熊猫烧香病毒及祸害

最近出现新的病毒名为熊猫烧香，危害较大，感染后所有EXE可执行文件图标变成一个烧香的熊猫，大家电脑如出现此现象可认真阅读以下文章：一、病毒描述：含有病毒体的文件被运行后，病毒将自身拷贝至系统目录，同时修改注册表将自身设置为开机启动项，并遍历各个驱动器，将自身写入磁盘根目录下，增加一个Autorun.inf 文件，使得用户打开该盘时激活病毒体。

随后病毒体开一个线程进行本地文件感染，同时开另外一个线程连接某网站下载ddos程序进行发动恶意攻击。

二、病毒基本情况：[文件信息]病毒名: Virus.Win32.EvilPanda.a.ex$大小: 0xDA00 (55808), (disk) 0xDA00 (55808)SHA1 : F0C3DA82E1620701AD2F0C8B531EEBEA0E8AF69D壳信息: 未知危害级别：高病毒名: Flooder.Win32.FloodBots.a.ex$大小: 0xE800 (59392), (disk) 0xE800 (59392)SHA1 : B71A7EF22A36DBE27E3830888DAFC3B2A7D5DA0D壳信息: UPX 0.89.6 - 1.02 / 1.05 - 1.24危害级别：高三、病毒行为：Virus.Win32.EvilPanda.a.ex$ ：1、病毒体执行后，将自身拷贝到系统目录：%SystemRoot%\system32\FuckJacks.exeHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ Userini t "C:\WIN2K\system32\SVCH0ST.exe"2、添加注册表启动项目确保自身在系统重启动后被加载：键路径：HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 键名：FuckJacks键值："C:\WINDOWS\system32\FuckJacks.exe"键路径：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 键名：svohost键值："C:\WINDOWS\system32\FuckJacks.exe"3、拷贝自身到所有驱动器根目录，命名为Setup.exe，并生成一个autorun.inf使得用户打开该盘运行病毒，并将这两个文件属性设置为隐藏、只读、系统。

蠕虫病毒------“熊猫烧香”病毒一蠕虫病毒的发展历史随着1988年11月2日由Robert Morris Jr 编写的一只基于BSD UNIX 的”internet worm”的蠕虫出现，到2001年8月5日的红色代码“Code Red”蠕虫发作，直至2003年8月12日的冲击波“Blaster”蠕虫的大规模爆发。

互联网的安全威胁正逐渐逼近每一个普通用户。

从1988年CERT(计算机紧急响应小组)由于Morris蠕虫事件成立以来，统计到的因特网安全威胁事件每年以指数增长，近年来的增长态势变得尤为迅猛。

每一次蠕虫的爆发都会给社会带来巨大的损失。

2001年9月18日，Nimda 蠕虫被发现，对Nimda造成的损失评估数据从5亿美元攀升到26亿美元，仍在攀升。

尤其近些年来，越来越多的蠕虫（如“冲击波”、“震荡破”、“熊猫烧香”等）出现，到现在损失已无法估计。

二“熊猫烧香”病毒基本信息熊猫烧香是一种经过多次变种的蠕虫病毒变种，2006年10月16日由25岁的中国湖北武汉新洲区人李俊编写，2007年1月初肆虐网络，它主要通过下载的档案传染。

对计算机程序、系统破坏严重。

病毒名称:熊猫烧香, Worm.WhBoy., Worm.Nimaya.病毒别名：尼姆亚，武汉男生，后又化身为“金猪报喜”，国外称“熊猫烧香”危险级别：★★★★★病毒类型：蠕虫病毒，能够终止大量的反病毒软件和防火墙软件进程。

影响系统：Win 9x/ME、Win 2000/NT、Win XP、Win 2003 、Win Vista 发现时间：2006年10月16日来源地：中国武汉东西湖高新技术开发区关山三病毒描述“熊猫烧香”病毒在2006年底大规模爆发，以worm.whboy.h 为例，由Delphi 工具编写，能够终止大量的反病毒软件和防火墙软件系统，病毒会删除扩展名为.gho的文件，是用户无法使用ghost软件恢复操作系统。

其实是一种蠕虫病毒的变种，而且是经过多次变种而来，由于中毒电脑的可执行文件会出现“熊猫烧香”图案，所以也被称为“熊猫烧香”病毒。

熊猫烧香案例2006年底，许多人在打开电脑后陷入无知状态。

因为电脑屏幕上有一只可爱的大熊猫，它手里还拿着三支香。

没几天，这只烧香的熊猫几乎侵入了所有人的电脑中。

这是我们小国宝来提前给我们拜年吗？当然不是，这是新型网络病毒，传染性很强。

当时除了私人设备，很多政机构和公司的内网都被他们入侵，网络瞬间瘫痪。

加入网络监管部门后，公安部门意识到此事的重要性，立即立案调查，第二年终于抓到了始作俑者。

2007年9月24日，25岁的李俊因破坏计算机信息系统罪被湖北省仙桃市人民法院判处有期徒刑四年。

网上猖獗的“熊猫烧香”案正式告破。

这个李俊，就是“熊猫烧香”的策划人。

他为什么要策划这起网络病毒案件呢？熊猫烧香在当年到底有多残忍？网络与现实的差距让“天才”误入歧途李俊出生在一个普通家庭，他的父母是低收入工人。

从小就痴迷于玩电脑，有空总会跑去网吧。

那时候电脑和网吧远没有现在普及。

在父母眼里，网吧大多是坏孩子待的地方。

为了防止儿子失败，李俊的父母不得不帮他买了一台电脑。

至少这样，他可以呆在家里，而不是去网吧。

但正因为如此，李俊获得了更多接触电脑的机会。

不得不说他真的是计算机天才，愿意花时间学习编程，学习技术。

兴趣和天赋促成了李俊在计算机方面的超高技术。

然而网络跟现实总是有着差距的。

李俊的学习成绩不好。

他没有学习，后来去了社会上工作。

在他的里，他是互联网上的国王，他不是一个普通人。

然而现实生活中的经历却让他一次次尴尬。

因为他除了网络技术什么技能都没有。

他想从事与互联网相关的工作，比如去一家杀毒软件公司，但因为没有学历背景，一次次被拒之门外。

比较后他不得不去做电脑装修工，甚至是网络管理员，工资低，还被别人指挥，严重损害了他的自尊心。

自命不凡的李俊知道自己唯能找到存在感的地方，就是在网络上。

所以他决定用自己的网络技术去干一件轰动的大事，从而证明自己的能力。

比较早的时候，他是个红客。

2000年前后，黑客经常在国外骚扰中国网站，激起了中国计算机精英的好胜心，上演了一场对外的红与黑的战争。

熊猫烧香案例分析一、基本案情被告人李俊于2003年开始自学计算机编程技术，并经常向自己的好朋友、也是本案被告人之一的雷磊请教。

2006年10月，被告人李俊从武汉某软件技术开发培训学校毕业后，便将自己以前在国外某网站下载的计算机病毒源代码调出来进行研究、修改，在对此病毒进行修改的基础上完成了“熊猫烧香”电脑病毒的制作，并采取将该病毒非法挂在别人网站上及赠送给网友等方式在互联网上传播。

“熊猫烧香”病毒具有本机感染功能、局域网感染功能及u盘感染功能，并能中止许多反病毒软件和防火墙的运行，中了该病毒的电脑会自动链接访问指定的网站、下载恶意程序等。

其后，李俊请雷磊对该病毒提修改建议。

雷磊认为该病毒存在两个问题，一是改变被感染文件的图标，二是没有隐藏病毒进程。

电脑感染了该病毒后，很容易被电脑用户发现，建议李俊从这两个方面对“熊猫烧香”病毒进行修改，但没有告诉李俊具体的修改方法。

2006年11月中旬，李俊在互联网上叫卖该病毒，同时也请被告人王磊及其他网友帮助出售该病毒。

王磊、李俊及其网友一共卖出了约三十个“熊猫烧香”病毒。

其中，王磊帮李俊卖出了三个“熊猫烧香”病毒，并先后三次共汇款给李俊人民币1450元。

此外，李俊还赠送给其他网友约十个“熊猫烧香”病毒。

随着病毒的出售和赠送给网友，“熊猫烧香”病毒迅速在互联网上传播，导致自动链接访问李俊个人网站的流量大幅上升。

王磊得知此情形后，提出为李俊卖“流量”，并联系被告人张顺购买李俊网站的“流量”，所得收入由王磊和李俊平分。

为了提高访问李俊网站的速度，减少网络拥堵，王磊和李俊商量后，由王磊化名董磊为李俊的网站在南昌锋讯网络科技有限公司租了一个2G内存、百兆独享线路的服务器，租金由李俊、王磊每月各负担800元。

张顺购买李俊网站的流量后，先后将九个游戏木马（也就是盗号木马）通过互联网发给王磊，王磊将这九个游戏木马转发给李俊，然后由李俊将这九个游戏木马挂在其个人网站上，盗取自动链接访问其网站的游戏玩家的“游戏信封（即含有游戏账号和密码的电子邮件）”，游戏木马将盗取的“游戏信封”自动地发给张顺，张顺则将盗取的“游戏信封”进行拆封、转卖，从而获取利益。

熊猫烧香病毒惩罚电脑病毒熊猫烧香事件有什么进展呢!该受到什么惩罚呢!下面由店铺给你做出详细的熊猫烧香病毒惩罚介绍!希望对你有帮助!熊猫烧香病毒惩罚：记者吴昌华刘长风李波涛通讯员公宣曾几何时，一只颔首敬香的熊猫成为无数电脑用户噩梦般的记忆：上百万个人用户、网吧及企业局域网用户遭受感染和破坏，损失难以估量，《瑞星2006安全报告》将其列为十大病毒之首，《2006年度中国大陆地区电脑病毒疫情和互联网安全报告》称其为“毒王”。

湖北省公安厅12日宣布：根据统一部署，湖北网监在浙、鲁、桂、津、粤、川、闽、云、新、豫等地警方的配合下，一举侦破了制作传播“熊猫烧香”病毒案，抓获李俊等6名嫌犯。

这是我国破获的国内首例制作计算机病毒的大案。

关山出租屋内抓获“武汉男孩”今年1月，仙桃市公安局局域网办理第二身份证时中了“熊猫烧香”病毒。

与此同时，位于仙桃市的“江汉热线”不幸感染“熊猫烧香”，网络瘫痪。

1月中旬，湖北网监部门根据公安部公共信息网络安全监察局的部署，对“熊猫烧香”制作者开展调查。

1月24日，仙桃警方正式立案，案件代号为“122案件”。

对比此前出现的“武汉男孩”病毒，两种病毒程序编码类似，警方推测可能系一人所为。

1月31日，湖北省公安厅网监总队召开仙桃、武汉、宜昌、荆门等地网监部门负责人会议，部署合力开展案件侦破，成立了指挥领导小组与侦破专班。

湖北省公安厅网监总队徐云峰博士对该病毒已追踪多时。

在网监总队统一部署下，网警运用多种网络技术手段和侦查手段，2月1日查找到犯罪嫌疑人所在地——武汉关山的一栋两层楼房内的出租屋。

侦破专班对该出租屋实行24小时监控。

2月3日晚9时许，一男子回该出租屋取东西，被警方抓获，此人正是“熊猫烧香”制作者李俊。

李俊交待了其制作“熊猫烧香”病毒牟利的经过，并交出了其销售病毒的下线。

李俊供称，回出租屋取东西的目的是准备外逃。

警方同时抓获另一名涉案人员雷磊。

“网络天才”没念过大学“他是网络天才。

熊猫烧香病毒介绍【基本信息】病毒名称:熊猫烧香，Worm.WhBoy.（金山称），Worm.Nimaya.（瑞星称）病毒别名：尼姆亚，武汉男生，后又化身为“金猪报喜”，国外称“熊猫烧香”危险级别：★★★★★病毒类型：蠕虫病毒，能够终止大量的反病毒软件和防火墙软件进程。

影响系统：Win 9x/ME、Win 2000/NT、Win XP、Win 2003 、Win Vista “熊猫烧香”的制造者熊猫烧香病毒的制造者-李俊一个水泥厂技校毕业的中专生，一个从未接受过专业训练的电脑爱好者，一个被杀毒软件公司拒之门外的年轻人，查毒了小半个中国互联网。

如果不是地震引发海底光缆故障，那只颔首敬香的“熊猫”，还将“迁徙”到更远的地方。

家人眼中的李俊：李俊的父母一直在家乡一水泥厂上班，几前年双双下岗，他妈妈做了个小推车在街上卖早点，他爸爸则到了一家私人瓦厂打工。

52岁的李俊妈妈陈女士说，李俊很小的时候就喜欢玩电脑，没事就到网吧去玩，因为怕他在外面学坏，家里就给他买了台电脑。

没想到到头来儿子却是因为“玩电脑”被警察抓走，陈女士感到悔恨不已。

李俊的父亲则说，四五岁时，李俊爱上了玩积木及拆卸家中的小机械，那时候，李俊将家中的收音机、闹钟、手电筒等凡是能拆开的物品，都拆成一个个零部件，歪着脑袋观察每个零部件后，又将零部件重新组装起来，恢复原样。

如果闹钟再次走动或收音机能发出声音时，李俊往往会拍手大笑，自顾自庆祝半天。

李俊的弟弟李明比他小三岁，西南民族大学音乐教育专业学生，今年放寒假回家，他偶尔和哥哥提起最近他和同学都中过的“熊猫烧香”电脑病毒。

哥哥听说后却一改以往的内向和谦卑，不屑一故地笑说：“这病毒没什么大不了。

”当时李明并没有想到，他的哥哥就是“熊猫烧香”的始作俑者。

李明告诉记者，哥哥在上学时数学和英语非常优秀，尽管如此，哥哥还是没能考上高中，而是进了水泥厂里自办的一所技校(现已改名为“娲石职业技术学校”)，后于2 000年到武汉一家电脑城打工后，自己有了收入，但他很少给家人钱花。

Nimaya（熊猫烧香）病毒特点及解决方法近期校园网中大量的出现了“熊猫烧香”病毒及其新变种，现将新变种的特征和感染现象作出分析，供大家在工作中参考。

一．感染现象及传播途径“熊猫烧香”及其变种是通过局域网内的网络共享来感染终端计算机的蠕虫病毒，主要感染的目标系统为windows 2000 和XP。

病毒会在系统的所以盘符或最后一个盘符下生成一个熊猫烧香或常见可执行文件的图标（如杀毒软件等）,文件名为setup.exe/gamesetup.exe/autorun.exe等的可执行文件来诱导用户点击执行,释放后继而感染word、execl等后缀名为.exe的文件，使用户无法正常应用工作软件。

该病毒修改文件夹属性使“显示所有隐藏文件”和“显示受保护的系统文件选项”失效。

二．病毒特点1、病毒感染终端后将自身复制到Windows文件夹下,文件名为：%SystemRoot%\autorun.inf 并将其属性改为隐藏2、病毒感染终端后，病毒将病毒体复制到为以下文件：%SystemRoot%\setup.exe并将其属性改为隐藏3、病毒在每个分区下生成gamesetup.exe/set.exe/autorun.exe文件,并在C:\Documents and Settings\Administrator\Local Settings\Temp下加载zt.exe和w1.exe或ztw1.exe等文件4、病毒会在c：\winnt\system32\drivers\文件夹下生成spoclv.exe文件。

5、病毒通过添加如下注册表项实现病毒开机自动运行:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "load"="C:\\WINNT\\zt.exe"或w1.ext””[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows] "load"="C:\\WINNT\\rundl132.exe"7、枚举以下杀毒软件进程名，查找到后终止其进程：Ravmon.exe、Eghost.exe、Mailmon.exe、KA VPFW.EXE、IPARMOR.EXE、Ravmond.exe、KV、Mcshield.exe8、同时病毒尝试利用以下命令终止相关杀病毒软件并删除服务：net stop "Kingsoft AntiVirus Service"net stop “Ravservice”9、发送arp探测数据，判断网络状态，网络可用时，枚举内网所有共享主机，并使用自带的口令库猜测破解\\IPC$、\admin$等共享目录，连接成功后进行网络感染。

熊猫烧香熊猫烧香跟灰鸽子不同,这是名副其实的病毒，是一种经过多次变种的“蠕虫病毒”变种，2006年10月16日由25岁的中国湖北武汉新洲区人李俊编写，拥有感染传播功能，2007年1月初肆虐网络，它主要通过下载的档案传染，受到感染的机器文件因为被误携带间接对其他计算机程序、系统破坏严重。

2013年6月病毒制造者张顺和李俊因伙同他人开设网络赌场，再次获刑。

病毒原理熊猫烧香其实是一种蠕虫病毒的变种，而且是经过多次变种而来的，由于中毒计算机的可执行文件会出现“熊猫烧香”图案，所以也被称为“熊猫烧香”病毒。

但原病毒只会对EXE图标进行替换，并不会对系统本身进行破坏。

而大多数是中等病毒变种，用户计算机中毒后可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。

同时，该病毒的某些变种可以通过局域网进行传播，进而感染局域网内所有计算机系统，最终导致企业局域网瘫痪，无法正常使用，它能感染系统中exe，com，pif，src，html，asp等文件，它还能终止大量的反病毒软件进程并且会删除扩展名为gho的备份文件。

被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。

中毒症状中毒时的电脑桌面除通过网站带毒感染用户之外，此病毒还会在局域网中传播，在极短时间之内就可以感染几千台计算机，严重时可以导致网络瘫痪。

中毒电脑上会出现“熊猫烧香”图案，所以也被称为“熊猫烧香”病毒。

中毒电脑会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。

病毒危害中毒时会弹出的窗口病毒会删除扩展名为gho的文件，使用户无法使用ghost软件恢复操作系统。

“熊猫烧香”感染系统的.exe .com. f.src .html.asp文件，添加病毒网址，导致用户一打开这些网页文件，IE就会自动连接到指定的病毒网址中下载病毒。

在硬盘各个分区下生成文件autorun.inf和setup.exe，可以通过U盘和移动硬盘等方式进行传播，并且利用Windows 系统的自动播放功能来运行，搜索硬盘中的.exe可执行文件并感染，感染后的文件图标变成“熊猫烧香”图案。

“那个熊猫烧香，快把我害死了，一个画册做了三遍，差点让我交不了稿”、“我的机器中熊猫了，昨天晚上杀毒一次，今晨又都冒出来了”……抱怨、惊恐、烦恼，在各大论坛上，网民们对“熊猫烧香”病毒(Worm.WhBoy)怨声载道。

该病毒肆虐互联网两个多月来，数百万电脑用户被卷入其中。

自去年11月初次现身，“熊猫烧香”迅速化身数百种，不断入侵个人电脑，感染门户网站，病毒作者将信息留言在病毒源代码中的古怪行为，更引发了一场虚拟世界里“道”与“魔”之间的激烈较量。

1月19日，一个最新的“熊猫烧香”变种病毒出现。

病毒作者宣称，这将是“熊猫烧香”最后一次更新。

然而，隐藏在“熊猫”身后的利益集团开始浮出水面，据江民反病毒工程师向媒体报料，已发现产销一条龙盗窃销售网游设备的产业链，而这位“熊猫烧香”的作者，“只要他愿意，一年收入可赚一座别墅”。

“熊猫烧香”变体达400余个2004年11月，熊猫第一次来袭。

“最开始‘尼姆亚’(反病毒工程师们最初将‘熊猫烧香’命名为‘尼姆亚’)不算厉害。

”瑞星病毒组工程师史瑀说，随着病毒作者的不断更新，它的破坏力和传染力也随之上升。

2006年11月底，“尼姆亚”只有不到十个变种，12月开始，病毒从数日一更新，变为一日数更新，变种数量成倍上升。

这时候，“熊猫烧香”已经取代了“尼姆亚”这个名字。

12月中旬，“熊猫烧香”进入急速变种期，在几次大面积爆发之后，“熊猫烧香”成为众多电脑用户谈之色变的词汇。

圣诞节过后，“熊猫烧香”版本已达到近百个。

1月9日，“熊猫烧香”迎来了一次全国性的大规模爆发，它的变种数量定格在306个。

金山毒霸客服中心有关“熊猫烧香”的日咨询量高达73%，感染用户以北京、广州、上海等大型城市为主。

截至目前，“熊猫烧香”病毒变种已达416个，受感染电脑用户达到数百万台。

“熊猫烧香”因何难退史瑀说，传统蠕虫病毒通过一台中毒电脑传至局域网内其他电脑，而“熊猫烧香”还可以通过网站传播。

感染“熊猫烧香”电脑，会在硬盘所有网页文件上附加病毒。

熊猫烧香案的侦破始末全程首次曝光在去年的这个时候，一种被称为“熊猫烧香”网络病毒突袭了全国数以万计的计算机用户。

该案四犯构成破坏计算机信息系统罪，主犯李俊被湖北省仙桃市人民法院一审判处4年有期徒刑，从犯王磊、张顺、雷磊三人分别被判处两年半、两年和一年有期徒刑。

记者日前经过一番艰难采访，终于了解到“熊猫烧香”案侦破全过程。

“熊猫烧香”电脑瘫痪2007年1月中旬，湖北省仙桃某行政单位一台办公电脑中毒瘫痪，请网监民警前去帮忙修理，网监民警刚一修好，该台电脑马上又出现中毒症状，原来里面的病毒不能杀灭干净。

事情还没了结，该市江汉热线信息中心向公安局报案：中心服务器大面积感染病毒，技术人员不能修复，中心工作被迫全面停摆。

网监民警查看发现感染症状与先前办公电脑中毒的情况几乎一样，电脑屏幕上都出现了一只熊猫手捧三炷香的图案。

此时这种病毒已在全国泛滥，人们形象地叫它“熊猫烧香”病毒。

1月24日，仙桃市公安局决定立案侦察。

网监大队民警破译了部分“熊猫烧香”的病毒代码，发现病毒编写者在一些病毒程序后署上了“Whboy”或“武汉男孩”的落款。

这成为侦破案件唯一的线索。

百兆数据中查“武汉男孩”“武汉男孩”是何许人?在后续的侦查中民警发现，作案者十分狂妄，敢跟专业人士挑战，在病毒程序的升级版后留言“感谢某某对我的病毒的关注”等挑战书。

通过大量的资料比对，民警从自己的资料库中发现，在2005年，一个署名“武汉男孩”的人曾编写过“在去年的這個時候，一種被稱為“熊貓燒香”網絡病毒突襲瞭全國數以萬計的計算機用戶。

該案四犯構成破壞計算機信息系統罪，主犯李俊被湖北省仙桃市人民法院一審判處4年有期徒刑，從犯王磊、張順、雷磊三人分別被判處兩年半、兩年和一年有期徒刑。

記者日前經過一番艱難采訪，終於瞭解到“熊貓燒香”案偵破全過程。

“熊貓燒香”電腦癱瘓2007年1月中旬，湖北省仙桃某行政單位一臺辦公電腦中毒癱瘓，請網監民警前去幫忙修理，網監民警剛一修好，該臺電腦馬上又出現中毒癥狀，原來裡面的病毒不能殺滅幹凈。

“熊猫烧香”病毒的清除方法可恶的病毒“熊猫烧香”，一查居然是2007 年第一周排行榜第一的病毒。

这个病毒Windows 和常用的系统组件，如IE、Messenger 等的运行倒没有多大影响，但是它会自行搜索硬盘上扩展名为 .EXE、.HTM、.ASP、.CHM 等几种类型的文件，把这些文件当作宿主，寄生在这些文件里。

一旦这几种类型的文件被感染，文件的图标就会变成一个很恶心的烧香熊猫的样子，同时文件大小变大（病毒已经寄生在其中），只要试图运行这些中毒的文件，病毒就会进一步地疯狂扩散。

受病毒的影响，几乎所有的应用软件基本上都不能正常运行了（哪个软件的执行文件不是 .EXE 文件呢）。

而且病毒还具有自行关闭防火墙和杀毒软件的能力，电脑上的瑞星防火墙便被强制禁用，病毒监控虽然可以运行，但也被取消了随系统启动一同加载的权利；同时连 Windows 安全中心也未能幸免，Security Center 服务被整个删除；另外在文件夹选项中也无法查看隐藏的文件夹和文件了，这是一个常见问题，在文件夹选项中设置“显示所有文件夹和文件”后无法保存设置。

和这个病毒纠缠了两天，过程就不说了，说说怎么清理它吧。

由于瑞星已经“泥菩萨过河、自身难保”，所以不得不手动清除。

1.在任务管理器的进程列表中关闭 SPCOLSV.EXE 病毒进程。

这个SPCOLSV.EXE 明显是在模仿系统进程 SPOOLSV.EXE。

2.删除位于%SystemRoot%system32Drivers 文件夹中的SPCOLSV.EXE 文件。

%SystemRoot%system32Drivers 文件夹中不应该存在 .EXE 文件，所以很好找。

3.按照KB555640 提供的方法，恢复资源管理器不能显示隐含文件的问题：4.每个硬盘分区的根目录都有两个隐含的文件AUTORUN.INF 和SETUP.EXE，将这些垃圾全部删除。

5.在注册表HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersio nRun 中把病毒的启动项 svcshare 删除。

在动手查杀熊猫烧香病毒之前，强烈建议先注意以下四点：1.本文包含两种熊猫烧香病毒变种的描述，请注意查看病毒症状，根据实际情况选用不同的查杀方法。

2.对于被熊猫烧香病毒感染的.exe可执行文件，推荐先备份，再修复！3.找回被熊猫烧香病毒删除的ghost(.gho)文件，详情请见文中！4.对计算机了解不多的用户，请在专家指导下清除熊猫烧香病毒。

熊猫烧香病毒变种一：病毒进程为“spoclsv.exe”这是“熊猫烧香”早期变种之一，特别之处是“杀死杀毒软件”，最恶劣之处在于感染全盘.exe文件和删除.gho文件（Ghost的镜像文件）。

最有“灵感”的一招莫过于在所有htm/html/asp/php/jsp/aspx文件末尾添加一段代码来调用病毒。

目前所有专杀工具及杀毒软件均不会修复此病毒行为。

需要手动清除病毒添加的代码，且一定要清除。

否则访问了有此代码的网页，又会感染。

其他老一点的“熊猫烧香”spoclsv变种的病毒行为比此版本少。

就不再单独列出。

病毒描述：“武汉男生”，俗称“熊猫烧香”，这是一个感染型的蠕虫病毒，它能感染系统中exe，com，pif，src，html，asp等文件，它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件，（.gho为GHOST的备份文件），使用户的系统备份文件丢失。

被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。

以下是熊猫烧香病毒详细行为和解决办法：熊猫烧香病毒详细行为：1.复制自身到系统目录下：%System%/drivers/spoclsv.exe（“%System%”代表Windows所在目录，比如：C:/Windows）不同的spoclsv.exe变种，此目录可不同。

比如12月爆发的变种目录是：C:/WINDOWS/System32/Drivers/spoclsv.exe。

2.创建启动项：[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run] "svcshare"="%System%/drivers/spoclsv.exe"3.在各分区根目录生成病毒副本：X:/setup.exeX:/autorun.infautorun.inf内容：[AutoRun]OPEN=setup.exeshellexecute=setup.exeshell/Auto/command=setup.exe4.使用net share命令关闭管理共享：cmd.exe /c net share X$ /del /ycmd.exe /c net share admin$ /del /y5.修改“显示所有文件和文件夹”设置：[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/SHOWALL]"CheckedValue"=dword:000000006.熊猫烧香病毒尝试关闭安全软件相关窗口：天网防火墙进程VirusScan NOD32 网镖杀毒毒霸瑞星江民黄山IE 超级兔子优化大师木马清道夫QQ病毒注册表编辑器系统配置实用程序卡巴斯基反病毒Symantec AntiVirusDuba Windows 任务管理器esteem procs 绿鹰PC 密码防盗噬菌体木马辅助查找器System Safety Monitor Wrapped gift Killer Winsock Expert游戏木马检测大师超级巡警msctls_statusbar32 pjf(ustc) IceSword7.尝试结束安全软件相关进程以及Viking病毒（威金病毒）进程：Mcshield.exe VsTskMgr.exe naPrdMgr.exe UpdaterUI.exe TBMon.exescan32.exe Ravmond.exe CCenter.exe RavTask.exeRav.exeRavmon.exe RavmonD.exe RavStub.exe KVXP.kxpKvMonXP.kxpKVCenter.kxp KVSrvXP.exe KRegEx.exe UIHost.exeTrojDie.kxpFrogAgent.exe Logo1_.exe Logo_1.exe Rundl132.exe8.禁用安全软件相关服务：Schedule sharedaccess RsCCenter RsRavMon KVWSC KVSrvXPkavsvc AVP McAfeeFramework McShield McTaskManager navapsvcwscsvc KPfwSvc SNDSrvc ccProxy ccEvtMgr ccSetMgrSPBBCSvc Symantec Core LC NPFMntor MskService FireSvc9.删除安全软件相关启动项：SOFTWARE/Microsoft/Windows/CurrentVersion/Run/RavTaskSOFTWARE/Microsoft/Windows/CurrentVersion/Run/KvMonXPSOFTWARE/Microsoft/Windows/CurrentVersion/Run/kavSOFTWARE/Microsoft/Windows/CurrentVersion/Run/KAVPersonal50SOFTWARE/Microsoft/Windows/CurrentVersion/Run/McAfeeUpdaterUISOFTWARE/Microsoft/Windows/CurrentVersion/Run/Network Associates Error Reporting ServiceSOFTWARE/Microsoft/Windows/CurrentVersion/Run/ShStatEXESOFTWARE/Microsoft/Windows/CurrentVersion/Run/YLive.exeSOFTWARE/Microsoft/Windows/CurrentVersion/Run/yassistse10.遍历目录修改htm/html/asp/php/jsp/aspx等网页文件，在这些文件尾部追加信息：<iframe src="hxxp:///wuhan/down.htm" width="0" height="0" frameborder="0"> </iframe>但不修改以下目录中的网页文件：C:/WINDOWSC:/WINNTC:/system32C:/Documents and SettingsC:/System Volume InformationC:/RecycledProgram Files/Windows NTProgram Files/WindowsUpdateProgram Files/Windows Media PlayerProgram Files/Outlook ExpressProgram Files/Internet ExplorerProgram Files/NetMeetingProgram Files/Common FilesProgram Files/ComPlus ApplicationsProgram Files/MessengerProgram Files/InstallShield Installation InformationProgram Files/MSNProgram Files/Microsoft FrontpageProgram Files/Movie MakerProgram Files/MSN Gamin Zone11.在访问过的目录下生成Desktop_.ini文件，内容为当前日期。

《功夫熊猫》来了，“熊猫烧香”也来了作者：来源：《中国新技术新产品》2008年第15期时隔一年半，熊猫烧香仍在荼毒网络。

犹如最近《功夫熊猫》在国内影线热映，炒得很热闹。

熊猫烧香病毒是国内编写的一种蠕虫病毒，在2006年10月至2007年2月间，造成全国数百万台计算机被感染和破坏，影响恶劣、损失巨大。

熊猫烧香2006年泄露的源代码，在2008年被黑客改造成病毒变种后，再次危害社会。

近日，微点主动防御软件自动捕获了一熊猫烧香病毒变种Worm.Win32.Fujacks.dlj，此次发现的熊猫烧香病毒变种极为狡猾，反侦察意识很强，病毒使用了空白图标试图实现“视觉隐藏”，在U盘传播时的病毒名称为三个全角空格“.exe”，病毒感染过程中会自动清除自身的衍生物，极大地增加了反病毒软件查杀的难度。

熊猫烧香病毒变种运行后会释放驱动文件驱动文件ssdt.sys恢复SSDT，造成部分杀毒软件监控失效；强行关闭十余种杀毒软件进程，并使用映像劫持技术，使得多种杀毒软件完全无法运行；病毒的衍生物suchost.exe与系统文件极为相似，很容易被用户混淆；关闭多种杀毒软件服务，并通过删除注册表服务项和启动项，造成多种杀毒软件无法正常启动；如计算机已联网则继续下载更多病毒木马程序；感染硬盘上多种网页文件，在网页文件中插入网马链接；感染RAR、EXE、SCR、PIF、COM等多种格式文件，并在被感染文件夹下释放名为Desktop_.ini，内容为感染时间的文件，作为感染标记；主要通过U盘、移动硬盘和局域网传播。

熊猫烧香肆虐的2006年10月至2007年2月，微点主动防御软件以其先进的主动防御技术经受住了熊猫烧香病毒的严峻考验。

使用微点主动防御软件的百万用户无一被病毒感染，即使没有升过级的微点主动防御软件2005年版本，同样可实现对熊猫烧香所有变种病毒的准确报毒和自动清除，充分体现了微点主动防御技术的先进性。