“就在很多人怀疑熊猫烧香病毒是一个15岁武汉男孩制作的时候,它背后的黑势力近日已经现身,网上已经发现了产销一条龙盗窃销售网游设备的产业链。”前日,江民公司反病毒工程师称,已发现“熊猫烧香”病毒幕后势力的痕迹。
病毒警报
本周仍要防“熊猫”
据新华社最新消息,“熊猫烧香”病毒本周仍然活跃,仍是网络病毒防范重点。目前,瑞星公司已经截获到该病毒的数十个变种。因此,瑞星反病毒反木马一周播报(2007.01.29~02.04)仍将“熊猫烧香”病毒列为本周关注病毒,警惕程度为★★★★。
网络通缉令
凶手 熊猫烧香病毒
特征
“熊猫烧香”是一种蠕虫病毒的变种,而且是经过多次变种而来的,原名为尼姆亚变种W(Worm.Nimaya.w)。由于中毒电脑的可执行文件会变成一只可爱的熊猫,双手合十拿着三根香,两眼微闭,一脸虔诚的图案,所以也被称为“熊猫烧香”病毒。用户电脑一旦中毒,可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。同时,该病毒的某些变种可以通过局域网进行传播,进而感染局域网内所有计算机系统,最终导致企业局域网瘫痪,无法正常使用。
罪行
病毒会自动关闭众多杀毒软件和安全工具;循环遍历磁盘目录,对关键系统文件跳过,感染所有EXE、SCR、PIF、COM文件,并更改图标为烧香熊猫;感染所有.htm/.html/.asp/.php/.jsp/.aspx文件,添加木马恶意代码;自动删除*.gho文件。目前已导致超过百万网民的电脑中毒瘫痪。
据江民等反病毒公司人员介绍,“熊猫烧香”病毒从去年12月份大规模爆发至今,已经使上百万网友受害。该公司每天都接到大量的求助电话。据悉受此病毒危害最为严重的是一些网吧业主,近千台电脑集体瘫痪,直接损失30多万元,让他们“杀人的心都有”。
网吧受灾最严重
在反病毒公司接连发布病毒紧急警报后,国家计算机病毒应急处理中心也发布了病毒预警,“可惜两次病毒警报并没有引起人们的足够重视”。反病毒专家何公道表示。
近日有不少网友表示要团结起来捉拿病毒作者,更有甚者公开发出通缉令并悬赏10万美元。该举动在我国互联网和反病毒历史上都是首次,引起了各方关注。
病毒产业链现身
江民公司反病毒工程师向新京报记者展示的一份证据显示,在他们截获的病毒中,已经发现“熊猫烧香”的作者通过http://www.feifeicqq.com等几家地下网站公开销售网络游戏的装备,“他们这些网站可以称为是盗号、买卖一条龙,现在看来‘熊猫烧香’的背景远没有那么简单”,反病毒工程师称,只要病毒作者愿意,一年可以靠卖盗窃产品赚一座别墅。
据了解,“熊猫烧香”本身就是一种下载程序,会在指定的网站下载后门、木马、各种盗号程序。目前已经转入盗销一条龙的几家网站已经有所警觉,几家网站都已经采取了应对措施。而之前,几家杀毒公司都已经向公安机关报案。
病毒作者触犯法律
据反病毒专家介绍,近期“熊猫烧香”的新变种中,病毒作者还在病毒体中留下了“超级巡警终于火了”的言论,因此有不少网友怀疑此次“熊猫烧香”病毒是由“超级巡警”软件提供方幕后推动。但该说法并未得到国内几家杀毒公司的肯定,称目前除了病毒体中的那句留言尚未有太多证据显示是该团体在幕后推动。
自2005年以来,计算机病毒作者常常以获取经济利益为目标,之前出现的网银大盗、证券大盗、游戏大盗、QQ大盗等都是如此,而这些都已经触犯了我国的刑法。2006年5月“证券大盗”木马病毒作者一审被判无期徒刑,而“熊猫烧香”病毒的真相何时会水落石出,我们将继续关注。
网友改《菊花台》苦中作乐
前日,互联网上一首改编自《菊花台》的歌词,道出了众多网民面对“熊猫病毒”肆虐的无奈。
“晚上机器崩溃了,临时装了系统可还是不稳定。”网友“顺利平安”说,“白天发现电脑根本无法运行了”。很多网民都有和“顺利平安”一样的遭遇。尽管网上出现了多种消灭该病毒的软件和具体操作方法,但“熊猫病毒”给网民造成了很大伤害。许多网民通宵采取应急措施,但仍无法修复被毁的电脑系统。有人将其称为“黑色恐怖”。
就在大家焦头烂额之际,一首根据此次“熊猫烧香”病毒,改编自周杰伦的《菊花台》的歌词开始在网上流传。这篇恶搞歌词很形象地表现了众网民面对病毒的无奈和疲惫。除此之外,该病毒的卡通形象也被篡改。原本上香的熊猫突然两眼圆睁,吐露着舌头,下方是一句具有挑衅性的话———“毒的就是你”。
改版《菊花台》
“你的泪光,柔弱中带伤。满屏的熊猫香,删除过往。熊猫猖狂,点上三根香,是谁在电脑前冰冷的绝望。猫慢慢拜,暗黄色的香。我瘫坐椅子上,精神错乱,路在何方,谁为我思量,冷风吹乱憔悴模样。熊猫拜,三根香,你的笑容已泛黄。重装又重装,我心里在发慌。江民杀,瑞星除,你的影子剪不断,徒留我在机旁神伤。”
防杀“熊猫”
怎么防
1.局域网用户尽量避免创建可写的共享目录;
2.及时安装微软的安全更新;
3.及时升级杀毒软件病毒库,没有安装杀毒软件的用户可以登录http://www.rising.com.cn/free/index.htm下载免费的杀毒软件进行杀毒;
4.QQ用户请下载安装最新版本的QQ软件;
5.使用U盘等移动设备交换文件时,要开启杀毒软件的实时监控等。
怎么杀
1.在任务管理器的进程列表中关闭spcolsv.exe病毒进程。这个spcolsv.exe明显是在模仿系统进程spoolsv.exe;
2.删除位于系统盘/windows/system32/drivers/文件夹中的spcolsv.exe文件;
3.每个硬盘分区的根目录都有两个隐含的文件AUTORUN.INF和SETUP.EXE,将这些垃圾全部删除;
4.在注册表 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun中把病毒的启动项svcshare删除。如果存在多个用户账户,每个用户账户的HKEY_CURRENT_USER都要清理。
5.恢复杀毒软件随系统启动的加载项,以瑞星为例,在注册表 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun中加上一个RavTask,设置命令为“C:RiSingRavRavTask.exe”-system即可,其中C:RisingRAV 是瑞星的默认安装位置。
6.在另一台“安全中心”服务正常的电脑上打开注册表,将 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceswscsvc 的全部内容导出为.REG 文件,复制到故障电脑上导入注册表,然后重新启动 Windows,恢复被病毒删除的“安全中心”服务。
7.在反间谍软件《超级巡警》里找一个熊猫烧香病毒专杀工具1.6,名为KillPanda.BAT,通过扫描后可恢复被寄生的.EXE、.HTM等类型文件的默认图标,而且文件可以正常运行。
网友评论