特征
熊猫烧香是一种蠕虫病毒的变种,而且是经过多次变种而来的,原名为尼姆亚变种w(worm.nimaya.w)。由于中毒电脑的可执行文件会变成一只可爱的熊猫,双手合十拿着三根香,两眼微闭,一脸虔诚的图案,所以也被称为熊猫烧香病毒。用户电脑一旦中毒,可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。同时,该病毒的某些变种可以通过局域网进行传播,进而感染局域网内所有计算机系统,最终导致企业局域网瘫痪,无法正常使用。
罪行
病毒会自动关闭众多杀毒软件和安全工具;循环遍历磁盘目录,对关键系统文件跳过,感染所有exe、scr、pif、com文件,并更改图标为烧香熊猫;感染所有.htm/.html/.asp/.php/.jsp/.aspx文件,添加木马恶意代码;自动删除*.gho文件。目前已导致超过百万网民的电脑中毒瘫痪。
防杀熊猫
怎么防
1.局域网用户尽量避免创建可写的共享目录;
2.及时安装微软的安全更新;
3.及时升级杀毒软件病毒库,没有安装杀毒软件的用户可以登录http://www.rising.com.cn/free/index.htm下载免费的杀毒软件进行杀毒;
4.qq用户请下载安装最新版本的qq软件;
5.使用u盘等移动设备交换文件时,要开启杀毒软件的实时监控等。
怎么杀
1.在任务管理器的进程列表中关闭spcolsv.exe病毒进程。这个spcolsv.exe明显是在模仿系统进程spoolsv.exe;
2.删除位于系统盘/windows/system32/drivers/文件夹中的spcolsv.exe文件;
3.每个硬盘分区的根目录都有两个隐含的文件autorun.inf和setup.exe,将这些垃圾全部删除;
4.在注册表 hkey_current_usersoftwaremicrosoftwindowscurrentversionrun中把病毒的启动项svcshare删除。如果存在多个用户账户,每个用户账户的hkey_current_user都要清理。
5.恢复杀毒软件随系统启动的加载项,以瑞星为例,在注册表 hkey_local_machinesoftwaremicrosoftwindowscurrentversionrun中加上一个ravtask,设置命令为c:\risingrav\ravtask.exe-system即可,其中c:risingrav 是瑞星的默认安装位置。
6.在另一台安全中心服务正常的电脑上打开注册表,将 hkey_local_machinesystemcurrentcontrolsetserviceswscsvc 的全部内容导出为.reg 文件,复制到故障电脑上导入注册表,然后重新启动 windows,恢复被病毒删除的安全中心服务。
7.在反间谍软件《超级巡警》里找一个熊猫烧香病毒专杀工具1.6,名为killpanda.bat,通过扫描后可恢复被寄生的.exe、.htm等类型文件的默认图标,而且文件可以正常运行。
