【注意】"熊猫烧香"刚去,"金猪报喜"杀来!(防治办法)zt

病毒名称：Worm.WhBoy.h 病毒中文名：熊猫烧香(武汉男生)，近日又化身为“金猪报喜”

病毒类型：蠕虫

危险级别：★★★★★

影响平台：Win 9x/ME,Win 2000/NT,Win XP,Win 2003

专杀工具：金山专杀工具 安天专杀工具 江民专杀工具 安博士专杀工具 赛门铁克专杀工具

病毒描述：

“武汉男生”，俗称“熊猫烧香”，这是一个感染型的蠕虫病毒，它能感染系统中exe，com，pif，src，html，asp等文件，它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件，该文件是一系统备份工具GHOST的备份文件，使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。



1:拷贝文件

病毒运行后,会把自己拷贝到C:\WINDOWS\System32\Drivers\spoclsv.exe

2:添加注册表自启动

病毒会添加自启动项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe

3:病毒行为

a:每隔1秒寻找桌面窗口,并关闭窗口标题中含有以下字符的程序：

QQKav、QQAV、防火墙、进程、VirusScan、网镖、杀毒、毒霸、瑞星、江民、黄山IE、超级兔子、优化大师、木马克星、木马清道夫、QQ病毒、注册表编辑器、系统配置实用程序、卡巴斯基反病毒、Symantec AntiVirus、Duba、esteem proces、绿鹰PC、密码防盗、噬菌体、木马辅助查找器、System Safety Monitor、Wrapped gift Killer、Winsock Expert、游戏木马检测大师、msctls_statusbar32、pjf(ustc)、IceSword

并使用的键盘映射的方法关闭安全软件IceSword

添加注册表使自己自启动 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe

并中止系统中以下的进程:

Mcshield.exe、VsTskMgr.exe、naPrdMgr.exe、UpdaterUI.exe、TBMon.exe、scan32.exe、Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、RavmonD.exe、RavStub.exe、KVXP.kxp、kvMonXP.kxp、KVCenter.kxp、KVSrvXP.exe、KRegEx.exe、UIHost.exe、TrojDie.kxp、FrogAgent.exe、Logo1_.exe、Logo_1.exe、Rundl132.exe

b:每隔18秒点击病毒作者指定的网页,并用命令行检查系统中是否存在共享，共存在的话就运行net share命令关闭admin$共享

c:每隔10秒下载病毒作者指定的文件,并用命令行检查系统中是否存在共享，共存在的话就运行net share命令关闭admin$共享

d:每隔6秒删除安全软件在注册表中的键值

并修改以下值不显示隐藏文件 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue -> 0x00

删除以下服务:

navapsvc、wscsvc、KPfwSvc、SNDSrvc、ccProxy、ccEvtMgr、ccSetMgr、SPBBCSvc、Symantec Core LC、NPFMntor MskService、FireSvc

e:感染文件

病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部，并在扩展名为htm,html, asp,php,jsp,aspx的文件中添加一网址，用户一但打开了该文件，IE就会不断的在后台点击写入的网址，达到增加点击量的目的,但病毒不会感染以下文件夹名中的文件：

WINDOW、Winnt、System Volume Information、Recycled、Windows NT、WindowsUpdate、Windows Media Player、Outlook Express、Internet Explorer、NetMeeting、Common Files、ComPlus Applications、Messenger、InstallShield Installation Information、MSN、Microsoft Frontpage、Movie Maker、MSN Gamin Zone

g:删除文件

病毒会删除扩展名为gho的文件，该文件是一系统备份工具GHOST的备份文件使用户的系统备份文件丢失。







2月16日，“金猪报喜”病毒制作、传播嫌疑人薛某在个旧被抓获。

2006年底，我国互联网上大规模爆发“熊猫烧香”新型蠕虫病毒及其变种，该病毒传播速度快，危害范围广。而作为“熊猫烧香”病毒的主要变种“金猪报喜”，对计算机信息系统的危害性和破坏性比“熊猫烧香”更大，并可以逃过许多杀毒软件的查杀。

2007年2月14日，红河州公安局接到湖北的线索通报：“熊猫烧香”病毒被犯罪嫌疑人李某送给红河州一网友修改成“金猪报喜”病毒，已在网上开始传播，导致了更多的网络用户被感染。接报后，州公安局经过严密侦查，当日即将家住个旧的薛某锁定为嫌疑人。

2月15日，州公安局民警赶往个旧市，同个旧市公安局认真研究分析了案情和抓捕方案，抽调民警组成专案组。当天晚上，专案组民警依法对薛某住所进行了搜查，通过对薛某使用的电脑进行初步勘验，确定其有制作“金猪报喜”病毒的重大嫌疑，办案民警当即对其使用的电脑进行了查封和扣押。当晚薛某彻夜未归，为尽快抓到薛某，防止其外逃，专案组一边守候，一边部署警力在出入个旧市区的交通要道进行查堵，同时在市区进行走访调查。

16日中午，民警将薛某抓获。

经初步审讯，薛某对其制作“金猪报喜”病毒的犯罪事实供认不讳。

诸葛亮亮 的签名

大家可以用这个工具杀: 超级巡警强化熊猫烧香专杀 (Anti-Spyware toolkit) 2.7.0 下载地址: http://killer.9i3g.cn/download/ast_setup.exe

诸葛亮亮 的签名

熊猫烧香和金猪报喜专杀工具 DSWLAB 出品 现检测和清除、修复感染熊猫烧香病毒的文件，对熊猫烧香的未知变种具备侦测和处理能力，可以处理目 前所有的熊猫烧香病毒家族和相关变种,清除后的文件具备免疫功能,将不在感染熊猫烧香病毒。 V1.8 增加对金猪变种的查杀，增加提示用户修改密码，增加关闭自动运行(autorun)功能。 好东西请和朋友一起分享，让我们一起抵御病毒的入侵 下载地址: http://s1.nl68.com/pigkiller.rar

金猪报喜病毒图片展示 说威力比熊猫烧香更变态，中病毒后，金猪病毒它还隐藏了硬盘原先隐藏的东西，还弄了个自动播放功能，一双击就又中毒了，下面的图片展示。




金猪报喜病毒专杀工具 网上是这样介绍的: 金猪报喜据说威力比熊猫烧香更变态 中病毒后，会先检查客户机上有没有中熊猫烧香，如果有，则清理掉这使我想到了一个好笑的事,如果中了熊猫烧香再去弄个金猪报喜岂不是把熊猫给干了? 网上还有人有这样的实验: 他说:金猪病毒它还隐藏了D盘原先隐藏的东西，我特意隐藏的GHOST备份文件都找不到了，在d盘还搞了个autorun。inf，重装系统一点D盘就中了 ，但算下磁盘容量，应该还在，现在正在处理。烦！哎~~~~唉！又不知道有多少无辜的人…… 谁有金猪报喜的病毒样本,我们大家来研究一下下! 用威金专杀,熊猫专杀,跟武汉男生专杀就能够解决,都是威金变种! 金猪专杀工具 金猪报喜病毒 http://down.www.kingsoft.com/db/ ... /DuBaTool_WhBoy.BAT

诸葛亮亮 的签名

抗议,这不是楼主抄袭我的贴子吗/?

原贴地址在:WWW.NYKZ.CN

呵呵，，，相互通报一下好啊。