熊猫烧香病毒 （1）病毒描述 “武汉男生”，俗称“熊猫烧香”，这是一个感染型的蠕虫病毒，病毒进程为“spoclsv.exe”。它能感染系统中exe，com，pif，src，html，asp等文件，它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件，（.gho为GHOST的备份文件），使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。“熊猫烧香”发作时的表现见图3-7。 图3-7 “熊猫烧香”病毒发作时的表现示例 （2）病毒详细行为 复制自身到系统目录下： %System%\drivers\spoclsv.exe； 创建启动项： [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]"svcshare"="%System%\drivers\spoclsv.exe"； 在各分区根目录生成病毒副本：X:\setup.exe、X:\autorun.inf； 使用net share命令关闭管理共享： cmd.exe /c net share X$ /del /ycmd.exe /c net share admin$ /del /y 修改“显示所有文件和文件夹”设置： [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]"CheckedValue"=dword:00000000 病毒尝试关闭安全软件相关窗口； 尝试结束安全软件相关进程以及Viking病毒（威金病毒）进程； 禁用安全软件相关服务； 删除安全软件相关启动项； 遍历目录修改htm/html/asp/php/jsp/aspx等网页文件，在这些文件尾部追加信息： 在访问过的目录下生成Desktop_.ini文件，内容为当前日期； 此外，病毒还会尝试删除GHO文件，尝试使用弱密码将副本以GameSetup.exe的文件名复制到局域网内其他计算机中。 病毒文件内含有这些信息： whboy ***武*汉*男*生*感*染*下*载*者*** （3）解决方案 结束病毒进程%System%\drivers\spoclsv.exe，查看当前运行spoclsv.exe的路径，可使用超级兔子魔法设置。 删除病毒文件%System%\drivers\spoclsv.exe 删除病毒启动项： [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]"svcshare"="%System%\drivers\spoclsv.exe" 通过分区盘符右键菜单中的“打开”进入分区根目录，删除根目录下的病毒文件：X:\setup.exe、X:\autorun.inf 恢复被修改的“显示所有文件和文件夹”设置： [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]"CheckedValue"=dword:00000001 修复或重新安装被破坏的安全软件。 修复被感染的程序。可用专杀工具进行修复，如金山熊猫烧香病毒专杀工具、安天熊猫烧香病毒专杀工具、江民熊猫烧香病毒专杀工具和瑞星熊猫烧香病毒专杀工具等。 恢复被修改的网页文件，可以使用某些编辑网页的工具替换被添加文字为空。机器上有htm/html/asp/php/jsp/aspx等网页文件，一定要删除此段代码。有危险代码的网页一旦发布到网页可能会感染其他用户。