专门网--专业的笔记本电脑技术交流网站 - 软件指南

专门网--专业的笔记本电脑技术交流网站 - 软件指南 - “熊猫烧香”中毒前后

你的位置 >>> 专门网 >>> 软件指南

“熊猫烧香”中毒前后
来源：原创	作者：ycfoxer	时间：2007-01-29 15:04:00	点击：5977

２００７年１月９日，我正在吃晚饭，外地一个朋友打电话。说他把机子重装了，但找不到显卡驱动程序。朋友那个主板集成显卡，由于不是主流主板，因此驱动特别难找。不过功夫不负有心人，最终还是被我找到了。其间有一个小小的插曲，打开某个网页时，诺顿报警：XX程序有问题。我当时也没多想，就点了确定，心想让诺顿自己处理吧。没想就是这个小小的插曲，让我困惑了好几天。
当我用QQ传文件时，突然发现文件图标都不对了，好多都变就成了熊猫图案，前面还有三根黑色的竖线。我心里咯登一下“坏了，我中了熊猫烧香病毒了。”
“熊猫烧香”病毒我早有耳闻，它会关闭多种主流杀软进程，感染所有的EXE文件，情节相当恶劣。所幸我手头备有“熊猫烧香”专杀工具，所以倒也不慌。文件一传完，我马上退出QQ，拔掉网线，关闭诺顿。然后找出装有专杀工具的U盘，确认写保护已打开，插入U盘，系统提示U盘不能写入，原来病毒想感染我的U盘，幸亏我早有准备。不理会弹出的窗口，从U盘找到专杀工具并双击，程序界面一闪就关闭了。再试还是一样。看来病毒对专杀工具也封杀了。我同时按下“CTRL+ALT+DEL”，想打开系统任务管理器，看能否中止病毒进程，任务管理器也是一闪而过。没办法，只剩最后一招了，重启到安全模式试试吧。
重启机子，按F8进入安全模式。启动专杀工具，这次没有关闭，我心里掠过一丝得意---成功了。接下来就是漫长的等待，。过了大约一个小时，扫描完毕，共清除682个病毒。想不到，短短的几分钟，病毒感染竟如此之快。正常启动后我又用“安全分析专家”扫了一遍，问题不大。心想这下总算清静了。哎，不过，怎么诺顿没有正常启动啊？双击桌面的诺顿图标，没反应，看来诺顿已被破坏了。没办法，只好重装诺顿，升级病毒库，再进行全盘扫描，还好，没发现威胁。到此，我认为机子已经恢复正常了。
第二天上班，又发现几个EXE不正常，倒也不是什么大问题，重装一下就OK了。第三天早上，诺顿自动更新了病毒库。当我偶然打开QQ的文件夹时，诺顿报告有毒，我当时就晕了。怎么还有毒？定神一看，是个HTM文件（静态网页文件）。再看诺顿也可以修复，既然如此，就再用诺顿做个全盘扫描吧。一扫不要紧，一下扫出来1600多个，所幸已全部修复。完了我又感到好奇，这些网页文件到底怎么被感染的呢？我找到了一个已修复的HTM文件，将其改名，然后断网，关掉诺顿的实时防毒功能，在诺顿的备份文件列表中找到相应的文件并恢复。用记事本打开两个文件比较，原来染毒文件后面加了一个跳转链接，查看这些网页时，IE会自动打开带毒网页，并试图感染你的电脑，真够恶毒的。
至此，杀毒工作应该是比较完美了。可是我对这个病毒又好奇起来，于是上网查看了该病毒的信息，原来除了感染EXE和HTM、ASP(动态网页文件)之外，它还会删掉所有用GHOST备份的GHO文件，我当时又晕了，赶快查看，备份的GHO果然不在了，真是恨死这个病毒了。所幸我的机子刚刚恢复过。于是重新备份，并把备份文件名改为GH0。终于彻底和“熊猫烧香”说拜拜了。
自2006年下半年起，以维金病毒及其变种为首的病毒大肆传播，这类病毒最明显的特征是以EXE为感染目标，它综合了病毒、木马、流氓软件的破坏手法，具有很强的杀伤力。本人感染的熊猫烧香也属于此类。我推荐使用瑞星提供的专杀工具。瑞星提供的“尼姆亚”专杀工具现已升级到1.5版,较我所用的专杀工具先进，可以较为彻底地查杀该病毒。但由于已删除的文件不能恢复，因此建议大家更改GHO后缀以防被删。

作者: ycfoxer 　责任编辑: zjerry 　报导时间: 2007-1-29 15:03
讨论连接: 【原创】“熊猫烧香”中毒前后

〖关闭本页〗

	评论人	评论内容	日期
1	aRNoLD	感觉着象是替RISING说好话打击NORTON的。	02-27 23:41
2	tianw	遭过一回，很快用专杀搞定	02-19 10:08
3	1986cl	^u^我也一样裸奔的呀,自今还没有出现过问题.	02-19 01:50
4	crazyboycn	看了lz的经历，心里虚虚的，不知道什么时候自己中招！！！	02-06 23:01
5	keviw	一直裸奔，哈哈倒是装了防火墙老中	02-06 17:55