揭秘“熊猫烧香”病毒
2007年1月12日,瑞星全球反病毒监测网向企业局域网发布警告,目前“尼姆亚”(也称“熊猫烧香”)病毒的攻击重点正在转向企业局域网和网站,广大企业和网站应提高警惕紧密防范。瑞星反病毒专家介绍说,该病毒会在中毒电脑中所有的网页文件尾部添加病毒代码。一些网站编辑人员的电脑如果被该病毒感染,上传网页到网站后,就会导致用户浏览这些网站时也被病毒感染。
据悉,目前多家著名网站已经遭到此类攻击,而相继被植入病毒。由于这些网站的浏览量非常大,致使此次“熊猫烧香”病毒的感染范围非常广,中毒企业和政府机构已经超过千家,其中不乏金融、税务、能源等关系到国计民生的重要单位。
瑞星反病毒专家介绍说,“熊猫烧香”,其实是“尼姆亚”病毒的新变种,最早出现在2006年的11月,到目前为止已经有数十个不同变种,除了通过网站带毒感染用户之外,此病毒还会在局域网中传播,在极短时间之内就可以感染几千台计算机,严重时可以导致网络瘫痪。中毒电脑上会出现“熊猫烧香”图案,所以也被称为“熊猫烧香”病毒。中毒电脑会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。
“武汉男生”,俗称“熊猫烧香”,这是一个感染型的蠕虫病毒,它能感染系统中exe、com、pif、src、html、asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件,使用户的系统备份文件丢失。被感染的用户系统中所有。exe可执行文件全部被改成熊猫举着三根香的模样。
病毒行为:拷贝文件、添加注册表自启动、每隔1秒寻找桌面窗口,并关闭窗口标题中含有杀毒字符的程序、中止系统中一些软件的进程,每隔18秒点击病毒作者指定的网页,并用命令行检查系统中是否存在共享、每隔10秒下载病毒作者指定的文件,并用命令行检查系统中是否存在共享、每隔6秒删除安全软件在注册表中的键值、删除一些服务、感染文件。
那么,用户应该如何防范“熊猫烧香”病毒的攻击?专家建议:
★安装杀毒软件和瑞星卡卡3.1,并在上网时打开网页实时监控。由于现在海底光缆中断,很多国外杀毒软件难以升级,瑞星杀毒软件免费为用户提供一个月服务,可以登录:http://www。rising。com。cn免费下载并使用。用户还可以通过瑞星在线专家门诊:http://help。rising。com。cn取得帮助。
★网站管理员应该更改机器密码,以防止病毒通过局域网传播。
★QQ、UC的漏洞已经被该病毒利用,用户应该去其官方网站打好最新补丁。
★该病毒会利用IE浏览器的漏洞进行攻击,因此用户应该给IE打好所有的补丁。如果必要的话,用户可以暂时换用Firefox、Opera等比较安全的浏览器。