漫游世界三万日

现在国内一个叫熊猫烧香的病毒正在大肆传播，病毒的危害性很高，而且出现了很多个变种，一但感染上这个病毒，你的电脑所有.exe的程序都会变成一个卡通熊猫的图标（这个的确可恶，这样破坏国宝大熊猫的形象）然后它会把你的防火墙软件，杀毒软件都关掉，使你的电脑处于不受保护的状态，同时它还会把病毒散播到你电脑里的每一个硬盘分区，而且很有可能破坏掉你的一些文件数据，而且还会把你的ghost克隆文件删除，破坏力很大。

在这里我提醒大家这断时间内一定要注意防范这个病毒的入侵，不然一旦感染那你一定会很烦的，前几天赵P刚中完，被这个破东西折腾得她焦头烂额。首先如果不是很必要的话尽量不要去一些不知名的网站下载软件或者其它数据，然后是为自己的防毒软件加上一把“锁”，也就是为防毒软件设置一个关闭密码，其它软件有没有这个功能我不知道，我用的卡巴斯基6.0是有这样的功能的，只要设置了密码，病毒就不能把你的防毒软件关掉而为所欲为了，这个时候还要把卡巴斯基的主动防御全都打开，最重要是注册的保护那一项，这样病毒就不能随便的更改你的注册表了。最后，下载一些专杀软件彻底查一次电脑，以防万一，并且定期进行一次全盘扫描。还有就是，最好使用相对安全一点的FIREFOX（火狐，见首页右边栏下方）浏览器浏览网页。

熊猫烧香病毒专杀及手动修复方案 v1.1
本文介绍了熊猫烧香病毒、熊猫烧香病毒变种的查杀方法，及熊猫烧香病毒的手动清除方案。提供了病毒进程为spoclsv.exe和FuckJacks.exe变种的解决方案，和熊猫烧香病毒专杀工具……
http://www.pconline.com.cn/pcedu/soft/virus/safe/0701/942893.html

预防第一！熊猫烧香病毒的预防方法
“熊猫烧香”病毒不但可以对用户系统进行破坏，导致大量应用软件无法使用，而且还可删除扩展名为gho的所有文件，造成用户的系统备份文件丢失，从而无法进行系统恢复；同时该病毒还能终止大量反病毒软件进程，大大降低用户系统的安全性…….
http://www.pconline.com.cn/pcedu/soft/virus/safe/0701/943003.html

病毒名称：Worm.WhBoy.h

病毒中文名：熊猫烧香(武汉男生)

病毒类型：蠕虫

危险级别：★★★★★

影响平台：Win 9x/ME,Win 2000/NT,Win XP,Win 2003

病毒描述：

“武汉男生”，俗称“熊猫烧香”，这是一个感染型的蠕虫病毒，它能感染系统中exe，com，pif，src，html，asp等文件，它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件，该文件是一系统备份工具GHOST的备份文件，使用户的系统备份文件丢失。被感染的用户系统中所有. exe可执行文件全部被改成熊猫举着三根香的模样。

1:拷贝文件

病毒运行后,会把自己拷贝到C:\WINDOWS\System32\Drivers\spoclsv.exe

2:添加注册表自启动

病毒会添加自启动项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe

3:病毒行为

a:每隔1秒寻找桌面窗口,并关闭窗口标题中含有以下字符的程序：

QQKav、QQAV、防火墙、进程、VirusScan、网镖、杀毒、毒霸、瑞星、江民、黄山IE、超级兔子、优化大师、木马克星、木马清道夫、QQ病毒、注册表编辑器、系统配置实用程序、卡巴斯基反病毒、Symantec AntiVirus、Duba、esteem proces、绿鹰PC、密码防盗、噬菌体、木马辅助查找器、System Safety Monitor、Wrapped gift Killer、Winsock Expert、游戏木马检测大师、msctls_statusbar32、pjf(ustc)、IceSword

并使用的键盘映射的方法关闭安全软件IceSword

添加注册表使自己自启动 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe

并中止系统中以下的进程:

Mcshield.exe、VsTskMgr.exe、naPrdMgr.exe、UpdaterUI.exe、TBMon.exe、 scan32.exe、Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、 RavmonD.exe、RavStub.exe、KVXP.kxp、kvMonXP.kxp、KVCenter.kxp、KVSrvXP.exe、 KRegEx.exe、UIHost.exe、TrojDie.kxp、FrogAgent.exe、Logo1_.exe、Logo_1.exe、 Rundl132.exe

b:每隔18秒点击病毒作者指定的网页,并用命令行检查系统中是否存在共享，共存在的话就运行net share命令关闭admin$共享

c:每隔10秒下载病毒作者指定的文件,并用命令行检查系统中是否存在共享，共存在的话就运行net share命令关闭admin$共享

d:每隔6秒删除安全软件在注册表中的键值

并修改以下值不显示隐藏文件 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue -> 0×00

删除以下服务:

navapsvc、wscsvc、KPfwSvc、SNDSrvc、ccProxy、ccEvtMgr、ccSetMgr、SPBBCSvc、Symantec Core LC、NPFMntor MskService、FireSvc

e:感染文件

病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部，并在扩展名为htm,html, asp,php,jsp,aspx的文件中添加一网址，用户一但打开了该文件，IE就会不断的在后台点击写入的网址，达到增加点击量的目的,但病毒不会感染以下文件夹名中的文件：

WINDOW、Winnt、System Volume Information、Recycled、Windows NT、WindowsUpdate、Windows Media Player、Outlook Express、Internet Explorer、NetMeeting、Common Files、ComPlus Applications、Messenger、InstallShield Installation Information、MSN、Microsoft Frontpage、Movie Maker、MSN Gamin Zone

g:删除文件

病毒会删除扩展名为gho的文件，该文件是一系统备份工具GHOST的备份文件使用户的系统备份文件丢失。