网络安全

预警通报

蠕虫“熊猫烧香”情况分析和解决方案
时间:2007-03-05    西安交通大学网络信息中心

国家计算机病毒应急处理中心通过对互联网的监测发现,一伪装成“熊猫烧香”图案的蠕虫正在互联网上进行传播,已有数百万个人计算机用户和企业局域网遭受感染。该蠕虫感染计算机系统后,可使系统中所有.exe文件都变成了一种奇怪的图案,该图案显示为“熊猫烧香”,同时受感染的计算机系统会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。变种可以通过局域网进行传播,进而感染局域网内所有计算机系统,最终导致整个局域网瘫痪,无法正常使用。

该蠕虫先后出现很多变种,再出现后的短时期内迅速传播,遭受感染的用户难于彻底清除,给其工作带来诸多不便。

蠕虫情况分析如下:

病毒名称:Worm_Viking

中 文 名:“熊猫烧香”

其他名称:Worm/Viking(江民)

Worm.WhBoy.h (金山)

PE_FUJACKS (趋势)

Worm.Nimaya (瑞星)

W32/Fujacks (McAfee)

病毒类型:蠕虫

感染系统:Windows 9X/ Windows ME/ Windows NT/ Windows 2000/

Windows XP/ Windows 2003

病毒特性:

蠕虫“熊猫烧香”是一个由 Delphi 工具编写的蠕虫,它会感染计算机系统 中后缀名为exe、com、pif、src、html、asp等文件,它还会终止一些计算机系统 中安装的防病毒软件和防火墙的进程。

1、生成病毒文件

蠕虫运行后在%System%目录下生成文件spoclsv.exe,并且在每个文件夹下面生成 desktop_.ini 文件,里面标记着病毒发作日期。蠕虫还会在硬盘各个分区下面生成autorun.inf 文件和 setup.exe 文件。(其中,%System%为系统文件夹,在默认情况下,Windows 95/98/Me中为C:\Windows\System、Windows NT/2000中为C:\Winnt\System32、WindowsXP中C:\Windows\System32)

2、修改注册表项

蠕虫添加注册表项,使得自身能够在系统启动时自动运行,在

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 下添加 "svcshare" = %System%\drivers\spoclsv.exe(其中,%System%在Windows 95/98/Me 下为C:\Windows\System,在Windows NT/2000下为C:\Winnt\System32,在Windows XP下为C:\Windows\System32

3、感染系统中文件

该蠕虫是一个复合型病毒,不但具有蠕虫的特性,还可以感染可执行文件。 它会搜索硬盘中的EXE文件并且感染,感染后的文件图标变成“熊猫烧香”的图 案。蠕虫感染计算机系统中文件扩展名为exe、pif、com、src等文件,把自己附加到这些文件的头部。另外,蠕虫还会感染计算机系统中文件扩展名为htm、 html、asp、php、jsp、aspx等文件,在其中添加进蠕虫的恶意代码(蠕虫下载的链接网页地址)。计算机用户一但浏览这些受到感染的网页,计算机系统的IE浏览器就会自动链接到指定的服务器网址下载蠕虫并运行,进而进一步传播和扩散。

4、 传播途径

该蠕虫具有多种传播途径,可以通过U盘和移动硬盘进行传播,并且利用 Windows 系统的自动播放功能来运行,并且可以通过共享文件夹、系统弱口令等 多种方式进行传播。

5、删除文件

蠕虫会删除计算机系统中文件扩展名为.gho(一种备份硬盘数据的扩展名) 的文件,使计算机用户的系统备份文件丢失,无法使用GHOST软件(备份工具) 恢复操作系统。

6、其他

近来很多网站、论坛均被植入蠕虫“熊猫烧香”,就是由于网站的程序文件 被“熊猫烧香”病毒感染所致。蠕虫会在受感染的计算机系统中所有网页文件 (后缀名为.html)尾部添加病毒代码,如果一些网站编辑人员的计算机系统被该蠕虫感染,没有及时进行查杀处理,一旦把带有该病毒代码的网页文件上传到网站上,就会导致浏览这些网站的计算机用户被蠕虫感染。

解决方法:

1、对没有遭受感染的计算机用户,应该及时升级系统中的防病毒软件,同 时打开防病毒软件的“实时监控”功能。

2、对已经感染变种的计算机用户,建议尽快下载专杀工具进行查杀修复工 作。

专杀工具下载链接地址:

http://download.jiangmin.info/jmsoft/vikingkiller.exe(江民公司)

http://tool.duba.net/zhuansha/253.shtml(金山公司)

http://it.rising.com.cn/Channels/Service/2006-11/1163505486d38734.shtml(瑞星公司)

http://www.trendmicro.com/ftp/products/tsc/sysclean.com(趋势公司)

安全建议:

1、局域网的计算机用户尽量避免创建可写的共享目录,已经创建共享目录的应立即停止共享。

2、如无必要,Windows 2000/XP用户应尽量关闭IPC$共享,并给具有管理员权限的账号设置复杂的密码。

3、及时安装微软的安全更新,不要随意访问来源不明的网站。

4、计算机系统安装防病毒软件,并及时升级病毒定义库

5、计算机用户使用U盘等移动设备交换文件时,务必开启杀毒软件的“实时监控”功能,或先用防病毒软件扫描,并关闭自动播放功能。

国家计算机病毒应急处理中心

计算机病毒防治产品检验中心

网 址:Http://www.antivirus-China.org.cn

电 话:022-66211488/66211489/66211490

传 真:022-66211487

电子邮件:security@tj.cnuninet.net

版权所有:西安交通大学 站点建设与维护: 网络信息中心 服务电话:82667777(兴庆)、88961111(创新港)

地址:陕西省西安市咸宁西路28号西安交通大学 主楼1703  邮编:710049