“熊猫烧香”已经在互联网上肆虐了一段时日,尽管杀毒厂商每天都在发布关于“熊猫烧香”的最新报道及解决方案,但仍然有大量用户,尤其是企业用户,无法彻底摆脱熊猫烧香的困扰。大量企业网管也被这只小熊猫搞得身心疲惫,甚至有人不堪重压,辞职走人。
“我做了5年网管工作,从来没有遇到这么难缠的病毒,公司200多台机器,不断有人感染,每天都有处理不完的工作,真是让人头疼!不知道这种情况将持续多久!”上海某咨询公司网管付先生气愤地说。
金山毒霸反病毒专家指出,企业内用户比较多,一些用户可能因为工作繁忙而忘记给杀毒软件的客户端及时升级,从而导致系统感染熊猫烧香。专家表示,虽然网上已经出现了各种针对该病毒的解决办法,但多数是针对个人用户,所以对于企业用户来讲并不是特别试用,下面我们将从病毒的查杀及预防两个方面,介绍一下该病毒防治的解决办法,希望对广大企业网络管理人员有所帮助。
病毒名:熊猫烧香病毒(又称武汉男生),英文名(Worm.WhBoy),目前发现的变种数已超过50个。
典型表现:
用户感染熊猫烧香后发现较多的EXE文件图标变成点着香的熊猫,这也是该病毒命名的由来。现在发现的部分变种已经不再使用这个广为人知的图标了,部分变种可以直接通过互联网更新版本,部分变种可以感染htm、html、asp、php、jsp、aspx等网页格式文件。一段web服务器被感染,将意味着所有浏览这些网页的计算机可能会自动下载并感染上熊猫烧香病毒。
该系列变种会释放以下几个典型文件
分区根目录下:setup.exe、autorun.inf
%System%\Fuckjacks.exe;%System%\Drivers\spoclsv.exe
局域网环境下:GameSetup.exe
病毒行为:
1、删除常用杀毒软件在注册表中的启动项或服务,终止杀毒软件的进程,几乎涉及目前所有杀毒软件
2、终止部分安全辅助工具的进程,如IceSword、任务管理器taskmon
3、终止维金的相关进程Logo1_.exe、Logo_1.exe、Rundl123.exe
4、弱口令破解局域网其他电脑的Administror帐号,并用GameSetup.exe进行复制传播
5、修改注册表键值,导致不能查看隐藏文件和系统文件
6、除C盘如下目录外,病毒会尝试破坏其它分区下的部分.exe、.com、.gho、.pif、.scr文件,病毒不会去感染以下目录中的文件(给我们解决此病毒留下机会了,请看下文中的有关描述)。
WINDOW,Winnt,System Volume Information,Recycled,Windows NT,Windows Update,Windows MediaPlayer,Outlook Express,Internet Explorer,NetMeeting,Common Files,ComPlus Applications,Messenger,InstallShield Installation Information,MSN,Microsoft Frontpage,MovieMaker,MSN GaminZone
7、病毒会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件,使用户的系统备份文件丢失。
解决办法:
1.首先用户要确保防病毒软件可以正常运行并能正常升级下载最新的病毒库。但因为该病毒已经感染了用户电脑中所有exe文件,所以用户必须先通过专杀工具进行全面查杀,专家推荐去www.xiongmaoshaoxiang.com进行下载。
2.在使用专杀处理完感染病毒的操作系统之后,被病毒感染的exe文件就可以正常运行了。此时请将杀毒软件升级到最新版本,然后再进行全面查杀,清除掉有可能未被专杀工具查杀的变种病毒。如果有未能直接清除的病毒文件,可能是因为被程序占用,建议在安全模式下进行全面查杀。
病毒预防
做好病毒的预防工作,将病毒抵隔离在电脑之外,这对于每个用户来讲都至关重要。
金山毒霸反病毒专家指出,网络安全重在防而不在治,所以提高用户的网络安全意识是十分重要的,各位网络维护人员一定要加强这方面的培训。而对于已经感染病毒的用户来说,在杀毒后更要进行预防,亡羊补牢!
1.立即检查本机administrator组成员口令,一定放弃简单口令甚至空口令,安全的口令是字母、数字、特殊字符的组合,自己记得住,别让病毒猜到就行。修改方法:右键单击我的电脑——选择管理——浏览到本地用户和组——在右边的窗格中,选择具备管理员权限的用户名——单击右键——选择设置密码——输入新密码。
2.利用组策略,关闭所有驱动器的自动播放功能。
步骤:单击开始——运行——输入gpedit.msc——打开组策略编辑器——浏览到计算机配置——管理模板——系统——在右边的窗格中选择关闭自动播放——双击(该配置缺省状态下为未配置)——在下拉框中选择所有驱动器——再选取已启用——确定后关闭——在开始运行中输入gpupdate命令——确定——策略生效。
3.修改文件夹选项,以查看不明文件的真实属性,避免由于无意中双击了骗子程序而中毒。
步骤:打开资源管理器(按windows徽标键+E),点工具菜单下文件夹选项,再点查看,在高级设置中,选择查看所有文件,取消隐藏受保护的操作系统文件,取消隐藏文件扩展名。
4.时刻保持操作系统获得最新的安全更新,建议用毒霸的漏洞扫描功能。
5.启用windows防火墙保护本地计算机。
6.最后一点也是重要的一点,下载并安装毒霸企业版的sp4补丁,并且将客户端升级为最新版本。由于该补丁集成了熊猫烧香的免疫功能,对于清除熊猫烧香病毒来说是一个一劳永逸的处理办法。