述】

       其實(shí)是一種蠕蟲(chóng)病毒的變種，而且是經(jīng)過(guò)多次變種而來(lái)的。尼姆亞變種W(Worm.Nimaya.w)，由于中毒電腦的可執(zhí)行文件會(huì)出現(xiàn)“熊貓燒香”圖案，所以也被稱為“熊貓燒香”病毒。用戶電腦中毒后可能會(huì)出現(xiàn)藍(lán)屏、頻繁重啟以及系統(tǒng)硬盤(pán)中數(shù)據(jù)文件被破壞等現(xiàn)象。同時(shí)，該病毒的某些變種可以通過(guò)局域網(wǎng)進(jìn)行傳播，進(jìn)而感染局域網(wǎng)內(nèi)所有計(jì)算機(jī)系統(tǒng)，最終導(dǎo)致企業(yè)局域網(wǎng)癱瘓，無(wú)法正常使用，它能感染系統(tǒng)中exe，com，pif，src，html，asp等文件，它還能中止大量的反病毒軟件進(jìn)程并且會(huì)刪除擴(kuò)展名為gho的文件，該文件是一系統(tǒng)備份工具GHOST的備份文件，使用戶的系統(tǒng)備份文件丟失。被感染的用戶系統(tǒng)中所有.exe可執(zhí)行文件全部被改成熊貓舉著三根香的模樣。

【中毒癥狀】


    除了通過(guò)網(wǎng)站帶毒感染用戶之外，此病毒還會(huì)在局域網(wǎng)中傳播，在極短時(shí)間之內(nèi)就可以感染幾千臺(tái)計(jì)算機(jī)，嚴(yán)重時(shí)可以導(dǎo)致網(wǎng)絡(luò)癱瘓。中毒電腦上會(huì)出現(xiàn)“熊貓燒香”圖案，所以也被稱為“熊貓燒香”病毒。中毒電腦會(huì)出現(xiàn)藍(lán)屏、頻繁重啟以及系統(tǒng)硬盤(pán)中數(shù)據(jù)文件被破壞等現(xiàn)象。

【危害】


    病毒會(huì)刪除擴(kuò)展名為gho的文件，使用戶無(wú)法使用ghost軟件恢復(fù)操作系統(tǒng)。“熊貓燒香”感染系統(tǒng)的.exe .com. pif.src .html.asp文件，添加病毒網(wǎng)址，導(dǎo)致用戶一打開(kāi)這些網(wǎng)頁(yè)文件，IE就會(huì)自動(dòng)連接到指定的病毒網(wǎng)址中下載病毒。在硬盤(pán)各個(gè)分區(qū)下生成文件autorun.inf和setup.exe，可以通過(guò)U盤(pán)和移動(dòng)硬盤(pán)等方式進(jìn)行傳播，并且利用Windows系統(tǒng)的自動(dòng)播放功能來(lái)運(yùn)行，搜索硬盤(pán)中的.exe可執(zhí)行文件并感染，感染后的文件圖標(biāo)變成“熊貓燒香”圖案。“熊貓燒香”還可以通過(guò)共享文件夾、系統(tǒng)弱口令等多種方式進(jìn)行傳播。該病毒會(huì)在中毒電腦中所有的網(wǎng)頁(yè)文件尾部添加病毒代碼。一些網(wǎng)站編輯人員的電腦如果被該病毒感染，上傳網(wǎng)頁(yè)到網(wǎng)站后，就會(huì)導(dǎo)致用戶瀏覽這些網(wǎng)站時(shí)也被病毒感染。據(jù)悉，多家著名網(wǎng)站已經(jīng)遭到此類攻擊，而相繼被植入病毒。由于這些網(wǎng)站的瀏覽量非常大，致使“熊貓燒香”病毒的感染范圍非常廣，中毒企業(yè)和政府機(jī)構(gòu)已經(jīng)超過(guò)千家，其中不乏金融、稅務(wù)、能源等關(guān)系到國(guó)計(jì)民生的重要單位。注：江蘇等地區(qū)成為“熊貓燒香”重災(zāi)區(qū)。

【殺毒方法】

各種版本的熊貓燒香專殺
瑞星：http://it.rising.com.cn/channels/service/2006-11/1163505486d38734.shtml
金山：http://tool.duba.net/zhuansha/253.shtml
江民：http://www.jiangmin.com/download/zhuansha04.htm
超級(jí)巡警：http://www.dswlab.com/dow/d2.html
李俊：http://www.xdowns.com/soft/8/21/2007/Soft_34735.html 雖然用戶及時(shí)更新殺毒軟件病毒庫(kù)，并下載各殺毒軟件公司提供的專殺工具，即可對(duì)“熊貓燒香”病毒進(jìn)行查殺，但是如果能做到防患于未然豈不更好。  

【解決辦法】


【1】.立即檢查本機(jī)administrator組成員口令，一定要放棄簡(jiǎn)單口令甚至空口令，安全的口令是字母數(shù)字特殊字符的組合，自己記得住，別讓病毒猜到就行。

修改方法：右鍵單擊我的電腦，選擇管理，瀏覽到本地用戶和組，在右邊的窗格中，選擇具備管理員權(quán)限的用戶名，單擊右鍵，選擇設(shè)置密碼，輸入新密碼就行。

【2】.利用組策略，關(guān)閉所有驅(qū)動(dòng)器的自動(dòng)播放功能。

步驟：?jiǎn)螕糸_(kāi)始，運(yùn)行，輸入gpedit.msc，打開(kāi)組策略編輯器，瀏覽到計(jì)算機(jī)配置，管理模板，系統(tǒng)，在右邊的窗格中選擇關(guān)閉自動(dòng)播放，該配置缺省是未配置，在下拉框中選擇所有驅(qū)動(dòng)器，再選取已啟用，確定后關(guān)閉。最后，在開(kāi)始，運(yùn)行中輸入gpupdate，確定后，該策略就生效了。

【3】.修改文件夾選項(xiàng)，以查看不明文件的真實(shí)屬性，避免無(wú)意雙擊騙子程序中毒。

步驟：打開(kāi)資源管理器(按windows徽標(biāo)鍵＋E)，點(diǎn)工具菜單下文件夾選項(xiàng)，再點(diǎn)查看，在高級(jí)設(shè)置中，選擇查看所有文件，取消隱藏受保護(hù)的操作系統(tǒng)文件，取消隱藏文件擴(kuò)展名。

【4】.時(shí)刻保持操作系統(tǒng)獲得最新的安全更新，不要隨意訪問(wèn)來(lái)源不明的網(wǎng)站，特別是微軟的MS06-014漏洞，應(yīng)立即打好該漏洞補(bǔ)丁。

   同時(shí)，QQ、UC的漏洞也可以被該病毒利用，因此，用戶應(yīng)該去他們的官方網(wǎng)站打好最新補(bǔ)丁。此外，由于該病毒會(huì)利用IE瀏覽器的漏洞進(jìn)行攻擊，因此用戶還應(yīng)該給IE打好所有的補(bǔ)丁。如果必要的話，用戶可以暫時(shí)換用Firefox、Opera等比較安全的瀏覽器。

【5】.啟用Windows防火墻保護(hù)本地計(jì)算機(jī)。同時(shí)，局域網(wǎng)用戶盡量避免創(chuàng)建可寫(xiě)的共享目錄，已經(jīng)創(chuàng)建共享目錄的應(yīng)立即停止共享。

   此外，對(duì)于未感染的用戶，病毒專家建議，不要登錄不良網(wǎng)站，及時(shí)下載微軟公布的最新補(bǔ)丁，來(lái)避免病毒利用漏洞襲擊用戶的電腦，同時(shí)上網(wǎng)時(shí)應(yīng)采用“殺毒軟件+防火墻”的立體防御體系。

【變種病毒】

至此，據(jù)不完全統(tǒng)計(jì)，僅12月份至今，變種數(shù)已達(dá)90多個(gè)，個(gè)人用戶感染熊貓燒香的已經(jīng)高達(dá)幾百萬(wàn)，企業(yè)用戶感染數(shù)還在繼續(xù)上升。反防毒專家表示，伴隨著各大殺毒廠商對(duì)“熊貓燒香”病毒的集中絞殺，該病毒正在不斷“繁衍”新的變種，密謀更加隱蔽的傳播方式。反病毒專家建議，用戶不打開(kāi)可疑郵件和可疑網(wǎng)站，不要隨便運(yùn)行不知名程序或打開(kāi)陌生人郵件的附件。

【破案介紹】


我國(guó)破獲的國(guó)內(nèi)首例制作計(jì)算機(jī)病毒的大案

[2007年2月12日]湖北省公安廳12日宣布，根據(jù)統(tǒng)一部署，湖北網(wǎng)監(jiān)在浙江、山東、廣西、天津、廣東、四川、江西、云南、新疆、河南等地公安機(jī)關(guān)的配合下，一舉偵破了制作傳播“熊貓燒香”病毒案，抓獲病毒作者李俊（男，25歲，武漢新洲區(qū)人），他于2006年10月16日編寫(xiě)了“熊貓燒香”病毒并在網(wǎng)上廣泛傳播，并且還以自己出售和由他人代賣的方式，在網(wǎng)絡(luò)上將該病毒銷售給120余人，非法獲利10萬(wàn)余元。

其他重要犯罪嫌疑人：雷磊（男，25歲，武漢新洲區(qū)人）、王磊（男，22歲，山東威海人）、葉培新（男，21歲，浙江溫州人）、張順（男，23歲，浙江麗水人）、王哲（男，24歲，湖北仙桃人）通過(guò)改寫(xiě)、傳播“熊貓燒香”等病毒，構(gòu)建“僵尸網(wǎng)絡(luò)”，通過(guò)盜竊各種游戲賬號(hào)等方式非法牟利。

這是中國(guó)近些年來(lái)，發(fā)生比較嚴(yán)重的一次蠕蟲(chóng)病毒發(fā)作。影響較多公司，造成較大的損失。且對(duì)于一些疏于防范的用戶來(lái)說(shuō)，該病毒導(dǎo)致較為嚴(yán)重的損失。
由于此病毒可以盜取用戶名與密碼，因此，帶有明顯的牟利目的。所以，作者才有可能將此病毒當(dāng)作商品出售，與一般的病毒制作者只是自?shī)首詷?lè)、或顯示威力、或炫耀技術(shù)有很大的不同。

另，制作者李俊在被捕后，在公安的監(jiān)視下，又在編寫(xiě)解毒軟件。

【傳播方法】


“熊貓燒香”還可以通過(guò)共享文件夾、系統(tǒng)弱口令等多種方式進(jìn)行傳播。
金山分析：這是一個(gè)感染型的蠕蟲(chóng)病毒,它能感染系統(tǒng)中exe,com,pif,src,html,asp等文件,它還能中止大量的反病毒軟件進(jìn)程

1:拷貝文件
病毒運(yùn)行后,會(huì)把自己拷貝到
C:\WINDOWS\System32\Drivers\spoclsv.exe

2:添加注冊(cè)表自啟動(dòng)
病毒會(huì)添加自啟動(dòng)項(xiàng)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe

3:病毒行為
a:每隔1秒
尋找桌面窗口,并關(guān)閉窗口標(biāo)題中含有以下字符的程序
QQKav
QQAV
防火墻
進(jìn)程
VirusScan
網(wǎng)鏢
殺毒
毒霸
瑞星
江民
黃山IE
超級(jí)兔子
優(yōu)化大師
木馬克星
木馬清道夫
QQ病毒
注冊(cè)表編輯器
系統(tǒng)配置實(shí)用程序
卡巴斯基反病毒
Symantec AntiVirus
Duba
esteem proces
綠鷹PC
密碼防盜
噬菌體
木馬輔助查找器
System Safety Monitor
Wrapped gift Killer
Winsock Expert
游戲木馬檢測(cè)大師
msctls_statusbar32
pjf(ustc)
IceSword
并使用的鍵盤(pán)映射的方法關(guān)閉安全軟件IceSword

添加注冊(cè)表使自己自啟動(dòng)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe

并中止系統(tǒng)中以下的進(jìn)程:
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
kvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl132.exe

b:每隔18秒
點(diǎn)擊病毒作者指定的網(wǎng)頁(yè),并用命令行檢查系統(tǒng)中是否存在共享
共存在的話就運(yùn)行net share命令關(guān)閉admin$共享

c:每隔10秒
下載病毒作者指定的文件,并用命令行檢查系統(tǒng)中是否存在共享
共存在的話就運(yùn)行net share命令關(guān)閉admin$共享

d:每隔6秒
刪除安全軟件在注冊(cè)表中的鍵值

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
RavTask
KvMonXP
kav
KAVPersonal50
McAfeeUpdaterUI
Network Associates Error Reporting Service
ShStartEXE
YLive.exe
yassistse

并修改以下值不顯示隱藏文件
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
CheckedValue -> 0x00

刪除以下服務(wù):
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec Core LC
NPFMntor
MskService
FireSvc

e:感染文件
病毒會(huì)感染擴(kuò)展名為exe,pif,com,src的文件,把自己附加到文件的頭部
并在擴(kuò)展名為htm,html, asp,php,jsp,aspx的文件中添加一網(wǎng)址,
用戶一但打開(kāi)了該文件,IE就會(huì)不斷的在后臺(tái)點(diǎn)擊寫(xiě)入的網(wǎng)址,達(dá)到
增加點(diǎn)擊量的目的,但病毒不會(huì)感染以下文件夾名中的文件:
WINDOW
Winnt
System Volume Information
Recycled
Windows NT
WindowsUpdate
Windows Media Player
Outlook Express
Internet Explorer
NetMeeting
Common Files
ComPlus Applications
Messenger
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
MSN Gamin Zone

g:刪除文件
病毒會(huì)刪除擴(kuò)展名為gho的文件,該文件是一系統(tǒng)備份工具GHOST的備份文件
使用戶的系統(tǒng)備份文件丟失.                              

瑞星最新病毒分析報(bào)告：“Nimaya（熊貓燒香）”

這是一個(gè)傳染型的DownLoad 使用Delphi編寫(xiě)

【傳播對(duì)象和運(yùn)行過(guò)程】

★本地磁盤(pán)感染
病毒對(duì)系統(tǒng)中所有除了盤(pán)符為A,B的磁盤(pán)類型為DRIVE_REMOTE,DRIVE_FIXED的磁盤(pán)進(jìn)行文件遍歷感染
注:不感染文件大小超過(guò)10485760字節(jié)以上的.
(病毒將不感染如下目錄的文件):