熊貓燒香防殺攻略

如果評選近期的網絡紅人，那么我們的“國寶”先生一定能入選。入選的原因不是“可愛”，而是“禍害”。

最近一段時間，熊貓燒香病毒泛濫成災，據不完全統計，國內感染熊貓燒香病毒的企業已超過千家，個人用戶更是不計其數。目前熊貓燒香病毒正處于一個急速變種期，從此11月份至今，變種數量已達400余種，而且新版本變種病毒防查殺的手段也越來越強(圖1)。

“熊貓燒香”可以對用戶系統進行破壞，導致大量應用軟件無法使用，同時還會關閉殺毒軟件進程，刪除殺毒軟件的注冊表項目，禁用殺毒軟件的服務，修改資源管理器不顯示隱藏文件等。它還會刪除擴展名為GHO的所有文件，造成用戶的系統備份文件丟失，從而無法進行系統恢復。更大的危害之處是，“熊貓燒香”不但能通過網絡自動更新，有的變種病毒還會在指定的網站下載后門、木馬、各種盜號程序。

“熊貓燒香”是我們對此病毒的一個直觀的通用叫法，它還有一些其他的名稱，如尼姆亞病毒、“武漢男生”變種等等。

最快速清除方法——專殺工具

“熊貓燒香”大規模發作以來，很多安全廠商或組織都發布了自己的專殺工具，但由于變種很多，專殺工具也難以保證完全清除。我們收集了一些專殺工具，做成專殺集合，下載地址是http://work.newhua.com/pcd。

如果碰到了“熊貓燒香”，大家可以從中選用，畢竟使用專殺工具是快速的應急方法(圖2)。專殺工具不光能殺毒，還能修復被病毒感染的文件。但有些“熊貓燒香”病毒會從網上下載很多其他的木馬病毒、惡意程序，專殺工具對這些病毒是無能為力的。所以清除完“熊貓燒香”之后，還要升級你的殺毒軟件，進行全盤掃描殺毒。

手工查殺指南

由于“熊貓燒香”還會有新的變種出現，對付這種破壞力極強的病毒，我們有必要了解手工查殺它的方法，以防不測。

本文手工查殺中所涉及的軟件都可以在http://work.newhua.com/pcd下載。

1．打造我們的武器

“熊貓燒香”可以殺掉很多殺毒工具，比如筆者之前屢試不爽的《360安全衛士》就已經被新的變種病毒列入黑名單了。它根據程序的窗口標題和進程名來自動關閉這些殺毒工具，只要我們把這些殺毒工具改名，就能防止它們被殺了。

在此我們要用到eXeScope軟件，用它打開要修改的程序，查找程序標題。在左邊的樹形目錄中選擇“資源”，一般程序標題都在“字符串”或者“對話框”里。展開字符串，會看到很多數字，一個個去找，一般很快就能找到標題項。比如《360安全衛士》的標題項就在第1個字符串中(圖3)。

把“奇虎360安全衛”改成其他名稱(例如“熊貓別燒香啦”)，這樣打開《360安全衛士》后，程序標題就變了，現在“熊貓燒香”也不認得它了(圖4)。任務管理器、系統實用配制程序和注冊表編輯器都可以修改，不過要注意，eXeScope并不適合修改所有的程序。

另外，“熊貓燒香”能自動中止一些殺毒工具的進程，也可以修改進程名。比如病毒能自動結束任務管理器的taskmgr.exe進程，那么就把它改名為taskmgr2007.exe。

筆者手工查殺時還要用到《360安全衛士》、Total Commander、Unlocker、《木馬劍客2007》等軟件，于是把它們改了標題和程序名后，放到開啟寫保護的干凈閃盤里使用。

2．殺除病毒進程

由于“熊貓燒香”具有自動恢復功能，所以首先必須關閉它的進程。打開《360安全衛士》，點擊“狀態”按鈕，再點擊“啟動項狀態”。“熊貓燒香”原版病毒只會生成一個和spoclsy.exe程序有關的啟動項，但變種病毒生成的啟動項就各不相同了，這都要根據經驗來判斷。如果實在判斷不準，可以把這些拿不準的啟動項通通刪除。 不過在刪除啟動項之前，先要結束病毒進程，否則不能成功。根據啟動項里的信息，可以知道那些可疑程序的名字和位置。點擊“系統進程狀態”(圖5)。在圖5中可以看到spoclsvexe.realschd.exe和ergaon.exe這3個病毒進程，將它們進程關閉即可。spoclsy.exe是熊貓燒香病毒的主程序，一般專殺工具都可以把它清除掉。

有的變種會在后臺偷偷地從網上下載病毒程序，如果你沒打開IE或者命令提示符窗口卻看到它們的進程名，就說明是病毒開啟的，趕緊把它們關閉。

3．刪除病毒文件

由于這些病毒都是隱藏文件，而病毒又破壞了系統顯示隱藏文件的功能，所以我用Total Commander查看病毒。將C:\\Windows\\system32目錄下的文件按時間排序后，可以看到有wpa.db1.odbc32.crc.ergaon.exe等8個文件比較可疑，它們的時間比較接近，而且都是日期最新的文件，將它們通通刪去。

在刪除過程中，可能發現有的文件無法刪除。這里要用到Unlocker，安裝好后，用鼠標右鍵單擊病毒程序，在右鍵菜單中選擇Unlocker選項(圖6)，就可以看到病毒程序與哪些系統進程捆綁了，然后選擇將它解鎖或刪除。

4．修復注冊表

“熊貓燒香”還會修改文件關聯。打開瑞星注冊表修復工具，它會自動找出被修改的項目，點擊工具欄上的修復按鈕開始修復。完成后再次搜索注冊表，如果又發現被修改的項目，說明還是有惡意程序沒有被清除，它們可能是病毒，也可能是流氓軟件，用《360安全衛士》都能搞定(圖7)。

熊貓燒香病毒破壞了系統顯示隱藏文件的功能，我們可以用《木馬劍客2007》來修復。打開木馬劍客，點擊“普通管理－系統修復”，然后點擊右下角的“執行修復”按鈕即可。

5．消滅殘余病毒

清理后，建議進行全盤殺毒，筆者用的是《木馬劍客2007》。“熊貓燒香”破壞了原有的殺毒軟件，殺毒后務必要將殺毒軟件進行修復性安裝或者重裝，然后升級到最新的病毒庫再進行全盤殺毒。另外，當消滅了電腦上的熊貓燒香病毒后，切莫忘記刪除閃盤或移動硬盤根目錄下的病毒文件。

預防“熊貓燒香”

1．注意閃盤的使用

“熊貓燒香”通過閃盤和網絡傳播，在使用閃盤時，切莫直接雙擊，而應該用鼠標右鍵點擊閃盤盤符，在右鍵菜單中選擇“打開”，這樣就不會運行閃盤上的病毒程序。另外把自己的閃盤接到別人的電腦上使用時，最好將閃盤的寫保護功能打開，這樣病毒程序就無法往閃盤里寫入病毒文件。

為了安全起見，最好關閉系統的自動運行功能。這可以通過修改組策略來實現，簡單一點的方法就是使用《超級巡警U盤病毒免疫器》這款軟件。運行后，勾選“所有本地驅動器”，將附加功能都勾選，再點擊“開始免疫”按鈕，以后雙擊打開盤符也不會運行Autorun類病毒了(圖8)。

2．用好安全軟件

由于殺毒軟件對很多木門程序的查殺能力有限，所以最好在電腦上安裝一款木馬監控軟件，配合殺毒軟件使用。安裝一款網絡防火墻也很有必要，比如天網，它們可以有效地保護電腦不被網絡中的其他病毒主機攻擊。

3．把Ghost鏡像文件改名

由于熊貓燒香病毒會刪除用戶電腦上的Ghost鏡像文件，讓用戶無法還原干凈的系統。建議把Ghost鏡像文件更改擴展名。Ghost鏡像文件的擴展名是GHO，把它改成GHH或者GOO之類的，病毒就不認識了。等要還原系統鏡像時，再把擴展改回來即可。另外也可以使用一些獨立于操作系統，也不占用硬盤使用空間的系統還原軟件，比如《三茗一鍵恢復》。

“熊貓燒香”給很多電腦用戶帶了巨大的損失，有的網吧經營者設置因此損失數十萬元。目前，有一些熱心的網友正在追蹤此病毒，希望能將其作者找出來，他一定會遭到大家的譴責。

本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀