熊猫烧香电脑病毒清除方法介绍

具， 做成专杀集台． 下载地址是
如果 碰 到 了 “ 猫烧 香 。 熊
大家可以从中选用． 毕竟使用专 杀工具是快速 的应急 方法 （ 图 ２。 ） 专杀工具不光能杀毒， 还能 修复被病毒感染 的文件。 但有 些 熊猫烧香” 病毒会从网上下 载很多其他的木马病毒、 恶意 程序． 专杀 工具对 这 些病 毒是 无 能为力的。 所以清除完 熊描烧 香 之后． 还要升级你的杀毒软件． 进行全盘扫描系毒。
轵 就 能 胤 ｝ 们被 采 岜
在此我们要用到ｅ ｅ ｃｐ 轼Ｍ ， 】 ｘ ｓ ０ ｃ 目它
引 要 修 改 的程 序 ， 一 查找 程 序 标题 在 左 最 近 一 段 时 间 ． 猫 烧 香 熊 边 的辑 形 目 申选 择 “ 源 ． 般 程 序 桥 录 资 一 题都 在 字符 串 或者 埘 话 框” 艟Ｊ Ｆ 字苻串， 台看到很多数字， 十个古找， 般 很快 就 能找 到标 项 比如 （６ 安全 （０ ３ 的标 题项 就 在 第 １ 字符 串中 ｆ ３ 个 ）
痫毒泛监成灾， 据不完全统Ｈ 国 内感 染熊 猫 烧 香病 毒的 企 业
已超 过 千家 ． 个人 用户 更星 不计 其数 。 目前熊描烧香病毒 Ｌ处 Ｅ 于 一 个急 速 变种 期 ， 【月份至 舨 １ 今． 种数 量 已达 ４ ０ 种 ， 变 ０糸 而 且新 版 本 变 种病 毒 防 查 杀 的手
。 熊猫烧香 大规模发作以来， 很多安生厂商或组织都发布了自 己的专杀
：其 ． 由ｆ变 种很 多 怛 专杀 工具也 难 咀保证完 全 清除 ； 们收 集 一 专系 工 我 些
管理器、 系统实用配制程序和注册表编辑 器都 可 以修
改． 不过 要 注 意．ＸＳｏｅ ｃ ｃ ｃｐ 并不 适合 修改

伪装技术
熊猫烧香病毒会伪装成其他正常 的文件或程序，诱骗用户运行， 从而感染计算机系统。
03 熊猫烧香病毒的防范与应 对
防范措施
安装防病毒软件
选择可靠的品牌和版本，并及时更新病毒库。
提高网络安全意识
不随意打开未知来源的邮件和链接，不下载 和运行未知来源的文件和程序。
定期备份重要数据
以防数据被病毒感染或损坏。
案例二：熊猫烧香病毒的攻击目标与手法
熊猫烧香病毒主要攻击个人计算机和企业网络系统，通过感染操作系统和应用程序，导致系统运行缓 慢、蓝屏、死机等问题。
该病毒会修改系统注册表、劫持浏览器、禁用安全软件等手段，以实现长期驻留和控制用户计算机。
熊猫烧香病毒还会窃取用户个人信息，如账号密码、信用卡信息等，给用户的隐私和财产安全带来严重 威胁。
与其他蠕虫病毒的比较
传播方式
熊猫烧香病毒与蠕虫病毒相似，都是通过网络进行快速传播 。熊猫烧香病毒利用系统漏洞和用户不慎点击恶意链接等方 式感染计算机。
破坏性
熊猫烧香病毒在感染计算机后，会对系统文件进行篡改，导 致计算机出现蓝屏、频繁重启等问题。此外，熊猫烧香病毒 还会下载其他恶意软件，进一步损害系统安全。
自我保护机制
熊猫烧香病毒具有自我保护机制，通过修改系统 文件、注册表等手段，防止病毒被轻易删除或查 杀。
病毒的隐藏与反侦察技术
隐藏技术
熊猫烧香病毒采用多种隐藏技术， 如将自身嵌入到其他正常文件中、 使用加密和混淆等技术隐藏自身 代码等。
反侦察技术
熊猫烧香病毒会检测自身是否被 检测或查杀，一旦发现自身被检 测或查杀，会采取相应的反侦察 措施，如删除自身、破坏系统文 件等。
熊猫烧香病毒是一种网络攻击手段，与其他网络攻击如拒绝服务攻击、SQL注入攻击等有所不同。熊猫烧香病毒 主要针对个人计算机系统进行感染和破坏。

“熊猫烧香”后又一厉害病毒清除方法导读:这几天，因为工作的需要，把杀毒软件卸载掉了。

没想到悲剧从此发生了，在不到短短两天的时间里，我的电脑中了一款名字为Trojan-Dropper.Win32.Agent.bct的病毒。

该病毒的作用是能够自动感染所有的盘，和那个rose病毒youdian类似。

我并没有意识到已经中了病毒，直到，工作做完了，把360装上了，然后顺手又骗了个卡巴的序列号，装上了KAV6升级、重启……接下来我的机器，不，是卡巴，跟驴叫似的……还不是一头驴叫，是千驴万马在叫啊!那真是相当的壮观!我傻眼了……这么多?才两天而已???再一看，是木马啊?!没事……就随手设置成，发现病毒不询问直接清理。

等我过一会儿回来看看收成……果然是多收了三五斗啊!——我顶你个肺!卡巴它是把病毒找出来了，病毒感染的文件，卡巴连着一起删除啊!!E盘和F盘两个盘近25G的资料啊，软件啊……只要是exe结尾的……全给卡啦!我慌了，赶紧上线求助，发现，没有专杀!目前都是手工删除……于是找了找他们的清理办法，贴上来大家共同预防，以我为戒!!!千万不要以为，你的机器可以在internet上裸奔!!千万要给机器穿件儿衣服……推荐卡巴或NOD32。

第一个方法：在系统根目录生成并运行_.de，生成_.de.bat，自杀生成x:\windows\system\internat.exe(若先前有同名目录，则把那个文件夹改名为internat.exe.tmp)各盘下生成autorun.inf和setup.exe运行命令cmd.exe /c dir 系统盘以外的盘:\*.exe /s /b >>C:\WINDOWS\win.log根据win.log里的文件来感染EXE 文件感染后增大26890字节查杀方法：1、用命令管理器结束internat.exe这个进程;2、删除X:\windows\system\internat.exe;3、用右键进入各盘，删除下面的autorun.inf和setup.exe;4、在系统盘根目录创建一个名为_.de的文件夹;5、用杀毒软件彻底扫描全部硬盘，被感染不能修复的删不删除都可。

熊猫烧香病毒清除方法有哪些电脑病毒看不见，却无处不在，有时防护措施不够或者不当操作都会导致病毒入侵。

熊满烧香是之前很经典也是很可怕的一种病毒，那么具体有什么预防和处理办法呢?方法步骤1. 断开网络(必要)2. 结束病毒进程%System%\drivers\spoclsv.exe3. 删除病毒文件：c:\windows\system32\drivers\spoclsv.exe注意：打开C盘要右键-开打，否则仁兄就要功亏一篑，就要重复2的步骤!4. 修改注册表设置，恢复“显示所有文件和文件夹”选项功能：[Copy to clipboard]CODE:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\C urrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]"CheckedValue"=dword:00000001本步骤针对病毒将显示隐藏文件禁用的情况5. 右键点击分区盘符，点击右键菜单中的“打开”进入分区根目录，删除根目录下的文件：X:\setup.exeX:\autorun.inf6. 删除病毒创建的启动项：[Copy to clipboard]CODE:[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run]"svcshare"="%System%\drivers\spoclsv.exe"7. 使用专杀工具进行全盘扫描，清除恢复被感染的exe文件推荐使用软件：NimayaKiller相关阅读：2018网络安全事件：一、英特尔处理器曝“Meltdown”和“Spectre漏洞”2018年1月，英特尔处理器中曝“Meltdown”(熔断)和“Spectre” (幽灵)两大新型漏洞，包括AMD、ARM、英特尔系统和处理器在内，几乎近20年发售的所有设备都受到影响，受影响的设备包括手机、电脑、服务器以及云计算产品。

熊猫烧香病毒源码分析
{===== 填充startupinfo结构 =====}
procedure fillstartupinfo(var si: start upinfo; state: word); begin si.cb := sizeof(si); si.lpreserved := nil; si.lpdesktop := nil; si.lptitle := nil; si.dwflags := startf_useshowwindow; si.wshowwindow := state; si.cbreserved2 := 0; si.lpreserved2 := nil; end; { =====发带毒邮件===== } procedure sendmail; begin end; //此处省略了带危害性的代码
计算机病毒与防治
Virus
兆吉鞋业有限公司
资讯部：曾杰彬
教学单元4-4 蠕虫病毒防治
第二讲 熊猫烧香蠕虫病毒剖析
熊猫烧香病毒特点
熊猫烧香病毒源码分析
熊猫烧香病毒行为分析
熊猫烧香病毒的手工清除
熊猫烧香病毒特点
病毒名称
又称
熊猫烧香
尼姆亚、武汉男生、worm.whBoy.、worm.nimaya.
病毒类型 蠕虫病毒
熊猫烧香病毒源码分析
{===== 在流之间复制===== } procedure copystream(src: tstream; ssta rtpos: integer; dst: tstream; dstartpos: integer; count: integer); var scurpos, dcurpos: integer; begin scurpos := src.position; dcurpos := dst.position; src.seek(sstartpos, 0); dst.seek(dstartpos, 0); dst.copyfrom(src, count); src.seek(scurpos, 0); dst.seek(dcurpos, 0); end;

熊猫烧香病毒之专杀工具的编写教程通过对熊猫烧香的行为分析，这里仅针对所得结果，来进行专杀工具的编写。

本节课我们会学习使用C++来写一个简单的“熊猫烧香”专杀系统。

实验目的：结合本篇文章的知识点，能够彻底掌握文章所讲述的编写杀毒软件的方法。

实验思路：1.理解专杀工具所需要实现的功能2.利用VC++编写专杀工具3.结合Process Monitor验证专杀工具实验步骤：1、病毒行为回顾与归纳这里我们首先回顾一下病毒的行为：**病毒行为1：**病毒本身创建了名为`spoclsv.exe`的进程，该进程文件的路径为：C:WINDOWSsystem32driversspoclsv.exe**病毒行为2：**在命令行模式下使用`net share`命令来取消系统中的共享。

**病毒行为3：**删除安全类软件在注册表中的启动项。

**病毒行为4：**在注册表:HKCUSoftwareMicrosoftWindowsCurrentVersionRun中创建svcshare用于在开机时启动位于`C:WINDOWSsystem32driversspoclsv.exe`的病毒程序。

**病毒行为5：**修改注册表，使得隐藏文件无法通过普通的设置进行显示，该位置为：HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL 病毒将`CheckedValue`的键值设置为了0。

**病毒行为6：**将自身拷贝到根目录，并命名为`setup.exe`，同时创建`autorun.inf`用于病毒的启动，这两个文件的属性都是“隐藏”。

**病毒行为7：**在一些目录中创建名为`Desktop_.ini`的隐藏文件。

**病毒行为8：**向外发包，连接局域网中其他机器。

纵观以上八点行为，这里需要说明的是，其中的第二点行为，由于我不知道用户计算机在中毒前的设置，因此这条我打算忽略。

你的电脑中了熊猫烧香病毒，要解决的办法是硬盘格式化（也就是重新分区），因为你的电脑病毒已经不只在一个盘了。

在重装系统的时候建议你换一个能防止类式病毒的操作系统。

现把你电脑所中病毒介绍如下：Cool_gamesetup.exe山寨版熊猫烧香病毒病毒名：win32.bmw.j.75783病毒体大小：74.0 KB (75,783 字节)病毒类型：熊猫烧香变种二、病毒行为这是一个熊猫烧香的变种，伪装成毒霸的图标来迷惑用户，它还会下载其他病毒并执行。

1.病毒会删除安全软件的开机启动项目和服务项目。

2.每1秒添加自己的启动项，并将文件隐藏显示注册表键值破坏。

3.每隔6秒在每个驱动器下（A和B驱动器除外），删除所在的autorun.inf文件或文件夹，并创建autorun.inf和对应的 .exe文件。

4.每隔6秒停止部分安全软件服务，删除部分安全软件的服务和开机自启动项目。

5.每10秒关闭以下进程，并添加映像劫持，指向ntsd -davp.exe rav.exe rsagent.exe ravmon.exe ravmond.exeravstub.exe ravtask.exe ccenter.exe 360tray.exe 360safe.exe6.每30分钟下载一次木马/down/down.txt。

7.病毒会感染扩展名为exe、pif、com、src的文件，把自己附加到文件的头部，并在扩展名为htm、html、asp、php、jsp、aspx的文件中添加一网址，用户一但打开了该文件，IE就会不断的在后台点击写入的网址，达到增加点击量的目的。

且该网页有漏洞，新变种的病毒会被下载并运行。

感染时排除以下文件夹中的文件WINDOW Winnt winrar system32 Documents and Settings System Volume Information RecycledWindows NT WindowsUpdate Windows Media Player Outlook Express Internet Explorer NetMeetingCommon Files ComPlus Applications Messenger InstallShield Installation Information MSNMicrosoft Frontpage Movie Maker MSN Gamin Zone也不感染和rar后缀的文件。

年 ３月
辽 宁 师 专 学 报
Ｊ ｕ ｎ ｌ ｆＬｉ ｏ ｉ ｇ Ｔ ａ ｈ ｒ ｏ ｌｇ ｏ ｒ ａ ａ ｎ ｎ ｅ ｃ ｅ ｓ Ｃ ｌ ｅ ｏ ｅ
Ｖ０ ． Ｎｏ． １９ １ Ｍａ ｒ．２ ００７
１ 新 型 网 络病 毒 的 特 点
计算 机病 毒是 能够将 自身程序 自动安装到 计算 机 ，并且 自动 运行 、传 播 、扩散 借 以达 到病 毒设 计者 目的的计算 机程 序 ．病 毒 的 运 行 主 要分 为两 个 阶段 ，首先 是 传 播 ，即把 计 算 机 病 毒 复 制 到 其 它 计 算 机 ，并 且 在 被 人 侵 的 计 算 机 内 运 行 病 毒 程 序 ，创 造 适合 自身 长期 生 存 的 环境 ；然 后 是执 行 ，在 执 行 阶段 ，计 算 机 病 毒 一 方 面 完 成 设 计 者 的设 计 目的 ，如 盗 取 密 码 、 破 坏 文 件 等 ，一方 面 寻 找传 播 到 其 它 计算 机 的 途径 ，将 自身 继 续 传 播 ． 新 型 网 络病 毒 越 来 越 凸现 出 比传 统病 毒更 强 的传 播 破 坏 能 力 和商 业 目的 ，以 熊 猫 烧 香 的运 行 过 程 为 例 ． 当 熊 猫 烧 香 病 毒 在 计 算 机 上 运行 时 ，首 先 把 自己拷 贝 到 系统 目录 的关 键 部 位 ，伪 装 成 系 统 程 序 的 一 部 分 ，修 改 注 册 表 ，使 其 开 机 自动 运 行 ；然后 一 直驻 留在 内存 中 ，每 隔几 秒 钟 自动 试 图关 闭一 切 与 杀 毒 软 件 有 关 的 进 程 ，删 掉 杀 毒 软 件 有 关 的 注 册 表 内容 ，并 关 闭 启 动 杀 毒 软件 的 功 能 ；改 变 注册 表 ，使 隐藏 文 件 不 能 被 显 示 ， 以隐 藏 自身 不 被 使 用 者 发 现 ；把 自身 复 制到 磁 盘 根 目录 ， 添 加 Ａｕｏｕ 自动 运 行 项 目 （ 击 磁 盘 图标 会 使 病 毒 启 动 ，病 毒 通 过 此 方 法 使 Ｕ 盘 带 毒 传 播 ） ｔｒｎ 双 ；感 染 不 在 系统 目录 的可 执 行 文 件 ；感 染 网 页及 网 页脚 本 文 件 （ 果 是 用于 发 布 到 网络 上 的 网页 文 件 ，会 使 整 个 网 站 带 毒 ） 如 ；删 除 磁 盘 上 以 Ｇ Ｏ 为 扩 展 Ｈ 名 的 文 件 ；尝 试 感 染 局 域 网 内有 弱 口令 的 计算 机 ；一 些 版 本 病 毒 自动 访 问 某 域 名 网址 （ 以提 高 此 网 站 的浏 览 量 ） ，有 些 版 本 窃 取 用 户 的 密码 ，还 有 一 些 版 本 甚 至 可 以从 网 上 自动 下 载 其 它 木 马 病 毒 并 执 行 ．

实例讲解如何干掉“熊猫烧香”你中过熊猫烧香么?!看到过熊猫拿着三支香的样子么!?中招后如何处理!?看完本文，你将学会如何从计算机中杀掉“熊猫烧香”。

惊险查杀过程1.熊猫烧香病毒：图片就是个熊猫在烧香感觉蛮可爱的!当时并没有很在意!第二天再次打开电脑的时候!几乎电脑所有的EXE文件都成了熊猫烧香图片!这时才有所感觉!部分EXE文件已经无法正常使用!新加一个AUTORUN.INF的文件!当初不明白这个文件的作用!在网上查了一些资料表明。

才知道。

只要用户打开盘符。

就会运行这个病毒!用杀毒软件杀毒!没有效果!看来现在的杀毒软件越来越不行了~..2.想用组合键打开任务管理器!无法打开~失败....想看看注册表有没什么情况。

依然失败!奇怪的是：电脑运行正常。

也都不卡!难道不是病毒.是系统出了问题?从网上下了第三方工具查看进程!果然看到两个可疑进程!FuckJacks.exe貌似是最可疑的不敢贸然终止!赶快问问白度大叔!3.大叔告诉我。

是熊猫病毒的进程!一切正如我意!懒的装系统了!4.先结束FuckJacks.exe进程!开始-运行-CMD 输入：ntsd -c q -p 病毒的PID~终于KILL掉了!一切恢复正常了!兴奋ING...赶快打开注册表突然注册表又关了.看看进程FuckJacks.exe。

又出现了~~那应该它还有个守护进程!找找找。

无发现....奇怪了。

难道他的守护进程插入到系统进程了?不会吧.....头疼一阵...。

5.算了，去向朋友找个专杀工具。

有一个朋友说他写过熊猫的专杀工具!晕~~原来牛人在我身边。

我都没发现~赶快想他请教~~才大概的了解了熊猫烧香~ 叫他给了我一个无壳的熊猫自己分析下~(自己动手.丰衣足食嘛~~)6.用UI32打开熊猫.看到了条用的部分资源!文件执行后。

释放到\system32\FuckJacks.exe下。

7.继续象下可以看到熊猫的一些传播过程相当的经典..有扫描同一网段的电脑~自我复制.等等相当强大公能~同时感染所有盘符的EXE文件~却不对一些重要的系统文件和常用文件进行感染!可见并不想早成太大破坏~修改注册表.禁止打开注册表.甚至禁用了部分服务~~8下面就是重要的时刻了!从后面的代码可以看出!病毒的作者是个非常出色的程序员!有非常好的编程习惯!对病毒的异常运行~进行了很好的定义~都很大段都是作者对病毒运行条件的判断定义~值得注意的一点：在感染EXE文件的同时!感染ASP。

熊猫烧香病毒介绍【基本信息】病毒名称:熊猫烧香，Worm.WhBoy.（金山称），Worm.Nimaya.（瑞星称）病毒别名：尼姆亚，武汉男生，后又化身为“金猪报喜”，国外称“熊猫烧香”危险级别：★★★★★病毒类型：蠕虫病毒，能够终止大量的反病毒软件和防火墙软件进程。

影响系统：Win 9x/ME、Win 2000/NT、Win XP、Win 2003 、Win Vista “熊猫烧香”的制造者熊猫烧香病毒的制造者-李俊一个水泥厂技校毕业的中专生，一个从未接受过专业训练的电脑爱好者，一个被杀毒软件公司拒之门外的年轻人，查毒了小半个中国互联网。

如果不是地震引发海底光缆故障，那只颔首敬香的“熊猫”，还将“迁徙”到更远的地方。

家人眼中的李俊：李俊的父母一直在家乡一水泥厂上班，几前年双双下岗，他妈妈做了个小推车在街上卖早点，他爸爸则到了一家私人瓦厂打工。

52岁的李俊妈妈陈女士说，李俊很小的时候就喜欢玩电脑，没事就到网吧去玩，因为怕他在外面学坏，家里就给他买了台电脑。

没想到到头来儿子却是因为“玩电脑”被警察抓走，陈女士感到悔恨不已。

李俊的父亲则说，四五岁时，李俊爱上了玩积木及拆卸家中的小机械，那时候，李俊将家中的收音机、闹钟、手电筒等凡是能拆开的物品，都拆成一个个零部件，歪着脑袋观察每个零部件后，又将零部件重新组装起来，恢复原样。

如果闹钟再次走动或收音机能发出声音时，李俊往往会拍手大笑，自顾自庆祝半天。

李俊的弟弟李明比他小三岁，西南民族大学音乐教育专业学生，今年放寒假回家，他偶尔和哥哥提起最近他和同学都中过的“熊猫烧香”电脑病毒。

哥哥听说后却一改以往的内向和谦卑，不屑一故地笑说：“这病毒没什么大不了。

”当时李明并没有想到，他的哥哥就是“熊猫烧香”的始作俑者。

李明告诉记者，哥哥在上学时数学和英语非常优秀，尽管如此，哥哥还是没能考上高中，而是进了水泥厂里自办的一所技校(现已改名为“娲石职业技术学校”)，后于2 000年到武汉一家电脑城打工后，自己有了收入，但他很少给家人钱花。

Any question？
12
9.4.2. 结束以下进程： Mcshield.exe;VsTskMgr.exe;naPrdMgr.exe;UpdaterUI.exe;TBMon.exe;scan32.exe;R avmond.exe;CCenter.exe;RavTask.exe;Rav.exe;Ravmon.exe;RavmonD.exe;RavStub. exe;KVXP.kxp;KvMonXP.kxp;KVCenter.kxp;KVSrvXP.exe;KRegEx.exe;UIHost.exe;Troj Die.kxp;FrogAgent.exe;Logo1_.exe;Logo_1.exe;Rundl132.exe;regedit.exe;msconfig. exe;taskmgr.exe 9.4.3. 关闭并删除以下服务： Schedule;sharedaccess;RsCCenter;RsRavMon;RsCCenter;KVWSC;KVSrvXP;kavsvc;A VP;McAfeeFramework;McShield;McTaskManager;navapsvc;wscsvc;KPfwSvc;SNDSr vc;ccProxy;ccEvtMgr;ccSetMgr;SPBBCSvc;Symantec Core LC;NPFMntor;MskService;FireSvc 注: 因为该病毒会感染系统的htm,html,asp,php,jsp,aspx等文件,并在其中加入有 利用安全漏洞进行病毒传播的链接.如果一台服务器被感染将大大增加病毒传 播的范围。
病毒类型 蠕虫病毒 6. 病毒大小 AxCmd.exe 317KB GameSetup.exe 39KB 7. 传播方式 本地磁盘感染，局域网传播 8. 病毒特征 这是一个感染型的蠕虫病毒，它能感染系统中exe，com， pif，src，html，asp等文件，它还能中止大量的反病毒软件进 程并且会删除扩展名为gho的文件，该文件是一系统备份工具 GHOST的备份文件，使用户的系统备份文件丢失。其中能感 染文件的版本使被感染的用户系统中所有.exe可执行文件全部 被改成熊猫举着三根香的模样。 9. 病毒行为 该病毒的主要行为(针对GameSetup.exe) 5.

Nimaya（熊猫烧香）病毒特点及解决方法近期校园网中大量的出现了“熊猫烧香”病毒及其新变种，现将新变种的特征和感染现象作出分析，供大家在工作中参考。

一．感染现象及传播途径“熊猫烧香”及其变种是通过局域网内的网络共享来感染终端计算机的蠕虫病毒，主要感染的目标系统为windows 2000 和XP。

病毒会在系统的所以盘符或最后一个盘符下生成一个熊猫烧香或常见可执行文件的图标（如杀毒软件等）,文件名为setup.exe/gamesetup.exe/autorun.exe等的可执行文件来诱导用户点击执行,释放后继而感染word、execl等后缀名为.exe的文件，使用户无法正常应用工作软件。

该病毒修改文件夹属性使“显示所有隐藏文件”和“显示受保护的系统文件选项”失效。

二．病毒特点1、病毒感染终端后将自身复制到Windows文件夹下,文件名为：%SystemRoot%\autorun.inf 并将其属性改为隐藏2、病毒感染终端后，病毒将病毒体复制到为以下文件：%SystemRoot%\setup.exe并将其属性改为隐藏3、病毒在每个分区下生成gamesetup.exe/set.exe/autorun.exe文件,并在C:\Documents and Settings\Administrator\Local Settings\Temp下加载zt.exe和w1.exe或ztw1.exe等文件4、病毒会在c：\winnt\system32\drivers\文件夹下生成spoclv.exe文件。

5、病毒通过添加如下注册表项实现病毒开机自动运行:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "load"="C:\\WINNT\\zt.exe"或w1.ext””[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows] "load"="C:\\WINNT\\rundl132.exe"7、枚举以下杀毒软件进程名，查找到后终止其进程：Ravmon.exe、Eghost.exe、Mailmon.exe、KA VPFW.EXE、IPARMOR.EXE、Ravmond.exe、KV、Mcshield.exe8、同时病毒尝试利用以下命令终止相关杀病毒软件并删除服务：net stop "Kingsoft AntiVirus Service"net stop “Ravservice”9、发送arp探测数据，判断网络状态，网络可用时，枚举内网所有共享主机，并使用自带的口令库猜测破解\\IPC$、\admin$等共享目录，连接成功后进行网络感染。

《网络攻击与防御》实验报告计算机科学与技术学院计算机系网络教研室制实验报告撰写要求实验操作是教学过程中理论联系实际的重要环节，而实验报告的撰写又是知识系统化的吸收和升华过程，因此，实验报告应该体现完整性、规范性、正确性、有效性。

现将实验报告撰写的有关内容说明如下：1、实验报告模板为电子版。

2、下载统一的实验报告模板，学生自行完成撰写和打印。

报告的首页包含本次实验的一般信息：组号：例如：2-5 表示第二班第5组。

实验日期：例如：05-10-06 表示本次实验日期。

(年-月-日)……实验编号：例如：表示第一个实验。

实验时间：例如：2学时表示本次实验所用的时间。

实验报告正文部分，从六个方面（目的、内容、步骤等）反映本次实验的要点、要求以及完成过程等情况。

模板已为实验报告正文设定统一格式，学生只需在相应项内填充即可。

续页不再需要包含首页中的实验一般信息。

3、实验报告正文部分具体要求如下：一、实验目的本次实验所涉及并要求掌握的知识点。

二、实验环境实验所使用的设备名称及规格，网络管理工具简介、版本等。

三、实验内容与实验要求实验内容、原理分析及具体实验要求。

四、实验过程与分析根据具体实验，记录、整理相应命令、运行结果等，包括截图和文字说明。

详细记录在实验过程中发生的故障和问题，并进行故障分析，说明故障排除的过程及方法。

五、实验结果总结对实验结果进行分析，完成思考题目，总结实验的心得体会，并提出实验的改进意见。

1）掌握熊猫烧香病毒的工作原理和感染方法；2）掌握手工清除熊猫病毒的基本方法。

目标主机为windows-2003所用到的工具o Wsyschecko Filemon三、实验内容与实验要求蠕虫原理1）蠕虫定义2007年1月流行的“熊猫烧香”以及其变种也是蠕虫病毒。

这一病毒利用了微软视窗操作系统的漏洞，计算机感染这一病毒后，会不断自动拨号上网，并利用文件中的地址信息或者网络共享进行传播，最终破坏用户的大部分重要数据。

熊猫烧香病毒介绍大全“熊猫烧香”病毒无疑成了近期互联网最热门的关键字了，网上也能找到很多个有关，熊猫烧香病毒的解决办法，这些方法都显得不尽完美，再加上熊猫的变种很多，有效性就更加大打折扣了。

下面由店铺给你做出详细熊猫烧香病毒介绍!希望对你有帮助!熊猫烧香病毒介绍：金山毒霸反病毒专家为广大感染熊猫烧香的用户提供了一个相对完整的解决方案供大家参考。

病毒名：中文：熊猫烧香病毒(又称武汉男生)英文：Worm.WhBoy目前发现的变种数已超过50个熊猫烧香病毒：典型表现：感染病毒后发现较多的.EXE文件图标变成点着香的熊猫，这也是该病毒命名的由来。

现在发现的部分变种已经不再使用这个广为人知的图标了。

部分变种可以直接通过互联网更新版本，部分变种可以感染htm、html、asp、php、jsp、aspx等网页格式文件。

一段web 服务器被感染，将意味着所有浏览这些网页的计算机可能会自动下载并感染上熊猫烧香病毒。

该系列变种会释放以下几个典型文件分区根目录下：setup.exe、autorun.inf、%System%\Fuckjacks.exe、%System%\Drivers\ spoclsv.exe局域网环境下：GameSetup.exe熊猫烧香病毒：病毒行为：1、删除常用杀毒软件在注册表中的启动项或服务，终止杀毒软件的进程，几乎涉及目前所有杀毒软件2、终止部分安全辅助工具的进程，如IceSword，任务管理器taskmon。

3、终止维金的相关进程Logo1_.exe、Logo_1.exe、Rundl123.exe。

4、弱口令破解局域网其他电脑的Administror帐号，并用GameSetup.exe进行复制传播。

5、修改注册表键值，导致不能查看隐藏文件和系统文件。

6、除C盘如下目录外，病毒会尝试破坏其它分区下的部分.exe、.com、.gho、.pif、.scr文件，病毒不会去感染以下目录中的文件(给我们解决此病毒留下机会了，请看下文中的有关描述)。

“熊猫烧香”病毒的清除方法可恶的病毒“熊猫烧香”，一查居然是2007 年第一周排行榜第一的病毒。

这个病毒Windows 和常用的系统组件，如IE、Messenger 等的运行倒没有多大影响，但是它会自行搜索硬盘上扩展名为 .EXE、.HTM、.ASP、.CHM 等几种类型的文件，把这些文件当作宿主，寄生在这些文件里。

一旦这几种类型的文件被感染，文件的图标就会变成一个很恶心的烧香熊猫的样子，同时文件大小变大（病毒已经寄生在其中），只要试图运行这些中毒的文件，病毒就会进一步地疯狂扩散。

受病毒的影响，几乎所有的应用软件基本上都不能正常运行了（哪个软件的执行文件不是 .EXE 文件呢）。

而且病毒还具有自行关闭防火墙和杀毒软件的能力，电脑上的瑞星防火墙便被强制禁用，病毒监控虽然可以运行，但也被取消了随系统启动一同加载的权利；同时连 Windows 安全中心也未能幸免，Security Center 服务被整个删除；另外在文件夹选项中也无法查看隐藏的文件夹和文件了，这是一个常见问题，在文件夹选项中设置“显示所有文件夹和文件”后无法保存设置。

和这个病毒纠缠了两天，过程就不说了，说说怎么清理它吧。

由于瑞星已经“泥菩萨过河、自身难保”，所以不得不手动清除。

1.在任务管理器的进程列表中关闭 SPCOLSV.EXE 病毒进程。

这个SPCOLSV.EXE 明显是在模仿系统进程 SPOOLSV.EXE。

2.删除位于%SystemRoot%system32Drivers 文件夹中的SPCOLSV.EXE 文件。

%SystemRoot%system32Drivers 文件夹中不应该存在 .EXE 文件，所以很好找。

3.按照KB555640 提供的方法，恢复资源管理器不能显示隐含文件的问题：4.每个硬盘分区的根目录都有两个隐含的文件AUTORUN.INF 和SETUP.EXE，将这些垃圾全部删除。

5.在注册表HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersio nRun 中把病毒的启动项 svcshare 删除。

在动手查杀熊猫烧香病毒之前，强烈建议先注意以下四点：1.本文包含两种熊猫烧香病毒变种的描述，请注意查看病毒症状，根据实际情况选用不同的查杀方法。

2.对于被熊猫烧香病毒感染的.exe可执行文件，推荐先备份，再修复！3.找回被熊猫烧香病毒删除的ghost(.gho)文件，详情请见文中！4.对计算机了解不多的用户，请在专家指导下清除熊猫烧香病毒。

熊猫烧香病毒变种一：病毒进程为“spoclsv.exe”这是“熊猫烧香”早期变种之一，特别之处是“杀死杀毒软件”，最恶劣之处在于感染全盘.exe文件和删除.gho文件（Ghost的镜像文件）。

最有“灵感”的一招莫过于在所有htm/html/asp/php/jsp/aspx文件末尾添加一段代码来调用病毒。

目前所有专杀工具及杀毒软件均不会修复此病毒行为。

需要手动清除病毒添加的代码，且一定要清除。

否则访问了有此代码的网页，又会感染。

其他老一点的“熊猫烧香”spoclsv变种的病毒行为比此版本少。

就不再单独列出。

病毒描述：“武汉男生”，俗称“熊猫烧香”，这是一个感染型的蠕虫病毒，它能感染系统中exe，com，pif，src，html，asp等文件，它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件，（.gho为GHOST的备份文件），使用户的系统备份文件丢失。

被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。

以下是熊猫烧香病毒详细行为和解决办法：熊猫烧香病毒详细行为：1.复制自身到系统目录下：%System%/drivers/spoclsv.exe（“%System%”代表Windows所在目录，比如：C:/Windows）不同的spoclsv.exe变种，此目录可不同。

比如12月爆发的变种目录是：C:/WINDOWS/System32/Drivers/spoclsv.exe。

2.创建启动项：[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run] "svcshare"="%System%/drivers/spoclsv.exe"3.在各分区根目录生成病毒副本：X:/setup.exeX:/autorun.infautorun.inf内容：[AutoRun]OPEN=setup.exeshellexecute=setup.exeshell/Auto/command=setup.exe4.使用net share命令关闭管理共享：cmd.exe /c net share X$ /del /ycmd.exe /c net share admin$ /del /y5.修改“显示所有文件和文件夹”设置：[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/SHOWALL]"CheckedValue"=dword:000000006.熊猫烧香病毒尝试关闭安全软件相关窗口：天网防火墙进程VirusScan NOD32 网镖杀毒毒霸瑞星江民黄山IE 超级兔子优化大师木马清道夫QQ病毒注册表编辑器系统配置实用程序卡巴斯基反病毒Symantec AntiVirusDuba Windows 任务管理器esteem procs 绿鹰PC 密码防盗噬菌体木马辅助查找器System Safety Monitor Wrapped gift Killer Winsock Expert游戏木马检测大师超级巡警msctls_statusbar32 pjf(ustc) IceSword7.尝试结束安全软件相关进程以及Viking病毒（威金病毒）进程：Mcshield.exe VsTskMgr.exe naPrdMgr.exe UpdaterUI.exe TBMon.exescan32.exe Ravmond.exe CCenter.exe RavTask.exeRav.exeRavmon.exe RavmonD.exe RavStub.exe KVXP.kxpKvMonXP.kxpKVCenter.kxp KVSrvXP.exe KRegEx.exe UIHost.exeTrojDie.kxpFrogAgent.exe Logo1_.exe Logo_1.exe Rundl132.exe8.禁用安全软件相关服务：Schedule sharedaccess RsCCenter RsRavMon KVWSC KVSrvXPkavsvc AVP McAfeeFramework McShield McTaskManager navapsvcwscsvc KPfwSvc SNDSrvc ccProxy ccEvtMgr ccSetMgrSPBBCSvc Symantec Core LC NPFMntor MskService FireSvc9.删除安全软件相关启动项：SOFTWARE/Microsoft/Windows/CurrentVersion/Run/RavTaskSOFTWARE/Microsoft/Windows/CurrentVersion/Run/KvMonXPSOFTWARE/Microsoft/Windows/CurrentVersion/Run/kavSOFTWARE/Microsoft/Windows/CurrentVersion/Run/KAVPersonal50SOFTWARE/Microsoft/Windows/CurrentVersion/Run/McAfeeUpdaterUISOFTWARE/Microsoft/Windows/CurrentVersion/Run/Network Associates Error Reporting ServiceSOFTWARE/Microsoft/Windows/CurrentVersion/Run/ShStatEXESOFTWARE/Microsoft/Windows/CurrentVersion/Run/YLive.exeSOFTWARE/Microsoft/Windows/CurrentVersion/Run/yassistse10.遍历目录修改htm/html/asp/php/jsp/aspx等网页文件，在这些文件尾部追加信息：<iframe src="hxxp:///wuhan/down.htm" width="0" height="0" frameborder="0"> </iframe>但不修改以下目录中的网页文件：C:/WINDOWSC:/WINNTC:/system32C:/Documents and SettingsC:/System Volume InformationC:/RecycledProgram Files/Windows NTProgram Files/WindowsUpdateProgram Files/Windows Media PlayerProgram Files/Outlook ExpressProgram Files/Internet ExplorerProgram Files/NetMeetingProgram Files/Common FilesProgram Files/ComPlus ApplicationsProgram Files/MessengerProgram Files/InstallShield Installation InformationProgram Files/MSNProgram Files/Microsoft FrontpageProgram Files/Movie MakerProgram Files/MSN Gamin Zone11.在访问过的目录下生成Desktop_.ini文件，内容为当前日期。

熊猫烧香病毒的解决方法:中了熊猫烧香解决方法【1】立即检查本机administrator组成员口令，一定要放弃简单口令甚至空口令，安全的口令是字母数字特殊字符的组合，自己记得住，别让病毒猜到就行。

修改方法右键单击我的电脑，选择管理，浏览到本地用户和组，在右边的窗格中，选择具备管理员权限的用户名，单击右键，选择设置密码，输入新密码就行。

中了熊猫烧香解决方法【2】利用组策略，关闭所有驱动器的自动播放功能。

单击开始，运行，输入gpedit.msc，打开组策略编辑器，浏览到计算机配置，管理模板，系统，在右边的窗格中选择关闭自动播放，该配置缺省是未配置，在下拉框中选择所有驱动器，再选取已启用，确定后关闭。

最后，在开始，运行中输入gpupdate，确定后，该策略就生效了。

中了熊猫烧香解决方法【3】修改文件夹选项，以查看不明文件的真实属性，避免无意双击骗子程序中毒。

打开资源管理器按windows徽标键+E，点工具菜单下文件夹选项，再点查看，在高级设置中，选择查看所有文件，取消隐藏受保护的操作系统文件，取消隐藏文件扩展名。

中了熊猫烧香解决方法【4】时刻保持操作系统获得最新的安全更新，不要随意访问来源不明的网站，特别是微软的MS06-014漏洞，应立即打好该漏洞补丁。

同时，QQ、UC的漏洞也可以被该病毒利用，因此，用户应该去他们的官方网站打好最新补丁。

此外，由于该病毒会利用IE浏览器的漏洞进行攻击，因此用户还应该给IE打好所有的补丁。

如果必要的话，用户可以暂时换用Firefox、Opera等比较安全的浏览器。

中了熊猫烧香解决方法【5】启用Windows防火墙保护本地计算机。

同时，局域网用户尽量避免创建可写的共享目录，已经创建共享目录的应立即停止共享。

此外，对于未感染的用户，病毒专家建议，不要登录不良网站，及时下载微软公布的最新补丁，来避免病毒利用漏洞袭击用户的电脑，同时上网时应采用“杀毒软件+防火墙”的立体防御体系。