武汉男生病毒,名字win32.troj.whboy2005.j，此病毒是“武汉男生”的一系列新变种，利用QQ聊天工具进行传播，定时给QQ网友发送包含网址的信息诱使用户点击，利用IE的Object Data漏洞下载并运行。

基本信息

病毒特性

清除病毒

基本信息

“熊猫烧香”的制造者

解决办法

传播方法(金山分析 1 拷贝文件 2 添加注册表自启动 3 病毒行为)

基本信息

该变种的特点是，病毒运行后定时发给QQ网友同样网址，还趁机盗取“传奇”游戏的帐户、密码以及其他信息，并以邮件形式发给盗密码者，还结束反病毒软件。如果点击病毒网页将显示美女图片，同时弹出标题为“asp空间”的不可见窗口。此网页利用IE漏洞，下载并运行leoexe.gif和leo.asp文件，其中leoexe.gif是exe类型的病毒体，leo.asp是病毒释放器；每隔一段时间给QQ网友发送信息，病毒运行后复制自身到系统目录下，文件名是updater.exe、Systary.exe、sysnot.exe,修改文本文件（*.txt）关联和可执行文件关联，用户运行任意的txt文件和exe文件都会激活病毒。病毒在计算机中搜索传奇游戏的帐户密码以及其他信息，发送到指定信箱。

清除病毒方法是，删除病毒在系统目录下释放的病毒文件，删除病毒在注册表下生成的键值，运行杀毒软件，对病毒进行全面清除。

支持熊猫烧香所有变种的查杀，请重启系统到带网络连接的安全模式下使用专杀工具查杀。如果已经中毒，直接运行专杀工具也会失败，病毒会阻止专杀工具启动，请重启系统时，按F8，选择安全模式，再运行专杀工具处理。

“熊猫烧香”，又称“武汉男生”，这是一个感染型的蠕虫病毒，它能感染系统中exe，com，pif，src，html，asp等文件，它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件，该文件是一系统备份工具GHOST的备份文件，使用户的系统备份文件丢失。

病毒特性

此病毒是“武汉男生”的一系列新变种，病毒发作后会利用QQ聊天工具进行传播，定时给QQ网友发送包含网址的信息来诱使用户点击，该网页利用了IE的Object Data漏洞下载并运行病毒本身，该漏洞是由HTML中OBJECT的DATA标签引起的。对于DATA所标记的URL，IE会根据服务器返回的HTTP头来处理数据。如果HTTP头中返回的URL类型Content-Type是Application/hta，那么该URL指定的文件就能够执行，无论IE设置的安全级别有多高。

该变种较明显的特点是，病毒运行后，除定时发给QQ网友同样的网址外还会趁机盗取“传奇”游戏的帐户、密码以及其他信息，并以邮件形式发给盗密码者，还会结束多种反病毒软件，以保护自身不被清除。

(1)如果点击病毒网页，将会显示美女图片，而同时弹出一个标题为“asp空间”的不可见窗口。此网页利用IE漏洞，下载并运行leoexe.gif和leo.asp文件，其中leoexe.gif并不是图像文件，而是exe类型的病毒体，leo.asp是病毒释放器；

(2)病毒一旦运行，将结束大部分杀毒软件、防火墙以及某些病毒专杀工具；

(3)每隔一段时间给QQ网友发送信息

(4)病毒运行后会复制自身到系统目录下，文件名是updater.exe、Systary.exe、sysnot.exe,并在注册表HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices中添加：“windows update” = “%安装目录%\\system\\updater.exe” %安装目录% 是Windows 系统的安装目录，在不同系统下该目标表现可能不同，可能的有：c:\\windows；c:\\winnt 等。

(5)修改文本文件（*.txt）关联和可执行文件关联，直接指向病毒本身，如果用户运行任意的txt文件和exe文件都会激活病毒。

(6)病毒会在计算机中搜索传奇游戏的帐户、密码以及其他信息，发送到指定的E-Mail信箱。

清除病毒

1、删除病毒在系统目录下释放的病毒文件

2、删除病毒在注册表下生成的键值

3、运行杀毒软件，对病毒进行全面清除

基本信息

病毒名称:熊猫烧香 ，Worm.WhBoy.（金山称），Worm.Nimaya.（瑞星称）

病毒别名：尼姆亚，武汉男生，后又化身为“金猪报喜”，国外称“熊猫烧香”

危险级别：★★★★★

病毒类型：蠕虫病毒，能够终止大量的反病毒软件和防火墙软件进程。

影响系统：Win 9x/ME、Win 2000/NT、Win XP、Win 2003 、Win Vista

“熊猫烧香”的制造者

熊猫烧香病毒的制造者-李俊

一个水泥厂技校毕业的中专生，一个从未接受过专业训练的电脑爱好者，一个被杀毒软件公司拒之门外的年轻人，荼毒了小半个中国互联网。如果不是地震引发海底光缆故障，那只颔首敬香的“熊猫”，还将“迁徙”到更远的地方。

家人眼中的李俊：

李俊的父母一直在家乡一水泥厂上班，前几年双双下岗，他妈妈做了个小推车在街上卖早点，他爸爸则到了一家私人瓦厂打工。52岁的李俊妈妈陈女士说，李俊很小的时候就喜欢玩电脑，没事就到网吧去玩，因为怕他在外面学坏，家里就给他买了台电脑。没想到到头来儿子却是因为“玩电脑”被警察抓走，陈女士感到悔恨不已。

李俊的父亲则说，四五岁时，李俊爱上了玩积木及拆卸家中的小机械，那时候，李俊将家中的收音机、闹钟、手电筒等凡是能拆开的物品，都拆成一个个零部件，歪着脑袋观察每个零部件后，又将零部件重新组装起来，恢复原样。如果闹钟再次走动或收音机能发出声音时，李俊往往会拍手大笑，自顾自庆祝半天。

李俊的弟弟李明比他小三岁，西南民族大学音乐教育专业学生，今年放寒假回家，他偶尔和哥哥提起最近他和同学都中过的“熊猫烧香”电脑病毒。哥哥听说后却一改以往的内向和谦卑，不屑一故地笑说：“这病毒没什么大不了。”当时李明并没有想到，他的哥哥就是“熊猫烧香”的始作俑者。

李明告诉记者，哥哥在上学时数学和英语非常优秀，尽管如此，哥哥还是没能考上高中，而是进了水泥厂里自办的一所技校(现已改名为“娲石职业技术学校”)，后于2000年到武汉一家电脑城打工后，自己有了收入，但他很少给家人钱花。在李明的记忆中，哥哥从不找父母要钱花。有人曾对李俊说，李明是他弟弟，他应该给李明点零花钱。李俊总是很严肃地说：“钱要靠自己挣！挣不到钱的人，是无能的人。”

解决办法

【1】 立即检查本机administrator组成员口令，一定要放弃简单口令甚至空口令，安全的口令是字母数字特殊字符的组合，自己记得住，别让病毒猜到就行。

修改方法：右键单击我的电脑，选择管理，浏览到本地用户和组，在右边的窗格中，选择具备管理员权限的用户名，单击右键，选择设置密码，输入新密码就行。

【2】 利用组策略，关闭所有驱动器的自动播放功能。

步骤：单击开始，运行，输入gpedit.msc，打开组策略编辑器，浏览到计算机配置，管理模板，系统，在右边的窗格中选择关闭自动播放，该配置缺省是未配置，在下拉框中选择所有驱动器，再选取已启用，确定后关闭。最后，在开始，运行中输入gpupdate，确定后，该策略就生效了。

【3】 修改文件夹选项，以查看不明文件的真实属性，避免无意双击骗子程序中毒。

步骤：打开资源管理器(按windows徽标键＋E)，点工具菜单下文件夹选项，再点查看，在高级设置中，选择查看所有文件，取消隐藏受保护的操作系统文件，取消隐藏文件扩展名。

【4】 时刻保持操作系统获得最新的安全更新，不要随意访问来源不明的网站，特别是微软的MS06-014漏洞，应立即打好该漏洞补丁。

同时，QQ、UC的漏洞也可以被该病毒利用，因此，用户应该去他们的官方网站打好最新补丁。此外，由于该病毒会利用IE浏览器的漏洞进行攻击，因此用户还应该给IE打好所有的补丁。如果必要的话，用户可以暂时换用Firefox、Opera等比较安全的浏览器。

【5】 启用Windows防火墙保护本地计算机。同时，局域网用户尽量避免创建可写的共享目录，已经创建共享目录的应立即停止共享。

此外，对于未感染的用户，病毒专家建议，不要登录不良网站，及时下载微软公布的最新补丁，来避免病毒利用漏洞袭击用户的电脑，同时上网时应采用“杀毒软件+防火墙”的立体防御体系。

传播方法

“熊猫烧香”还可以通过共享文件夹、系统弱口令等多种方式进行传播。

金山分析

这是一个感染型的蠕虫病毒,它能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程

1 拷贝文件

病毒运行后,会把自己拷贝到

C:\\WINDOWS\\System32\\Drivers\\spoclsv.exe

2 添加注册表自启动

病毒会添加自启动项

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

svcshare -> C:\\WINDOWS\\System32\\Drivers\\spoclsv.exe

3 病毒行为

a:每隔1秒

寻找桌面窗口,并关闭窗口标题中含有以下字符的程序

QQKav

QQAV

防火墙

进程

VirusScan

网镖

杀毒

毒霸

瑞星

江民

黄山IE

超级兔子

优化大师

木马克星

木马清道夫

QQ病毒

注册表编辑器

系统配置实用程序

卡巴斯基反病毒

Symantec AntiVirus

Duba

esteem proces

绿鹰PC

密码防盗

噬菌体

木马辅助查找器

System Safety Monitor

Wrapped gift Killer

Winsock Expert

游戏木马检测大师

msctls_statusbar32

pjf(ustc)

IceSword

并使用的键盘映射的方法关闭安全软件IceSword

添加注册表使自己自启动

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

svcshare -> C:\\WINDOWS\\System32\\Drivers\\spoclsv.exe

并中止系统中以下的进程:

Mcshield.exe

VsTskMgr.exe

naPrdMgr.exe

UpdaterUI.exe

TBMon.exe

scan32.exe

Ravmond.exe

CCenter.exe

RavTask.exe

Rav.exe

Ravmon.exe

RavmonD.exe

RavStub.exe

KVXP.kxp

kvMonXP.kxp

KVCenter.kxp

KVSrvXP.exe

KRegEx.exe

UIHost.exe

TrojDie.kxp

FrogAgent.exe

Logo1_.exe

Logo_1.exe

Rundl132.exe

b:每隔18秒

点击病毒作者指定的网页,并用命令行检查系统中是否存在共享

共存在的话就运行net share命令关闭admin$共享

c:每隔10秒

下载病毒作者指定的文件,并用命令行检查系统中是否存在共享

共存在的话就运行net share命令关闭admin$共享

d:每隔6秒

删除安全软件在注册表中的键值

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

RavTask

KvMonXP

kav

KAVPersonal50

McAfeeUpdaterUI

Network Associates Error Reporting Service

ShStartEXE

YLive.exe

yassistse

并修改以下值不显示隐藏文件

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\\SHOWALL

CheckedValue -> 0x00

删除以下服务:

navapsvc

wscsvc

KPfwSvc

SNDSrvc

ccProxy

ccEvtMgr

ccSetMgr

SPBBCSvc

Symantec Core LC

NPFMntor

MskService

FireSvc

e:感染文件

病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部

并在扩展名为htm,html, asp,php,jsp,aspx的文件中添加一网址,

用户一但打开了该文件,IE就会不断的在后台点击写入的网址,达到

增加点击量的目的,但病毒不会感染以下文件夹名中的文件:

WINDOW

Winnt

System Volume Information

Recycled

Windows NT

WindowsUpdate

Windows Media Player

Outlook Express

Internet Explorer

NetMeeting

Common Files

ComPlus Applications

Messenger

InstallShield Installation Information

MSN

Microsoft Frontpage

Movie Maker

MSN Gamin Zone

g:删除文件

病毒会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件

使用户的系统备份文件丢失.

瑞星最新病毒分析报告：“Nimaya（熊猫烧香）”

这是一个传染型的DownLoad 使用Delphi编写