病毒名稱：Worm.WhBoy.h

病毒中文名：熊貓燒香(武漢男生)

病毒類型：蠕蟲

危險級別：★★★★★

影響平臺：Win 9x/ME,Win 2000/NT,Win XP,Win 2003

病毒描述：

“武漢男生”，俗稱“熊貓燒香”，這是一個感染型的蠕蟲病毒，它能感染系統中exe，com，pif，src，html，asp等文件，它還能中止大量的反病毒軟件進程并且會刪除擴展名為gho的文件，該文件是一系統備份工具GHOST的備份文件，使用戶的系統備份文件丟失。被感染的用戶系統中所有.exe可執行文件全部被改成熊貓舉著三根香的模樣。

  

1:拷貝文件

病毒運行后,會把自己拷貝到C:\WINDOWS\System32\Drivers\spoclsv.exe

2:添加注冊表自啟動

病毒會添加自啟動項HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe

3:病毒行為

a:每隔1秒尋找桌面窗口,并關閉窗口標題中含有以下字符的程序：

QQKav、QQAV、防火墻、進程、VirusScan、網鏢、殺毒、毒霸、瑞星、江民、黃山IE、超級兔子、優化大師、木馬克星、木馬清道夫、QQ病毒、注冊表編輯器、系統配置實用程序、卡巴斯基反病毒、Symantec AntiVirus、Duba、esteem proces、綠鷹PC、密碼防盜、噬菌體、木馬輔助查找器、System Safety Monitor、Wrapped gift Killer、Winsock Expert、游戲木馬檢測大師、msctls_statusbar32、pjf(ustc)、IceSword

并使用的鍵盤映射的方法關閉安全軟件IceSword

添加注冊表使自己自啟動 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe

并中止系統中以下的進程:

Mcshield.exe、VsTskMgr.exe、naPrdMgr.exe、UpdaterUI.exe、TBMon.exe、scan32.exe、Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、RavmonD.exe、RavStub.exe、KVXP.kxp、kvMonXP.kxp、KVCenter.kxp、KVSrvXP.exe、KRegEx.exe、UIHost.exe、TrojDie.kxp、FrogAgent.exe、Logo1_.exe、Logo_1.exe、Rundl132.exe

b:每隔18秒點擊病毒作者指定的網頁,并用命令行檢查系統中是否存在共享，共存在的話就運行net share命令關閉admin$共享

c:每隔10秒下載病毒作者指定的文件,并用命令行檢查系統中是否存在共享，共存在的話就運行net share命令關閉admin$共享

d:每隔6秒刪除安全軟件在注冊表中的鍵值

并修改以下值不顯示隱藏文件 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue -> 0x00

刪除以下服務:

navapsvc、wscsvc、KPfwSvc、SNDSrvc、ccProxy、ccEvtMgr、ccSetMgr、SPBBCSvc、Symantec Core LC、NPFMntor MskService、FireSvc

e:感染文件

病毒會感染擴展名為exe,pif,com,src的文件,把自己附加到文件的頭部，并在擴展名為htm,html, asp,php,jsp,aspx的文件中添加一網址，用戶一但打開了該文件，IE就會不斷的在后臺點擊寫入的網址，達到增加點擊量的目的,但病毒不會感染以下文件夾名中的文件：

WINDOW、Winnt、System Volume Information、Recycled、Windows NT、WindowsUpdate、Windows Media Player、Outlook Express、Internet Explorer、NetMeeting、Common Files、ComPlus Applications、Messenger、InstallShield Installation Information、MSN、Microsoft Frontpage、Movie Maker、MSN Gamin Zone

g:刪除文件

病毒會刪除擴展名為gho的文件，該文件是一系統備份工具GHOST的備份文件使用戶的系統備份文件丟失。

1、就是要關閉自己的默認共享。

首先運行regedit，找到如下組建[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]把

RestrictAnonymous = DWORD的鍵值改為：00000001。

restrictanonymous REG_DWORD

0x0 缺省

0x1 匿名用戶無法列舉本機用戶列表

0x2 匿名用戶無法連接本機IPC

說明:不建議使用2，否則可能會造成你的一些服務無法啟動，如SQL Server

2、禁止默認共享

1）察看本地共享資源

運行-cmd-輸入net share

2）刪除共享(每次輸入一個）

net share ipc$ /delete

net share admin$ /delete

net share c$ /delete

net share d$ /delete（如果有e,f,……可以繼續刪除）

3）修改注冊表刪除共享

運行-regedit

找到如下主鍵[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]

把AutoShareServer（DWORD）的鍵值改為0000000。

如果上面所說的主鍵不存在，就新建(右擊-新建-雙字節值）一個主健再改鍵值。 

51CTO安全頻道為您推薦的專殺工具：

瑞星專殺工具    金山專殺工具     安天專殺工具      江民專殺工具      安博士專殺工具