熊猫烧香病毒剖析

关于熊猫烧香事件的讲述商学系08级市场营销2班 240894226 林婷熊猫烧香是一种经过多次变种的蠕虫病毒变种，2006年10月16日由25岁的中国湖北武汉新洲区人李俊编写，2007年1月初肆虐网络，它主要通过下载的档案传染。

对计算机程序、系统破坏严重。

一、中毒症状除了通过网站带毒感染用户之外，此病毒还会在局域网中传播，在极短时间之内就可以感染几千台计算机，严重时可以导致网络瘫痪。

中毒电脑上会出现“熊猫烧香”图案，所以也被称为“熊猫烧香”病毒。

中毒电脑会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。

二、病毒危害病毒会删除扩展名为gho的文件，使用户无法使用ghost软件恢复操作系统。

“熊猫烧香”感染系统的.exe .com. f.src .html.asp文件，添加病毒网址，导致用户一打开这些网页文件，IE就会自动连接到指定的病毒网址中下载病毒。

在硬盘各个分区下生成文件autorun.inf和setup.exe，可以通过U盘和移动硬盘等方式进行传播，并且利用Windows系统的自动播放功能来运行，搜索硬盘中的.exe可执行文件并感染，感染后的文件图标变成“熊猫烧香”图案。

“熊猫烧香”还可以通过共享文件夹、系统弱口令等多种方式进行传播。

该病毒会在中毒电脑中所有的网页文件尾部添加病毒代码。

一些网站编辑人员的电脑如果被该病毒感染，上传网页到网站后，就会导致用户浏览这些网站时也被病毒感染。

据悉，多家著名网站已经遭到此类攻击，而相继被植入病毒。

由于这些网站的浏览量非常大，致使“熊猫烧香”病毒的感染范围非常广，中毒企业和政府机构已经超过千家，其中不乏金融、税务、能源等关系到国计民生的重要单位。

注：江苏等地区成为“熊猫烧香”重灾区。

三、病毒特征1、这个病毒关闭众多杀毒软件和安全工具2、循环遍历磁盘目录，感染文件，对关键系统文件跳过3、感染所有EXE、SCR、PIF、COM文件,并更改图标为烧香熊猫4、感染所有.htm/.html/.asp/.php/.jsp/.aspx文件，添加木马恶意代码5、自动删除*.gho文件四、传播方法“熊猫烧香”还可以通过共享文件夹、系统弱口令等多种方式进行传播。

【工具】:Olydbg1.1、IDA5.0【任务】:病毒分析以及解决方案【操作平台】:Windows2003server【作者】:LoveBoom[DFCG][FCG][CUG]【链接】:N/A【简要说明】:"离开党和人民一年"、荒废了一年，2006年可所谓沉迷于游戏从帝国到星际，总是追求着自己所谓的目标，而今回头看却发现不但没有达到自己的目标，反而是离生活越走越远了。

现在动手写写也觉得自己穷词:­(。

2006过了，不想自己的2007也是这样碌碌无为的过着。

关于这个病毒，我想很多朋友都知道，这个病毒在2007年初闹的比较凶，很多朋友曾经中过这病毒。

这次我给大家带来的文章就是讲讲这个病毒。

看看这病毒到底是怎么回事，我们应该怎么去处理这病毒。

【病毒分析】:概要:这病毒我最早在10月底时接触，那时这病毒并没有现在这样流行(也许是病毒刚出来吧)。

曾经几个月的发展，前几天从同事那拿了几个新变种看了会，发现病毒和早期的版本相差比较大。

根据病毒的差异，我自己将病毒分为:ABCD4个变种。

各变种的不同处如下:A病毒将自身复制为%System32%\FuckJacks.exe,然后感染除特殊文件夹之外的文件夹中的可执行文件。

B病毒将自身复制为%System32%\Drivers\spoclsv.exe,感染时在c盘根目录下生成感染标记文件。

C病毒不再感染用户系统中的可执行文件，而是感染用户系统中的脚本病毒(这样的危害更大);在每个感染后的文件夹中写下感染标记文件。

D感染用户可执行文件时不再使用A和B版本中的直接捆绑感染。

用户中毒后可执行程序的图标不改变(a和b版本感染后可执行文件的图标都变成熊猫烧香)。

今天我分析的就是C版本(下次有空我将整理出A版本的分析资料),小版本可能会有所不同，因此如果你发现你机器上的和我所述的相似但不完全一样也是正常的。

中毒表象:以下几个特征为中毒的表现:１、在系统中的每分区根目录下存在setup.exe和autorun.inf文件(A和B盘不感染)。

熊猫烧⾹病毒样本分析前⾔最近学校通知不开学，⽹课也不想上。

学习逆向也有段时间了，就想着找点东西练⼀下⽔平不⾼。

找了个病毒分析⼀⽐较经典的病毒分析。

我看⽹上有很多关于熊猫烧⾹病毒的分析，但都是侧重于对病毒功能以及影响的总结，具体分析⽅法并未提及。

本⽂主要基本信息动态分析分析⼯具以及环境OD PEIDVMware xp 虚拟机详细分析过程与思路查看⽂件基本信息在虚拟机中⽤PEID 打开病毒样本⽂件发现其⽆壳并且是Delphi 编写的，Delphi 编译器编译的程序有⼏个特点。

第⼀： 其函数默认调⽤约定为Register ，特点为函数参数是通过寄存器传⼊的。

第⼆： ⼀般Delphi 其字符串存储地址的负偏移⼀个dword长度处，存放字符串的长度。

打开OD 载⼊病毒样本⽂件来到程序⼊⼝点后我们进⾏进⼀步分析，我们看到⼊⼝点处有 函数① 和 函数②，其中函数②连续调⽤了三次。

我们F8向下执⾏，并分别进⼊两个函数分析其功能。

进⼊函数①我们发现其主要功能就是调⽤GetModuleHandleA()获得程序基地址（及程序实例句柄）向下继续分析函数②，在调⽤函数②时我们发现其传⼊了两个参数，我们在数据窗⼝中分析发现参数有⼀个为⼀串字符串：“ ***武*汉*男*⽣*感*染*下*载*者*** ". 我们F7进⼊函数内部分析发现其就时将eax 参数地址下的字符串进⾏复制侧重于对熊猫烧⾹病毒逆向分析过程中的思路和⽅法的分享所以我们知道了这三个参数是字符串复制函数，F8向下步过这些函数后。

他们把字符串都复制到了⼀块连续的内存中。

我们可以在数据窗⼝中观察这些字符的内容。

我们接着往下分析，发现两段相同的代码段，只是参数不同。

也就是当程序执⾏完函数0x405360和函数0x404018后如果je不成⽴则结束进程（猜测应该为病毒程序的⾃效验部分）。

我们分别进⼊连个函数分析。

我们先分析函数0x405360，函数的两个参数分别指向两个字符串⼀个是“xboy”，另⼀个如下。

第1篇一、引言2009年，我国发生了一起名为“熊猫烧香”的计算机病毒案件，该病毒迅速传播，对广大网民和计算机用户造成了严重的损失。

此案件引起了社会各界的广泛关注，同时也给我国网络安全法律体系带来了深刻的启示。

本文将从熊猫烧香案件的法律启示出发，探讨我国网络安全法律的完善与发展。

二、熊猫烧香案件的法律背景1. 犯罪主体熊猫烧香案件的主要犯罪主体为被告人张某、李某、王某等人。

他们通过编写、传播计算机病毒，非法获取他人计算机信息系统数据，给社会造成了极大的危害。

2. 犯罪手段被告人通过编写名为“熊猫烧香”的计算机病毒，在网络上大量传播。

该病毒能够入侵他人计算机系统，篡改用户数据，甚至控制他人计算机，造成严重后果。

3. 犯罪后果熊猫烧香案件造成了大量网民的计算机系统瘫痪，给企业和个人带来了巨大的经济损失。

同时，该案件还暴露出我国网络安全法律体系的不完善，使得犯罪分子得以逍遥法外。

三、熊猫烧香案件的法律启示1. 完善网络安全法律体系熊猫烧香案件暴露出我国网络安全法律体系的不完善。

为了更好地维护网络安全，我国应加快网络安全法律的立法进程，提高法律体系的科学性和可操作性。

具体包括：（1）制定专门的网络安全法，明确网络安全的基本原则、法律地位和监管职责；（2）完善网络安全管理制度，加强对网络信息内容的监管，确保网络空间的清朗；（3）加大对网络犯罪的打击力度，提高犯罪成本，使犯罪分子付出应有的代价。

2. 加强网络安全执法力度熊猫烧香案件的发生，暴露出我国网络安全执法力度不足的问题。

为了更好地维护网络安全，我国应加强网络安全执法，具体措施如下：（1）建立健全网络安全执法机构，提高执法队伍的专业化水平；（2）加强执法协作，形成跨部门、跨区域的联合执法机制；（3）加大对网络犯罪的惩处力度，提高犯罪分子的法律风险。

3. 提高网络安全意识熊猫烧香案件的发生，提醒我们要提高网络安全意识。

具体措施如下：（1）加强网络安全教育，提高全民网络安全素养；（2）引导网民合理使用网络，自觉抵制网络病毒和不良信息；（3）鼓励企业和个人加强网络安全防护，提高计算机系统的安全性。

对有关病毒木马的案例分析通过学习网络安全法律法规，我们对“大小姐木马”与“熊猫烧香病毒”做出了学习与分析。

一、“大小姐”病毒起因与发展。

2008年5月6日，南京市公安局网络警察支队接江苏省水利厅报案称，该厅政务网站“江苏水利网”页面无法打开，怀疑疑被黑客侵入。

据了解，江苏省水利厅网站主要承担公文办理、汛情下达等重要任务，日访问量在5000人次。

当时，江苏全省已进入汛期，该网站能否正常运行将直接影响全省防汛工作。

南京市公安局网络警察支队将其立为破坏计算机信息系统案侦查，并迅速会同鼓楼公安分局抽调精干警力，成立“5·6”专案组。

攻击是为植入“大小姐”木马专案组围绕省水利厅网站被黑客攻击案，迅速开展勘查取证、侦查侦控、追查抓捕等侦查工作。

去年5月14日至6月6日，专案组在湖北宜昌、广西桂林、湖北潜江等地抓获何某等6名犯罪嫌疑人，成功侦破水利厅网站被攻击案。

在侦破水利厅网站被攻击案件过程中，专案组发现，这些人攻击水利厅网站的目的，是为了在该网站上植入一款名为“大小姐”的木马盗号程序。

而这个“大小姐”木马早已臭名昭著，不少网络游戏账号均被该木马程序盗取过。

这一情况引起公安部高度重视，公安部指定南京市公安局管辖此案，并于7月1日挂牌督办本案。

专案组经艰苦工作，分别于6月13日在上海、6月24日在四川广元、绵阳、10月10日在湖南长沙抓获了制作、传播“大小姐”系列木马，破坏计算机信息系统犯罪团伙的组织者王某、作者龙某及销售总代理周某等10人。

犯罪嫌疑人王某以牟利为目的，自2006年下半年开始，雇用犯罪嫌疑人龙某先后编写了四十余款针对国内流行网络游戏的盗号木马。

王某拿到龙某编写的木马程序后，对外谎称为自己所写，同时寻找代理人进行销售，先后通过周某等人在网上总代理销售木马，该木马系列在传播销售时被命名为“大小姐”木马。

购买了“大小姐”木马的犯罪嫌疑人，则分别针对“QQ自由幻想”、“武林外传”、“征途”、“问道”、“梦幻西游”等网络游戏进行盗号。

实例讲解如何干掉“熊猫烧香”你中过熊猫烧香么?!看到过熊猫拿着三支香的样子么!?中招后如何处理!?看完本文，你将学会如何从计算机中杀掉“熊猫烧香”。

惊险查杀过程1.熊猫烧香病毒：图片就是个熊猫在烧香感觉蛮可爱的!当时并没有很在意!第二天再次打开电脑的时候!几乎电脑所有的EXE文件都成了熊猫烧香图片!这时才有所感觉!部分EXE文件已经无法正常使用!新加一个AUTORUN.INF的文件!当初不明白这个文件的作用!在网上查了一些资料表明。

才知道。

只要用户打开盘符。

就会运行这个病毒!用杀毒软件杀毒!没有效果!看来现在的杀毒软件越来越不行了~..2.想用组合键打开任务管理器!无法打开~失败....想看看注册表有没什么情况。

依然失败!奇怪的是：电脑运行正常。

也都不卡!难道不是病毒.是系统出了问题?从网上下了第三方工具查看进程!果然看到两个可疑进程!FuckJacks.exe貌似是最可疑的不敢贸然终止!赶快问问白度大叔!3.大叔告诉我。

是熊猫病毒的进程!一切正如我意!懒的装系统了!4.先结束FuckJacks.exe进程!开始-运行-CMD 输入：ntsd -c q -p 病毒的PID~终于KILL掉了!一切恢复正常了!兴奋ING...赶快打开注册表突然注册表又关了.看看进程FuckJacks.exe。

又出现了~~那应该它还有个守护进程!找找找。

无发现....奇怪了。

难道他的守护进程插入到系统进程了?不会吧.....头疼一阵...。

5.算了，去向朋友找个专杀工具。

有一个朋友说他写过熊猫的专杀工具!晕~~原来牛人在我身边。

我都没发现~赶快想他请教~~才大概的了解了熊猫烧香~ 叫他给了我一个无壳的熊猫自己分析下~(自己动手.丰衣足食嘛~~)6.用UI32打开熊猫.看到了条用的部分资源!文件执行后。

释放到\system32\FuckJacks.exe下。

7.继续象下可以看到熊猫的一些传播过程相当的经典..有扫描同一网段的电脑~自我复制.等等相当强大公能~同时感染所有盘符的EXE文件~却不对一些重要的系统文件和常用文件进行感染!可见并不想早成太大破坏~修改注册表.禁止打开注册表.甚至禁用了部分服务~~8下面就是重要的时刻了!从后面的代码可以看出!病毒的作者是个非常出色的程序员!有非常好的编程习惯!对病毒的异常运行~进行了很好的定义~都很大段都是作者对病毒运行条件的判断定义~值得注意的一点：在感染EXE文件的同时!感染ASP。