“熊貓燒香”瘋狂發作
2007年1月15日上午，中關村數碼大廈32 層，江民科技反病毒中心。
最近一段時間，江民科技的幾部反病毒熱線始終沒有停下來過，有很多用戶打電話詢問同一種病毒的查殺方法，這種病毒有一個最顯著的特點－中毒電腦的可執行程序圖標都會變成一只熊貓舉著三炷香的樣子，也就是最近正在互聯網大范圍流竄的蠕蟲病毒－“熊貓燒香” 。此病毒最早現身于2006年10月，最近正處于急速變種期，再加上這個病毒利用多種漏洞和途徑大肆傳播，因此中毒用戶也急速增加。對于用戶打來的每一個電話，江民科技的工程師都會詳細耐心的給出解決方案，指導用戶如何徹底查殺此病毒。
“鈴，鈴，鈴。。。。。。” 剛剛放下的電話又響了起來，江民科技的工程師立即接取電話詢問：“你好！這里是江民科技，請問有什么需要服務的嗎？”
“啊！你好！是江民公司吧？我這邊中毒了！網都癱瘓了，你們快來幫幫我吧！”對方的聲音顯得很焦急。
“您先別著急，請說一下你那邊的情況，有什么異常的現象嗎？”江民科技的工程師耐心的詢問著。
“是這樣，今天一早上，我就發現我們服務器的文件都不能運行了，圖標都變成一個熊貓的樣子，接著網速就很慢，現在基本上局域網都癱瘓了！”
“哦，那你們中的可能是最近流行的‘熊貓燒香’蠕蟲病毒，請問你們用的是那款殺毒軟件和病毒庫的日期？”江民科技的工程師進一步了解用戶的情況。
“哎呀！我們公司剛剛組建完網絡，還沒裝殺毒軟件呢！這不就中了嘛！你們能派工程師來我們這里處理一下嗎？十分感謝！”
“哦，那好，請您留下聯系方式，我們會立即派人去部署一下殺毒軟件，徹底清除您們網絡中的病毒。” 江民科技的工程師記下了對方的地址，立即啟程，又一次的展開了緊迫的反病毒任務。
全網盡燒熊貓香 
江民科技的工程師立刻就趕到用戶那里，在一臺服務器上發現里面的工具軟件都已經被“熊貓燒香”
蠕蟲病毒感染了，如圖1：

 圖1 被“熊貓燒香”病毒感染之后的文件

在進程中出現一個名為 spoclsv.exe 的可疑進程，如圖2： 

 圖2.jpg  “熊貓燒香”病毒進程

在注冊表中，有一個名為svcshare 的可疑啟動項，如圖3：

圖3 “熊貓燒香”病毒啟動項

此外，還在硬盤跟目錄下面發現了兩個隱藏屬性的可疑文件：

圖4  “熊貓燒香”病毒還可以通過U盤傳播

顯然，這樣當用戶雙點打開E盤時，病毒文件就會激活運行。
還有，在一些文件夾里面出現了名為Desktop_.ini 的文件，里面有一個時間戳：如2007-1-15，這是標記著病毒的發作日期。如圖5

圖5

從這些跡象可以看出，用戶中的是典型的“熊貓燒香”蠕蟲病毒，此時用戶也在旁邊詢問：“怎么辦？請幫忙一定把病毒殺干凈！”江民科技的工程師堅定地回答說：“請放心！你的電腦是由于沒有裝殺毒軟件，這才給病毒留下空隙的，我現在給你安裝一套KV 殺毒軟件，很容易就能將病毒殺干凈！而且你這里是一個局域網環境，就部署一下KV網絡版吧！”
于是江民科技的工程師采用KV殺毒軟件網絡版獨有的WEB方式安裝，不出一小會，幾十個節點的網絡版殺毒軟件便部署完畢，并且在進行了全網病毒庫統一升級之后，下達了全網同時殺毒指令，如圖6，立刻，這臺服務器的病毒就徹底清除完畢了，如圖7：

圖6  KV網絡版主控中心
  
圖7  KV網絡版客戶端殺毒界面

殺毒之后，文件被很好的還原，病毒被徹底的清除。如圖8

圖8  KV殺毒之后，文件被還原

看見文件被還原，“熊貓”不見了，這位用戶終于放下心來，接著江民科技的工程師說：“對于‘熊貓燒香’這樣的惡性蠕重，我們江民科技在第一時間就發布了免費專殺工具，http://download.jiangmin.info/jmsoft/VikingKiller.exe ，可以隨時下載使用，可以很好的清除被熊貓燒香病毒感染的文件。”如圖9

圖9  江民科技“熊貓燒香”病毒專殺工具

殺毒防毒選KV  安全建議很重要
接著江民科技的工程師說：你看，你們的服務器連密碼都沒有設置，補丁也沒有打上，這樣的電腦是很容易感染病毒的，出次之外，還應該注意以下幾點：

1，局域網用戶盡量避免創建可寫的共享目錄，已經創建共享目錄的應立即停止共享。
2，如無必要，Windows 2000/XP用戶應盡量關閉IPC$共享，并給具有管理員權限的帳號設置強健的密碼。
3，及時安裝微軟的安全更新，不要隨意訪問來源不明的網站。特別是微軟的MS06-014漏洞，應立即打好該漏洞補丁。
補丁下載地址：http://www.microsoft.com/china/technet/security/bulletin/ms06-014.mspx
4, 安裝殺毒軟件，并及時升級病毒庫
5, QQ用戶請下載安裝最新版本的QQ軟件，已發現多起惡意網站利用QQ漏洞傳播熊貓蠕蟲的現象。
6, 使用U盤等移動設備交換文件時，要開啟殺毒軟件的實時監控，或先用殺毒軟件掃描，并關閉自動播放功能。

另外，多瀏覽江民科技反病毒資訊http://www.jiangmin.com，上面的文章也是一個很好的參考。

就這樣，一場沒有硝煙的反病毒之戰就結束了，這僅僅是江民科技眾多反病毒案例中的一個縮影，江民科技用著一個個先進的反病毒解決方案，捍衛著網絡安全的長城，正印證了一句話：網絡安全，選擇江民。