网络通缉令:凶手 熊猫烧香病毒

网络通缉令：       凶手 熊猫烧香病毒

特征 ：
“熊猫烧香”是一种蠕虫病毒的变种，而且是经过多次变种而来的,原名为尼姆亚变种W(W
orm.Nimaya.w)。由于中毒电脑的可执行文件会变成一只可爱的熊猫，双手合十拿着三根香
，两眼微闭，一脸虔诚的图案，所以也被称为“熊猫烧香”病毒。用户电脑一旦中毒，可
能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。同时，该病毒的某些变
种可以通过局域网进行传播，进而感染局域网内所有计算机系统，最终导致企业局域网瘫
痪，无法正常使用。

罪行 ：病毒会自动关闭众多杀毒软件和安全工具；循环遍历磁盘目录，对关键系统文件跳
过，感染所有EXE、SCR、PIF、COM文件,并更改图标为烧香熊猫；感染所有.htm/.html/.a
sp/.php/.jsp/.aspx文件，添加木马恶意代码；自动删除*.gho文件。目前已导致超过百万
网民的电脑中毒瘫痪。

怎么防
1.局域网用户尽量避免创建可写的共享目录；
2.及时安装微软的安全更新；
3.及时升级杀毒软件病毒库，没有安装杀毒软件的用户可以登录http：//www.rising.com
.cn/free/index.htm下载免费的杀毒软件进行杀毒；
4.QQ用户请下载安装最新版本的QQ软件；
5.使用U盘等移动设备交换文件时，要开启杀毒软件的实时监控等。

怎么杀
1.在任务管理器的进程列表中关闭spcolsv.exe病毒进程。这个spcolsv.exe明显是在模仿
系统进程spoolsv.exe；
2.删除位于系统盘/windows/system32/drivers/文件夹中的spcolsv.exe文件；
3.每个硬盘分区的根目录都有两个隐含的文件AUTORUN.INF和SETUP.EXE，将这些垃圾全部
删除；
4.在注册表 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun中把病毒的
启动项svcshare删除。如果存在多个用户账户，每个用户账户的HKEY_CURRENT_USER都要清
理。
5.恢复杀毒软件随系统启动的加载项，以瑞星为例，在注册表 HKEY_LOCAL_MACHINESOFTW
AREMicrosoftWindowsCurrentVersionRun中加上一个RavTask，设置命令为“C:\RiSingRa
v\RavTask.exe”-system即可，其中C:RisingRAV 是瑞星的默认安装位置。
6.在另一台“安全中心”服务正常的电脑上打开注册表，将 HKEY_LOCAL_MACHINESYSTEMC
urrentControlSetServiceswscsvc 的全部内容导出为.REG 文件，复制到故障电脑上导入
注册表，然后重新启动 Windows，恢复被病毒删除的“安全中心”服务。
7.在反间谍软件《超级巡警》里找一个熊猫烧香病毒专杀工具1.6，名为KillPanda.BAT，
通过扫描后可恢复被寄生的.EXE、.HTM等类型文件的默认图标，而且文件可以正常运行。
 

病毒警报： 本周仍要防“熊猫”！
据新华社最新消息，“熊猫烧香”病毒本周仍然活跃，仍是网络病毒防范重点。目前，瑞
星公司已经截获到该病毒的数十个变种。因此，瑞星反病毒反木马一周播报（2007.01.29
～02.04）仍将“熊猫烧香”病毒列为本周关注病毒，警惕程度为★★★★。

--
高歌向天天相应， 纵声唤地地有灵。 曾经刀山驱猛虎， 几度火海战飞龙。
诗成万卷尽雄风， 铁流笔下恣奔腾。 何当重归长安路？ 再为盛世除奸雄。