熊猫烧香

病毒名称：熊猫烧香，Worm.WhBoy.(金山称)，Worm.Nimaya。 (瑞星称)

病毒别名：尼姆亚，武汉男生，后又化身为“金猪报喜”，国外称“熊猫烧香”

危险级别：★★★★★

熊猫烧香病毒类型：蠕虫病毒，能够终止大量的反病毒软件和防火墙软件进程。

影响系统：Windows 9x/ME、Windows 2000/NT、Windows XP、Windows 2003 、Windows Vista 、Windows 7

发现时间：2006年10月16日

来源地：中国武汉东湖高新技术开发区关山

熊猫烧香其实是一种蠕虫病毒的变种，而且是经过多次变种而来的，由于中毒电脑的可执行文件会出现“熊猫烧香”图案，所以也被称为 “熊猫烧香”病毒。但原病毒只会对EXE图标进行替换，并不会对系统本身进行破坏。而大多数是中的病毒变种，用户电脑中毒后可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。同时，该病毒的某些变种可以通过局域网进行传播，进而感染局域网内所有计算机系统，最终导致企业局域网瘫痪，无法正常使用。

除了通过网站带毒感染用户之外，此病毒还会在局域网中传播，在极短时间之内就 可以感染几千台计算机，严重时可以导致网络瘫痪。中毒电脑上会出现“熊猫烧香”图案，所以也被称为“熊猫烧香”病毒。中毒电脑会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。

熊猫烧香病毒会删除扩展名为gho的文件，使用户无法使用ghost软件恢复操作系统。“熊猫烧香”感染系统的.exe .com. f.src .html.asp文件，添加病毒网址，导致用户一打开这些网页文件，IE就会自动连接到指定的病毒网址中下载病毒。在硬盘各个分区下生成文件autorun.inf和setup.exe，可以通过U盘和移动硬盘等方式进行传播，并且利用Windows系统的自动播放功能来运行，搜索硬盘中的.exe可执行文件并感染，感染后的文件图标变成“熊猫烧香”图案。“熊猫烧香”还可以通过共享文件夹、用户简单密码等多种方式进行传播。该病毒会在中毒电脑中所有的网页文件尾部添加病毒代码。一些网站编辑人员的电脑如果被该病毒感染，上传网页到网站后，就会导致用户浏览这些网站时也被病毒感染。据悉，多家网站已经遭到此类攻击，而相继被植入病毒。由于这些网站的浏览量非常大，致使“熊猫烧香”病毒的感染范围非常广，中毒企业和政府机构已经超过千家，其中不乏金融、税务、能源等关系到国计民生的重要单位。注：江苏等地区成为“熊猫烧香”重灾区。

2006年12月，一种被称为“尼姆亚”新型病毒在互联网上大规模爆发。

2006年12月份—2007年1月30日，变种数已达90多个，个人用户感染熊猫烧香的已经高达几百万，企业用户感染数还在继续上升。^[3]

2007年1月7日，国家计算机病毒应急处理中心发出“熊猫烧香”的紧急预警。

2007年1月9日，湖北仙桃市公安局接报，该市“江汉热线”不幸感染“熊猫烧香”病毒而致网络瘫痪。

2007年1月31日下午，各路专家齐聚省公安厅，对“1·22”案进行“会诊”，同时成立联合工作专班。

2007年2月3日，回出租屋取东西准备潜逃的李俊被当场抓获。随后将其同伙雷磊抓获归案。^[4]

2007年9月24日，“熊猫烧香”计算机病毒制造者及主要传播者李俊等4人，被湖北省仙桃市人民法院以破坏计算机信息系统罪判处李俊有期徒刑四年、王磊有期徒刑二年六个月、张顺有期徒刑二年、雷磊有期徒刑一年，并判决李俊、王磊、张顺的违法所得予以追缴，上缴国库；被告人李俊有立功表现，依法可以从轻处罚。^[4]

2012年1月29日，金山毒霸反病毒中心称：“熊猫烧香”化身“金猪报喜”，危害指数再度升级。^[5]

2013年6月，据浙江省丽水市人民政府官方微博“丽水发布”提供的消息称，“熊猫烧香”病毒制造者张顺、李俊因设立“金元宝棋牌”网络赌场，非法敛财数百万元，已经被丽水市莲都区检察院批准逮捕。

熊猫烧香(3)本地磁盘感染

病毒对系统中所有除了盘符为A，B的磁盘类型为DRⅣE_REMOTE，DRⅣE_FⅨED的磁盘进行文件遍历感染

注：不感染文件大小超过10485760字节以上的

（病毒将不感染如下目录的文件）：

Microsoft Frontpage

Movie Maker

MSN Gamin Zone

Common Files

Windows NT

Recycled

System Volume Information

Documents and Settings

……

（病毒将不感染文件名如下的文件）：

setup.exe

病毒将使用两类感染方式应对不同后缀的文件名进行感染

1）二进制可执行文件（后缀名为：EXE,SCR,PIF,COM): 将感染目标文件和病毒溶合成一个文件（被感染文件贴在病毒文件尾部）完成感染.

2）脚本类（后缀名为：htm,html,asp,php,jsp,aspx): 在这些脚本文件尾加上如下链接（下边的页面存在安全漏洞）：

<iframe src=></iframe>

在感染时会删除这些磁盘上的后缀名为.GHO

生成文件

病毒建立一个计时器，以6秒为周期在磁盘的根目录下生成setup.exe（病毒本身）autorun.inf，并利用AutoRun Open关联使病毒在用户点击被感染磁盘时能被自动运行。

局域网传播

病毒生成随机个局域网传播线程实现如下的传播方式：

当病毒发现能成功联接攻击目标的139或445端口后，将使用内置的一个用户列表及密码字典进行联接（猜测被攻击端的密码）。当成功联接上以后将自己复制过去，并利用计划任务启动激活病毒。

修改操作系统的启动关联

下载文件启动

与杀毒软件对抗

金山分析：这是一个感染型的蠕虫病毒，它能感染系统中exe,com,pif,src,html,asp等文件，它还能中止大量的反病毒软件进程

1拷贝文件

病毒运行后，会把自己拷贝到

C:\WINDOWS\System32\Drivers\spoclsv.exe

2添加注册表自启动

病毒会添加自启动项

svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe

3病毒行为

a：每隔1秒

寻找桌面窗口，并关闭窗口标题中含有以下字符的程序

QQKav

QQAV

防火墙

进程

VirusScan

网镖

杀毒

毒霸

瑞星

江民

黄山IE

超级兔子

优化大师

木马克星

木马清道夫

QQ病毒

注册表编辑器

系统配置实用程序

卡巴斯基反病毒

Symantec AntiVirus

Duba

熊猫烧香esteem proces

绿鹰PC

密码防盗

噬菌体

木马辅助查找器

System Safety Monitor

Wrapped gift Killer

Winsock Expert

游戏木马检测大师

msctls_statusbar32

pjf(ustc)

IceSword

并使用的键盘映射的方法关闭安全软件IceSword

添加注册表使自己自启动

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe

并中止系统中以下的进程：

Mcshield.exe

VsTskMgr.exe

naPrdMgr.exe

UpdaterUI.exe

TBMon.exe

scan32.exe

Ravmond.exe

CCenter.exe

RavTask.exe

Rav.exe

Ravmon.exe

RavmonD.exe

RavStub.exe

熊猫烧香KVXP.kxp

kvMonXP.kxp

KVCenter.kxp

KVSrvXP.exe

KRegEx.exe

UIHost.exe

TrojDie.kxp

FrogAgent.exe

Logo1_.exe

Logo_1.exe

Rundl132.exe

b：每隔18秒

点击病毒作者指定的网页，并用命令行检查系统中是否存在共享

共享存在的话就运行net share命令关闭admin$共享

c：每隔10秒

下载病毒作者指定的文件，并用命令行检查系统中是否存在共享

共享存在的话就运行net share命令关闭admin$共享

d：每隔6秒

删除安全软件在注册表中的键值

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

RavTask

KvMonXP

kav

KAVPersonal50

McAfeeUpdaterUI

Network Associates Error Reporting Service

ShStartEXE

YLive.exe

yassistse

并修改以下值不显示隐藏文件

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

CheckedValue -> 0x00

删除以下服务：

navapsvc

wscsvc

KPfwSvc

SNDSrvc

ccProxy

ccEvtMgr

ccSetMgr

SPBBCSvc

Symantec Core LC

NPFMntor

MskService

FireSvc

e：感染文件

病毒会感染扩展名为exe,pif,com,src的文件，把自己附加到文件的头部

并在扩展名为htm,html,asp,php,jsp,aspx的文件中添加一网址，

用户一但打开了该文件，IE就会不断的在后台点击写入的网址，达到

增加点击量的目的，但病毒不会感染以下文件夹名中的文件：

熊猫烧香WINDOW

Winnt

System Volume Information

Recycled

Windows NT

WindowsUpdate

Windows Media Player

Outlook Express

Internet Explorer

NetMeeting

Common Files

ComPlusApplications

Messenger

InstallShield Installation Information

MSN

MicrosoftFrontpage

Movie Maker

MSN Gamin Zone

g：删除文件

病毒会删除扩展名为gho的文件，该文件是一系统备份工具GHOST的备份文件

使用户的系统备份文件丢失.

瑞星病毒分析报告：“Nimaya（熊猫烧香）”

这是一个传染型的DownLoad 使用Delphi编写

熊猫烧香【1】 立即检查本机administrator组成员口令，一定要放弃简单口令甚至空口令，安全的口令是字母数字特殊字符的组合，自己记得住，别让病毒猜到就行。

修改方法

右键单击我的电脑，选择管理，浏览到本地用户和组，在右边的窗格中，选择具备管理员权限的用户名，单击右键，选择设置密码，输入新密码就行。

【2】 利用组策略，关闭所有驱动器的自动播放功能。

步骤1

单击开始，运行，输入gpedit.msc，打开组策略编辑器，浏览到计算机配置，管理模板，系统，在右边的窗格中选择关闭自动播放，该配置缺省是未配置，在下拉框中选择所有驱动器，再选取已启用，确定后关闭。最后，在开始，运行中输入gpupdate，确定后，该策略就生效了。

【3】 修改文件夹选项，以查看不明文件的真实属性，避免无意双击骗子程序中毒。

步骤

打开资源管理器（按windows徽标键+E），点工具菜单下文件夹选项，再点查看，在高级设置中，选择查看所有文件，取消隐藏受保护的操作系统文件，取消隐藏文件扩展名。

【4】 时刻保持操作系统获得最新的安全更新，不要随意访问来源不明的网站，特别是微软的MS06-014漏洞，应立即打好该漏洞补丁。

同时，QQ、UC的漏洞也可以被该病毒利用，因此，用户应该去他们的官方网站打好最新补丁。此外，由于该病毒会利用IE浏览器的漏洞进行攻击，因此用户还应该给IE打好所有的补丁。如果必要的话，用户可以暂时换用Firefox、Opera等比较安全的浏览器。

【5】 启用Windows防火墙保护本地计算机。同时，局域网用户尽量避免创建可写的共享目录，已经创建共享目录的应立即停止共享。

此外，对于未感染的用户，病毒专家建议，不要登录不良网站，及时下载微软公布的最新补丁，来避免病毒利用漏洞袭击用户的电脑，同时上网时应采用“杀毒软件+防火墙”的立体防御体系。

计世网消息 在2007年新年出现的“PE_FUJACKS”就是让广大互联网用户闻之色变的“熊猫烧香”。该病毒的作者为“武汉男生”（文件末签名”WhBoy”），这个版本的病毒已经集成了PE_FUJA CK和QQ大盗的代码，通过网络共享，文件感染和移动存储设备传播，尤其是感染网页文件，并在网页文件写入自动更新的代码，一旦浏览该网页，就会感染更新后的变种。

不幸中招的用户都知道，“熊猫烧香”会占用局域网带宽，使得电脑变得缓慢，计算机会出现以下症状：熊猫烧香病毒会在网络共享文件夹中生成一个名为GameSetup.exe的病毒文件；结束某些应用程序以及防毒软件的进程，导致应用程序异常，或不能正常执行，或速度变慢；硬盘分区或者U盘不能访问使用；exe程序无法使用程序图标变成熊猫烧香图标；硬盘的根目录出现setup.exe auturun.INF文件 ；同时浏览器会莫名其妙地开启或关闭。

该病毒主要通过浏览恶意网站、网络共享、文件感染和移动存储设备（如U盘）等途径感染，其中网络共享和文件感染的风险系数较高，而通过Web和移动存储感染的风险相对较低。该病毒会自行启动安装，生成注册列表和病毒文件%System%\drivers\spoclsv.exe ，并在所有磁盘跟目录下生成病毒文件setup.exe，autorun.inf。

应用统一变为熊猫烧香的图标其实就是在注册表的HKEY_CLASSES_ROOT这个分支中写入了一个值，将所有的EXE文件图标指向一个图标文件，所以一般只要删除此值，改回原貌就可以了。

熊猫烧香中国破获的国内首例制作计算机病毒的大案

[2007年2月12日]湖北省公安厅12日宣布，根据统一部署，湖北网监在浙江、山东、广西、天津、广东、四川、江西、云南、新疆、河南等地公安机关的配合下，一举侦破了制作传播“熊猫烧香”病毒案，抓获病毒作者李俊（男，25岁，武汉新洲区人），他于2006年10月16日编写了“熊猫烧香”病毒并在网上广泛传播，并且还以自己出售和由他人代卖的方式，在网络上将该病毒销售给120余人，非法获利10万余元。

其他重要犯罪嫌疑人：雷磊（男，25岁，武汉新洲区人）、王磊（男，22岁，山东威海人）、叶培新（男，21岁，浙江温州人）、张顺（男，23岁，浙江丽水人）、王哲（男，24岁，湖北仙桃人）通过改写、传播“熊猫烧香”等病毒，构建“僵尸网络”，通过盗窃各种游戏账号等方式非法牟利。

这是中国近些年来，发生比较严重的一次蠕虫病毒发作。影响较多公司，造成较大的损失。且对于一些疏于防范的用户来说，该病毒导致较为严重的损失。

由于此病毒可以盗取用户名与密码，因此，带有明显的牟利目的。所以，作者才有可能将此病毒当作商品出售，与一般的病毒制作者只是自娱自乐、或显示威力、或炫耀技术有很大的不同。

另，制作者李俊在被捕后，在公安的监视下，又在编写解毒软件。

李俊，男，“熊猫烧香”病毒制作者。

熊猫烧香制作者

各位网友：

你们好！我是熊猫烧香的第一版作者。

我真的没有想到熊猫烧香在短短的两个月竟然疯狂感染到这个地步，真的是我的不对，或许真的是我低估了网络的力量，它的散播速度是我想不到的！对于所有中毒的网友，企业来说，可能是一个很大的打击，我对此表示深深的歉意！很对不起！

熊猫烧香制作者我要解释一些事情，有人说熊猫烧香更改熊猫的图标是我在诋毁大熊猫！这里我要解释下，这是绝对没有的事情，完全是出于这个图片比较让我个人喜欢，才会用的！

还有关于变种，我写这个的初衷也是这个，纯粹是为了编程研究，对于出了这么多变种，我是根本想不到的，这个责任也不全是在我的！还有人说熊猫病毒写出来是商业目的！这个完全是无稽之谈。我在这里承诺，本人是绝对没有更新过任何变种！

关于中毒后的一些错误，有人中毒后会有蓝屏，无声，卡死，文件丢失这些现象！蓝屏和死机的原因很多可能，熊猫的主程序是不会造成电脑死机或蓝屏的，更不会把别人里面的文件弄丢失！

还有人说我是个心理变态，我在前面已经说了，感染的速度，变种的数量是我所料想不到的。还有，我写这个病毒的初衷完全是为了编程研究。对于这个评论，我也就不多说什么了！

最后就是关于我的身份，大家不要再猜测我是谁了，15岁的武汉男生也好，是个女的也好，某公司老总也好，杀毒厂商也好，光是新闻的评论，网友的臭骂已经让我后悔至极了！希望熊猫病毒不要再成为炒作的娱乐新闻，不要再出任何关于熊猫新闻和评论！希望安全软件公司，不要吹嘘，相互诋毁，相互炒作，尽力做出让人们信赖的好安全软件！谢谢大家！
熊猫烧香

这是我写的一个专杀程序，肯定是比不上专业级的杀毒软件了，但是我想这是我最后能给大家做的事情了.

熊猫走了，是结束吗?不是的，网络永远没有安全的时候，或许在不久，会有很多更厉害的病毒出来！所以我在这里提醒大家，提高网络安全意识，并不是你应该注意的，而是你必须懂得和去做的一些事情！

再一次表示深深的歉意，同时我发出这个专杀，愿能给大家带来帮助！

熊猫烧香的作者

2007年2月9日于仙桃市第一看守所。

熊猫烧香对于这个在06年给人们带来黑色记忆的病毒，其成因只因为作者为了炫耀自己而产生，其借助U盘的传播方式也引领新的反病毒课题，但这一切都没有其LOGO的熊猫给人的印象深刻，熊猫拿着三根香虔诚的祈祷什么？这给很多人以遐想。所以最虔诚的病毒只能颁给举着香在祈祷的熊猫。

2007年9月24日，“熊猫烧香”案一审宣判，主犯李俊被判刑4年。庭审中，李俊的辩护律师王万雄出示了一份某网络公司发给李俊的邀请函，请他担任公司的技术总监。据悉，案发后已有不下10家网络大公司跟李俊联系，欲以100万年薪邀请其加入（见9月25日《长江商报》）。

“熊猫烧香”之父获刑5年 网络赌场涉案7600万

熊猫烧香

2014年1月8日，浙江省丽水市莲都区人民法院依法一审审结了曾因制造并传播“熊猫烧香”计算机病毒而引发社会关注的张顺和李俊伙同他人开设网络赌场案。张顺、李俊被法院以开设赌场罪分别判处有期徒刑五年和三年，并分别处罚金20万元和8万元。

经法院审理查明，2008年12月，张顺刑满释放后，与他人合伙成立浙江腾翔网络科技有限公司，靠开发出售棋牌类游戏软件盈利。2009年12月，张顺邀请刚刑满出狱的李俊加入该公司。该公司经营一段时间后，因开发的软件未能成功售出，张顺遂提出利用早前为销售游戏软件而设立的浙江盛行网络科技有限公司，经营棋牌游戏赌博平台。法院审理认为，被告人张顺、李俊伙同他人，以非法获利为目的，利用计算机在互联网上经营“金元宝”赌博棋牌网络游戏平台，其行为均已构成开设赌场罪，属情节严重。综合被告人的犯罪事实、认罪态度和悔罪表现等情况遂依法作出上述判决。^[6]