熊貓燒香

熊貓燒香

“熊貓燒香”,跟灰鴿子不同,是一款擁有自動傳播、自動感染硬碟能力和強大的破壞能力的病毒,它不但能感染系統中exe,com,pif,src,html,asp等檔案,它還能中止大量的反病毒軟體進程並且會刪除擴展名為gho的檔案。 該檔案是一系統備份工具GHOST的備份檔案,使用戶的系統備份檔案丟失。被感染的用戶系統中所有.exe執行檔全部被改成熊貓舉著三根香的模樣。2006年10月16日由25歲的湖北武漢新洲區人李俊編寫,2007年1月初肆虐網路,它主要通過下載的檔案傳染。2007年2月12日,湖北省公安廳宣布,李俊以及其同夥共8人已經落網,這是中國警方破獲的首例計算機病毒大案。2014年,張順、李俊被法院以開設賭場罪分別判處有期徒刑五年和三年,並分別處罰金20萬元和8萬元。

基本信息

病毒原理

在感染時會刪除這些磁碟上的後綴名為.GHO的Ghost備份檔案

生成檔案

病毒建立一個計時器,以6秒為周期在磁碟的根目錄下生成setup.exe(病毒本身)autorun.inf,並利用AutoRun Open關聯使病毒在用戶點擊被感染磁碟時能被自動運行。

區域網路傳播

病毒生成隨機個區域網路傳播執行緒實現如下的傳播方式:

當病毒發現能成功聯接攻擊目標的139或445連線埠後,將使用內置的一個用戶列表及密碼字典進行聯接(猜測被攻擊端的密碼)。當成功聯接上以後將自己複製過去,並利用計畫任務啟動激活病毒。

修改作業系統的啟動關聯

下載檔案啟動

與防毒軟體對抗

變種病毒

金豬報喜病毒實際就是熊貓燒香的新變種,

春節將至,然而廣大網路用戶仍沒有徹底擺脫“熊貓燒香”的陰霾。伴隨著大量“熊貓燒香”變種的出現,對用戶的危害一浪高過一浪。1月29日,來自金山毒霸反病毒中心最新訊息:“熊貓燒香”化身“金豬”,危害指數再度升級,被感染的電腦中不但“熊貓”成群,而且“金”滿圈。但象徵財富的金豬仍然讓用戶無法擺脫“系統被破壞,大量套用軟體無法套用”的噩夢。

病毒描述:

武漢男生”,俗稱“熊貓燒香”, 2006年12月又化身為“金豬報喜” ,這是一個感染型的蠕蟲病毒,它能感染系統中exe,com,pif,src,html,asp等檔案,它還能中止大量的反病毒軟體進程並且會刪除擴展名為gho的檔案,該檔案是一系統備份工具GHOST的備份檔案,使用戶的系統備份檔案丟失。被感染的用戶系統中所有.exe執行檔全部被改成可愛金豬的模樣。

2007年1月30日,江民科技反病毒中心監測到,肆虐網際網路的“熊貓燒香”又出新變種。此次變種把“熊貓燒香”圖案變成“金豬報喜”。江民反病毒專家提醒用戶,春節臨近,謹防春節期間病毒借人們互致祝福之際大面積爆發。

專家介紹,“熊貓燒香”2006年11月中旬被首次發現,短短兩個月時間,新老變種已達700多種,據江民反病毒預警中心監測到的數據顯示,“熊貓燒香”病毒2006年12月一舉闖入病毒排名前20名,2007年1月份更是有望進入前10名。疫情最嚴重的地區分別為:廣東、山東、江蘇、北京和遼寧。

針對該病毒,江民防毒軟體KV系列已緊急升級,用戶升級到最新病毒庫即可有效防範該病毒於系統之外。江民“熊貓燒香”專殺工具已同步更新,未安裝防毒軟體的用戶可以登入江民網站下載防毒。此外,針對“熊貓燒香”變種頻繁的特徵,江民防毒軟體KV2007主動防禦規則庫可徹底防範“熊貓燒香”及其變種,用戶可以登入江民反病毒論壇下載使用。

此外學生寒假開始,上網人群短期內集中上升,病毒的傳播速度也空前加快,所以用戶在進行上網的過程中要更加警惕病毒的入侵。據了解,前幾天在網路上出現了“熊貓燒香”作者聲稱不再有變種出現,而“金豬”的出現再次粉碎了人們的美夢,再次將人們拉回到熊貓燒香的夢魘之中。專家稱,按照當時“熊貓燒香”破壞程度,威脅將延伸至春節。

專家提醒大家,遇到“金豬”不要心慌,用熊貓燒香專殺工具就可以完全對付這小金豬啦!

熊貓燒香變身“金豬報喜”再作亂

“熊貓燒香”餘毒未盡,新變種接踵而來。據悉,熊貓燒香已改頭換面變成新病毒“金豬報喜”。日前,江民、瑞星、金山等反病毒公司已經陸續截獲大量“金豬報喜”病毒的報告,而這一病毒甚至可以清除用戶機器里原有的“熊貓燒香”病毒,並自動取而代之。

由於“熊貓燒香”病毒作者不斷更新變種程式,眾多防毒軟體無法跟隨病毒的發展速度。而近日出現的“金豬報喜”病毒圖表,同樣是可愛的小動物,但危害卻在與“熊貓燒香”一樣感染EXE檔案外,還能感染RAR跟ZIP等格式檔案。據悉當時2008年幾家反病毒廠商尚未推出針對“金豬報喜”的專殺工具。

由於春節臨近,更多新 病毒可能集中出現,因此反病毒專家提醒用戶要加強警惕,及時升級 防毒軟體,不要隨便點擊莫名來歷檔案。

最虔誠的病毒--熊貓燒香

對於這個在06年給人們帶來黑色記憶的病毒,其成因只因為作者為了炫耀自己而產生,其藉助隨身碟的傳播方式也引領新的反病毒課題,但這一切都沒有其LOGO的熊貓給人的印象深刻,熊貓拿著三根香虔誠的祈禱什麼?這給很多人以遐想。所以最虔誠的病毒只能頒給舉著香在祈禱的熊貓。

2007年9月24日,“熊貓燒香”案一審宣判,主犯李俊被判刑4年。庭審中,李俊的辯護律師王萬雄出示了一份某網路公司發給李俊的邀請函,請他擔任公司的技術總監。據悉,案發後已有不下10家網路大公司跟李俊聯繫,欲以100萬年薪邀請其加入(見9月25日《長江商報》)。

熊貓燒香傳播性極高,中病毒者會在短時間內傳染區域網路內其他用戶。

應對方法

防毒方法

熊貓燒香 熊貓燒香

雖然用戶及時更新防毒軟體病毒庫,並下載各防毒軟體公司提供的專殺工具,即可對“熊貓燒香”病毒進行查殺,但是如果能做到防患於未然豈不更好。

解決辦法

1】 立即檢查本機administrator組成員口令,一定要放棄簡單口令甚至空口令,

安全的口令是字母數字特殊字元的組合,自己記得住,別讓病毒猜到就行。
(修改方法:右鍵單擊我的電腦,選擇管理,瀏覽到本地用戶和組,在右邊的窗格中,選擇具備管理員許可權的用戶名,單擊右鍵,選擇設定密碼,輸入新密碼就行。)

【2】 利用組策略,關閉所有驅動器的自動播放功能。

• 步驟1

單擊開始,運行,輸入gpedit.msc,打開組策略編輯器,瀏覽到計算機配置,管理模板,系統,在右邊的窗格中選擇關閉自動播放,該配置預設是未配置,在下拉框中選擇所有驅動器,再選取已啟用,確定後關閉。最後,在開始,運行中輸入gpupdate,確定後,該策略就生效了。

【3】 修改資料夾選項,以查看不明檔案的真實屬性,避免無意雙擊騙子程式中毒。

• 步驟2

打開資源管理器(按windows徽標鍵+E),點工具選單下資料夾選項,再點查看,在高級設定中,選擇查看所有檔案,取消隱藏受保護的作業系統檔案,取消隱藏檔案擴展名。

【4】 時刻保持作業系統獲得最新的安全更新,不要隨意訪問來源不明的網站,特別是微軟的 MS06-014漏洞,應立即打好該漏洞補丁。

同時,QQ、UC的漏洞也可以被該病毒利用,因此,用戶應該去他們的官方網站打好最新補丁。此外,由於該病毒會利用IE瀏覽器的漏洞進行攻擊,因此用戶還應該給IE打好所有的補丁。如果必要的話,用戶可以暫時換用Firefox、Opera等比較安全的瀏覽器。

【5】 啟用Windows防火牆保護本地計算機。同時,區域網路用戶儘量避免創建可寫的已分享資料夾,已經創建已分享資料夾的應立即停止共享。

此外,對於未感染的用戶,病毒專家建議,不要登錄不良網站,及時下載微軟公布的最新補丁,來避免病毒利用漏洞襲擊用戶的電腦,同時上網時應採用“防毒軟體+防火牆”的立體防禦體系。病毒源碼。

防禦方法

計世網訊息 在2007年新年出現的“PE_FUJACKS”就是一種讓廣大網際網路用戶聞之色變的“熊貓燒香”。該病毒的作者為“武漢男生”(檔案末簽名”WhBoy”),這個版本的病毒已經集成了PE_FUJA CK和QQ大盜的代碼,通過網路共享,檔案感染和移動存儲設備傳播,尤其是感染網頁檔案,並在網頁檔案寫入自動更新的代碼,一旦瀏覽該網頁,就會感染更新後的變種。

不幸中招的用戶都知道,“熊貓燒香”會占用區域網路頻寬,使得電腦變得緩慢,計算機會出現以下症狀:熊貓燒香病毒會在網路已分享檔案夾中生成一個名為GameSetup.exe的病毒檔案;結束某些應用程式以及防毒軟體的進程,導致應用程式異常,或不能正常執行,或速度變慢;硬碟分區或者隨身碟不能訪問使用;exe程式無法使用程式圖示變成熊貓燒香圖示;硬碟的根目錄出現setup.exe auturun.INF檔案 ;同時瀏覽器會莫名其妙地開啟或關閉。

該病毒主要通過瀏覽惡意網站、網路共享、檔案感染和移動存儲設備(如隨身碟)等途徑感染,其中網路共享和檔案感染的風險係數較高,而通過Web和移動存儲感染的風險相對較低。該病毒會自行啟動安裝,生成註冊列表和病毒檔案%System%\drivers\spoclsv.exe ,並在所有磁碟跟目錄下生成病毒檔案setup.exe,autorun.inf。

套用統一變為熊貓燒香的圖示其實就是在註冊表的HKEY_CLASSES_ROOT這個分支中寫入了一個值,將所有的EXE檔案圖示指向一個圖示檔案,所以一般只要刪除此值,改回原貌就可以了。

幕後黑手

製作者

熊貓燒香製作者:李俊

2007年2月3日,“熊貓燒香”電腦病毒製造者李俊在武漢落網。“熊貓燒香”被列為2007十大電腦病毒之首,曾讓上百萬台電腦受害。

2013年6月,據浙江省麗水市人民政府官方微博“麗水發布”提供的訊息稱,“熊貓燒香”病毒製造者張順、李俊因設立“金元寶棋牌”網路賭場,非法斂財數百萬元,已經被麗水市蓮都區檢察院批准逮捕。

現年29歲的張順是麗水雲和人,他與李俊兩人因製造“熊貓燒香”計算機病毒,在2007年9月24日被湖北省仙桃市人民法院以破壞計算機信息系統罪分別處以2年有期徒刑和4年有期徒刑。

破案介紹

我國破獲的國內首例製作計算機病毒的大案

[2007年2月12日]湖北省公安廳12日宣布,根據統一部署,湖北網監在浙江山東廣西天津廣東四川江西雲南新疆河南等地公安機關的配合下,一舉偵破了製作傳播“熊貓燒香”病毒案,抓獲病毒作者李俊(男,25歲,武漢新洲區人),他於2006年10月16日編寫了“熊貓燒香”病毒並在網上廣泛傳播,並且還以自己出售和由他人代賣的方式,在網路上將該病毒銷售給120餘人,非法獲利10萬餘元。

其他重要犯罪嫌疑人:雷磊(男,25歲,武漢新洲區人)、王磊(男,22歲,山東威海人)、葉培新(男,21歲,浙江溫州人)、張順(男,23歲,浙江麗水人)、王哲(男,24歲,湖北仙桃人)通過改寫、傳播“熊貓燒香”等病毒,構建“殭屍網路”,通過盜竊各種遊戲賬號等方式非法牟利。

這是中國近些年來,發生比較嚴重的一次蠕蟲病毒發作。影響較多公司,造成較大的損失。且對於一些疏於防範的用戶來說,該病毒導致較為嚴重的損失。

由於此病毒可以盜取用戶名與密碼,因此,帶有明顯的牟利目的。所以,作者才有可能將此病毒當作商品出售,與一般的病毒製作者只是自娛自樂、或顯示威力、或炫耀技術有很大的不同。

另外,製作者李俊在被捕後,在公安的監視下,編寫解毒軟體。  

大事記

2006年12月,一種被稱為“尼姆亞”新型病毒在網際網路上大規模爆發。

2007年1月7日,國家計算機病毒應急處理中心發出“熊貓燒香”的緊急預警。

2007年1月9日,湖北仙桃市公安局接報,該市“江漢熱線”不幸感染“熊貓燒香”病毒而致網路癱瘓。

2007年1月31日下午,各路專家齊聚省公安廳,對“1·22”案進行“會診”,同時成立聯合工作專班。

2007年2月3日,回出租屋取東西準備潛逃的李俊被當場抓獲。隨後將其同夥雷磊抓獲歸案。  

2007年9月24日,“熊貓燒香”計算機病毒製造者及主要傳播者李俊等4人,被湖北省仙桃市人民法院以破壞計算機信息系統罪判處李俊有期徒刑四年、王磊有期徒刑二年六個月、張順有期徒刑二年、雷磊有期徒刑一年,並判決李俊、王磊、張順的違法所得予以追繳,上繳國庫;被告人李俊有立功表現,依法可以從輕處罰。  

製造者獲刑

2014年1月8日,浙江省麗水市蓮都區人民法院依法一審審結了曾因製造並傳播“熊貓燒香”計算機病毒而引發社會關注的張順和李俊夥同他人開設網路賭場案。張順、李俊被法院以開設賭場罪分別判處有期徒刑五年和三年,並分別處罰金20萬元和8萬元。  

金豬報喜

金豬報喜,是“熊貓燒香”的新變種。伴隨著大量“熊貓燒香病毒”變種的出現,對網路用戶的危害一浪高過一浪。2012年1月29日,來自金山毒霸反病毒中心最新訊息:“熊貓燒香”化身“金豬報喜”,危害指數再度升級,被感染的電腦中不但“熊貓”成群,而且“金豬”滿圈。但象徵財富的金豬仍然讓用戶無法擺脫“系統被破壞,大量套用軟體無法使用”的噩夢。  

IT軟體大全

常用IT軟體知識大全,IT菜鳥的好幫手! 

相關詞條

相關搜尋

熱門詞條

聯絡我們