熊猫烧香”病毒档案

　　追杀目标：Worm.WhBoy.h

　　中文名：“熊猫烧香”

　　病毒长度：可变

　　病毒类型：蠕虫

　　危害等级：★★★★

　　影响平台：Win 9X/ME/NT/2000/XP/2003

　　典型表现：“熊猫烧香”是一个由Delphi工具编写的蠕虫，终止大量的反病毒软件和防火墙软件进程。病毒会删除扩展名为gho的文件，使用户无法使用ghost软件恢复操作系统。“熊猫烧香”感染系统的

　　.exe、.com、.pif、.src、.html、.asp文件，添加病毒网址，导致用户一打开这些网页文件，IE就会自动连接到指定的病毒网址中下载病毒。在硬盘各个分区下生成文件autorun.inf和setup.exe，可以通过U盘和移动硬盘等方式进行传播，并且利用Windows系统的自动播放功能来运行，搜索硬盘中的.exe可执行文件并感染，感染后的文件图标变成“熊猫烧香”图案。“熊猫烧香”还可以通过共享文件夹、系统弱口令等多种方式进行传播。

　　三大原因导致“熊猫烧香”肆虐

　　近日，“熊猫烧香”病毒泛滥成灾，已经到了天怒人怨的地步。据悉，由于多家著名网站遭到此类病毒攻击而相继被植入病毒。由于这些网站的浏览量非常大，致使此次“熊猫烧香”病毒的感染范围非常广。

　　据反病毒专家介绍，“熊猫烧香”其实是“尼姆亚”病毒的新变种，最早出现在2006年的11月。由于它一直在不停地进行变种，而且该病毒会在中毒电脑中所有的网页文件尾部添加病毒代码，因此，一旦一些网站编辑人员的电脑被该病毒感染，网站编辑在上传网页到网站后，就会导致所有浏览该网页的计算机用户也被感染上该病毒。

　　同时，某反病毒中心表示，“熊猫烧香”除了通过网站带毒感染用户之外，此病毒还会通过QQ最新漏洞传播自身，通过网络文件共享、默认共享、系统弱口令、U盘及移动硬盘等多种途径传播。而局域网中只要有一台机器感染，就可以瞬间传遍整个网络，甚至在极短时间之内就可以感染几千台计算机，严重时可以导致网络瘫痪。中毒症状表现为电脑中所有可执行的.exe文件都变成了一种怪异的图案，该图案显示为“熊猫烧香”，继而系统蓝屏、频繁重启、硬盘数据被破坏等，严重的整个公司局域网内所有电脑会全部中毒。

　　对此，反病毒专家分析认为：导致病毒快速传播目前存在三大原因。一是大量的企业用户使用国外杀毒软件，而国外杀毒软件对于此类国产病毒响应速度特别慢。二是由于被种植“熊猫烧香”病毒网站的点击量的全球排名均在前300名之列，而当一部分网站编辑本身机器感染了病毒之后，当他们把受感染文件上传到服务器后，访问者点击此类受感染网页即中毒，因此，该病毒才会得以迅速传播。三是其病毒具有极强的变种能力，仅从2006年11月至年底短短一个多月的时间，该病毒就变种将近30余次，因此在许多用户疏于防范而没有更新杀毒软件时，该病毒即可借机迅速传播。

　　新年伊始“熊猫烧香”破坏继续加剧

　　据了解，一份2006年计算机病毒疫情显示，“熊猫烧香”(“威金”病毒变种)已成为2006年计算机病毒最大威胁。截至去年12月份，已有超过50万台计算机受此病毒感染，而受害企业用户更是达到上千家，多数企业业务因此停顿，直接和间接损失无法估量，病毒疫情十分严重。

　　近日据记者从某反病毒中心获取的最新消息：“熊猫烧香”(Worm.WhBoy.h)病毒目前再次进入急速变种期，从元旦至今，仅半个多月，“熊猫烧香”变种数已高达50多个，并且其感染用户的数量也在不断扩大。据金山毒霸客户服务中心初步统计，目前感染“熊猫烧香”病毒的个人用户已经高达几百万，企业用户感染数更是成倍上升。特别是在近一周内，金山毒霸客服中心有关熊猫烧香的日咨询量已高达73%，而感染用户主要以北京、广州、上海等大型城市为主。

　　另据反病毒专家指出，当前由于大部分感染了“熊猫烧香”的用户只能被动下载一些相关的专杀工具或杀毒软件进行查杀，而由于熊猫烧香变种多，传播速度快，一旦用户没能及时升级杀毒软件或专杀工具，查杀效果将大打折扣。所以如何彻底将“熊猫烧香”拦截于用户的电脑之外，成为各大杀毒厂商目前急需解决的问题。

　　　五招远离熊猫烧香骚扰

　　据某反病毒中心表示，近期“熊猫烧香”的变种异常活跃，因此从目前至春节期间，该病毒还将会一直骚扰着电脑用户。虽然用户及时更新杀毒软件病毒库，并下载各杀毒软件公司提供的专杀工具，即可对“熊猫烧香”病毒进行查杀，但是如果能做到防患于未然岂不更好。为此，记者在采访中，还总结了以下五招预防措施，希望可以帮您远离“熊猫烧香”病毒的骚扰。

　　1.立即检查本机administrator组成员口令，一定要放弃简单口令甚至空口令，安全的口令是字母数字特殊字符的组合，自己记得住，别让病毒猜到就行。

　　修改方法：右键单击我的电脑，选择管理，浏览到本地用户和组，在右边的窗格中，选择具备管理员权限的用户名，单击右键，选择设置密码，输入新密码就行。

　　2.利用组策略，关闭所有驱动器的自动播放功能。

　　步骤：单击开始，运行，输入gpedit.msc，打开组策略编辑器，浏览到计算机配置，管理模板，系统，在右边的窗格中选择关闭自动播放，该配置缺省是未配置，在下拉框中选择所有驱动器，再选取已启用，确定后关闭。最后，在开始，运行中输入gpupdate，确定后，该策略就生效了。

　　3.修改文件夹选项，以查看不明文件的真实属性，避免无意双击骗子程序中毒。

　　步骤：打开资源管理器(按windows徽标键＋E)，点工具菜单下文件夹选项，再点查看，在高级设置中，选择查看所有文件，取消隐藏受保护的操作系统文件，取消隐藏文件扩展名。

　　4.时刻保持操作系统获得最新的安全更新，不要随意访问来源不明的网站，特别是微软的MS06-014漏洞，应立即打好该漏洞补丁。

　　同时，QQ、UC的漏洞也可以被该病毒利用，因此，用户应该去他们的官方网站打好最新补丁。此外，由于该病毒会利用IE浏览器的漏洞进行攻击，因此用户还应该给IE打好所有的补丁。如果必要的话，用户可以暂时换用Firefox、Opera等比较安全的浏览器。

　　5.启用Windows防火墙保护本地计算机。同时，局域网用户尽量避免创建可写的共享目录，已经创建共享目录的应立即停止共享。

　　此外，对于未感染的用户，病毒专家建议，不要登录不良网站，及时下载微软公布的最新补丁，来避免病毒利用漏洞袭击用户的电脑，同时上网时应采用“杀毒软件+防火墙”的立体防御体系。

　　　(来源：京华时报记者:孙尚伟有删节)