近期校园网内，发现多起Nimaya（熊猫烧香）病毒传播，该病毒除对感染病毒的计算机造成危害外，还在子网内大量乱发数据包，影响网络速度，网络时通时断，影响整个子网用户正常使用。该病毒症状、特点、解决方法见附件《Nimaya（熊猫烧香）病毒特点及解决方法》。

Nimaya（熊猫烧香）病毒特点及解决方法

近期校园网中大量的出现了“熊猫烧香”病毒及其新变种，现将新变种的特征和感染现象作出分析，供大家在工作中参考。

一．感染现象及传播途径

“熊猫烧香”及其变种是通过局域网内的网络共享来感染终端计算机的蠕虫病毒，主要感染的目标系统为windows 2000 和XP。

病毒会在系统的所以盘符或最后一个盘符下生成一个熊猫烧香或常见可执行文件的图标（如杀毒软件等）,文件名为setup.exe/gamesetup.exe/autorun.exe等的可执行文件来诱导用户点击执行,释放后继而感染word、execl等后缀名为.exe的文件，使用户无法正常应用工作软件。

该病毒修改文件夹属性使“显示所有隐藏文件” 和“显示受保护的系统文件选项”失效。

二．病毒特点

1、病毒感染终端后将自身复制到Windows文件夹下,文件名为：

%SystemRoot%\autorun.inf 并将其属性改为隐藏

2、病毒感染终端后，病毒将病毒体复制到为以下文件：

%SystemRoot%\setup.exe并将其属性改为隐藏

3、病毒在每个分区下生成gamesetup.exe/set.exe/autorun.exe文件,并在C:\Documents and Settings\Administrator\Local Settings\Temp下加载zt.exe和w1.exe或ztw1.exe等文件

4、病毒会在c：\winnt\system32\drivers\文件夹下生成spoclv.exe文件。

5、病毒通过添加如下注册表项实现病毒开机自动运行:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "load"="C:\\WINNT\\zt.exe"或w1.ext””

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows] "load"="C:\\WINNT\\rundl132.exe"

7、枚举以下杀毒软件进程名，查找到后终止其进程：

Ravmon.exe、Eghost.exe、Mailmon.exe、KAVPFW.EXE、IPARMOR.EXE、Ravmond.exe、 KV、 Mcshield.exe

8、同时病毒尝试利用以下命令终止相关杀病毒软件并删除服务：

net stop "Kingsoft AntiVirus Service"

net stop “Ravservice”

9、发送arp探测数据，判断网络状态，网络可用时，枚举内网所有共享主机，并使用自带的口令库猜测破解\\IPC$、\admin$等共享目录，连接成功后进行网络感染。

三．如何解决

1. 解决方法

由于目前还没有杀毒软件对其作出反应，故在此给出手动查杀方法

1〉断开终端计算机与网络的连接

2〉重新启动计算机,在启动时按”F8”键，在列出的选项中选择“安全模式” ，进入安全模式.

3〉在安全模式下，点击右键打开c盘，右键打开winnt目录，在目录的最后部分找到w1、zt等病毒文件并删除。

4〉点击“开始”?“运行”，输入：regedit 确定，打开注册表。依次展开

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

在右边的窗口内查看是否有w1.exe或zt.exe等键值，如有则删除

展开HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

在右边的窗口内查看是否有w1.exe或zt.exe等键值，如有则删除

5〉点击“开始” ?〉“搜索”?〉“文件或文件夹”，搜索gamesetup.exe、w1.exe、spoclv.exe

和zt.exe等文件，找到后删除

6〉重新启动计算机，重新安装杀毒软件并升级到最新版本进行杀毒；修复被破坏的word、excel等文件。

7. 如何减少计算机感染病毒的几率

1）及时升级杀毒软件；

2）利用杀毒软件所带的漏扫工具更新系统补丁；

3）关闭系统默认的共享连接；

4）不要使用空口令、若口令，如12345678、111111、123、admin、administrator等；

5）重要文件不要存放到系统盘下，将存放在系统盘下的文件注意备份。