【警惕】看武藤兰色 情电影中熊猫烧香病毒

wywyds

今天小编在网上发现有朋友疾呼：“今天看了几部武滕兰的片子中了熊猫烧香病毒直今未愈，各位警惕啊还有就是瑞星专杀没鸟用。”



看AV本身不是好事，由此中了病毒就更糟糕了，希望大家引以为戒。熊猫烧香是近期流传的一个相当厉害的病毒，属于威金的一个最新变种蠕虫病毒。很多朋友中了以后用杀毒软件根本杀不死，只能忍痛割爱删除硬盘里所有的程序文件。这个病毒严格的说是去年12月份开始流行的，按说杀毒软件应该已经升级解决了，但由于熊猫烧香的生命力惊人，经过这样长的一段时间仍然没有死绝。



熊猫烧香的中毒特征是:

　　■1，这个病毒关闭众多杀毒软件和安全工具

　　■2，循环遍历磁盘目录，感染文件，对关键系统文件跳过

　　■3，感染所有EXE、SCR、PIF、COM文件,并更改图标为烧香熊猫

　　■4，感染所有.htm/.html/.asp/.php/.jsp/.aspx文件，添加木马恶意代码

　　■5，自动删除*.gho文件

■网友哭诉



　　网友对病毒的描述：

　　发觉做这些病毒的人真的很无耻~！ 我昨天晚上就不幸中招了~（而且是上的正常的网站，在PCONLINE进入主页，然后点击“笔记本”栏目后，电脑就不行了，然后提示什么数据出错

　　一个熊猫烧香的东西就出来了……

　　幸好当时记下了程序名称就是它：spoclsv.exe 之后重启，发觉不对劲了，所有盘符都被扫描了。然后就是进入系统后，杀毒软件、防火墙等防护软件全被自动取消，任务管理器也被强制关闭！

　　后来进到“安全模式”，用杀毒软件查， 我用金山的，还同时用了金山的木马专杀查，结果，都没查出来，但木马专杀查出了另一个可疑文件： yjplqb.exe （应该是一起生成的，但BAIDU搜过，没记录~！） 然后每个主盘目录下，被安装了三个隐藏文件，其中一个是sxs.exe 还有一个熊猫烧香图案的EXE文件 及autoinf那个文件， 各盘无法双击开启

　　后来没办法，只能去网上找解决办法，幸好网上有人解答， 用瑞星的nimayakiller.scr专杀软件和橙色八月专用提取清除工具扫描，把病毒弄出来了。 然后又修改注册表，等等等等费劲周折

　　不过就这样还没完，杀完后， 1、发觉杀毒软件彻底被摧毁了，虽然可以用，但“病毒防火墙”失效了，连修复都不行，只能重装

　　2、重装完金山毒霸后，竟然又提示有病毒，一看感染文件生成时期，就是昨天感染熊猫病毒的时候，发现病毒在： C:\\WINDOWS\\ system32\\windhcp.ocx 病毒名：Win32.Troj.Delf.ag.41984 病毒类型： 其他病毒 处理结果： 其他病毒； 需要重启；

　　然后这个病毒还不断复制出新病毒

　　发现病毒在： C:\\WINDOWS\\system32\\devgt.exe 病毒名：Win32.Troj.Delf.fa.31310 病毒类型： 其他病毒 处理结果： 删除

　　发现病毒在： C:\\WINDOWS\\mh.exe 病毒名：Win32.Troj.Delf.fa.31310 病毒类型： 其他病毒 处理结果： 删除

　　后重启进入安全模式后，发觉消失了，估计被杀掉了。

　　之后再进入系统正常模式，到现在，发觉还好，暂时还没问题了。

　　另但奇怪的是，这个病毒文件在我除C、D、E外的后面几个盘内几乎所有有文件夹内生成了“Desktop_.ini”文件， 不知道为什么C、D、E三个盘里没有。 没办法，只能用搜索方式查出来然后批量删除。

　　我现在真是 搞到真的有点不敢上网开网页了，连正规的大网站都被人种下木马了，这个世界实在太疯狂了，真不知道还有那些网站是安全的了。 现在对PCONLINE有点恐惧了……

　　不要轻易下载专杀工具：

　　公司的电脑都中了熊猫，网管叫我到网上下载一个叫“橙色八月”的专杀工具。于是我打开百度搜索，下载，解压缩，双击......电脑彻底消停了。 我下的竟然是一个叫相同名称的病毒 大家BS我吧......

　　重要资料全部丢失

　　刚才刚刚中了，一个熊猫图标出现，关闭了我的天网防火墙，而且打开任务管理器之后也马上被关闭。我心想坏了，情急之下马上拔网线，强制重启

　　重开机进安全模式后找出几个可疑的程序的杀掉，发现任务管理器可以打开了，暂时没有发现新的熊猫图象程序（除了删掉的某个）。不过心里还是不踏实

　　我硬盘里有好多资料啊，全格式了还不如杀了我算了

■解决方法



　　根据小编目前知道的情况，各大杀毒软件厂商已经针对熊猫烧香进行了升级，已经可以基本控制病毒的传播了。不过网上还有用户说杀不死病毒。

　　其实原理很简单，熊猫烧香感染.htm/.html/.asp/.php/.jsp/.aspx，EXE、SCR、PIF、COM文件，真正杀死非常困难，只有完全删除才能杜绝病毒的传播。不过在此之前，大家最好尝试多种杀毒软件。

　　以下是网友自己总结的防范方法，大家可以试验。

　　公司局域网估计70台机器左右吧，就在突然间全部开始“烧香”了，中毒最轻的是office的exe文件被篡改不能使用，最重的是，电脑所有程序不能运行，打开任何exe文件都是立即关闭，任务管理器，以及注册表也是打开立即自动关闭。
但是因为本人刚刚调动岗位，不再负责网络，所以不方便处理局域网内的，但是对自己的电脑还是有处理权的，因为熊猫在局域网内传播的很厉害，所以只清除自己电脑，基本没用，一个星期，无论我重装系统，无论我如何打补丁，但是仍然感染，我电脑用了nod32+look n stop，修改了administrator密码，用普通用户登陆，但是仍然阻挡不了熊猫跑到我的机器里面，下载了网上说的什么瑞星的熊猫专杀工具也不管用（我怀疑这个病毒就是瑞星公司弄的，为什么他们那么快就出了专杀？虽然后来基本不管用了）。甚至网上还流传用firefox2浏览器就没有问题，但是我装了后仍然感染。。。。。基本上每天我的应用程序都要重新安装一遍。。。。

　　于是考虑到如何防范熊猫这样的病毒

　　我又上网查了n多资料

　　终于找到一种防范的方法
不过可能对以后安装游戏之类的增添一点麻烦

　　方法如下：


第一步：制作免疫补丁（批处理内容）
echo > c:\\windows\\Logo1.exe
echo > c:\\windows\\Logo_1.exe
echo > c:\\windows\\Logo1_1.exe
echo > c:\\windows\\Logo1_.exe
echo > c:\\windows\\0Sy.exe
echo > c:\\windows\\1Sy.exe
echo > c:\\windows\\2Sy.exe
echo > c:\\windows\\3Sy.exe
echo > c:\\windows\\4Sy.exe
echo > c:\\windows\\5Sy.exe
echo > c:\\windows\\6Sy.exe
echo > c:\\windows\\7Sy.exe
echo > c:\\windows\\8Sy.exe
echo > c:\\windows\\9Sy.exe
echo > c:\\windows\\1.com
echo > c:\\windows\\rundll32.exe
echo > c:\\windows\\rundl132.exe
echo > c:\\windows\\vDll.dll
echo > c:\\windows\\exerouter.exe
echo > c:\\windows\\EXP10RER.com
echo > c:\\windows\\finders.com
echo > c:\\windows\\Shell.sys
echo > c:\\windows\\smss.exe
echo > c:\\windows\\kill.exe
echo > c:\\windows\\sws.dll
echo > c:\\windows\\sws32.dll
echo > c:\\windows\\tool.exe
echo > c:\\windows\\tool2005.exe
echo > c:\\windows\\tool2006.exe
echo > c:\\windows\\tools.exe
echo > c:\\windows\\finders.exe
attrib c:\\windows\\Logo1.exe +s +r +h
attrib c:\\windows\\Logo_1.exe +s +r +h
attrib c:\\windows\\Logo1_1.exe +s +r +h
attrib c:\\windows\\Logo1_.exe +s +r +h
attrib c:\\windows\\0Sy.exe +s +r +h
attrib c:\\windows\\1Sy.exe +s +r +h
attrib c:\\windows\\2Sy.exe +s +r +h
attrib c:\\windows\\3Sy.exe +s +r +h
attrib c:\\windows\\4Sy.exe +s +r +h
attrib c:\\windows\\5Sy.exe +s +r +h
attrib c:\\windows\\6Sy.exe +s +r +h
attrib c:\\windows\\7Sy.exe +s +r +h
attrib c:\\windows\\8Sy.exe +s +r +h
attrib c:\\windows\\9Sy.exe +s +r +h
attrib c:\\windows\\1.com +s +r +h
attrib c:\\windows\\rundl132.exe +s +r +h
attrib c:\\windows\\rundll32.exe +s +r +h
attrib c:\\windows\\vDll.dll +s +r +h
attrib c:\\windows\\exerouter.exe +s +r +h
attrib c:\\windows\\EXP10RER.com +s +r +h
attrib c:\\windows\\finders.com +s +r +h
attrib c:\\windows\\Shell.sys +s +r +h
attrib c:\\windows\\smss.exe +s +r +h
attrib c:\\windows\\kill.exe +s +r +h
attrib c:\\windows\\sws.dll +s +r +h
attrib c:\\windows\\sws32.dll +s +r +h
attrib c:\\windows\\tool.exe +s +r +h
attrib c:\\windows\\tool2005.exe +s +r +h
attrib c:\\windows\\tool2006.exe +s +r +h
attrib c:\\windows\\tools.exe +s +r +h
attrib c:\\windows\\finders.exe +s +r +h
==================================================================
第二步：巩固免疫补丁，禁止免疫补丁运行。（注册表内容）
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Group Policy Objects\\本地
User\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\ Explorer\\DisallowRun]
\"**delvals.\"=\" \"
\"1\"=\"Logo1.exe\"
\"2\"=\"Logo_1.exe\"
\"3\"=\"Logo1_1.exe\"
\"4\"=\"Logo1_.exe\"
\"5\"=\"0Sy.exe\"
\"6\"=\"1Sy.exe\"
\"7\"=\"2Sy.exe\"
\"8\"=\"3Sy.exe\"
\"9\"=\"4Sy.exe\"
\"10\"=\"5Sy.exe\"
\"11\"=\"6Sy.exe\"
\"12\"=\"7Sy.exe\"
\"13\"=\"8Sy.exe\"
\"14\"=\"9Sy.exe\"
\"15\"=\"1.com\"
\"16\"=\"rundll32.exe\"
\"17\"=\"rundl132.exe\"
\"18\"=\"vDll.dll\"
\"19\"=\"exerouter.exe\"
\"20\"=\"EXP10RER.com\"
\"21\"=\"finders.com\"
\"22\"=\"Shell.sys\"
\"23\"=\"smss.exe\"
\"24\"=\"kill.exe\"
\"25\"=\"sws.dll\"
\"26\"=\"sws32.dll\"
\"27\"=\"tool.exe\"
\"28\"=\"tool2005.exe\"
\"29\"=\"tool2006.exe\"
\"30\"=\"tools.exe\"
\"31\"=\"finders.exe\"
===============================================
第三步，加强系统自身安全性（P处理内容）
@echo off
echo 程序运行中......
echo y|cacls e:\\ /p everyone:r
echo y|cacls f:\\ /p everyone:r
（P处理内容说明：禁止在E盘，F盘跟目录下创建任何文件及文件夹）
===========================================================
第四步：增强文件权限安全，防止病毒感染（P处理内容）
e:
cd e:\\netgames
cacls *.exe /t /e /g /everyone:r
cacls *.exe /t /e /p /everyone:r
cacls *.dll /t /e /g /everyone:r
cacls *.dll /t /e /p /everyone:r
（P处理内容说明：该批处理会把e:\\netgames文件夹下所有的exe和dll文件属性设为只读,同步更新软件会复制文件的只读属性，文件在只读状态下无法修改和保存,但不影响更新和删除（服务器上也必须做这一步）
附：有人问了，用了第三步，那管理员要在其盘符下创建文件夹怎么办？不用着急，运行下面的P处理就解决了。
@echo off
echo 程序运行中......
echo y|cacls e:\\ /g everyone:f
echo y|cacls f:\\ /g everyone:f
===============================完====================================
第3步修正：网络游戏及QQ等一些东西~必须在盘符下建2级目录。如：e:\\net+game\\netgame，所有游戏都放在里面，
执行P处理，批处理内容为：
echo y|cacls e:\\ /p everyone:r
echo y|cacls e:\\net+game /p everyone:n
参数R是只读，N是取消一切权限，切记，一定要建二级目录，在二级目录下的一切操作不受任何限制，当你运行了P处理后，可以看看net+game的属性，大小都0，而LOG1这类感染EXE文件的病毒，他必须先搜索其文件，但他根本搜索不到无权限的文件夹里面的东西，所以他也无法感染，如果只做一级目录，直接将E盘设为无权限的话，那么会导致无法更新游戏，热血江湖玩不了。这一步骤修正了，那么我们就可以省略了第四步了~如果QQ游戏等在线游戏类的，也可以放在E盘，其方法是一样的，举一反三是基本的学习能力。那么，现在处理下载盘的问题，方法一样，直接将下载目录的快捷方式拖到桌面就可以了~大家多多实验吧~！总之，系统没有绝对的安全，制作病毒的人都是寻找系统弱点来做的，系统的安全性能只能靠平时的经验了~以上P处理的解除：echo y|cacls e:\\net+game /g everyone:f ，赋予其所有权限~！

■熊猫烧香靠啥传播？



　　熊猫烧香基本上可以肯定是靠网页恶意代码，木马，软件夹带等途径传播的，因此我们上网一定要注意安装防火墙软件，并且保持杀毒软件的更新。

　　有人问下载BT电影为何会感染病毒？是不是只有看AV电影才会感染病毒?

　　这个问题其实和AV电影关系不大，根据小编的分析很可能是依靠其中夹带的木马或RMVB恶意事件来完成的。

　“事件”可以在RMVB文件中加入进去，属于官方提供的功能之一。其作用是可以在用户播放文件中，弹出广告窗口或进行其他操作。另外，事件本身也有可能具备防盗链功能。其实，在视频文件中加入广告连接并不是啥大不了的问题，毕竟你白用人家的东西看视频，捎带脚看看广告业无所谓。但是，现在某些人利用这个功能加入了“恶意事件”，用户在播放视频的时候，不断的弹出窗口，直到死机为止。

这个文件在播放中不断弹出黄色信息

　　色情电影本身就是不合法的东西，很多别有用心的人往里输入了很多杂七杂八的内容，里面包含病毒一定也不奇怪。

　　万幸的是，RMVB事件的破解比较容易。原因在于想触发RMVB事件，必须安装REAL ONE才行，否则即便文件中有事件也不能触发。破解方法是采用其他兼容播放器，如“INTO版酷热影音”等，即便是播放也不会触发事件。另外你也可以找一些破解RMVB事件的专用软件，彻底干掉RMVB 事件。

最后再度提醒您注意，文件备份最重要！中病毒再解毒，只能是亡羊补牢！