熊猫烧香病毒介绍

合集下载

第八章熊猫烧香病毒的逆向分析

熊猫烧香病毒的逆向分析
软件学院王冬琦
熊猫烧香病毒简介
• 2007年引起全国关注的一系列新闻
熊猫烧香病毒简介
• 熊猫烧香病毒会伪装成Spcolsv.exe进程。 • Spcolsv.exe是Print Spooler的进程，管理所有本地和网络打印队列及控制所有打印工作。如果此服务被停用，本地计算机上的打印将不可用。该进程属 Windows 系统服务。
sub_4082F8—复制自身，传染文件并运行 sub_40CFB4—传染其他文件 sub_40CED4—设置注册表，停止杀毒软件
作业要求
• 2-3小组任意组合一个team，按程序功能模块自行讨论并分解、分配任务，以组为单位完成各自分工部分的逆向分析报告 • 大作业中除体现个人所在小组完成的工作之外，还要说明每位同学自己的工作重点和完成情况。
逆向分析过程
• 程序入口地址：
有意义的内容从这里开始
分析确定sub_403C98 函数的功能，并重命名之分析确定sub_405360 函数的功能，并重命名之分析确定sub_404018函数的功能，并重命名之
逆向分析过程
• 病毒验证和启动部分
三个函数调用，分析他们的功能并根据功能特解病毒发作的表现尝试理解IDA 解析的结果清晰病毒程序的组成结构给出病毒的工作流程图及核心函数分析报告
逆向分析过程
• 没有源程序的情况下，首先考虑目标程序的类型首先使用Peid软件分析目标程序
可知目标程序是用Borland Delphi6.0-7.0编译，其余VC++的区别在于函数调用方式和字符串处理，Delphi默认使用register传递函数的参数

熊猫烧香与519断网事件

反思：
(1)黑客产业链现象比较严重； (2)缺乏有效技术监督管制； (3)网络软件暗藏后门的危险； (4)当前电信运营商的DNS服务器抗攻击能力还很脆弱。
愿熊猫不更新。古来病毒皆寂寞，唯有熊猫留其
名。”
背景：
519断网事件
2009年5月19日晚间，我国互联网发生大面积网络故障：包括江苏、河北、山西、广西、浙江等在内的23个省陆续出现互联网访问变慢、网站无法访问等现象。该事件被称为“5· 19网络瘫痪重大事故”，又称“暴风影音事件”。经过调查，事情起因如下：由于私人服务器互斗,DNS Pod 被攻击(据称攻击流量达10G)。随后DNS Pod所在的IDC将 DNS Pod的服务器断网，即网络上无法访问到DNS Pod服务器。暴风影音随后出场，其域名解析服务托管在DNS Pod上，在此事件中，暴风扮演了绝对的主角——为了有更高的广告点击率，暴风在后台暗藏机关，装了暴风软件的用户一开机会自动链接至暴风网站。
随着递归域名服务器中缓存内容逐渐过期被删除，刚开机的用户，其暴风影音会试图访问相关服务器，但是由于 DNS Pod被断网得不到回答而超时。此时，暴风影音的客户端不断重复发送域名解析请求(据称每分钟约100次)，这些请求以及等待超时的查询不断在递归域名服务器上堆积，最终网络故障产生。由于暴风影音的用户众多，5月19日21时当时约超过千万用户同时在线，每个用户每分钟100次的域名解析请求发送到电信运营商的递归服务器上，虽然其递归域名服务器有一些分布式设计，但是多数省的递归域名服务器因请求过量造成系统过载，CPU利用率接近100%，无法正常解析以及非baofeng .com的域名请求。此时绝大多数用户无法正常使用互联网应用(直接访问IP地址的应用除外)，当时受影响的省份达到20多个，我国互联网接近崩溃。

熊猫烧香

国家计算机病毒应急处理中心通过对互联网的监测发现，一伪装成“熊猫烧香”图案的蠕虫正在互联网上进行传播，已有数百万个人计算机用户和企业局域网遭受感染。

国家计算机病毒应急处理中心分析发现，该蠕虫为“威金”蠕虫的一个新变种。

该变种感染计算机系统后，可使系统中所有.exe文件都变成了一种奇怪的图案，该图案显示为“熊猫烧香”国家计算机病毒应急处理中心通过对互联网的监测发现，一伪装成“熊猫烧香”图案的蠕虫正在互联网上进行传播，已有数百万个人计算机用户和企业局域网遭受感染。

国家计算机病毒应急处理中心分析发现，该蠕虫为“威金”蠕虫的一个新变种。

该变种感染计算机系统后，可使系统中所有.exe文件都变成了一种奇怪的图案，该图案显示为“熊猫烧香”，同时受感染的计算机系统会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。

变种可以通过局域网进行传播，进而感染局域网内所有计算机系统，最终导致整个局域网瘫痪，无法正常使用。

该蠕虫先后出现很多变种，再出现后的短时期内迅速传播，遭受感染的用户难于彻底清除，给其工作带来诸多不便。

蠕虫情况分析如下：病毒名称：Worm_Viking中文名：“熊猫烧香”其他名称：Worm/Viking（江民）Worm.WhBoy.h （金山）PE_FUJACKS （趋势）Worm.Nimaya （瑞星）W32/Fujacks （McAfee）病毒类型：蠕虫感染系统：Windows 9X/ Windows ME/ Windows NT/ Windows 2000/Windows XP/ Windows 2003病毒特性：“熊猫烧香”是蠕虫“威金”的一个变种，是一个由Delphi 工具编写的蠕虫，它会感染计算机系统中后缀名为exe、com、pif、src、html、asp等文件,它还会终止一些计算机系统中安装的防病毒软件和防火墙的进程。

1、生成病毒文件蠕虫运行后在%System%目录下生成文件spoclsv.exe，并且在每个文件夹下面生成desktop_.ini 文件，里面标记着病毒发作日期。

可怕的电脑病毒

可怕的电脑病毒电脑病毒可以说是网络世界最严重的的危害下面是店铺收集整理的可怕的电脑病毒，希望对大家有帮助~~可怕的电脑病毒一1.风暴蠕虫风暴蠕虫是一种木马程序。

有些风暴蠕虫的变种会把电脑变成僵尸或”肉鸡“。

一旦电脑受到感染，就很容易受到病毒传播者的操纵。

有些黑客利用风暴蠕虫制造僵尸网络，用来在互联网上发送垃圾邮件。

许多风暴蠕虫的变种会诱导用户去点击一些新闻或者新闻视频的虚假链接。

病毒的制造者经常把病毒邮件的主题改为当前时事新闻。

2008年北京奥运会前夕，一种新的蠕虫变种通过邮件开始传播，邮件标题一般为“中国发生大灾难”或者“中国死亡人数最多的地震”等等。

邮件里一般有关于相关话题的视频或者新闻链接，用户点击链接后，会自动下载蠕虫病毒。

很多新闻社和博客认为风暴蠕虫是近些年来最严重的一种病毒。

安全公司Postini宣称，截止到2007年，已经发现超过2亿封邮件携带了这种病毒。

幸运的是，不是所有的邮件都导致电脑感染。

虽然风暴蠕虫传播很广，但是它并不是最难清除的病毒。

只要用户时刻记得更新杀毒软件和警惕陌生用户发来的邮件或链接，一般都能防止这种病毒的感染。

2.Leap-A/Oompa-A2006年，Leap-A病毒，也称Oompa-A病毒出现。

它利用iChat 聊天程序在苹果电脑之间进行传播。

当病毒感染苹果电脑后，它会自动搜索iChat的联系人列表并向其中的好友发送信息，信息中附带一个看起来像是不完整的jpeg图像的损坏附件。

病毒并不会对电脑产生太大的危害，它证明了即使是苹果电脑也有可能中毒的。

随着苹果机的越来越流行，越来越多的针对苹果机的病毒将会出现。

3.震荡波和网络天空有时病毒制造者很容易就能逃脱追查。

但是当局也有可能通过追溯病毒传播的途径找到源头。

震荡波(Sasser)和网络天空(NetSky)就是这样被发现的。

一个名为Sven Jaschan的17岁德国人制造了这两种病毒并将它们散播到网络上。

虽然两种病毒的感染方式完全不同，但是相似的代码使专家认定它们出自一人之手。

熊猫烧香病毒剖析

伪装技术
熊猫烧香病毒会伪装成其他正常的文件或程序，诱骗用户运行，从而感染计算机系统。
03 熊猫烧香病毒的防范与应对
防范措施
安装防病毒软件
选择可靠的品牌和版本，并及时更新病毒库。
提高网络安全意识
不随意打开未知来源的邮件和链接，不下载和运行未知来源的文件和程序。
定期备份重要数据
以防数据被病毒感染或损坏。
案例二：熊猫烧香病毒的攻击目标与手法
熊猫烧香病毒主要攻击个人计算机和企业网络系统，通过感染操作系统和应用程序，导致系统运行缓慢、蓝屏、死机等问题。
该病毒会修改系统注册表、劫持浏览器、禁用安全软件等手段，以实现长期驻留和控制用户计算机。
熊猫烧香病毒还会窃取用户个人信息，如账号密码、信用卡信息等，给用户的隐私和财产安全带来严重威胁。
与其他蠕虫病毒的比较
传播方式
熊猫烧香病毒与蠕虫病毒相似，都是通过网络进行快速传播。熊猫烧香病毒利用系统漏洞和用户不慎点击恶意链接等方式感染计算机。
破坏性
熊猫烧香病毒在感染计算机后，会对系统文件进行篡改，导致计算机出现蓝屏、频繁重启等问题。此外，熊猫烧香病毒还会下载其他恶意软件，进一步损害系统安全。
自我保护机制
熊猫烧香病毒具有自我保护机制，通过修改系统文件、注册表等手段，防止病毒被轻易删除或查杀。
病毒的隐藏与反侦察技术
隐藏技术
熊猫烧香病毒采用多种隐藏技术，如将自身嵌入到其他正常文件中、使用加密和混淆等技术隐藏自身代码等。
反侦察技术
熊猫烧香病毒会检测自身是否被检测或查杀，一旦发现自身被检测或查杀，会采取相应的反侦察措施，如删除自身、破坏系统文件等。
熊猫烧香病毒是一种网络攻击手段，与其他网络攻击如拒绝服务攻击、SQL注入攻击等有所不同。熊猫烧香病毒主要针对个人计算机系统进行感染和破坏。

防范“熊猫烧香”

变种蠕虫病毒— — 熊猫烧香 ” 在互
烧香 ”头像作为可执行程序的图标．诱骗用户双击执行。不幸中招后．计
中的话，就会导致其他网友用户浏览Ｆ０ｌｄｅｒ＼Ｈｉｄｄｅｎ＼ＳＨＯＷＡＬＬ分支下面的ＣｈｅｃｋｅｄＶａｌｕｅ “键值，导致用户无法查看隐藏文件与系统文件。
而且是经过多次变种而来的。该病毒键系统文件：打开每一个被感染
通过木马软件或网页恶意代码进行过的文件夹时．我们能够看到
传播．一旦计算机感染病毒后．计算
Ｄｅｓｋｔｏｐ
此外该病毒还会自动删除ＧＨＯ
文件，以便使用户的系统备份文件丢
算机中的所有，ＥＸＥ文件都会被自动感
染病毒．而且被感染的程序图标统统
失．从而无法完成系统恢复。
变成熊猫烧香 “ 标志。许多杀毒软件根本杀不死该病毒，一旦中招多数
维普资讯
文／帷幄
防范 “ 熊猫烧香 ’ ’
ｒｒｅｎｔＶｅｒｓｉｏｎ＼ＥＸＰＩＯｒｅｒ＼ＡｄＶａｎｃｅｄ＼近一段时间．一个属于威金的最新码，一旦这些文件上传到网站服务器Ｃｕ

“熊猫烧香”（Worm.WhBoy.h）

“熊猫烧香”（Worm.WhBoy.h）“熊猫烧香”(Worm.WhBoy.h)近段时间，“熊猫烧香”(Worm.WhBoy.h) 蠕虫正处于急速变种期，仅11月份至今，变种数量已达10几个，变种速度之快，影响范围之广，与06年横行于局域网的“维金”不相上下。

现在小编提供一个手动清除此病毒的方法：清除步骤==========1. 断开网络2. 结束病毒进程%System%＼FuckJacks.exe3. 删除病毒文件：%System%＼FuckJacks.exe4. 右键点击分区盘符，点击右键菜单中的“打开”进入分区根目录，删除根目录下的文件X:＼autorun.infX:＼setup.exe5. 删除病毒创建的启动项：[HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Run]"FuckJacks"="%System%＼FuckJacks.exe[HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Run]"svohost"="%System%＼FuckJacks.exe"6. 修复或重新安装反病毒软件7. 使用反病毒软件或专杀工具进行全盘扫描，清除恢复被感染的exe文件中毒文件的恢复（仅个人观点,只在自己的虚拟机上测试正常）首先在清除病毒文件的同时不要删除%SYSTEM%下面释放FuckJacks.exe的这个文件,(注册表里要清除干净)打开运行输入gpedit.msc打开组策略-本地计算机策略-windows 设置-安全设置-软件限制策略-其它规则在其它规则上右键选择-新散列规则=打开新散列规则窗口在文件散列上点击浏览找到-%SYSTEM%下面释放FuckJacks.exe 文件.......安全级别选择-不允许的确定后重启(一定重启)重启后可以双击运行已经被熊猫感染的程序-运行程序后该FuckJacks.exe文件会在注册表里的Run键下建立启动项(不会有问题的）双击运行被感染的程序已经恢复原来样子了,全部回复后用SRENG2把FuckJacks.exe 在注册表里的启动项删除即可!杀病毒：实例讲解如何干掉“熊猫烧香”你中过熊猫烧香么？！看到过熊猫拿着三支香的样子么！？中招后如何处理！？看完本文，你将学会如何从计算机中杀掉“熊猫烧香”。

熊猫烧香(精)

产业”

李俊只是计算机病毒产业链的发端，整条产业链制造、贩卖、交易、传播、使用“一条龙”，环环相扣，最终祸害网络用户，牟取经济利益。据警方披露，少数地方甚至形成了计算机病毒产业群。
据警方介绍，在“熊猫烧香” 案中，产业链的每一环都有不同的牟利方式。病毒制造者有两种方式，一是“卖病毒”，按购买者的要求在病毒程序中填上“指定网址”后把病毒出售；二是“卖肉机”，因中毒而被病毒制造者控制的计算机被称为“肉机”，“肉机”的资料信息随时可被窃取，“卖肉机”就是转让控制权。
“熊猫烧香”病毒自２００６年１２月初开始暴发，到今年１月中旬，据初步统计，目前“熊猫烧香”病毒变种数已达９０多个，国内多家门户网站被种植这一病毒，个人用户感染者已经高达几百万。这一病毒还在互联网上引起恐慌，网民在各论坛上跟帖发表评论５４５万余条。一些损失惨重的企业和网民还发出重金悬赏追查“熊猫烧香”制作者的“通缉令”。国内外一些主要的安全软件商还展开了唇枪舌战，纷纷指责对方软件杀毒能力低下。
山东省威海市的王磊是“熊猫烧香”病毒的主要购买和传播者之一。他本是厨师，但自己琢磨， “用身体养活自己，还不如用大脑养活自己”，不惜铤而走险，以身试法。他贩卖“熊猫烧香”病毒不足一个月，赚的钱就已购买了一辆吉普车。被抓获后，２２岁的王磊仰天长叹：“这是个比房地产来钱还快的暴利产业！”
下一环是“拆信人”，他们将获取的资料信息通过网上交易平台出售给普通网民。“拆信人”往往不需要专业电脑技术，只需要花时间在网上交易。据警方透露，目前在海南省儋州市、浙江省丽水市等地方，已出现成群结伙的“拆信人”，有的团伙达５０多人，有的不仅盗卖游戏装备，还通过发布虚假广告等手段直接诈骗钱财。
“熊猫烧香”

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

熊猫烧香病毒介绍
熊猫烧香其实是一种蠕虫病毒的变种，而且是经过多次变种而来的，下面由店铺给你做出详细的熊猫烧香病毒介绍!希望对你有帮助!欢迎回访店铺网站，谢谢!
熊猫烧香病毒介绍：
由于中毒电脑的可执行文件会出现“熊猫烧香”图案，所以也被称为“熊猫烧香”病毒。

但原病毒只会对EXE图标进行替换，并不会对系统本身进行破坏。

而大多数是中的病毒变种，用户电脑中毒后可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。

同时，该病毒的某些变种可以通过局域网进行传播，进而感染局域网内所有计算机系统，最终导致企业局域网瘫痪，无法正常使用。

[2] 3中毒症状编辑
除了通过网站带毒感染用户之外，此病毒还会在局域网中传播，在极短时间之内就可以感染几千台计算机，严重时可以导致网络瘫痪。

中毒电脑上会出现“熊猫烧香”图案，所以也被称为“熊猫烧香”病毒。

中毒电脑会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。

4病毒危害编辑
熊猫烧香病毒会删除扩展名为gho的文件，使用户无法使用ghost软件恢复操作系统。

“熊猫烧香”感染系统的.exe .com.
f.src .html.asp文件，添加病毒网址，导致用户一打开这些网页文件，IE就会自动连接到指定的病毒网址中下载病毒。

在硬盘各个分区下生成文件autorun.inf和setup.exe，可以通过U盘和移动硬盘等方式进行传播，并且利用Windows系统的自动播放功能来运行，搜索硬盘中的.exe可执行文件并感染，感染后的文件图标变成“熊猫烧香”图案。

“熊猫烧香”还可以通过共享文件夹、用户简单密码等多种方式进行传播。

该病毒会在中毒电脑中所有的网页文件尾部添加病毒代码。

一些网站编辑人员的电脑如果被该病毒感染，上传网页到网站后，就会导致用户浏览这些网站时也被病毒感染。

据悉，多家著名网站已经遭
到此类攻击，而相继被植入病毒。

由于这些网站的浏览量非常大，致使“熊猫烧香”病毒的感染范围非常广，中毒企业和政府机构已经超过千家，其中不乏金融、税务、能源等关系到国计民生的重要单位。

注：江苏等地区成为“熊猫烧香”重灾区。

5传播方法编辑
金山分析：这是一个感染型的蠕虫病毒，它能感染系统中exe,com,pif,src,html,asp等文件，它还能中止大量的反病毒软件进程1拷贝文件
病毒运行后，会把自己拷贝到
C:\WINDOWS\System32\Drivers\spoclsv.exe
2添加注册表自启动
病毒会添加自启动项
svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe
3病毒行为
a：每隔1秒
寻找桌面窗口，并关闭窗口标题中含有以下字符的程序
QQKav
QQAV
防火墙
进程
VirusScan
网镖
杀毒
毒霸
瑞星
江民
黄山IE
超级兔子
优化大师
木马克星
木马清道夫
QQ病毒
注册表编辑器
系统配置实用程序
卡巴斯基反病毒
Symantec AntiVirus
Duba
熊猫烧香esteem proces
绿鹰PC
密码防盗
噬菌体
木马辅助查找器
System Safety Monitor
Wrapped gift Killer
Winsock Expert
游戏木马检测大师
msctls_statusbar32
pjf(ustc)
IceSword
并使用的键盘映射的方法关闭安全软件IceSword
添加注册表使自己自启动
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curren tVersion\Run
svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe
并中止系统中以下的进程：
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
熊猫烧香KVXP.kxp
kvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl132.exe
b：每隔18秒
点击病毒作者指定的网页，并用命令行检查系统中是否存在共享共享存在的话就运行net share命令关闭admin$共享
c：每隔10秒
下载病毒作者指定的文件，并用命令行检查系统中是否存在共享共享存在的话就运行net share命令关闭admin$共享
d：每隔6秒
删除安全软件在注册表中的键值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Cu rrentVersion\Run
RavTask
KvMonXP
kav
KAVPersonal50
McAfeeUpdaterUI
Network Associates Error Reporting Service
ShStartEXE
YLive.exe
yassistse
并修改以下值不显示隐藏文件
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Cu rrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue -> 0x00
删除以下服务：
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec Core LC
NPFMntor
MskService
FireSvc
e：感染文件
病毒会感染扩展名为exe,pif,com,src的文件，把自己附加到文件的头部
并在扩展名为htm,html,asp,php,jsp,aspx的文件中添加一网址，用户一但打开了该文件，IE就会不断的在后台点击写入的网址，
达到
增加点击量的目的，但病毒不会感染以下文件夹名中的文件：
熊猫烧香WINDOW
Winnt
System Volume Information
Recycled
Windows NT
WindowsUpdate
Windows Media Player
Outlook Express
Internet Explorer
NetMeeting
Common Files
ComPlus Applications
Messenger
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
MSN Gamin Zone
g：删除文件
病毒会删除扩展名为gho的文件，该文件是一系统备份工具GHOST的备份文件
使用户的系统备份文件丢失.
瑞星病毒分析报告：“Nimaya(熊猫烧香)”
这是一个传染型的DownLoad 使用Delphi编写。