“熊猫烧香”（Worm.WhBoy.h）

“熊猫烧香”（Worm.WhBoy.h）
“熊猫烧香”(Worm.WhBoy.h)
近段时间，“熊猫烧香”(Worm.WhBoy.h) 蠕虫正处于急速变种期，仅11月份至今，变种数量已达10几个，变种速度之快，影响范围之广，与06年横行于局域网的“维金”不相上下。

现在小编提供一个手动清除此病毒的方法：
清除步骤
==========
1. 断开网络
2. 结束病毒进程
%System%＼FuckJacks.exe
3. 删除病毒文件：
%System%＼FuckJacks.exe
4. 右键点击分区盘符，点击右键菜单中的“打开”进入分区根目录，删除根目录下的文件
X:＼autorun.inf
X:＼setup.exe
5. 删除病毒创建的启动项：
[HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Run]
"FuckJacks"="%System%＼FuckJacks.exe
[HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Run]
"svohost"="%System%＼FuckJacks.exe"
6. 修复或重新安装反病毒软件
7. 使用反病毒软件或专杀工具进行全盘扫描，清除恢复被感染的exe文件
中毒文件的恢复（仅个人观点,只在自己的虚拟机上测试正常）
首先在清除病毒文件的同时不要删除%SYSTEM%下面释放
FuckJacks.exe的这个文
件,(注册表里要清除干净)
打开运行输入gpedit.msc打开组策略-本地计算机策略-windows 设置-安全设置-软件限制策略-其它规则
在其它规则上右键选择-新散列规则=打开新散列规则窗口
在文件散列上点击浏览找到-%SYSTEM%下面释放FuckJacks.exe 文件.......安全级别选择-不允许的确定后重启(一定重启)
重启后可以双击运行已经被熊猫感染的程序-运行程序后该FuckJacks.exe文件会在注册表里的Run键下建立启动项(不会有问题的）
双击运行被感染的程序已经恢复原来样子了,全部回复后用SRENG2把FuckJacks.exe 在注册表里的启动项删除即可!
杀病毒：实例讲解如何干掉“熊猫烧香”
你中过熊猫烧香么？！看到过熊猫拿着三支香的样子么！？中招后如何处理！？看完本文，你将学会如何从计算机中杀掉“熊猫烧香”。

惊险查杀过程
1.熊猫烧香病毒：图片就是个熊猫在烧香感觉蛮可爱的！当时并没有很在意！第二天再次打开电脑的时候！几乎电脑所有的EXE文件都成了熊猫烧香图片！这时才有所感觉！
部分EXE文件已经无法正常使用！新加一个AUTORUN.INF的文件！
当初不明白这个文件的作用！在网上查了一些资料表明。

才知道。

只要用户打开盘符。

就会运行这个病毒！用杀毒软件杀毒！没有效果！看来现在的杀毒软件越来越不行了~..
2.想用组合键打开任务管理器！无法打开~失败....想看看注册表有没什么情况。

依然失败！奇怪的是：电脑运行正常。

也都不卡！难道不是病毒.是系统出了问题？从网上下了第三方工具查看进程！果然看到两个可疑进程！FuckJacks.exe貌似是最可疑的不敢贸然终止！赶快问问白度大叔！
3.大叔告诉我。

是熊猫病毒的进程！一切正如我意！懒的装系统了！
4.先结束FuckJacks.exe进程！开始-运行-CMD 输入：ntsd -c q -p 病毒的PID~终于KILL掉了！一切恢复正常了！兴奋ING...赶快打开注册表
突然注册表又关了.看看进程FuckJacks.exe。

又出现了~~那应该它还有个守护进程！找找找。

无发现....奇怪了。

难道他的守护进程插入到系统
进程了？不会吧.....头疼一阵...。

5.算了，去向朋友找个专杀工具。

有一个朋友说他写过熊猫的专杀工具！晕~~原来牛人在我身边。

我都没发现~赶快想他请教~~才大概的了解了熊猫烧香~ 叫他给了我一个无壳的熊猫自己分析下~（自己动手.丰衣足食嘛~~）
6.用UI32打开熊猫.看到了条用的部分资源！文件执行后。

释放到\system32\FuckJacks.exe下。

7.继续象下可以看到熊猫的一些传播过程相当的经典..有扫描同一网段的电脑~自我复制.等等
相当强大公能~同时感染所有盘符的EXE文件~却不对一些重要的系统文件和常用文件进行感染！可见并不想早成太大破坏~修改注册表.禁止打开注册表.甚至禁用了部分服务~~
8下面就是重要的时刻了！从后面的代码可以看出！病毒的作者是个非常出色的程序员！有非常好的编程习惯！对病毒的异常运行~进行了很好的定义~都很大段都是作者对病毒运行条件的判断定义~值得注意的一点：在感染EXE文件的同时！感染ASP。

HTML文件。

会在最后加一段类似挂马的基本代码.~~做到通过第三方尽快传播的办法~（如果被感染者是网站管理人员。

后果可想而知了）
病毒程序的运行
在给大家说下病毒的部分运行实现！简单的修改注册表：
有这样一句：WSHELL.REGWIRTE MYREGKEY， MYREGVALUE，MY REGTYPE
第一个是参数的键名：完整路径..
第二个是：键值。

第三个是：键的类型，
Set wshell=wscript.createobject("wscript.shell")
wshell.regWrite"HKEY_LOCAL_MACHINE\SOFTWARE\Micros oft\windows
NT\CurrentVersion\Winlogin\shell","eseplorer.exe","REG_SZ"
这就是脚本病毒掼用技术~
通用的解决方法
1、就是要关闭自己的默认共享。

首先运行regedit，找到如下组建
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contr ol\LSA]把
RestrictAnonymous = DWORD的键值改为：00000001。

restrictanonymous REG_DWORD
0x0 缺省
0x1 匿名用户无法列举本机用户列表
0x2 匿名用户无法连接本机IPC
说明:不建议使用2，否则可能会造成你的一些服务无法启动，如SQL Server
2、禁止默认共享
1）察看本地共享资源
运行-cmd-输入net share
2）删除共享(每次输入一个）
net share ipc$ /delete
net share admin$ /delete
net share c$ /delete
net share d$ /delete（如果有e,f,……可以继续删除）
3）修改注册表删除共享
运行-regedit
找到如下主键
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\LanmanServer\Parameters]
把AutoShareServer（DWORD）的键值改为0000000。

如果上面所说的主键不存在，就新建(右击-新建-双字节值）一个主健再改键值。

我门再看看这个病毒功能是多么的强大：瞬间复制整个硬盘、有监视QQ记录的功能、网吧的电脑依然有效！显然有了精灵的转存功能。

值得注意的功能：删除GHOST的功能，控制电脑进行集体的DDOS，更出现了KILL掉KV、瑞星和金山的功能！
再看看病毒的特型：网页传播！电脑的弱口令。

默认共享传播！在内网的传播速度非常的快！对企业的居于网有很大的杀伤力！病毒瞬间复制整个硬盘。

占用内存极小~
熊猫这款病毒虽然不是很新鲜。

但是病毒的作者真的很让人佩服~完全的网络高手！超强的优秀程序员！
忘说了：网络巡警的熊猫专杀工具。

就可以杀最新的变种！
“熊猫烧香”病毒的清除方法
最近单位的电脑中了一个可恶的病毒“熊猫烧香”，一查居然是2007 年第一周排行榜第一的病毒。

这次我们讲利用打补丁及手工来解决。

最近单位的电脑中了一个可恶的病毒“熊猫烧香”，一查居然是2007 年第一周排行榜第一的病毒。

这个病毒对 Windows 和常用的系统组件，如 IE、Messenger 等的运行倒没有多大影响，但是它会自行搜索硬盘上扩展名为 .EXE、.HTM、.ASP、.CHM 等几种类型的文件，把这些文件当作宿主，寄生在这些文件里。

一旦这几种类型的文件被感染，文件的图标就会变成一个很恶心的烧香熊猫的样子，同时文件大小变大（病毒已经寄生在其中），只要试图运行这些中毒的文件，病毒就会进一步地疯狂扩散。

受病毒的影响，几乎所有的应用软件基本上都不能正常运行了（哪个软件的执行文件不是 .EXE 文件呢）。

而且病毒还具有自行关闭
防火墙和杀毒软件的能力，电脑上的瑞星防火墙便被强制禁用，病毒监控虽然可以运行，但也被取消了随系统启动一同加载的权利；同时连 Windows 安全中心也未能幸免，Security Center 服务被整个删除；另外在文件夹选项中也无法查看隐藏的文件夹和文件了，这是一个常见问题，在文件夹选项中设置“显示所有文件夹和文件”后无法保存设置。

和这个病毒纠缠了两天，过程就不说了，说说怎么清理它吧。

由于瑞星已经“泥菩萨过河、自身难保”，所以不得不手动清除。

1.在任务管理器的进程列表中关闭 SPCOLSV.EXE 病毒进程。

这个SPCOLSV.EXE 明显是在模仿系统进程 SPOOLSV.EXE。

2.删除位于%SystemRoot%system32Drivers 文件夹中的SPCOLSV.EXE 文
件。

%SystemRoot%system32Drivers 文件夹中不应该存在 .EXE 文件，所以很好找。

3.按照KB555640 提供的方法，恢复资源管理器不能显示隐含文件的问题：
4.每个硬盘分区的根目录都有两个隐含的文件AUTORUN.INF 和SETUP.EXE，将这些垃圾全部删除。

5.在注册表HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersio
n
Run 中把病毒的启动项 svcshare 删除。

如果存在多个用户帐户，每个用户帐户的
HKEY_CURRENT_USER 都要清理。

6.恢复杀毒软件随系统启动的加载项，以瑞星为例，在注册表
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurre ntVersionRun 中加上一个RavTask，设置命令为"C:RiSingRavRavTask.exe" -system 即可，其中 C:RisingRAV 是瑞星的默认安装位置。

7.在另一台“安全中心”服务正常的电脑上打开注册表，将
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesw scsvc 的全部内容导出为 .REG 文件，复制到故障电脑上导入注册表，然后重新启动 Windows，恢复被病毒删除的“安全中心”服务。

到这个地步，病毒的主要文件基本上就被清理干净了。

但是还剩下那些已经变成了熊猫嘴脸
的 .EXE 文件，一开始不知道如何恢复。

试过瑞星、江民和金山提供的熊猫烧香病毒专杀工具，但它们都只能清理上面提到的AUTORUN.INF 和 SETUP.EXE，对于已经被寄生的 .EXE 文件无法自动恢复。

后来在反间谍软件《超级巡警》里找到了一个熊猫烧香病毒专杀工具1.6，名为KillPanda.BAT，这个工具总算没有让人失望，经过扫描后，被寄生的 .EXE、.HTM 等类型的文件都恢复了默认图标，而且文件大小也恢复正常了，可以正常运行，总算避免了需要全部重新安装的厄运。

不过所有被寄生过的文件，文件的生成时间、修改时间和访问时间就都保不住了，最后还是留下了一点“后遗症”。