影響平台
Win 9X/ME/NT/2000/XP/2003
典型表現
在硬碟各個分區下生成檔案autorun.inf和setup.exe,可以通過隨身碟和移動硬碟等方式進行傳播,並且利用Windows系統的自動播放功能來運行,搜尋硬碟中的.exe執行檔並感染,感染後的檔案圖示變成“新版熊貓燒香”圖案。“新版熊貓燒香”還可以通過已分享檔案夾、系統弱口令等多種方式進行傳播。
日前,電腦用戶張先生氣憤地告訴記者:“今天早晨一打開電腦,我就快暈了。進入系統後,許多應用程式無法使用,重裝軟體後,不久又不能使用。更奇怪的是發現電腦中所有的.exe執行檔全部變成小熊貓舉著三根香的模樣,而且系統運行異常緩慢,非常鬱悶。”據記者從國內幾家防毒公司了解到,近期,一個叫“新版熊貓燒香”(Worm.WhBoy.h)的病毒把電腦用戶折騰得苦不堪言。在人們心目中,“熊貓”這個國寶似乎不再可愛,而成了人人喊打的過街老鼠。據國內的病毒專家介紹,“新版熊貓燒香”蠕蟲不但對用戶系統進行破壞,導致大量套用軟體無法使用,而且還可刪除擴展名為gho的所有檔案,造成用戶的系統備份檔案丟失,從而無法進行系統恢復。此外,該病毒還能終止大量反病毒軟體進程,大大降低用戶系統的安全性。
泛濫原因
三大原因導致“新版熊貓燒香”肆虐
近日,“新版熊貓燒香”病毒泛濫成災,已經到了天怒人怨的地步。據悉,由於多家著名網站遭到此類病毒攻擊而相繼被植入病毒。由於這些網站的瀏覽量非常大,致使此次“新版熊貓燒香”病毒的感染範圍非常廣。
據瑞星反病毒專家介紹,“新版熊貓燒香”其實是“尼姆亞”病毒的新變種,最早出現在2006年的11月。由於它一直在不停地進行變種,而且該病毒會在中毒電腦中所有的網頁檔案尾部添加病毒代碼,因此,一旦一些網站編輯人員的電腦被該病毒感染,網站編輯在上傳網頁到網站後,就會導致所有瀏覽該網頁的計算機用戶也被感染上該病毒。
同時,據金山毒霸反病毒中心表示,“新版熊貓燒香”除了通過網站帶毒感染用戶之外,此病毒還會通過QQ最新漏洞傳播自身,通過網路檔案共享、默認共享、系統弱口令、隨身碟及
移動硬碟等多種途徑傳播。而區域網路中只要有一台機器感染,就可以瞬間傳遍整個網路,甚至在極短時間之內就可以感染幾千台計算機,嚴重時可以導致網路癱瘓。中毒症狀表現為電腦中所有可執行的.exe檔案都變成了一種怪異的圖案,該圖案顯示為“新版熊貓燒香”,繼而系統藍屏、頻繁重啟、硬碟數據被破壞等,嚴重的整個公司區域網路內所有電腦會全部中毒。
對此,江民反病毒專家何公道分析認為:導致病毒快速傳播目前存在三大原因。一是大量的企業用戶使用國外防毒軟體,而國外防毒軟體對於此類國產病毒回響速度特別慢。二是由於被種植“新版熊貓燒香”病毒網站的點擊量的全球排名均在前300名之列,而當一部分網站編輯本身機器感染了病毒之後,當他們把受感染檔案上傳到伺服器後,訪問者點擊此類受感染網頁即中毒,因此,該病毒才會得以迅速傳播。三是其病毒具有極強的變種能力,僅從2006年11月至年底短短一個多月的時間,該病毒就變種將近30餘次,因此在許多用戶疏於防範而沒有更新防毒軟體時,該病毒即可藉機迅速傳播。
繼續加劇
據了解,江民科技發布的2006年計算機病毒疫情顯示,“新版熊貓燒香”(“威金”病毒變種)已成為2006年計算機病毒最大威脅。截至去年12月份,已有超過50萬台計算機受此病毒感染,而受害企業用戶更是達到上千家,多數企業業務因此停頓,直接和間接損失無法估量,病毒疫情十分嚴重。
近日據記者從金山毒霸反病毒中心獲取的最新訊息:“新版熊貓燒香”(Worm.WhBoy.h)病毒目前再次進入急速變種期,從元旦至今,僅半個多月,“新版熊貓燒香”變種數已高達50多個,並且其感染用戶的數量也在不斷擴大。據金山毒霸客戶服務中心初步統計,目前感染“新版熊貓燒香”病毒的個人用戶已經高達幾百萬,企業用戶感染數更是成倍上升。特別是在近一周內,金山毒霸客服中心有關新版熊貓燒香的日諮詢量已高達73%,而感染用戶主要以北京、廣州、上海等大型城市為主。
另據金山毒霸反病毒專家戴光劍指出,當前由於大部分感染了“新版熊貓燒香”的用戶只能被動下載一些相關的專殺工具或防毒軟體進行查殺,而由於新版熊貓燒香變種多,傳播速度快,一旦用戶沒能及時升級防毒軟體或專殺工具,查殺效果將大打折扣。所以如何徹底將“新版熊貓燒香”攔截於用戶的電腦之外,成為各大防毒廠商目前急需解決的問題。
整體解決方案
最全面的“新版熊貓燒香”整體解決方案
近期,“新版熊貓燒香”病毒無疑成了網際網路最熱門的關鍵字了,網上也能找到很多個有關新版熊貓燒香病毒的解決辦法。這些方法都顯得不盡完美,再加上熊貓的變種很多,有效性就更加大打折扣了。為此,記者通過對國內幾家防毒軟體公司的採訪,整理出了一套相對完整的解決方案供大家參考。對於已經感染“新版熊貓燒香”病毒的用戶,可以採用以下幾種方式對該病毒進行查殺。
金山
金山毒霸2007對“新版熊貓燒香”已經具備免疫能力,金山毒霸反病毒專家建議及時安裝正版金山毒霸並升級到最新版本進行查殺。在服務期內的毒霸用戶,將會通過金山毒霸的主動實時升級功能,自動升級到最新版本,實現對“新版熊貓燒香”的免疫。對於沒有安裝防毒軟體的電腦用戶,可免費下載金山的“新版熊貓燒香”專殺工具。
瑞星
安裝防毒軟體和瑞星卡卡3.1的用戶,可將軟體升級,並在上網時打開網頁實時監控。同時,瑞星已經發布針對該病毒的專殺工具,並對該工具不斷升級。因此,沒有安裝防毒軟體的用戶,可下載使用“新版熊貓燒香”專殺工具。
江民
江民建議已安裝江民防毒軟體的用戶將防毒軟體升級到最新病毒庫,並對電腦進行全盤查殺。未安裝防毒軟體的用戶,也可下載安裝江民“新版熊貓燒香”專殺工具,可以有效清除病毒和修復被感染檔案。
防範措施
據金山毒霸反病毒中心表示,近期“新版熊貓燒香”的變種異常活躍,因此從目前至春節期間,該病毒還將會一直騷擾著電腦用戶。雖然用戶及時更新防毒軟體病毒庫,並下載各防毒軟體公司提供的專殺工具,即可對“新版熊貓燒香”病毒進行查殺,但是如果能做到防患於未然豈不更好。為此,記者在採訪中,還總結了以下五招預防措施,希望可以幫您遠離“新版熊貓燒香”病毒的騷擾。
1.立即檢查本機administrator組成員口令,一定要放棄簡單口令甚至空口令,安全的口令是字母數字特殊字元的組合,自己記得住,別讓病毒猜到就行。
修改方法:右鍵單擊我的電腦,選擇管理,瀏覽到本地用戶和組,在右邊的窗格中,選擇具備管理員許可權的用戶名,單擊右鍵,選擇設定密碼,輸入新密碼就行。
2.利用組策略,關閉所有驅動器的自動播放功能。
步驟:單擊開始,運行,輸入gpedit.msc,打開組策略編輯器,瀏覽到計算機配置,管理模板,系統,在右邊的窗格中選擇關閉自動播放,該配置預設是未配置,在下拉框中選擇所有驅動器,再選取已啟用,確定後關閉。最後,在開始,運行中輸入gpupdate,確定後,該策略就生效了。
3.修改資料夾選項,以查看不明檔案的真實屬性,避免無意雙擊騙子程式中毒。
步驟:打開資源管理器(按windows徽標鍵+E),點工具選單下資料夾選項,再點查看,在高級設定中,選擇查看所有檔案,取消隱藏受保護的作業系統檔案,取消隱藏檔案擴展名。
4.時刻保持作業系統獲得最新的安全更新,不要隨意訪問來源不明的網站,特別是微軟的MS06-014漏洞,應立即打好該漏洞補丁。
同時,QQ、UC的漏洞也可以被該病毒利用,因此,用戶應該去他們的官方網站打好最新補丁。此外,由於該病毒會利用IE瀏覽器的漏洞進行攻擊,因此用戶還應該給IE打好所有的補丁。如果必要的話,用戶可以暫時換用Firefox、Opera等比較安全的瀏覽器。
5.啟用Windows防火牆保護本地計算機。同時,區域網路用戶儘量避免創建可寫的已分享資料夾,已經創建已分享資料夾的應立即停止共享。
附註
此外,對於未感染的用戶,病毒專家建議,不要登錄不良網站,及時下載微軟公布的最新補丁,來避免病毒利用漏洞襲擊用戶的電腦,同時上網時應採用“防毒軟體+防火牆”的立體防禦體系。