最近一段时间,江民科技的几部反病毒热线始终没有停下来过,有很多用户打电话询问同一种病毒的查杀方法,这种病毒有一个最显著的特点-中毒电脑的可执行程序图标都会变成一只熊猫举着三炷香的样子,也就是最近正在互联网大范围流窜的蠕虫病毒-“熊猫烧香” 。此病毒最早现身于2006年10月,最近正处于急速变种期,再加上这个病毒利用多种漏洞和途径大肆传播,因此中毒用户也急速增加。对于用户打来的每一个电话,江民科技的工程师都会详细耐心的给出解决方案,指导用户如何彻底查杀此病毒。
“铃,铃,铃。。。。。。” 刚刚放下的电话又响了起来,江民科技的工程师立即接取电话询问:“你好!这里是江民科技,请问有什么需要服务的吗?”
“啊!你好!是江民公司吧?我这边中毒了!网都瘫痪了,你们快来帮帮我吧!”对方的声音显得很焦急。
“您先别着急,请说一下你那边的情况,有什么异常的现象吗?”江民科技的工程师耐心的询问着。
“是这样,今天一早上,我就发现我们服务器的文件都不能运行了,图标都变成一个熊猫的样子,接着网速就很慢,现在基本上局域网都瘫痪了!”
“哦,那你们中的可能是最近流行的‘熊猫烧香’蠕虫病毒,请问你们用的是那款杀毒软件和病毒库的日期?”江民科技的工程师进一步了解用户的情况。
“哎呀!我们公司刚刚组建完网络,还没装杀毒软件呢!这不就中了嘛!你们能派工程师来我们这里处理一下吗?十分感谢!”
“哦,那好,请您留下联系方式,我们会立即派人去部署一下杀毒软件,彻底清除您们网络中的病毒。” 江民科技的工程师记下了对方的地址,立即启程,又一次的展开了紧迫的反病毒任务。
全网尽烧熊猫香
江民科技的工程师立刻就赶到用户那里,在一台服务器上发现里面的工具软件都已经被“熊猫烧香”
蠕虫病毒感染了,如图1:
 |
| 图1 被“熊猫烧香”病毒感染之后的文件 |
在进程中出现一个名为 spoclsv.exe 的可疑进程,如图2:
 |
| 图2 “熊猫烧香”病毒进程 |
在注册表中,有一个名为svcshare 的可疑启动项,如图3:
 |
| 图3 “熊猫烧香”病毒启动项 |
此外,还在硬盘跟目录下面发现了两个隐藏属性的可疑文件:
 |
| 图4 “熊猫烧香”病毒还可以通过U盘传播 |
显然,这样当用户双点打开E盘时,病毒文件就会激活运行。
还有,在一些文件夹里面出现了名为Desktop_.ini 的文件,里面有一个时间戳:如2007-1-15,这是标记着病毒的发作日期。如图5
 |
| 图5 |
从这些迹象可以看出,用户中的是典型的“熊猫烧香”蠕虫病毒,此时用户也在旁边询问:“怎么办?请帮忙一定把病毒杀干净!”江民科技的工程师坚定地回答说:“请放心!你的电脑是由于没有装杀毒软件,这才给病毒留下空隙的,我现在给你安装一套KV 杀毒软件,很容易就能将病毒杀干净!而且你这里是一个局域网环境,就部署一下KV网络版吧!”
于是江民科技的工程师采用KV杀毒软件网络版独有的WEB方式安装,不出一小会,几十个节点的网络版杀毒软件便部署完毕,并且在进行了全网病毒库统一升级之后,下达了全网同时杀毒指令,如图6。
 |
| 图6 KV网络版主控中心 |
立刻,这台服务器的病毒就彻底清除完毕了,如图7:
 |
| 图7 KV网络版客户端杀毒界面 |
杀毒之后,文件被很好的还原,病毒被彻底的清除。如图8
 |
| 图8 KV杀毒之后,文件被还原 |
看见文件被还原,“熊猫”不见了,这位用户终于放下心来,接着江民科技的工程师说:“对于‘熊猫烧香’这样的恶性蠕重,我们江民科技在第一时间就发布了免费专杀工具,http://download.jiangmin.info/jmsoft/VikingKiller.exe ,可以随时下载使用,可以很好的清除被熊猫烧香病毒感染的文件。”如图9
 |
| 图9 江民科技“熊猫烧香”病毒专杀工具 |
杀毒防毒 安全建议很重要
接着江民科技的工程师说:你看,你们的服务器连密码都没有设置,补丁也没有打上,这样的电脑是很容易感染病毒的,出次之外,还应该注意以下几点:
1、局域网用户尽量避免创建可写的共享目录,已经创建共享目录的应立即停止共享。
2、 如无必要,Windows 2000/XP用户应尽量关闭IPC$共享,并给具有管理员权限的帐号设置强健的密码。
3、及时安装微软的安全更新,不要随意访问来源不明的网站。特别是微软的MS06-014漏洞,应立即打好该漏洞补丁。
补丁下载地址:http://www.microsoft.com/china/technet/security/bulletin/ms06-014.mspx
4、安装杀毒软件,并及时升级病毒库
5、QQ用户请下载安装最新版本的QQ软件,已发现多起恶意网站利用QQ漏洞传播熊猫蠕虫的现象。
6、使用U盘等移动设备交换文件时,要开启杀毒软件的实时监控,或先用杀毒软件扫描,并关闭自动播放功能。
