大家警惕:Worm.Nimaya (熊猫烧香)
[table=98%][tr][td=1,2,55%][url=http://www.zgjrw.com/News/2007125/Tech/416810052300.html][img=403,200]http://www.zgjrw.com/zhuanti/zt/2007125630/211.files/news.gif[/img][/url][/td][td=1,1,45%][align=center][url=http://www.zgjrw.com/News/2007124/Tech/285716588700.html][b][color=#0000ff]“熊猫烧香”病毒肆虐互联网[/color][/b][/url][/align][/td][/tr][tr][td] “那个熊猫烧香,快把我害死了,一个画册让我做了三遍,差点让我交不了稿”、“我的机器中了熊猫了,昨天晚上用专杀杀一次,今天早晨又都冒出来了”……昨日,记者在各大BBS上看到了网民的怨声载道。
“熊猫烧香”(Worm.WhBoy)病毒肆虐互联网一个月来,正在转向企业局域网和政府网站。 [[url=http://www.zgjrw.com/News/2007125/Tech/416810052300.html][color=#0000ff]详细[/color][/url]]
[[url=http://www.zgjrw.com/News/2007125/Tech/650374722900.html][color=#0000ff]01月25日病毒预警与安全动态[/color][/url]] [[url=http://www.zgjrw.com/News/2007125/Tech/144125489800.html][color=#0000ff]出绝招 拒绝熊猫烧香[/color][/url]]
[[url=http://www.zgjrw.com/News/2007125/Tech/396432180500.html][color=#0000ff]“熊猫烧香”究竟在祈祷什么?[/color][/url]] [[url=http://www.zgjrw.com/News/2007125/Tech/736151615600.html][color=#0000ff]当心被“熊猫毒”恶搞[/color][/url]]
[[url=http://www.zgjrw.com/News/2007125/Tech/903524577400.html][color=#0000ff]"熊猫烧香"病毒全攻略[/color][/url]] [[url=http://www.zgjrw.com/News/2007125/Tech/228175108500.html][color=#0000ff]熊猫烧香假慈悲 exe文件遭篡改[/color][/url]][/td][/tr][/table][table=98%][tr][td=1,1,55%][img=400,35]http://www.zgjrw.com/zhuanti/zt/2007125630/211.files/a1.jpg[/img] [table=97%][tr][td][b][url=http://www.zgjrw.com/News/2007124/Tech/333764231700.html][color=#0000ff]“熊猫烧香”病毒来袭 数十家企业局域网瘫痪[/color][/url][/b]
[/td][/tr][tr][td] 瑞星全球反病毒监测网向企业局域网发布警告,目前 ,“熊猫烧香”的病毒正将攻击重点转向企业局域网和网站,广大企业和网站应提高警惕紧密防范。该病毒会在中毒电脑中所有的网页文件尾部添加病毒代码,如果这些文件被上传到网站,则用户浏览后会中毒。
据悉,目前多家著名网站已经遭到此类攻击,而相继被植入病毒。专家介绍说,“熊猫烧香”其实是“尼姆亚”病毒的新变种,用户可以去专业杀毒网站免费下载熊猫烧香的专杀工具杀毒 。…… [[url=http://www.zgjrw.com/News/2007124/Tech/333764231700.html][color=#0000ff]全文[/color][/url]] [/td][/tr][/table][table=100][tr][td][/td][/tr][/table][table=97%][tr][td][b][url=http://www.zgjrw.com/News/2007124/Tech/436505761600.html][color=#0000ff]“熊猫烧香”肆虐 攻击重点正转向企业局域网[/color][/url][/b]
[/td][/tr][tr][td] 瑞星全球反病毒监测网向企业局域网发布警告,目前 ,“熊猫烧香”的病毒正将攻击重点转向企业局域网和网站,广大企业和网站应提高警惕紧密防范。该病毒会在中毒电脑中所有的网页文件尾部添加病毒代码,如果这些文件被上传到网站,则用户浏览后会中毒。
据悉,目前多家著名网站已经遭到此类攻击,而相继被植入病毒。专家介绍说,“熊猫烧香”其实是“尼姆亚”病毒的新变种,用户可以去专业杀毒网站免费下载熊猫烧香的专杀工具杀毒 。…… [[url=http://www.zgjrw.com/News/2007124/Tech/436505761600.html][color=#0000ff]全文[/color][/url]] [/td][/tr][/table][table=100][tr][td][/td][/tr][/table][table=97%][tr][td] [b][url=http://www.zgjrw.com/News/2007124/Tech/723456836700.html][color=#0000ff]"熊猫烧香"泛滥成灾 网站编辑变病毒"帮凶"[/color][/url][/b]
[/td][/tr][tr][td] 近日,一个名为“熊猫烧香”的病毒开始在互联网泛滥。据专家介绍说,该病毒会在中毒电脑中所有的网页文件尾部添加病毒代码。一些网站编辑人员的电脑如果被该病毒感染,上传网页到网站后,就会导致用户浏览这些网站时也被病毒感染。
据了解,已经有包括PCONLINE在内的多家网站遭到此类攻击,而相继被植入病毒。中毒电脑会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。……[[url=http://www.zgjrw.com/News/2007123/Tech/882959265500.html][color=#0000ff]全文[/color][/url]] [/td][/tr][/table][table=100][tr][td][/td][/tr][/table][/td][td=1,1,45%][table=97%][tr][td=1,1,318] [b][/b]什么是熊猫烧香病毒?
[/td][/tr][tr][td] “熊猫烧香”其实是一种蠕虫病毒的变种,而且是经过多次变种而来的。尼姆亚变种W(Worm.Nimaya.w),由于中毒电脑的可执行文件会出现“熊猫烧香”图案,所以也被称为“熊猫烧香”病毒。用户电脑中毒后可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。同时,该病毒的某些变种可以通过局域网进行传播,进而感染局域网内所有计算机系统,最终导致企业局域网瘫痪,无法正常使用。
[/td][/tr][/table]
[table=97%][tr][td][align=center][b][/b][url=http://www.zgjrw.com/News/2007124/Tech/611560362400.html][img=300,183]http://www.zgjrw.com/zhuanti/zt/2007125630/211.files/top1.jpg[/img][/url][/align][/td][/tr][tr][td][align=center][url=http://www.zgjrw.com/News/2007124/Tech/611560362400.html][b][size=3][color=#ff0000]揭秘“熊猫烧香”肆虐内幕[/color][/size][/b][/url][/align][/td][/tr][/table][table=100][tr][td][b][size=3][color=#ff0000][/color][/size][/b][/td][/tr][/table][table=97%][tr][td=1,1,141][align=left][url=http://www.zgjrw.com/News/2007124/Tech/165011688500.html][color=#0000ff]多家网站被植"熊猫烧香"[/color][/url]
由于中毒电脑的可执行文件会出现“熊猫烧香”图案,所以被称为“熊猫烧香”病毒。[/align][/td][td=1,1,155][url=http://www.zgjrw.com/News/2007124/Tech/165011688500.html][color=#0000ff]穿透QQ漏洞 熊猫烧香广泛传
[/color][/url] QQ软件爆出高危漏洞,该漏洞通过IE浏览器发生作用,黑客可利用此漏洞远程控制用户机器。[/td][/tr][/table][/td][/tr][/table][table=98%][tr][td=1,1,55%][img=400,35]http://www.zgjrw.com/zhuanti/zt/2007125630/211.files/a2.jpg[/img] [table=97%][tr][td][b][url=http://www.zgjrw.com/News/2007124/Tech/435794075000.html][color=#800080]教你手动清除最近横行的熊猫烧香病毒[/color][/url][/b]
[/td][/tr][tr][td] 近段时间,“熊猫烧香”(Worm.WhBoy.h) 蠕虫正处于急速变种期,仅11月份至今,变种数量已达10几个,变种速度之快,影响范围之广,与06年横行于局域网的“维金”不相上下。 现在小编提供一个手动清除此病毒的方法:
清除步骤
1. 断开网络
2. 结束病毒进程……[[url=http://www.zgjrw.com/News/2007124/Tech/435794075000.html][color=#800080]全文[/color][/url]][/td][/tr][/table][table=100][tr][td][/td][/tr][/table][table=97%][tr][td][b][url=http://www.zgjrw.com/News/2007124/Tech/315214641700.html][color=#0000ff]不用烧香拜佛 自己动手消灭“熊猫烧香”[/color][/url][/b]
[/td][/tr][tr][td] 清除该病毒不是特别复杂,一些变种依靠手工的方法就可以清除。
一、手工清除
第一步:点击“开始→运行”,输入“ntsd -c q -pn spoclsv.exe”并确定,结束病毒的进程。
第二步:在注册表中寻找 [[url=http://www.zgjrw.com/News/2007124/Tech/315214641700.html][color=#0000ff]全文[/color][/url]] [/td][/tr][/table][table=100][tr][td][/td][/tr][/table][table=97%][tr][td][b][url=http://www.zgjrw.com/News/2007124/Tech/414667812600.html][color=#0000ff]杀病毒:实例讲解如何干掉“熊猫烧香”[/color][/url][/b][/td][/tr][tr][td] 你中过熊猫烧香么?!看到过熊猫拿着三支香的样子么!?中招后如何处理!?看完本文,你将学会如何从计算机中杀掉“熊猫烧香”。
惊险查杀过程
1.熊猫烧香病毒:图片就是个熊猫在烧香感觉蛮可爱的!当时并没有很在意!第二天再次打开电脑的时候!几乎电脑所有的EXE文件都成了熊猫烧香图片!这时才有所感觉!……[[url=http://www.zgjrw.com/News/2007124/Tech/414667812600.html][color=#0000ff]全文[/color][/url]] [/td][/tr][/table][/td][td=1,1,45%][table=97%][tr][td] [b][/b]病毒特征
[/td][/tr][tr][td]1、这个病毒关闭众多杀毒软件和安全工具
2、循环遍历磁盘目录,感染文件,对关键系统文件跳过
3、感染所有EXE、SCR、PIF、COM文件,并更改图标为烧香熊猫
4、感染所有.htm/.html/.asp/.php/.jsp/.aspx文件,添加木马恶意代码
5、自动删除*.gho文件
[/td][/tr][/table][table=97%][tr][td=2,1] [b][/b][url=http://www.zgjrw.com/News/2007124/Tech/500263728300.html][color=#0000ff]最新流行的熊猫病毒查杀方法介绍[/color][/url]
[/td][/tr][tr][td=1,1,115][align=center][color=#0000ff][img=112,141]http://www.zgjrw.com/zhuanti/zt/2007125630/211.files/w3.jpg[/img][/color][/align][/td][td=1,1,181] 建议您用卡巴6.0到安全模式下全盘杀毒。
一. 关闭病毒进程
打开任务管理器,在进程中查找 sxs 或 SVOHOST,有的话就将它结束掉,注意别搞错了。
二、显示出被隐藏的系统文件
运行>>regedit…… [[url=http://www.zgjrw.com/News/2007124/Tech/611560362400.html][color=#0000ff]全文[/color][/url]] [/td][/tr][/table][table=100][tr][td][/td][/tr][/table][table=97%][tr][td=1,1,141][align=left][url=http://www.zgjrw.com/News/2007124/Tech/571396473900.html][color=#0000ff]平民版扫除熊猫病毒[/color][/url]
中毒文件的恢复,首先在清除病毒文件的同时不要删除%SYSTEM%下面释放FuckJacks.exe文件。
[/align][/td][td=1,1,155][url=http://www.zgjrw.com/News/2007124/Tech/161713061500.html][color=#0000ff]"熊猫烧香"病毒清除方法[/color][/url] “熊猫烧香”,一查居然是2007年第一周排行榜第一的病毒。这次我们讲利用打补丁及手工来解决。[/td][/tr][/table][/td][/tr][/table][table=98%][tr][td=1,1,408][table=98%][tr][td][table][tr][td][/td][/tr][/table][img=400,35]http://www.zgjrw.com/zhuanti/zt/2007125630/211.files/a3.jpg[/img] [table=97%][tr][td][url=http://www.zgjrw.com/News/2007124/Tech/822311423600.html][b][color=#0000ff]如何预防“熊猫烧香”系列病毒[/color][/b][/url]
[/td][/tr][tr][td] 这几天“熊猫烧香”的变种更是表象异常活跃,近半数的网民深受其害。用户除了可以下载金山毒霸的“熊猫烧香”专杀来对付该病毒外,金山毒霸技术专家还总结的以下预防措施,帮你远离“熊猫烧香”病毒的骚扰。
1、立即检查本机administrator组成员口令,一定放弃简单口令甚至空口令,安全的口令是字母数字特殊字符的组合,自己记得住,别让病毒猜到就行。……[[url=http://www.zgjrw.com/News/2007124/Tech/822311423600.html][color=#0000ff]全文[/color][/url]]
[/td][/tr][/table][table=100][tr][td][/td][/tr][/table][table=97%][tr][td][b][url=http://www.zgjrw.com/News/2007124/Tech/872163329600.html][color=#0000ff]QQ爆高危漏洞危害IE浏览器 专家提醒三招防毒[/color][/url][/b]
[/td][/tr][tr][td] 瑞星公司向广大网民发出警告:QQ软件爆出高危漏洞,该漏洞通过IE浏览器发生作用,相关攻击代码已经在网上公开,黑客可以利用此漏洞远程控制用户机器。尽管腾讯公司已经发布了相关补丁,并通过系统消息进行了提示,但由于QQ存在多种“绿色版”、“去广告版”等,仍有众多用户没有打好补丁。
瑞星安全专家警告说,所有安装QQ软件的系统都存在该漏洞,即使用户不使用QQ的时候漏洞也存在,用户浏览带有病毒的网站后就会被感染。目前某著名IT门户网站的笔记本频道已经被黑客植入病毒,用户浏览后就会中毒。…… [[url=http://www.zgjrw.com/News/2007124/Tech/872163329600.html][color=#0000ff]全文[/color][/url]] [/td][/tr][/table][table=100][tr][td][/td][/tr][/table][table=97%][tr][td][url=http://www.zgjrw.com/News/2007124/Tech/545510161700.html][b][color=#0000ff]熊猫烧香:多少变种,怎么破坏,如何查杀?[/color][/b][/url]
[/td][/tr][tr][td] 到目前为止,从大体上分,目前主要有四大变种,变种A我们已经分析,见本版,变种B的就是大家常说的spoclsv.exe进程,它藏的全路径是:% SystemRoot%Driversspoclsv.exe,其它部分与变种A基本一致。变种C主要的改动是对抗杀毒软件,尤其是超级巡警的专杀 …[[url=http://www.zgjrw.com/News/2007124/Tech/545510161700.html][color=#0000ff]全文[/color][/url]] [/td][/tr][/table][/td][/tr][/table][/td][td=1,1,326][table=97%][tr][td=1,1,318] 熊猫烧香病毒[b][/b]如何传播?
[/td][/tr][tr][td] ●网页恶意代码,木马,软件夹,因此我们上网一定要注意安装防火墙软件,并且保持杀毒软件的更新
● 有人问下载BT电影为何会感染病毒?是不是只有看AV电影才会感染病毒? 这个问题其实和AV电影关系不大,根据小编的分析很可能是依靠其中夹带的木马或RMVB恶意事件来完成的。
[/td][/tr][/table][table=97%][tr][td=1,1,110][img=110,100]http://www.zgjrw.com/zhuanti/zt/2007125630/211.files/w2.jpg[/img][/td][td=1,1,247][url=http://www.zgjrw.com/News/2007124/Tech/583245863800.html][color=#0000ff]"熊猫烧香"处理与防范心得:[/color][/url]以前一直觉得自己做的服务器安全性还是过得去的,这几年一直在做无盘网吧系统的服务器,基本上也没出过什么安全问题,以为只要服务器不连外网,内网不要有水平。[/td][/tr][/table][table=100][tr][td][/td][/tr][/table][table=97%][tr][td=1,1,110][img=110,100]http://www.zgjrw.com/zhuanti/zt/2007125630/211.files/w1.jpg[/img][/td][td=1,1,247][url=http://www.zgjrw.com/News/2007124/Tech/337371723900.html][color=#0000ff]熊猫烧香windows升级补丁:[/color][/url]请大家打上windows针对“攻击者可能会远程利用此问题危及使用 Windows Internet 信息服务的 Windows 系统的安全并获取对该系统的控制权”的安全补丁包。[/td][/tr][/table][table=326][tr][td=1,1,318]专题策划:天海 文字:天海[/td][/tr][tr][td]信箱:tech@zgjrw.com 设计:天海[/td][/tr][/table][/td][/tr][/table]
把整个页面复制给发家看看了
很多公司都被搞得天昏地暗啊这个有点作用
教你手动清除最近横行的熊猫烧香病毒近段时间,“熊猫烧香”(Worm.WhBoy.h) 蠕虫正处于急速变种期,仅11月份至今,变种数量已达10几个,变种速度之快,影响范围之广,与06年横行于局域网的“维金”不相上下。 现在小编提供一个手动清除此病毒的方法:
清除步骤
1. 断开网络
2. 结束病毒进程……[全文]
教你手动清除最近横行的熊猫烧香病毒
现在小编提供一个手动清除此病毒的方法:清除步骤
==========
1. 断开网络
2. 结束病毒进程
%System%\FuckJacks.exe
3. 删除病毒文件:
%System%\FuckJacks.exe
4. 右键点击分区盘符,点击右键菜单中的“打开”进入分区根目录,删除根目录下的文件
X:\autorun.inf
X:\setup.exe
5. 删除病毒创建的启动项:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"FuckJacks"="%System%\FuckJacks.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"svohost"="%System%\FuckJacks.exe"
6. 修复或重新安装反病毒软件
7. 使用反病毒软件或专杀工具进行全盘扫描,清除恢复被感染的exe文件
中毒文件的恢复(仅个人观点,只在自己的虚拟机上测试正常)
首先在清除病毒文件的同时不要删除%SYSTEM%下面释放FuckJacks.exe的这个文件,(注册表里要清除干净)
打开运行输入gpedit.msc打开组策略-本地计算机策略-windows设置-安全设置-软件限制策略-其它规则
在其它规则上右键选择-新散列规则=打开新散列规则窗口
在文件散列上点击浏览找到-%SYSTEM%下面释放FuckJacks.exe文件.......安全级别选择-不允许的 确定后重启(一定重启)
重启后可以双击运行已经被熊猫感染的程序-运行程序后该FuckJacks.exe文件会在注册表里的Run键下建立启动项(不会有问题的)
双击运行被感染的程序已经恢复原来样子了,全部回复后用SRENG2把FuckJacks.exe在注册表里的启动项删除即可!
这个的专杀“武汉男孩”病毒的瑞星软件
[url]http://it.rising.com.cn/Channels/Service/2006-11/1163505486d38734.shtml[/url]病毒行为:
这是一个感染型的蠕虫病毒,它能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程
1:拷贝文件
病毒运行后,会把自己拷贝到
C:\WINDOWS\System32\Drivers\spoclsv.exe
2:添加注册表自启动
病毒会添加自启动项
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe
3:病毒行为
a:每隔1秒
寻找桌面窗口,并关闭窗口标题中含有以下字符的程序
QQKav
QQAV
防火墙
进程
VirusScan
网镖
杀毒
毒霸
瑞星
江民
黄山IE
超级兔子
优化大师
木马克星
木马清道夫
QQ病毒
注册表编辑器
系统配置实用程序
卡巴斯基反病毒
Symantec AntiVirus
Duba
esteem proces
绿鹰PC
密码防盗
噬菌体
木马辅助查找器
System Safety Monitor
Wrapped gift Killer
Winsock Expert
游戏木马检测大师
msctls_statusbar32
pjf(ustc)
IceSword
并使用的键盘映射的方法关闭安全软件IceSword
添加注册表使自己自启动
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe
并中止系统中以下的进程:
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
kvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl132.exe
b:每隔18秒
点击病毒作者指定的网页,并用命令行检查系统中是否存在共享
共存在的话就运行net share命令关闭admin$共享
c:每隔10秒
下载病毒作者指定的文件,并用命令行检查系统中是否存在共享
共存在的话就运行net share命令关闭admin$共享
d:每隔6秒
删除安全软件在注册表中的键值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
RavTask
KvMonXP
kav
KAVPersonal50
McAfeeUpdaterUI
Network Associates Error Reporting Service
ShStartEXE
YLive.exe
yassistse
并修改以下值不显示隐藏文件
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
CheckedValue -> 0x00
删除以下服务:
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec Core LC
NPFMntor
MskService
FireSvc
e:感染文件
病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部
并在扩展名为htm,html, asp,php,jsp,aspx的文件中添加一网址,
用户一但打开了该文件,IE就会不断的在后台点击写入的网址,达到
增加点击量的目的,但病毒不会感染以下文件夹名中的文件:
WINDOW
Winnt
System Volume Information
Recycled
Windows NT
WindowsUpdate
Windows Media Player
Outlook Express
Internet Explorer
NetMeeting
Common Files
ComPlus Applications
Messenger
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
MSN Gamin Zone
g:删除文件
病毒会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件
使用户的系统备份文件丢失.
怎样预防熊猫烧香系列病毒?
以下几招很简单易行,帮你预防熊猫烧香病毒,至少能明显减少你中招的几率。1.立即检查本机administrator组成员口令,一定放弃简单口令甚至空口令,安全的口令是字母数字特殊字符的组合,自己记得住,别让病毒猜到就行。修改方法,右键单击我的电脑,选择管理,浏览到本地用户和组,在右边的窗格中,选择具备管理员权限的用户名,单击右键,选择设置密码,输入新密码就行。
2.利用组策略,关闭所有驱动器的自动播放功能。
步骤:单击开始,运行,输入gpedit.msc,打开组策略编辑器,浏览到计算机配置,管理模板,系统,在右边的窗格中选择关闭自动播放,该配置缺省是未配置,在下拉框中选择所有驱动器,再选取已启用,确定后关闭。最后,在开始,运行中输入gpupdate,确定后,该策略就生效了。
3.修改文件夹选项,以查看不明文件的真实属性,避免无意双击骗子程序中毒。
步骤:打开资源管理器(按windows徽标键+E),点工具菜单下文件夹选项,再点查看,在高级设置中,选择查看所有文件,取消隐藏受保护的操作系统文件,取消隐藏文件扩展名。
4.时刻保持操作系统获得最新的安全更新,建议用毒霸的漏洞扫描功能,汗,很可惜,现在光缆还没修好,网不通,不好修复。
5.启用windows防火墙保护本地计算机。
“熊猫”体内暗藏留言
“熊猫”体内暗藏留言mopery是卡卡社区反病毒论坛的版主,也是一名反病毒高手。
2006年10月中旬,mopery接到网友求助。在帮忙解决电脑故障的过程中,他拿到了一个病毒样本,它就是“熊猫烧香”的原始版本。
将病毒“解剖”之后,在繁复的程序代码中,mopery看到了一段与程序无关的信息,其中有一行字母:“whboy”。
“whboy”这个名字,对于病毒研究者有着不一般的含义。2004年,whboy即发布了其创作的病毒“武汉男孩”,那是一种通过QQ传播的盗号木马,因为其变种的疯狂和传播的广泛,一年后,被江民反病毒中心列入2005年十大病毒之列。
此后,whboy还在一些病毒论坛和黑客论坛发帖,表示可以提供盗取QQ号服务,但不久后便销声匿迹,直至“熊猫”出现。
mopery对“熊猫烧香”进行了认真分析。他发现,这种病毒并不拥有最厉害的技术,却拥有最成熟的传播手段。
mopery对“熊猫烧香”产生了浓厚的兴趣,他联系了另一名民间反病毒高手农夫,在2006年10月25日推出了第一款专杀工具:尼姆亚蠕虫专杀。
“第一只熊猫没什么威力,厉害的是后面的变种。”mopery说,从发现第一版“熊猫烧香”后,一个月内,它的变种就达到了十几种。
在这些变种中,每隔一段时间,作者都有意在病毒中留下whboy字样。“他主要给我们这些分析病毒的人看,普通用户看不到代码。”
随着变种增多,反病毒人士在连续解剖病毒的同时,开始期待更多留言出现。
病毒内部列出“鸣谢单位”
2006年12月初,“熊猫烧香”变种加速,代码中除了whboy字样外,又多了一行汉字:“武汉男孩感染下载者。”随着变种的增多,代码内附带的信息也越来越多。
此时,mopery和艾玛已经加入抗击“熊猫烧香”的大军当中。他们分析熊猫的新变种,并在卡卡社区反病毒论坛上,贴出一份份详细的病毒分析报告。
他们的举动,吸引了病毒作者“武汉男孩”的注意力。在1月初一份病毒变种中,神秘留言再次更新。
“感谢mopery对此木马的关注。”留言中新添的这句话,让mopery啼笑皆非。随后,武汉男孩似乎迷恋上了这种病毒内部列出“鸣谢单位”的模式,在1月5日的病毒留言中,感谢名单上添加了艾玛的名字。1月9日,感谢名单中又多了杀毒高手“海色之月”的名字,文末还添加了一句“服了……艾玛…… ”
此后,武汉男孩开始频繁用这种方式与对手“交流”。
1月15日,武汉男孩还在留言中和反毒者taylor77打起了招呼:“taylor77,不知道找我啥事啊?”并且戏言:“我制作的病毒已经‘满城尽烧国宝香’。”
网络世界高手对决一个月
1月16日,武汉男孩发布了新的病毒变种,反毒者们习惯称之为“艾玛”版本。因为在这个病毒内部的留言中,写了22次艾玛的名字。
1月19日晚,“熊猫烧香”发布了最后一次更新。这个版本可称为传染手段最全面的版本。
在“熊猫烧香”的最后一个版本中,武汉男孩写下了临别赠语:“在此对各位中过此木马的网友和各位网管人员表示深深的歉意!对不起,你们辛苦了!mopery,很想和你们交流下!某某原因,我想还是算了!” 楼主是不是中过了,嘿
页:
[1]