■看色情电影中熊猫烧香病毒

　　 今天小编在网上发现有朋友疾呼：“今天看了几部武滕兰的片子中了熊猫烧香病毒直今未愈，各位警惕啊还有就是瑞星专杀没鸟用。“

　　看AV本身不是好事，由此中了病毒就更糟糕了，希望大家引以为戒。熊猫烧香是近期流传的一个相当厉害的病毒，属于威金的一个最新变种蠕虫病毒。很多朋友中了以后用杀毒软件根本杀不死，只能忍痛割爱删除硬盘里所有的程序文件。这个病毒严格的说是去年12月份开始流行的，按说杀毒软件应该已经升级解决了，但由于熊猫烧香的生命力惊人，经过这样长的一段时间仍然没有死绝。

武藤兰背后，隐藏着危机！

　　熊猫烧香的中毒特征是:

　　■1，这个病毒关闭众多杀毒软件和安全工具

　　■2，循环遍历磁盘目录，感染文件，对关键系统文件跳过

　　■3，感染所有EXE、SCR、PIF、COM文件,并更改图标为烧香熊猫

　　■4，感染所有.htm/.html/.asp/.php/.jsp/.aspx文件，添加木马恶意代码

　　■5，自动删除*.gho文件

■网友哭诉

　　网友对病毒的描述：

　　发觉做这些病毒的人真的很无耻~！ 我昨天晚上就不幸中招了~（而且是上的正常的网站，在PCONLINE进入主页，然后点击“笔记本”栏目后，电脑就不行了，然后提示什么数据出错

　　一个熊猫烧香的东西就出来了……

　　幸好当时记下了程序名称就是它：spoclsv.exe 之后重启，发觉不对劲了，所有盘符都被扫描了。然后就是进入系统后，杀毒软件、防火墙等防护软件全被自动取消，任务管理器也被强制关闭！

　　后来进到“安全模式”，用杀毒软件查， 我用金山的，还同时用了金山的木马专杀查，结果，都没查出来，但木马专杀查出了另一个可疑文件：yjplqb.exe （应该是一起生成的，但BAIDU搜过，没记录~！） 然后每个主盘目录下，被安装了三个隐藏文件，其中一个是sxs.exe 还有一个熊猫烧香图案的EXE文件 及autoinf那个文件， 各盘无法双击开启

　　后来没办法，只能去网上找解决办法，幸好网上有人解答， 用瑞星的nimayakiller.scr专杀软件和橙色八月专用提取清除工具扫描，把病毒弄出来了。 然后又修改注册表，等等等等费劲周折

　　不过就这样还没完，杀完后， 1、发觉杀毒软件彻底被摧毁了，虽然可以用，但“病毒防火墙”失效了，连修复都不行，只能重装

　　2、重装完金山毒霸后，竟然又提示有病毒，一看感染文件生成时期，就是昨天感染熊猫病毒的时候，发现病毒在： C:/WINDOWS/system32/windhcp.ocx 病毒名：Win32.Troj.Delf.ag.41984 病毒类型： 其他病毒 处理结果： 其他病毒； 需要重启；

　　然后这个病毒还不断复制出新病毒

　　发现病毒在： C:/WINDOWS/system32/devgt.exe 病毒名：Win32.Troj.Delf.fa.31310 病毒类型： 其他病毒 处理结果： 删除

　　发现病毒在： C:/WINDOWS/mh.exe 病毒名：Win32.Troj.Delf.fa.31310 病毒类型： 其他病毒 处理结果： 删除

　　后重启进入安全模式后，发觉消失了，估计被杀掉了。

　　之后再进入系统正常模式，到现在，发觉还好，暂时还没问题了。

　　另但奇怪的是，这个病毒文件在我除C、D、E外的后面几个盘内几乎所有有文件夹内生成了“Desktop_.ini”文件， 不知道为什么C、D、E三个盘里没有。 没办法，只能用搜索方式查出来然后批量删除。

　　我现在真是 搞到真的有点不敢上网开网页了，连正规的大网站都被人种下木马了，这个世界实在太疯狂了，真不知道还有那些网站是安全的了。 现在对PCONLINE有点恐惧了……

　　不要轻易下载专杀工具：

　　公司的电脑都中了熊猫，网管叫我到网上下载一个叫“橙色八月”的专杀工具。于是我打开百度搜索，下载，解压缩，双击......电脑彻底消停了。 我下的竟然是一个叫相同名称的病毒 大家BS我吧......

　　重要资料全部丢失

　　刚才刚刚中了，一个熊猫图标出现，关闭了我的天网防火墙，而且打开任务管理器之后也马上被关闭。我心想坏了，情急之下马上拔网线，强制重启

　　重开机进安全模式后找出几个可疑的程序的杀掉，发现任务管理器可以打开了，暂时没有发现新的熊猫图象程序（除了删掉的某个）。不过心里还是不踏实

　　我硬盘里有好多资料啊，全格式了还不如杀了我算了。

■解决技巧

　　根据小编目前知道的情况，各大杀毒软件厂商已经针对熊猫烧香进行了升级，已经可以基本控制病毒的传播了。不过网上还有用户说杀不死病毒。

　　其实原理很简单，熊猫烧香感染.htm/.html/.asp/.php/.jsp/.aspx，EXE、SCR、PIF、COM文件，真正杀死非常困难，只有完全删除才能杜绝病毒的传播。不过在此之前，大家最好尝试多种杀毒软件。

　　以下是网友自己总结的防范技巧，大家可以试验。

　　公司局域网估计70台机器左右吧，就在突然间全部开始“烧香”了，中毒最轻的是office的exe文件被篡改不能使用，最重的是，电脑所有程序不能运行，打开任何exe文件都是立即关闭，任务管理器，以及注册表也是打开立即自动关闭。
但是因为本人刚刚调动岗位，不再负责网络，所以不方便处理局域网内的，但是对自己的电脑还是有处理权的，因为熊猫在局域网内传播的很厉害，所以只清除自己电脑，基本没用，一个星期，无论我重装系统，无论我如何打补丁，但是仍然感染，我电脑用了nod32+look n stop，修改了administrator密码，用普通用户登陆，但是仍然阻挡不了熊猫跑到我的机器里面，下载了网上说的什么瑞星的熊猫专杀工具也不管用（我怀疑这个病毒就是瑞星公司弄的，为什么他们那么快就出了专杀？虽然后来基本不管用了）。甚至网上还流传用firefox2浏览器就没有问题，但是我装了后仍然感染。。。。。基本上每天我的应用程序都要重新安装一遍。。。。

　　于是考虑到如何防范熊猫这样的病毒

　　我又上网查了n多资料

　　终于找到一种防范的技巧
不过可能对以后安装游戏之类的增添一点麻烦

　　技巧如下：


第一步：制作免疫补丁（批处理内容）
echo > c:/windows/Logo1.exe
echo > c:/windows/Logo_1.exe
echo > c:/windows/Logo1_1.exe
echo > c:/windows/Logo1_.exe
echo > c:/windows/0Sy.exe
echo > c:/windows/1Sy.exe
echo > c:/windows/2Sy.exe
echo > c:/windows/3Sy.exe
echo > c:/windows/4Sy.exe
echo > c:/windows/5Sy.exe
echo > c:/windows/6Sy.exe
echo > c:/windows/7Sy.exe
echo > c:/windows/8Sy.exe
echo > c:/windows/9Sy.exe
echo > c:/windows/1.com
echo > c:/windows/rundll32.exe
echo > c:/windows/rundl132.exe
echo > c:/windows/vDll.dll
echo > c:/windows/exerouter.exe
echo > c:/windows/EXP10RER.com
echo > c:/windows/finders.com
echo > c:/windows/Shell.sys
echo > c:/windows/smss.exe
echo > c:/windows/kill.exe
echo > c:/windows/sws.dll
echo > c:/windows/sws32.dll
echo > c:/windows/tool.exe
echo > c:/windows/tool2005.exe
echo > c:/windows/tool2006.exe
echo > c:/windows/tools.exe
echo > c:/windows/finders.exe
attrib c:/windows/Logo1.exe +s +r +h
attrib c:/windows/Logo_1.exe +s +r +h
attrib c:/windows/Logo1_1.exe +s +r +h
attrib c:/windows/Logo1_.exe +s +r +h
attrib c:/windows/0Sy.exe +s +r +h
attrib c:/windows/1Sy.exe +s +r +h
attrib c:/windows/2Sy.exe +s +r +h
attrib c:/windows/3Sy.exe +s +r +h
attrib c:/windows/4Sy.exe +s +r +h
attrib c:/windows/5Sy.exe +s +r +h
attrib c:/windows/6Sy.exe +s +r +h
attrib c:/windows/7Sy.exe +s +r +h
attrib c:/windows/8Sy.exe +s +r +h
attrib c:/windows/9Sy.exe +s +r +h
attrib c:/windows/1.com +s +r +h
attrib c:/windows/rundl132.exe +s +r +h
attrib c:/windows/rundll32.exe +s +r +h
attrib c:/windows/vDll.dll +s +r +h
attrib c:/windows/exerouter.exe +s +r +h
attrib c:/windows/EXP10RER.com +s +r +h
attrib c:/windows/finders.com +s +r +h
attrib c:/windows/Shell.sys +s +r +h
attrib c:/windows/smss.exe +s +r +h
attrib c:/windows/kill.exe +s +r +h
attrib c:/windows/sws.dll +s +r +h
attrib c:/windows/sws32.dll +s +r +h
attrib c:/windows/tool.exe +s +r +h
attrib c:/windows/tool2005.exe +s +r +h
attrib c:/windows/tool2006.exe +s +r +h
attrib c:/windows/tools.exe +s +r +h
attrib c:/windows/finders.exe +s +r +h
================================================================== 第二步：巩固免疫补丁，禁止免疫补丁运行。（注册表内容）
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Group Policy Objects/本地
User/Software/Microsoft/Windows/CurrentVersion/Policies/ Explorer/DisallowRun]
"**delvals."=" "
"1"="Logo1.exe"
"2"="Logo_1.exe"
"3"="Logo1_1.exe"
"4"="Logo1_.exe"
"5"="0Sy.exe"
"6"="1Sy.exe"
"7"="2Sy.exe"
"8"="3Sy.exe"
"9"="4Sy.exe"
"10"="5Sy.exe"
"11"="6Sy.exe"
"12"="7Sy.exe"
"13"="8Sy.exe"
"14"="9Sy.exe"
"15"="1.com"
"16"="rundll32.exe"
"17"="rundl132.exe"
"18"="vDll.dll"
"19"="exerouter.exe"
"20"="EXP10RER.com"
"21"="finders.com"
"22"="Shell.sys"
"23"="smss.exe"
"24"="kill.exe"
"25"="sws.dll"
"26"="sws32.dll"
"27"="tool.exe"
"28"="tool2005.exe"
"29"="tool2006.exe"
"30"="tools.exe"
"31"="finders.exe"
===============================================
第三步，加强系统自身安全性（P处理内容）
@echo off
echo 程序运行中......
echo y|cacls e:/ /p everyone:r
echo y|cacls f:/ /p everyone:r
（P处理内容说明：禁止在E盘，F盘跟目录下创建任何文件及文件夹）
===========================================================
第四步：增强文件权限安全，防止病毒感染（P处理内容）
e:
cd e:etgames
cacls *.exe /t /e /g /everyone:r
cacls *.exe /t /e /p /everyone:r
cacls *.dll /t /e /g /everyone:r
cacls *.dll /t /e /p /everyone:r
（P处理内容说明：该批处理会把e:etgames文件夹下所有的exe和dll文件属性设为只读,同步更新软件会复制文件的只读属性，文件在只读状态下无法修改和保存,但不影响更新和删除（服务器上也必须做这一步）
附：有人问了，用了第三步，那管理员要在其盘符下创建文件夹怎么办？不用着急，运行下面的P处理就解决了。
@echo off
echo 程序运行中......
echo y|cacls e:/ /g everyone:f
echo y|cacls f:/ /g everyone:f
===============================完==================================== 第3步修正：网络游戏及QQ等一些东西~必须在盘符下建2级目录。如：e:et+gameetgame，所有游戏都放在里面，
执行P处理，批处理内容为：
echo y|cacls e:/ /p everyone:r
echo y|cacls e:et+game /p everyone:n
参数R是只读，N是取消一切权限，切记，一定要建二级目录，在二级目录下的一切操作不受任何限制，当你运行了P处理后，可以看看net+game的属性，大小都0，而LOG1这类感染EXE文件的病毒，他必须先搜索其文件，但他根本搜索不到无权限的文件夹里面的东西，所以他也无法感染，如果只做一级目录，直接将E盘设为无权限的话，那么会导致无法更新游戏，热血江湖玩不了。这一步骤修正了，那么我们就可以省略了第四步了~如果QQ游戏等在线游戏类的，也可以放在E盘，其技巧是一样的，举一反三是基本的学习能力。那么，现在处理下载盘的问题，技巧一样，直接将下载目录的快捷方式拖到桌面就可以了~大家多多实验吧~！总之，系统没有绝对的安全，制作病毒的人都是寻找系统弱点来做的，系统的安全性能只能靠平时的经验了~以上P处理的解除：echo y|cacls e:et+game /g everyone:f ，赋予其所有权限~！

■熊猫烧香靠啥传播？

　　熊猫烧香基本上可以肯定是靠网页恶意代码，木马，软件夹带等途径传播的，因此我们上网一定要注意安装防火墙软件，并且保持杀毒软件的更新。

　　有人问下载BT电影为何会感染病毒？是不是只有看AV电影才会感染病毒?

　　这个问题其实和AV电影关系不大，根据小编的分析很可能是依靠其中夹带的木马或RMVB恶意事件来完成的。

　“事件”可以在RMVB文件中加入进去，属于官方提供的功能之一。其作用是可以在用户播放文件中，弹出广告窗口或进行其他操作。另外，事件本身也有可能具备防盗链功能。其实，在视频文件中加入广告连接并不是啥大不了的问题，毕竟你白用人家的东西看视频，捎带脚看看广告业无所谓。但是，现在某些人利用这个功能加入了“恶意事件”，用户在播放视频的时候，不断的弹出窗口，直到死机为止。

这个文件在播放中不断弹出黄色信息

　　色情电影本身就是不合法的东西，很多别有用心的人往里输入了很多杂七杂八的内容，里面包含病毒一定也不奇怪。

　　万幸的是，RMVB事件的破解比较容易。原因在于想触发RMVB事件，必须安装REAL ONE才行，否则即便文件中有事件也不能触发。破解技巧是采用其他兼容播放器，如“INTO版酷热影音”等，即便是播放也不会触发事件。另外你也可以找一些破解RMVB事件的专用软件，彻底干掉RMVB事件。