熊猫烧香现形记

最近，“尼姆亚（也称熊猫烧香）”病毒正在以几十种变种在互联网上肆意扫荡，人人谈之色变。无论国外还是国内的杀毒软件都只是杀死熊猫烧香的一个或几个变种，都无法让用户可以有效防范它的源头——服务端。

无论熊猫烧香的变种有多少，其源头数量是有限的，只要直接捣毁它的老巢，来个釜底抽薪，彻底现形，那它的杀伤力行将荡然无存。目前，由安全110工作室推出的中国第一款针对网游保护的安全专家——网游保镖，已经找到熊猫烧香服务器的URL和IP，并对其实现了彻底封杀。

下面笔者先带着大家简单分析一个时下最为盛行的一版专盗网游帐号和装备的熊猫烧香是如何入侵到用户电脑中。笔者电脑中已有GameSetup.exe或者spo0lsv.exe的exe，它们已被捆绑到一些游戏插件中，此时只要运行这两个EXE的其中之一，如果没有安装网游保镖，那就会出现大家最为熟悉的图标：

很庆幸笔者电脑中已经装有网游保镖，它的监控程序告诉我有个程序要访问网络，无奈由于当时熊猫病毒还没开始大爆发，我也就稀里糊涂的允许它通过了。

谁知允许过后，发现任务管理器的资源被一个程序疯狂的占用，从网游保镖日志栏目来看，Web日志和IP日志栏目中有个sppoolsv.exe（熊猫烧香木马释放出来的一个文件）程序疯狂的访问网络，同时还查找并感染其他局域网机器，下方为网游保镖熊猫烧香木马访问IP的日志截图：

大家从中可以看出，Sppoolsv.exe木马程序访问的172.16.*.*的机器全部是局域网，在这个截图中， 202.108.9.39， 61.135.179.147和69.147.114.210是其他外网地址， 这些外网地址是其他网站地址，并不是木马，目前尚不清楚该木马为什么还要访问www.google.cn, www.tom.com, www.163.com等等一些大的网站，难道是在众多URL中伪装自己在混杂中保护它的真正老巢吗，不知道，我们再看看网游保镖的Web日志：

大家注意看Web日志里的这几个文件，它们都是熊猫烧香木马下载用来真正捣乱的坏家伙，我在任务管理器里可以看到全被运行起来，并拷贝至系统目录或临时目录里。

http://www.feifeicqq.com/hackicq/icq.txt
http://www.feifeicqq.com/nur/gf02/asp/deverticp.exe
http://www.feifeicqq.com/nur/mh/main.exe
http://www.feifeicqq.com/nur/zt/zain.exe
http://www.feifeicqq.com/nur/jh/jain.exe
http://www.feifeicqq.com/nur/moyo/zmyn.exe
http://www.feifeicqq.com/gmm/gmm.exe
http://www.feifeicqq.com/hot/cs.exe
http://www.feifeicqq.com/hot/dewa.exe
http://www.feifeicqq.com/hot/hgz.exe

在电脑中以下路径Local SettingsApplication DataBanMaOGGlogs就可以看到以上URL的IP地址是221.231.140.227。在Web日志里的后几页里还有一个URLhttp://www.541792.com，它更有意思，居然模仿百度，如果打开这个URL就是百度首页，看来这个熊猫烧香十分想伪装自己，并伺机下载木马病毒文件。

注：http://www.541792.com/01/2.exe该URL的IP地址是60.169.1.178，并非百度。

在熊猫烧香木马访问的众多URL中确实很难留意哪些是它真正老巢URL，难道它频繁访问www.sohu.com, www.sina.com.cn, www.google.cn，www.163.com就是为了把自己宿主URL放在众多用户电脑中吗？这就如同一个坏蛋钻到人群中，警察很难把他揪出来一样，笔者认为这个木马作者应该是可以拥有如此变态想法的人。

现在笔者就带着大家来揭开熊猫烧香这个木马老巢的面纱，如果你是传奇网游的用户，保准你和笔者一样吓一跳。打开 http://www.feifeicqq.com/zb.html ，看到了什么呢，这是一个专盗游戏装备，然后贩卖的团伙，一帮土匪呀，竟然在URL中还敢用HackICQ，大家知道 Hacker ICQ的意思吧，真是一嚣张的黑客。看看，一把传奇“开天剑”竟然卖到200元人民币，够黑的。不过有句俗语说得好“再狡猾的狐狸，也难逃猎人的眼睛”。

网游保镖就是这个猎人，大家可以通过简单的手动方式把熊猫烧香的URL和IP加入到网游保镖的黑名单中，阻止下载这些关键程序，即可彻底封杀这个变态木马病毒——熊猫烧香，就是这么简单，但是防范效果可以大大的。

附上熊猫烧香URL和IP：

http://www.feifeicqq.com/hackicq/icq.txt
http://www.feifeicqq.com/nur/gf02/asp/deverticp.exe
http://www.feifeicqq.com/nur/mh/main.exe
http://www.feifeicqq.com/nur/zt/zain.exe
http://www.feifeicqq.com/nur/jh/jain.exe
http://www.feifeicqq.com/nur/moyo/zmyn.exe
http://www.feifeicqq.com/gmm/gmm.exe
http://www.feifeicqq.com/hot/cs.exe
http://www.feifeicqq.com/hot/dewa.exe
http://www.feifeicqq.com/hot/hgz.exe
http://www.541792.com/01/2.exe

IP:
221.231.140.227
60.169.1.178

好了，熊猫烧香现形记就写到这儿，笔者个人认为无论哪种病毒，防范的意义会大于杀毒，因为这样可以让自己的损失减小到最少，大家觉得呢？

网游保镖介绍：

网游保镖，网游专用的安全软件，由安全110工作室的资深专家研发而成，它是一款专门为网游玩家度身设计的简单实用的安全防护产品。它通过对不安全的网络访问服务的过滤、木马缉杀等功能，保证用户计算机的网络安全，免受黑客攻击，远离盗号烦恼，为网游玩家保驾护航。

下载地址：http://www.aq110.com/

网游保镖可以实现，
1.简单易用
2.占用系统资源极少
3.具有安全可靠的木马缉杀功能
4.拦截数千条病毒、木马、广告和流氓软件

（郑志壮）