国家计算机病毒应急处理中心通过对互联网的监测发现，一伪装成“熊猫烧香”图案的蠕虫正在互联网上进行传播，已有数百万个人计算机用户和企业局域网遭受感染。该蠕虫感染计算机系统后，可使系统中所有.exe文件都变成了一种奇怪的图案，该图案显示为“熊猫烧香”，同时受感染的计算机系统会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。变种可以通过局域网进行传播，进而感染局域网内所有计算机系统，最终导致整个局域网瘫痪，无法正常使用。

    该蠕虫先后出现很多变种，再出现后的短时期内迅速传播，遭受感染的用户难于彻底清除，给其工作带来诸多不便。
蠕虫情况分析如下：

    病毒名称：Worm_Viking
    中 文 名：“熊猫烧香”
    其他名称：Worm/Viking（江民）
             　Worm.WhBoy.h （金山）
　　　　　　　 PE_FUJACKS （趋势）
               Worm.Nimaya （瑞星）
               W32/Fujacks （McAfee）
    病毒类型：蠕虫
    感染系统：Windows 9X/ Windows ME/ Windows NT/ Windows 2000/
               Windows XP/ Windows 2003

    病毒特性：

        蠕虫“熊猫烧香”是一个由 Delphi 工具编写的蠕虫，它会感染计算机系统
    中后缀名为exe、com、pif、src、html、asp等文件,它还会终止一些计算机系统
    中安装的防病毒软件和防火墙的进程。

        1、生成病毒文件

        蠕虫运行后在%System%目录下生成文件spoclsv.exe，并且在每个文件夹下
    面生成 desktop_.ini 文件，里面标记着病毒发作日期。蠕虫还会在硬盘各个分
    区下面生成autorun.inf 文件和 setup.exe 文件。（其中，%System%为系统文
    件夹，在默认情况下，Windows 95/98/Me中为 C:\Windows\System、
    Windows NT/2000中为C:\Winnt\System32、WindowsXP中C:\Windows\System32）

        2、 修改注册表项

        蠕虫添加注册表项，使得自身能够在系统启动时自动运行，在
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 下添加
    "svcshare" = %System%\drivers\spoclsv.exe（其中，%System%在Windows 
    95/98/Me 下为C:\Windows\System，在Windows NT/2000下为C:\Winnt\System32
    ，在Windows XP下为 C:\Windows\System32）

        3、感染系统中文件

        该蠕虫是一个复合型病毒，不但具有蠕虫的特性，还可以感染可执行文件。
    它会搜索硬盘中的EXE文件并且感染，感染后的文件图标变成“熊猫烧香”的图
    案。蠕虫感染计算机系统中文件扩展名为exe、pif、com、src等文件,把自己附
    加到这些文件的头部。另外，蠕虫还会感染计算机系统中文件扩展名为htm、
    html、asp、php、jsp、aspx等文件，在其中添加进蠕虫的恶意代码（蠕虫下载
    的链接网页地址）。计算机用户一但浏览这些受到感染的网页,计算机系统的IE
    浏览器就会自动链接到指定的服务器网址下载蠕虫并运行，进而进一步传播和扩
    散。

        4、 传播途径

        该蠕虫具有多种传播途径，可以通过U盘和移动硬盘进行传播，并且利用
    Windows 系统的自动播放功能来运行，并且可以通过共享文件夹、系统弱口令等
    多种方式进行传播。

        5、删除文件

        蠕虫会删除计算机系统中文件扩展名为.gho（一种备份硬盘数据的扩展名）
    的文件，使计算机用户的系统备份文件丢失，无法使用GHOST软件（备份工具）
    恢复操作系统。

        6、其他

        近来很多网站、论坛均被植入蠕虫“熊猫烧香”，就是由于网站的程序文件
    被“熊猫烧香”病毒感染所致。蠕虫会在受感染的计算机系统中所有网页文件
    （后缀名为.html）尾部添加病毒代码，如果一些网站编辑人员的计算机系统被
    该蠕虫感染，没有及时进行查杀处理，一旦把带有该病毒代码的网页文件上传到
    网站上，就会导致浏览这些网站的计算机用户被蠕虫感染。

   解决方法：

        1、对没有遭受感染的计算机用户，应该及时升级系统中的防病毒软件，同
    时打开防病毒软件的“实时监控”功能。

        2、对已经感染变种的计算机用户，建议尽快下载专杀工具进行查杀修复工
    作。

        专杀工具下载链接地址：

   http://download.jiangmin.info/jmsoft/vikingkiller.exe （江民公司）

   http://tool.duba.net/zhuansha/253.shtml （金山公司）

   http://it.rising.com.cn/Channels/Service/2006-11/1163505486d38734.shtml
  （瑞星公司）
   http://www.trendmicro.com/ftp/products/tsc/sysclean.com （趋势公司）

   安全建议：

        1、局域网的计算机用户尽量避免创建可写的共享目录，已经创建共享目 录
　　　的应立即停止共享。

        2、如无必要，Windows 2000/XP用户应尽量关闭IPC$共享，并给具有管理员 　　　　　　　　　
　　　权限的帐号设置复杂的密码。

　　　　3、及时安装微软的安全更新，不要随意访问来源不明的网站。

　　　　4、计算机系统安装防病毒软件，并及时升级病毒定义库

　　　　5、计算机用户使用U盘等移动设备交换文件时，务必开启杀毒软件的“实时
　　　监控”功能，或先用防病毒软件扫描，并关闭自动播放功能。