病毒名稱：Worm.WhBoy.h 病毒中文名：熊貓燒香(武漢男生) 病毒型別：蠕蟲 危險級別：★★★★★ 影響平臺：Win 9x/ME,Win 2000/NT,Win XP,Win 2003 專殺工具：金山專殺工具 安天專殺工具 江民專殺工具 安博士專殺工具 賽門鐵克專殺工具 病毒描述： “武漢男生”，俗稱“熊貓燒香”，這是一個感染型的蠕蟲病毒，它能感染系統中exe，com，pif，src，html，asp等檔案，它還能中止大量的反病毒軟體程序並且會刪除副檔名為gho的檔案，該檔案是一系統備份工具GHOST的備份檔案，使使用者的系統備份檔案丟失。被感染的使用者系統中所有.exe可執行檔案全部被改成熊貓舉著三根香的模樣。

1:複製檔案 病毒執行後,會把自己複製到C:\WINDOWS\System32\Drivers\spoclsv.exe

2:添加註冊表自啟動 病毒會新增自啟動項HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe

3:病毒行為 a:每隔1秒尋找桌面視窗,並關閉視窗標題中含有以下字元的程式： QQKav、QQAV、防火牆、程序、VirusScan、網鏢、防毒、毒霸、瑞星、江民、黃山IE、超級兔子、最佳化大師、木馬克星、木馬清道夫、QQ病毒、登錄檔編輯器、系統配置實用程式、卡巴斯基反病毒、Symantec AntiVirus、Duba、esteem proces、綠鷹PC、密碼防盜、噬菌體、木馬輔助查詢器、System Safety Monitor、Wrapped gift Killer、Winsock Expert、遊戲木馬檢測大師、msctls_statusbar32、pjf(ustc)、IceSword 並使用的鍵盤對映的方法關閉安全軟體IceSword 添加註冊表使自己自啟動 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe 並中止系統中以下的程序: Mcshield.exe、VsTskMgr.exe、naPrdMgr.exe、UpdaterUI.exe、TBMon.exe、scan32.exe、Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、RavmonD.exe、RavStub.exe、KVXP.kxp、kvMonXP.kxp、KVCenter.kxp、KVSrvXP.exe、KRegEx.exe、UIHost.exe、TrojDie.kxp、FrogAgent.exe、Logo1_.exe、Logo_1.exe、Rundl132.exe b:每隔18秒點選病毒作者指定的網頁,並用命令列檢查系統中是否存在共享，共存在的話就執行net share命令關閉admin$共享 c:每隔10秒下載病毒作者指定的檔案,並用命令列檢查系統中是否存在共享，共存在的話就執行net share命令關閉admin$共享 d:每隔6秒刪除安全軟體在登錄檔中的鍵值 並修改以下值不顯示隱藏檔案 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue -> 0x00 刪除以下服務: navapsvc、wscsvc、KPfwSvc、SNDSrvc、ccProxy、ccEvtMgr、ccSetMgr、SPBBCSvc、Symantec Core LC、NPFMntor MskService、FireSvc e:感染檔案 病毒會感染副檔名為exe,pif,com,src的檔案,把自己附加到檔案的頭部，並在副檔名為htm,html, asp,php,jsp,aspx的檔案中新增一網址，使用者一但打開了該檔案，IE就會不斷的在後臺點選寫入的網址，達到增加點選量的目的,但病毒不會感染以下資料夾名中的檔案： WINDOW、Winnt、System Volume Information、Recycled、Windows NT、WindowsUpdate、Windows Media Player、Outlook Express、Internet Explorer、NetMeeting、Common Files、ComPlus Applications、Messenger、InstallShield Installation Information、MSN、Microsoft Frontpage、Movie Maker、MSN Gamin Zone g:刪除檔案 病毒會刪除副檔名為gho的檔案，該檔案是一系統備份工具GHOST的備份檔案使使用者的系統備份檔案丟失。

其實是一種蠕蟲病毒的變種，而且是經過多次變種而來的。尼姆亞變種W(Worm.Nimaya.w)，由於中毒電腦的可執行檔案會出現“熊貓燒香”圖案，所以也被稱為“熊貓燒香”病毒。使用者電腦中毒後可能會出現藍色畫面、頻繁重啟以及系統硬碟中資料檔案被破壞等現象。同時，該病毒的某些變種可以透過區域網進行傳播，進而感染區域網內所有計算機系統，最終導致企業區域網癱瘓，無法正常使用，它能感染系統中exe，com，pif，src，html，asp等檔案，它還能中止大量的反病毒軟體程序並且會刪除副檔名為gho的檔案，該檔案是一系統備份工具GHOST的備份檔案，使使用者的系統備份檔案丟失。被感染的使用者系統中所有.exe可執行檔案全部被改成熊貓舉著三根香的模樣。除了透過網站帶毒感染使用者之外，此病毒還會在區域網中傳播，在極短時間之內就可以感染幾千臺計算機，嚴重時可以導致網路癱瘓。中毒電腦上會出現“熊貓燒香”圖案，所以也被稱為“熊貓燒香”病毒。中毒電腦會出現藍色畫面、頻繁重啟以及系統硬碟中資料檔案被破壞等現象。

病毒會刪除副檔名為gho的檔案，使使用者無法使用ghost軟體恢復作業系統。“熊貓燒香”感染系統的.exe .com. f.src .html.asp檔案，新增病毒網址，導致使用者一開啟這些網頁檔案，IE就會自動連線到指定的病毒網址中下載病毒。在硬碟各個分割槽下生成檔案autorun.inf和setup.exe，可以透過隨身碟和行動硬碟等方式進行傳播，並且利用Windows系統的自動播放功能來執行，搜尋硬碟中的.exe可執行檔案並感染，感染後的檔案圖示變成“熊貓燒香”圖案。“熊貓燒香”還可以透過共享資料夾、系統弱口令等多種方式進行傳播。該病毒會在中毒電腦中所有的網頁檔案尾部新增病毒程式碼。一些網站編輯人員的電腦如果被該病毒感染，上傳網頁到網站後，就會導致使用者瀏覽這些網站時也被病毒感染。據悉，多家著名網站已經遭到此類攻擊，而相繼被植入病毒。由於這些網站的瀏覽量非常大，致使“熊貓燒香”病毒的感染範圍非常廣，中毒企業和政府機構已經超過千家，其中不乏金融、稅務、能源等關係到國計民生的重要單位。注：江蘇等地區成為“熊貓燒香”重災區。