“熊猫烧香”(Worm_Viking变种)情况分析和解决方案

时间: 2007-01-30 09:16:14    来自:国家计算机病毒应急处理中心
 

    国家计算机病毒应急处理中心通过对互联网的监测发现,一伪装成熊猫烧香图案的蠕虫正在互联网上进行传播,已有数百万个人计算机用户和企业局域网遭受感染。国家计算机病毒应急处理中心分析发现,该蠕虫为威金蠕虫的一个新变种。该变种感染计算机系统后,可使系统中所有.exe文件都变成了一种奇怪的图案,该图案显示为熊猫烧香,同时受感染的计算机系统会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。变种可以通过局域网进行传播,进而感染局域网内所有计算机系统,最终导致整个局域网瘫痪,无法正常使用。

    该蠕虫先后出现很多变种,再出现后的短时期内迅速传播,遭受感染的用户难于彻底清除,给其工作带来诸多不便。
蠕虫情况分析如下:

    病毒名称:Worm_Viking
   
中 文 名:熊猫烧香

   
其他名称:Worm/Viking(江民)

            
 Worm.WhBoy.h (金山)
        PE_FUJACKS (趋势)
               Worm.Nimaya
(瑞星)
               W32/Fujacks
McAfee
   
病毒类型:蠕虫
   
感染系统:Windows 9X/ Windows ME/ Windows NT/ Windows 2000/
               Windows XP/ Windows 2003

    病毒特性:

       “熊猫烧香是蠕虫威金的一个变种,是一个由 Delphi 工具编写的蠕
   
虫,它会感染计算机系统中后缀名为execompifsrchtmlasp等文件,
   
还会终止一些计算机系统中安装的防病毒软件和防火墙的进程。

        1、生成病毒文件

        蠕虫运行后在%System%目录下生成文件spoclsv.exe,并且在每个文件夹下
   
面生成 desktop_.ini 文件,里面标记着病毒发作日期。蠕虫还会在硬盘各个分
   
区下面生成autorun.inf 文件和 setup.exe 文件。(其中,%System%为系统文
   
件夹,在默认情况下,Windows 95/98/Me中为 C:\Windows\System
    Windows NT/2000
中为C:\Winnt\System32WindowsXPC:\Windows\System32

        2、 修改注册表项

        蠕虫添加注册表项,使得自身能够在系统启动时自动运行,在
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
下添加
    "svcshare" = %System%\drivers\spoclsv.exe
(其中,%System%Windows 
    95/98/Me
下为C:\Windows\System,在Windows NT/2000下为
C:\Winnt\System32
   
,在Windows XP下为 C:\Windows\System32

        3、感染系统中文件

        该蠕虫是一个复合型病毒,不但具有蠕虫的特性,还可以感染可执行文件。
   
它会搜索硬盘中的EXE文件并且感染,感染后的文件图标变成熊猫烧香的图
   
案。蠕虫感染计算机系统中文件扩展名为exepifcomsrc等文件,把自己附
   
加到这些文件的头部。另外,蠕虫还会感染计算机系统中文件扩展名为htm
    html
aspphpjspaspx等文件,在其中添加进蠕虫的恶意代码(蠕虫下载
   
的链接网页地址)。计算机用户一但浏览这些受到感染的网页,计算机系统的IE
   
浏览器就会自动链接到指定的服务器网址下载蠕虫并运行,进而进一步传播和扩

   
散。

        4、 传播途径

        该蠕虫具有多种传播途径,可以通过U盘和移动硬盘进行传播,并且利用
    Windows
系统的自动播放功能来运行,并且可以通过共享文件夹、系统弱口令等
   
多种方式进行传播。

        5、删除文件

        蠕虫会删除计算机系统中文件扩展名为.gho(一种备份硬盘数据的扩展名)
   
的文件,使计算机用户的系统备份文件丢失,无法使用GHOST软件(备份工具)
   
恢复操作系统。

        6、其他

        近来很多网站、论坛均被植入蠕虫熊猫烧香,就是由于网站的程序文件
   
熊猫烧香病毒感染所致。蠕虫会在受感染的计算机系统中所有网页文件
   
(后缀名为.html)尾部添加病毒代码,如果一些网站编辑人员的计算机系统被
   
该蠕虫感染,没有及时进行查杀处理,一旦把带有该病毒代码的网页文件上传到
   
网站上,就会导致浏览这些网站的计算机用户被蠕虫感染。

   解决方法:

        1、对没有遭受感染的计算机用户,应该及时升级系统中的防病毒软件,同
   
时打开防病毒软件的实时监控功能。

        2、对已经感染变种的计算机用户,建议尽快下载专杀工具进行查杀修复工
   
作。

        专杀工具下载链接地址:

   http://download.jiangmin.info/jmsoft/vikingkiller.exe (江民公司)

   http://tool.duba.net/zhuansha/253.shtml (金山公司)

   http://it.rising.com.cn/Channels/Service/2006-11/1163505486d38734.shtml
  (瑞星公司)
  
http://www.trendmicro.com/ftp/products/tsc/sysclean.com (趋势公司)


   安全建议:

        1、局域网的计算机用户尽量避免创建可写的共享目录,已经创建共享目 录
   的应立即停止共享。

        2、如无必要,Windows 2000/XP用户应尽量关闭IPC$共享,并给具有管理员          
   权限的帐号设置复杂的密码。

    3、及时安装微软的安全更新,不要随意访问来源不明的网站。

    4、计算机系统安装防病毒软件,并及时升级病毒定义库

    5、计算机用户使用U盘等移动设备交换文件时,务必开启杀毒软件的实时
   监控功能,或先用防病毒软件扫描,并关闭自动播放功能。

 


 

 

 
期期必出30码网站