§ 定义

武汉男生病毒,名字win32.troj.whboy2005.j，此病毒是“武汉男生”的一系列新变种，利用QQ聊天工具进行传播，定时给QQ网友发送包含网址的信息诱使用户点击，利用IE的Object Data漏洞下载并运行。该变种的特点是，病毒运行后定时发给QQ网友同样网址，还趁机盗取“传奇”游戏的帐户、密码以及其他信息，并以邮件形式发给盗密码者，还结束反病毒软件。如果点击病毒网页将显示美女图片，同时弹出标题为“asp空间”的不可见窗口。此网页利用IE漏洞，下载并运行leoexe.gif和leo.asp文件，其中leoexe.gif是exe类型的病毒体，leo.asp是病毒释放器；每隔一段时间给QQ网友发送信息，病毒运行后复制自身到系统目录下，文件名是updater.exe、Systary.exe、sysnot.exe,修改文本文件（*.txt）关联和可执行文件关联，用户运行任意的txt文件和exe文件都会激活病毒。病毒在计算机中搜索传奇游戏的帐户密码以及其他信息，发送到指定信箱。

§ 清除病毒

删除病毒在系统目录下释放的病毒文件，删除病毒在注册表下生成的键值，运行杀毒软件，对病毒进行全面清除。

支持熊猫烧香所有变种的查杀，请重启系统到带网络连接的安全模式下使用专杀工具查杀。如果已经中毒，直接运行专杀工具也会失败，病毒会阻止专杀工具启动，请重启系统时，按F8，选择安全模式，再运行专杀工具处理。

“熊猫烧香”，又称“武汉男生”，这是一个感染型的蠕虫病毒，它能感染系统中exe，com，pif，src，html，asp等文件，它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件，该文件是一系统备份工具GHOST的备份文件，使用户的系统备份文件丢失。

§ 病毒特性：

此病毒是“武汉男生”的一系列新变种，病毒发作后会利用QQ聊天工具进行传播，定时给QQ网友发送包含网址的信息来诱使用户点击，该网页利用了IE的Object Data漏洞下载并运行病毒本身，该漏洞是由HTML中OBJECT的DATA标签引起的。对于DATA所标记的URL，IE会根据服务器返回的HTTP头来处理数据。如果HTTP头中返回的URL类型Content-Type是Application/hta，那么该URL指定的文件就能够执行，无论IE设置的安全级别有多高。

该变种较明显的特点是，病毒运行后，除定时发给QQ网友同样的网址外还会趁机盗取“传奇”游戏的帐户、密码以及其他信息，并以邮件形式发给盗密码者，还会结束多种反病毒软件，以保护自身不被清除。

(1)如果点击病毒网页，将会显示美女图片，而同时弹出一个标题为“asp空间”的不可见窗口。此网页利用IE漏洞，下载并运行leoexe.gif和leo.asp文件，其中leoexe.gif并不是图像文件，而是exe类型的病毒体，leo.asp是病毒释放器；

(2)病毒一旦运行，将结束大部分杀毒软件、防火墙以及某些病毒专杀工具；

(3)每隔一段时间给QQ网友发送信息

(4)病毒运行后会复制自身到系统目录下，文件名是updater.exe、Systary.exe、sysnot.exe,并在注册表HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices中添加：“windows update” = “%安装目录%\\system\\updater.exe” %安装目录% 是Windows 系统的安装目录，在不同系统下该目标表现可能不同，可能的有：c:\\windows；c:\\winnt 等。

(5)修改文本文件（*.txt）关联和可执行文件关联，直接指向病毒本身，如果用户运行任意的txt文件和exe文件都会激活病毒。

(6)病毒会在计算机中搜索传奇游戏的帐户、密码以及其他信息，发送到指定的E-Mail信箱。

• 得玑
• 得理
• 得生丸
• 得生片
• 得眼
• 得知
• 得空
• 得策
• 得米尼车站
• 得罪
• 得而达
• 得耳布尔站
• 得职
• 得胜令
• 得胜回头
• 得胜图
• 得胜葫芦
• 得胜街与洗马池
• 得胜褂
• 得能
• 得荣太阳谷风景区
• 得趣书室
• 得路
• 得过
• 得途