全网尽烧熊猫香

江民科技的工程师立刻就赶到用户那里，在一台服务器上发现里面的工具软件都已经被“熊猫烧香”

蠕虫病毒感染了，如图1：


http://netsecurity.51cto.com/files/uploadimg/20070130/1004160.jpg


图1 被“熊猫烧香”病毒感染之后的文件

在进程中出现一个名为 spoclsv.exe 的可疑进程，如图2：


http://netsecurity.51cto.com/files/uploadimg/20070130/1004161.jpg

图2.jpg “熊猫烧香”病毒进程

在注册表中，有一个名为svcshare 的可疑启动项，如图3：

http://netsecurity.51cto.com/files/uploadimg/20070130/1004162.jpg

图3 “熊猫烧香”病毒启动项

此外，还在硬盘跟目录下面发现了两个隐藏属性的可疑文件：


http://netsecurity.51cto.com/files/uploadimg/20070130/1004163.jpg


图4 “熊猫烧香”病毒还可以通过U盘传播

显然，这样当用户双点打开E盘时，病毒文件就会激活运行。

还有，在一些文件夹里面出现了名为Desktop_.ini 的文件，里面有一个时间戳：如2007-1-15，这是标记着病毒的发作日期。如图5


http://netsecurity.51cto.com/files/uploadimg/20070130/1004164.jpg


图5

从这些迹象可以看出，用户中的是典型的“熊猫烧香”蠕虫病毒，此时用户也在旁边询问：“怎么办？请帮忙一定把病毒杀干净！”江民科技的工程师坚定地回答说：“请放心！你的电脑是由于没有装杀毒软件，这才给病毒留下空隙的，我现在给你安装一套KV 杀毒软件，很容易就能将病毒杀干净！而且你这里是一个局域网环境，就部署一下KV网络版吧！”

于是江民科技的工程师采用KV杀毒软件网络版独有的WEB方式安装，不出一小会，几十个节点的网络版杀毒软件便部署完毕，并且在进行了全网病毒库统一升级之后，下达了全网同时杀毒指令，如图6，立刻，这台服务器的病毒就彻底清除完毕了，如图7：


http://netsecurity.51cto.com/files/uploadimg/20070130/1004165.jpg


图6 KV网络版主控中心

http://netsecurity.51cto.com/files/uploadimg/20070130/1004166.jpg

图7 KV网络版客户端杀毒界面

杀毒之后，文件被很好的还原，病毒被彻底的清除。如图8


http://netsecurity.51cto.com/files/uploadimg/20070130/1004167.jpg

图8 KV杀毒之后，文件被还原

看见文件被还原，“熊猫”不见了，这位用户终于放下心来，接着江民科技的工程师说：“对于‘熊猫烧香’这样的恶性蠕重，我们江民科技在第一时间就发布了免费专杀工具，http://download.jiangmin.info/jmsoft/VikingKiller.exe ，可以随时下载使用，可以很好的清除被熊猫烧香病毒感染的文件。”如图9


http://netsecurity.51cto.com/files/uploadimg/20070130/1004168.jpg


图9 江民科技“熊猫烧香”病毒专杀工具

杀毒防毒选KV 安全建议很重要

接着江民科技的工程师说：你看，你们的服务器连密码都没有设置，补丁也没有打上，这样的电脑是很容易感染病毒的，出次之外，还应该注意以下几点：

1，局域网用户尽量避免创建可写的共享目录，已经创建共享目录的应立即停止共享。

2，如无必要，Windows 2000/XP用户应尽量关闭IPC$共享，并给具有管理员权限的帐号设置强健的密码。

3，及时安装微软的安全更新，不要随意访问来源不明的网站。特别是微软的MS06-014漏洞，应立即打好该漏洞补丁。

补丁下载地址：http://www.microsoft.com/china/technet/security/bulletin/ms06-014.mspx

4, 安装杀毒软件，并及时升级病毒库

5, QQ用户请下载安装最新版本的QQ软件，已发现多起恶意网站利用QQ漏洞传播熊猫蠕虫的现象。

6, 使用U盘等移动设备交换文件时，要开启杀毒软件的实时监控，或先用杀毒软件扫描，并关闭自动播放功能。

http://netsecurity.51cto.com/art/200701/39152.htm