近期校园网中大量的出现了“熊猫烧香”病毒及其新变种，现将这种病毒的特征和感染现象作出分析，供大家参考。

一．感染现象及传播途径

“熊猫烧香”及其变种是通过局域网内的网络共享来感染终端计算机的蠕虫病毒，主要感染的目标系统为 windows 2000 和 XP 。病毒会在系统的所以盘符或最后一个盘符下生成一个熊猫烧香或常见可执行文件的图标（如杀毒软件等） , 文件名为 gamesetup.exe 的可执行文件来诱导用户点击执行 , 释放后继而感染 word 、 execl 等后缀名为 .exe 的文件，使用户无法正常应用工作软件。该病毒修改文件夹属性使“显示所有隐藏文件” 和“显示受保护的系统文件选项”失效。

二．病毒特点

1 、病毒感染终端后将自身复制到 Windows 文件夹下 , 文件名为：

%SystemRoot%\autorun.inf 并将其属性改为隐藏

2 、病毒感染终端后，病毒将病毒体复制到为以下文件：

%SystemRoot%\setup.exe 并将其属性改为隐藏

3 、病毒在每个分区下生成 gamesetup.exe 文件 , 并在 C:\Documents and Settings\Administrator\Local Settings\Temp 下加载 zt.exe 和 w1.exe 或 ztw1.exe 等文件

4 、病毒会在 c ： \winnt\system32\drivers\ 文件夹下生成 spoclv.exe 文件。

5 、病毒通过添加如下注册表项实现病毒开机自动运行 :

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "load"="C:\\WINNT\\zt.exe" 或 w1.ext ””

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows] "load"="C:\\WINNT\\rundl132.exe"

7 、枚举以下杀毒软件进程名，查找到后终止其进程：

Ravmon.exe 、 Eghost.exe 、 Mailmon.exe 、 KAVPFW.EXE 、 IPARMOR.EXE 、 Ravmond.exe 、 KV 、 Mcshield.exe

8 、同时病毒尝试利用以下命令终止相关杀病毒软件并删除服务：

net stop "Kingsoft AntiVirus Service"

net stop "Ravservice"

9 、发送 arp 探测数据，判断网络状态，网络可用时，枚举内网所有共享主机，并使用自带的口令库猜测破解\\IPC$、 \admin$ 等共享目录，连接成功后进行网络感染。

三．如何解决

1. 解决方法

由于目前还没有杀毒软件对其作出反应，故在此给出手动查杀方法

1 〉断开终端计算机与网络的连接

2 〉重新启动计算机 , 在启动时按” F 8 ” 键，在列出的选项中选择“安全模式” ，进入安全模式

3 〉在安全模式下，点击右键打开 c 盘，右键打开 winnt 目录，在目录的最后部分找到 w1 、 zt 等病毒文件并删除

4 〉点击“开始”—“运行”，输入： regedit 确定，打开注册表。依次展开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run在右边的窗口内查看是否有 w1.exe 或 zt.exe 等键值，如有则删除

展开 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run在右边的窗口内查看是否有 w1.exe 或 zt.exe 等键值，如有则删除

5 〉点击“开始” —〉“搜索”—〉“文件或文件夹”，搜索 gamesetup.exe 、 w1.exe 、 spoclv.exe和 zt.exe 等文件，找到后删除

6 〉重新启动计算机，重新安装杀毒软件并升级到最新版本进行杀毒；修复被破坏的 word 、 excel 等文件。

7. 如何减少计算机感染病毒的几率

1 ）及时升级杀毒软件；

2 ）利用杀毒软件所带的漏扫工具更新系统补丁；

3 ）关闭系统默认的共享连接；

4 ）不要使用空口令、若口令，如 12345678 、 111111 、 123 、 admin 、 administrator 等；

5 ）重要文件不要存放到系统盘下，将存放在系统盘下的文件注意备份。