蠕虫“熊猫烧香”情况分析和解决方案
  国家计算机病毒应急处理中心通过对互联网的监测发现,一伪装成“熊猫烧香”图案的蠕虫正在互联网上进行传播,已有数百万个人计算机用户和企业局域网遭受感染。该蠕虫感染计算机系统后,可使系统中所有.exe文件都变成了一种奇怪的图案,该图案显示为“熊猫烧香”,同时受感染的计算机系统会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。变种可以通过局域网进行传播,进而感染局域网内所有计算机系统,最终导致整个局域网瘫痪,无法正常使用。   该蠕虫先后出现很多变种,再出现后的短时期内迅速传播,遭受感染的用户难于彻底清除,给其工作带来诸多不便。   

蠕虫情况分析如下:

  病毒名称:Worm_Viking   中文名:“熊猫烧香”   其他名称:Worm/Viking(江民)   Worm.WhBoy.h(金山)   PE_FUJACKS(趋势)   Worm.Nimaya(瑞星)   W32/Fujacks(McAfee)   病毒类型:蠕虫   感染系统:Windows9X/WindowsME/WindowsNT/Windows2000/   WindowsXP/Windows2003   病毒特性:   蠕虫“熊猫烧香”是一个由Delphi工具编写的蠕虫,它会感染计算机系统中后缀名为exe、com、pif、src、html、asp等文件,它还会终止一些计算机系统中安装的防病毒软件和防火墙的进程。   1、生成病毒文件   蠕虫运行后在%System%目录下生成文件spoclsv.exe,并且在每个文件夹下面生成desktop_.ini文件,里面标记着病毒发作日期。蠕虫还会在硬盘各个分区下面生成autorun.inf文件和setup.exe文件。(其中,%System%为系统文件夹,在默认情况下,Windows95/98/Me中为C:\Windows\System、WindowsNT/2000中为C:\Winnt\System32、WindowsXP中C:\Windows\System32)   2、修改注册表项   蠕虫添加注册表项,使得自身能够在系统启动时自动运行,在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run下添加"svcshare"=%System%\drivers\spoclsv.exe(其中,%System%在Windows95/98/Me下为C:\Windows\System,在WindowsNT/2000下为C:\Winnt\System32,在WindowsXP下为C:\Windows\System32)   3、感染系统中文件   该蠕虫是一个复合型病毒,不但具有蠕虫的特性,还可以感染可执行文件。它会搜索硬盘中的EXE文件并且感染,感染后的文件图标变成“熊猫烧香”的图案。蠕虫感染计算机系统中文件扩展名为exe、pif、com、src等文件,把自己附加到这些文件的头部。另外,蠕虫还会感染计算机系统中文件扩展名为htm、html、asp、php、jsp、aspx等文件,在其中添加进蠕虫的恶意代码(蠕虫下载的链接网页地址)。计算机用户一但浏览这些受到感染的网页,计算机系统的IE浏览器就会自动链接到指定的服务器网址下载蠕虫并运行,进而进一步传播和扩散。   4、传播途径   该蠕虫具有多种传播途径,可以通过U盘和移动硬盘进行传播,并且利用Windows系统的自动播放功能来运行,并且可以通过共享文件夹、系统弱口令等多种方式进行传播。   5、删除文件   蠕虫会删除计算机系统中文件扩展名为.gho(一种备份硬盘数据的扩展名)的文件,使计算机用户的系统备份文件丢失,无法使用GHOST软件(备份工具)恢复操作系统。   6、其他   近来很多网站、论坛均被植入蠕虫“熊猫烧香”,就是由于网站的程序文件被“熊猫烧香”病毒感染所致。蠕虫会在受感染的计算机系统中所有网页文件(后缀名为.html)尾部添加病毒代码,如果一些网站编辑人员的计算机系统被该蠕虫感染,没有及时进行查杀处理,一旦把带有该病毒代码的网页文件上传到网站上,就会导致浏览这些网站的计算机用户被蠕虫感染。   

解决方法:

  1、对没有遭受感染的计算机用户,应该及时升级系统中的防病毒软件,同时打开防病毒软件的“实时监控”功能。   2、对已经感染变种的计算机用户,建议尽快下载专杀工具进行查杀修复工作。   

专杀工具下载链接地址:

  http://download.jiangmin.info/jmsoft/vikingkiller.exe(江民公司)   http://tool.duba.net/zhuansha/253.shtml(金山公司)   http://it.rising.com.cn/Channels...3505486d38734.shtml(瑞星公司)   http://www.trendmicro.com/ftp/products/tsc/sysclean.com(趋势公司)   

安全建议:

  1、局域网的计算机用户尽量避免创建可写的共享目录,已经创建共享目录的应立即停止共享。   2、如无必要,Windows2000/XP用户应尽量关闭IPC$共享,并给具有管理员权限的帐号设置复杂的密码。   3、及时安装微软的安全更新,不要随意访问来源不明的网站。   4、计算机系统安装防病毒软件,并及时升级病毒定义库   5、计算机用户使用U盘等移动设备交换文件时,务必开启杀毒软件的“实时监控”功能,或先用防病毒软件扫描,并关闭自动播放功能。