中文:熊貓燒香病毒(又稱武漢男生)
英文:Worm.WhBoy
目前發現的變種數已超過50個
典型表現:
感染病毒後發現較多的.EXE文件圖標變成點著香的熊貓,這也是該病毒命名的由來。現在發現的部分變種已經不再使用這個廣為人知的圖標了。部分變種可以直接通過互聯網更新版本,部分變種可以感染htm、html、asp、php、jsp、aspx等網頁格式文件。壹段web服務器被感染,將意味著所有瀏覽這些網頁的計算機可能會自動下載並感染上熊貓燒香病毒。
該系列變種會釋放以下幾個典型文件
分區根目錄下:setup.exe、autorun.inf、%System%\Fuckjacks.exe、%System%\Drivers\
spoclsv.exe
局域網環境下:GameSetup.exe
病毒行為:
1、刪除常用殺毒軟件在註冊表中的啟動項或服務,終止殺毒軟件的進程,幾乎涉及目前所有殺毒軟件
2、終止部分安全輔助工具的進程,如IceSword,任務管理器taskmon。
3、終止維金的相關進程Logo1_.exe、Logo_1.exe、Rundl123.exe。
4、弱口令破解局域網其他電腦的Administror帳號,並用GameSetup.exe進行復制傳播。
5、修改註冊表鍵值,導致不能查看隱藏文件和系統文件。
6、除C盤如下目錄外,病毒會嘗試破壞其它分區下的部分.exe、.com、.gho、.pif、.scr文件,病毒不會去感染以下目錄中的文件(給我們解決此病毒留下機會了,請看下文中的有關描述)。
WINDOW,Winnt,System Volume Information,Recycled, Windows NT,Windows Update,Windows MediaP,Outlook Express,Internet Explorer,NetMeeting,Common Files,ComPlus Applications,Messenger, InstallShield Installation Information,MSN,Microsoft Frontpage, MovieMaker,MSN GaminZone
7、病毒會刪除擴展名為gho的文件,該文件是壹系統備份工具GHOST的備份文件,使用戶的系統備份文件丟失。
解決辦法:
1、首選專殺工具
專殺工具是效能最好的方案,能處理已知變種,缺點是有新變種後,專殺也需要更新。推薦去www.xiongmaoshaoxiang.com下載專殺。
2、在線殺毒
因為熊貓燒香病毒的特殊性,殺毒軟件本身可能會被感染,病毒還會嘗試結束殺毒軟件進程和服務,但病毒不感染IE瀏覽器,用瀏覽器加載在線殺毒控件來清除病毒可以收到奇效。已經中招的,可以去shadu.duba.net試試。
3、重啟系統到帶網絡連接的安全模式,升級殺毒軟件後殺毒。可單擊開始,運行,輸入msconfig,打開系統配置實用程序,點擊BOOT.INI標簽,選擇/SAFEBOOT和NETWORK,重啟即可進入帶網絡連接的安全模式。
4、手工清除
因為熊貓燒香病毒是感染型的病毒,手工清除相當麻煩,網友公布的手工清除方案只能手工結束病毒進程,壹段運行了感染過熊貓燒香病毒的程序,還會再中招。以下簡單介紹手工結束病毒進程,修復註冊表項的步驟:
a.斷開網絡,禁用網卡或拔掉網線就行;
b.結束病毒進程,因為任務管理器、IcdSword已無法運行,已感染病毒的機器上很難實現。建議去/article/3784.html