江民反病毒工程师剿杀“熊猫烧香”病毒全程实录

周杰伦

“熊猫烧香”疯狂发作

   2007年1月15日上午，中关村数码大厦32 层，江民科技反病毒中心。
最近一段时间，江民科技的几部反病毒热线始终没有停下来过，有很多用户打电话询问同一种病毒的查杀方法，这种病毒有一个最显著的特点－中毒电脑的可执行程序图标都会变成一只熊猫举着三炷香的样子，也就是最近正在互联网大范围流窜的蠕虫病毒－“熊猫烧香” 。此病毒最早现身于2006年10月，最近正处于急速变种期，再加上这个病毒利用多种漏洞和途径大肆传播，因此中毒用户也急速增加。对于用户打来的每一个电话，江民科技的工程师都会详细耐心的给出解决方案，指导用户如何彻底查杀此病毒。

  “铃，铃，铃。。。。。。” 刚刚放下的电话又响了起来，江民科技的工程师立即接取电话询问：“你好！这里是江民科技，请问有什么需要服务的吗？”

   “啊！你好！是江民公司吧？我这边中毒了！网都瘫痪了，你们快来帮帮我吧！”对方的声音显得很焦急。

   “您先别着急，请说一下你那边的情况，有什么异常的现象吗？”江民科技的工程师耐心的询问着。

   “是这样，今天一早上，我就发现我们服务器的文件都不能运行了，图标都变成一个熊猫的样子，接着网速就很慢，现在基本上局域网都瘫痪了！”

   “哦，那你们中的可能是最近流行的‘熊猫烧香’蠕虫病毒，请问你们用的是那款杀毒软件和病毒库的日期？”江民科技的工程师进一步了解用户的情况。

   “哎呀！我们公司刚刚组建完网络，还没装杀毒软件呢！这不就中了嘛！你们能派工程师来我们这里处理一下吗？十分感谢！”

   “哦，那好，请您留下联系方式，我们会立即派人去部署一下杀毒软件，彻底清除您们网络中的病毒。” 江民科技的工程师记下了对方的地址，立即启程，又一次的展开了紧迫的反病毒任务。

    全网尽烧熊猫香  

   江民科技的工程师立刻就赶到用户那里，在一台服务器上发现里面的工具软件都已经被“熊猫烧香”蠕虫病毒感染了，如图1：

   图1 被“熊猫烧香”病毒感染之后的文件


   在进程中出现一个名为 spoclsv.exe 的可疑进程，如图2：

图2.jpg  “熊猫烧香”病毒进程
   在注册表中，有一个名为svcshare 的可疑启动项，如图3：

图3 “熊猫烧香”病毒启动项

   此外，还在硬盘跟目录下面发现了两个隐藏属性的可疑文件：

图4  “熊猫烧香”病毒还可以通过U盘传播

   显然，这样当用户双点打开E盘时，病毒文件就会激活运行。
还有，在一些文件夹里面出现了名为Desktop_.ini 的文件，里面有一个时间戳：如2007-1-15，这是标记着病毒的发作日期。如图5

图5
   从这些迹象可以看出，用户中的是典型的“熊猫烧香”蠕虫病毒，此时用户也在旁边询问：“怎么办？请帮忙一定把病毒杀干净！”江民科技的工程师坚定地回答说：“请放心！你的电脑是由于没有装杀毒软件，这才给病毒留下空隙的，我现在给你安装一套KV 杀毒软件，很容易就能将病毒杀干净！而且你这里是一个局域网环境，就部署一下KV网络版吧！”
于是江民科技的工程师采用KV杀毒软件网络版独有的WEB方式安装，不出一小会，几十个节点的网络版杀毒软件便部署完毕，并且在进行了全网病毒库统一升级之后，下达了全网同时杀毒指令，如图6，立刻，这台服务器的病毒就彻底清除完毕了，如图7：

图6  KV网络版主控中心


图7  KV网络版客户端杀毒界面




   杀毒之后，文件被很好的还原，病毒被彻底的清除。如图8

图8  KV杀毒之后，文件被还原

   看见文件被还原，“熊猫”不见了，这位用户终于放下心来，接着江民科技的工程师说：“对于‘熊猫烧香’这样的恶性蠕重，我们江民科技在第一时间就发布了免费专杀工具，http://download.jiangmin.info/jmsoft/VikingKiller.exe ，可以随时下载使用，可以很好的清除被熊猫烧香病毒感染的文件。”如图9

图9  江民科技“熊猫烧香”病毒专杀工具

   杀毒防毒选KV  安全建议很重要

   接着江民科技的工程师说：你看，你们的服务器连密码都没有设置，补丁也没有打上，这样的电脑是很容易感染病毒的，出次之外，还应该注意以下几点：

1， 局域网用户尽量避免创建可写的共享目录，已经创建共享目录的应立即停止共享。
2, 如无必要，Windows 2000/XP用户应尽量关闭IPC$共享，并给具有管理员权限的帐号设置强健的密码。
3, 及时安装微软的安全更新，不要随意访问来源不明的网站。特别是微软的MS06-014漏洞，应立即打好该漏洞补丁。
   补丁下载地址：http://www.microsoft.com/china/technet/security/bulletin/ms06-014.mspx
4, 安装杀毒软件，并及时升级病毒库
5, QQ用户请下载安装最新版本的QQ软件，已发现多起恶意网站利用QQ漏洞传播熊猫蠕虫的现象。
6, 使用U盘等移动设备交换文件时，要开启杀毒软件的实时监控，或先用杀毒软件扫描，并关闭自动播放功能。

   另外，多浏览江民科技反病毒资讯http://www.jiangmin.com，上面的文章也是一个很好的参考。

   就这样，一场没有硝烟的反病毒之战就结束了，这仅仅是江民科技众多反病毒案例中的一个缩影，江民科技用着一个个先进的反病毒解决方案，捍卫着网络安全的长城，正印证了一句话：网络安全，选择江民。

my6kies

图片看不了

周杰伦

奇怪了，刚刚还可以看了，现在怎么看不了了

长翅膀的狼

没有图片

专家

lz，图片看不到啊，

29159011

我可以看到图片啊

fbac

图片看不到

shuishui

我这也看不到图片...

kaspfans

看不到图片

hp88

只用卡巴