熊貓燒香電腦病毒案在湖北告破 抓獲8名疑犯(附熊貓防殺方法)

湖北省公安廳12日宣布，根據統一部署，湖北網監在浙江、山東、廣西、天津、廣東、四川、江西、雲南、新疆、河南等地公安機關的配合下，一舉偵破了製作傳播「熊貓燒香」病毒案，抓獲李俊（男，25歲，武漢新洲區人）、雷磊（男，25歲，武漢新洲區人）等8名犯罪嫌疑人。這是我國破獲的國內首例製作計算機病毒的大案。

　　據介紹，2006年底，我國互聯網上大規模爆發「熊貓燒香」病毒及其變種，該病毒通過多種方式進行傳播，並將感染的所有程序文件改成熊貓舉著三根香的模樣，同時該病毒還具有盜取用戶遊戲賬號、ＱＱ賬號等功能。該病毒傳播速度快，危害範圍廣，截至案發為止，已有上百萬個人用戶、網吧及企業區域網用戶遭受感染和破壞，引起社會各界高度關注。《瑞星2006安全報告》將其列為十大病毒之首，在《2006年度中國大陸地區電腦病毒疫情和互聯網安全報告》的十大病毒排行中一舉成為「毒王」。

　　今年1月中旬，湖北省網監部門根據公安部公共信息網路安全監察局的部署，對「熊貓燒香」病毒的製作者開展調查。經查，熊貓燒香病毒的製作者為湖北省武漢市李俊，據李俊交代，其於2006年10月16日編寫了「熊貓燒香」病毒並在網上廣泛傳播，並且還以自己出售和由他人代賣的方式，在網路上將該病毒銷售給120餘人，非法獲利10萬餘元。經病毒購買者進一步傳播，導致該病毒的各種變種在網上大面積傳播，對互聯網用戶計算機安全造成了嚴重破壞。李俊還於2003年編寫了「武漢男生」病毒、2005年編寫了「武漢男生2005」病毒及「ＱＱ尾巴」病毒。另外，本案另有幾個重要犯罪嫌疑人雷磊（男，25歲，武漢新洲區人）、王磊（男，22歲，山東威海人）、葉培新（男，21歲，浙江溫州人）、張順（男，23歲，浙江麗水人）、王哲（男，24歲，湖北仙桃人）通過改寫、傳播「熊貓燒香」等病毒，構建「殭屍網路」，通過盜竊各種遊戲和ＱＱ賬號等方式非法牟利。

　　目前，李俊、雷磊等8名犯罪嫌疑人已被刑事拘留。

　　揭秘熊貓燒香病毒肆虐內幕

　　新年伊始「熊貓燒香」病毒愈演愈烈

　　「熊貓燒香」病毒檔案

　　追殺目標：Worm.WhBoy.h

　　中 文 名：「熊貓燒香」

　　病毒長度：可變

　　病毒類型：蠕蟲

　　危害等級：★★★★

　　影響平台：Win 9X/ME/NT/2000/XP/2003

　　典型表現：

　　「熊貓燒香」是一個由Delphi工具編寫的蠕蟲，終止大量的反病毒軟體和防火牆軟體進程。病毒會刪除擴展名為gho的文件，使用戶無法使用ghost軟體恢復操作系統。「熊貓燒香」感染系統的.exe、.com、.pif、.src、.html、.asp文件，添加病毒網址，導致用戶一打開這些網頁文件，IE就會自動連接到指定的病毒網址中下載病毒。在硬碟各個分區下生成文件autorun.inf和setup.exe，可以通過U盤和移動硬碟等方式進行傳播，並且利用Windows系統的自動播放功能來運行，搜索硬碟中的.exe可執行文件並感染，感染后的文件圖標變成「熊貓燒香」圖案。「熊貓燒香」還可以通過共享文件夾、系統弱口令等多種方式進行傳播。


圖：感染后的文件圖標會變成「熊貓燒香」圖案




　　日前，電腦用戶張先生氣憤地告訴記者：「今天早晨一打開電腦，我就快暈了。進入系統后，許多應用程序無法使用，重裝軟體后，不久又不能使用。更奇怪的是發現電腦中所有的.exe可執行文件全部變成小熊貓舉著三根香的模樣，而且系統運行異常緩慢，非常鬱悶。」據記者從國內幾家殺毒公司了解到，近期，一個叫「熊貓燒香」(Worm.WhBoy.h)的病毒把電腦用戶折騰得苦不堪言。在人們心目中，「熊貓」這個國寶似乎不再可愛，而成了人人喊打的過街老鼠。據國內的病毒專家介紹，「熊貓燒香」蠕蟲不但對用戶系統進行破壞，導致大量應用軟體無法使用，而且還可刪除擴展名為gho的所有文件，造成用戶的系統備份文件丟失，從而無法進行系統恢復。此外，該病毒還能終止大量反病毒軟體進程，大大降低用戶系統的安全性。

　　三大原因導致「熊貓燒香」肆虐

　　近日，「熊貓燒香」病毒泛濫成災，已經到了天怒人怨的地步。據悉，由於多家著名網站遭到此類病毒攻擊而相繼被植入病毒。由於這些網站的瀏覽量非常大，致使此次「熊貓燒香」病毒的感染範圍非常廣。

　　據瑞星反病毒專家介紹，「熊貓燒香」其實是「尼姆亞」病毒的新變種，最早出現在2006年的11月。由於它一直在不停地進行變種，而且該病毒會在中毒電腦中所有的網頁文件尾部添加病毒代碼，因此，一旦一些網站編輯人員的電腦被該病毒感染，網站編輯在上傳網頁到網站后，就會導致所有瀏覽該網頁的計算機用戶也被感染上該病毒。

　　同時，據金山毒霸反病毒中心表示，「熊貓燒香」除了通過網站帶毒感染用戶之外，此病毒還會通過QQ最新漏洞傳播自身，通過網路文件共享、默認共享、系統弱口令、U盤及移動硬碟等多種途徑傳播。而區域網中只要有一台機器感染，就可以瞬間傳遍整個網路，甚至在極短時間之內就可以感染幾千台計算機，嚴重時可以導致網路癱瘓。中毒癥狀表現為電腦中所有可執行的.exe文件都變成了一種怪異的圖案，該圖案顯示為「熊貓燒香」，繼而系統藍屏、頻繁重啟、硬碟數據被破壞等，嚴重的整個公司區域網內所有電腦會全部中毒。

　　對此，江民反病毒專家何公道分析認為：導致病毒快速傳播目前存在三大原因。一是大量的企業用戶使用國外殺毒軟體，而國外殺毒軟體對於此類國產病毒響應速度特別慢。二是由於被種植「熊貓燒香」病毒網站的點擊量的全球排名均在前300名之列，而當一部分網站編輯本身機器感染了病毒之後，當他們把受感染文件上傳到伺服器后，訪問者點擊此類受感染網頁即中毒，因此，該病毒才會得以迅速傳播。三是其病毒具有極強的變種能力，僅從2006年11月至年底短短一個多月的時間，該病毒就變種將近30餘次，因此在許多用戶疏於防範而沒有更新殺毒軟體時，該病毒即可藉機迅速傳播。

　　新年伊始「熊貓燒香」破壞繼續加劇

　　據了解，江民科技發布的2006年計算機病毒疫情顯示，「熊貓燒香」(「威金」病毒變種)已成為2006年計算機病毒最大威脅。截至去年12月份，已有超過50萬台計算機受此病毒感染，而受害企業用戶更是達到上千家，多數企業業務因此停頓，直接和間接損失無法估量，病毒疫情十分嚴重。

　　近日據記者從金山毒霸反病毒中心獲取的最新消息：「熊貓燒香」(Worm.WhBoy.h)病毒目前再次進入急速變種期，從元旦至今，僅半個多月，「熊貓燒香」變種數已高達50多個，並且其感染用戶的數量也在不斷擴大。據金山毒霸客戶服務中心初步統計，目前感染「熊貓燒香」病毒的個人用戶已經高達幾百萬，企業用戶感染數更是成倍上升。特別是在近一周內，金山毒霸客服中心有關熊貓燒香的日諮詢量已高達73%，而感染用戶主要以北京、廣州、上海等大型城市為主。

　　另據金山毒霸反病毒專家戴光劍指出，當前由於大部分感染了「熊貓燒香」的用戶只能被動下載一些相關的專殺工具或殺毒軟體進行查殺，而由於熊貓燒香變種多，傳播速度快，一旦用戶沒能及時升級殺毒軟體或專殺工具，查殺效果將大打折扣。所以如何徹底將「熊貓燒香」攔截於用戶的電腦之外，成為各大殺毒廠商目前急需解決的問題。

　　最全面的「熊貓燒香」整體解決方案

　　近期，「熊貓燒香」病毒無疑成了互聯網最熱門的關鍵字了，網上也能找到很多個有關熊貓燒香病毒的解決辦法。這些方法都顯得不盡完美，再加上熊貓的變種很多，有效性就更加大打折扣了。為此，記者通過對國內幾家殺毒軟體公司的採訪，整理出了一套相對完整的解決方案供大家參考。對於已經感染「熊貓燒香」病毒的用戶，可以採用以下幾種方式對該病毒進行查殺。

　　金山

　　金山毒霸2007對「熊貓燒香」已經具備免疫能力，金山毒霸反病毒專家建議及時安裝正版金山毒霸並升級到最新版本進行查殺。在服務期內的毒霸用戶，將會通過金山毒霸的主動實時升級功能，自動升級到最新版本，實現對「熊貓燒香」的免疫。對於沒有安裝殺毒軟體的電腦用戶，可以登錄到tool.duba.net/zhuansha/253.shtml免費下載金山的「熊貓燒香」專殺工具。

　　瑞星

　　安裝殺毒軟體和瑞星卡卡3.1的用戶，可將軟體升級，並在上網時打開網頁實時監控。同時，瑞星已經發布針對該病毒的專殺工具，並對該工具不斷升級。因此，沒有安裝殺毒軟體的用戶，還可以登錄it.rising.com.cn/Channels/Service/index.shtml免費下載使用「熊貓燒香」專殺工具。

　　江民

　　江民建議已安裝江民殺毒軟體的用戶將殺毒軟體升級到最新病毒庫，並對電腦進行全盤查殺。未安裝殺毒軟體的用戶，也可登錄到www.jiangmin.com/download/zhuansha04.htm下載安裝江民「熊貓燒香」專殺工具，可以有效清除病毒和修復被感染文件。

　　五招遠離熊貓燒香騷擾

　　據金山毒霸反病毒中心表示，近期「熊貓燒香」的變種異常活躍，因此從目前至春節期間，該病毒還將會一直騷擾著電腦用戶。雖然用戶及時更新殺毒軟體病毒庫，並下載各殺毒軟體公司提供的專殺工具，即可對「熊貓燒香」病毒進行查殺，但是如果能做到防患於未然豈不更好。為此，記者在採訪中，還總結了以下五招預防措施，希望可以幫您遠離「熊貓燒香」病毒的騷擾。

　　1.立即檢查本機administrator組成員口令，一定要放棄簡單口令甚至空口令，安全的口令是字母數字特殊字元的組合，自己記得住，別讓病毒猜到就行。

　　修改方法：右鍵單擊我的電腦，選擇管理，瀏覽到本地用戶和組，在右邊的窗格中，選擇具備管理員許可權的用戶名，單擊右鍵，選擇設置密碼，輸入新密碼就行。

　　2.利用組策略，關閉所有驅動器的自動播放功能。

　　步驟：單擊開始，運行，輸入gpedit.msc，打開組策略編輯器，瀏覽到計算機配置，管理模板，系統，在右邊的窗格中選擇關閉自動播放，該配置預設是未配置，在下拉框中選擇所有驅動器，再選取已啟用，確定后關閉。最後，在開始，運行中輸入gpupdate，確定后，該策略就生效了。

　　3.修改文件夾選項，以查看不明文件的真實屬性，避免無意雙擊騙子程序中毒。

　　步驟：打開資源管理器(按windows徽標鍵＋E)，點工具菜單下文件夾選項，再點查看，在高級設置中，選擇查看所有文件，取消隱藏受保護的操作系統文件，取消隱藏文件擴展名。

　　4.時刻保持操作系統獲得最新的安全更新，不要隨意訪問來源不明的網站，特別是微軟的MS06-014漏洞，應立即打好該漏洞補丁。

　　同時，QQ、UC的漏洞也可以被該病毒利用，因此，用戶應該去他們的官方網站打好最新補丁。此外，由於該病毒會利用IE瀏覽器的漏洞進行攻擊，因此用戶還應該給IE打好所有的補丁。如果必要的話，用戶可以暫時換用Firefox、Opera等比較安全的瀏覽器。

　　5.啟用Windows防火牆保護本地計算機。同時，區域網用戶盡量避免創建可寫的共享目錄，已經創建共享目錄的應立即停止共享。

　　此外，對於未感染的用戶，病毒專家建議，不要登錄不良網站，及時下載微軟公布的最新補丁，來避免病毒利用漏洞襲擊用戶的電腦，同時上網時應採用「殺毒軟體+防火牆」的立體防禦體系。

[ 本帖最後由 fzz200318 於 2007-2-13 09:07 編輯 ]

如果熊貓燒香的製作者是為了牟利，為何要搞出這麼大的動靜？要偷要盜，應該盡量不要讓人知道才是。

禽毒先禽毒主哈