实验七 典型病毒(熊猫烧香)的检测和清除
熊猫烧香
关于熊猫烧香事件的讲述商学系08级市场营销2班 240894226 林婷熊猫烧香是一种经过多次变种的蠕虫病毒变种,2006年10月16日由25岁的中国湖北武汉新洲区人李俊编写,2007年1月初肆虐网络,它主要通过下载的档案传染。
对计算机程序、系统破坏严重。
一、中毒症状除了通过网站带毒感染用户之外,此病毒还会在局域网中传播,在极短时间之内就可以感染几千台计算机,严重时可以导致网络瘫痪。
中毒电脑上会出现“熊猫烧香”图案,所以也被称为“熊猫烧香”病毒。
中毒电脑会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。
二、病毒危害病毒会删除扩展名为gho的文件,使用户无法使用ghost软件恢复操作系统。
“熊猫烧香”感染系统的.exe .com. f.src .html.asp文件,添加病毒网址,导致用户一打开这些网页文件,IE就会自动连接到指定的病毒网址中下载病毒。
在硬盘各个分区下生成文件autorun.inf和setup.exe,可以通过U盘和移动硬盘等方式进行传播,并且利用Windows系统的自动播放功能来运行,搜索硬盘中的.exe可执行文件并感染,感染后的文件图标变成“熊猫烧香”图案。
“熊猫烧香”还可以通过共享文件夹、系统弱口令等多种方式进行传播。
该病毒会在中毒电脑中所有的网页文件尾部添加病毒代码。
一些网站编辑人员的电脑如果被该病毒感染,上传网页到网站后,就会导致用户浏览这些网站时也被病毒感染。
据悉,多家著名网站已经遭到此类攻击,而相继被植入病毒。
由于这些网站的浏览量非常大,致使“熊猫烧香”病毒的感染范围非常广,中毒企业和政府机构已经超过千家,其中不乏金融、税务、能源等关系到国计民生的重要单位。
注:江苏等地区成为“熊猫烧香”重灾区。
三、病毒特征1、这个病毒关闭众多杀毒软件和安全工具2、循环遍历磁盘目录,感染文件,对关键系统文件跳过3、感染所有EXE、SCR、PIF、COM文件,并更改图标为烧香熊猫4、感染所有.htm/.html/.asp/.php/.jsp/.aspx文件,添加木马恶意代码5、自动删除*.gho文件四、传播方法“熊猫烧香”还可以通过共享文件夹、系统弱口令等多种方式进行传播。
熊猫烧香
国家计算机病毒应急处理中心通过对互联网的监测发现,一伪装成“熊猫烧香”图案的蠕虫正在互联网上进行传播,已有数百万个人计算机用户和企业局域网遭受感染。
国家计算机病毒应急处理中心分析发现,该蠕虫为“威金”蠕虫的一个新变种。
该变种感染计算机系统后,可使系统中所有.exe文件都变成了一种奇怪的图案,该图案显示为“熊猫烧香”国家计算机病毒应急处理中心通过对互联网的监测发现,一伪装成“熊猫烧香”图案的蠕虫正在互联网上进行传播,已有数百万个人计算机用户和企业局域网遭受感染。
国家计算机病毒应急处理中心分析发现,该蠕虫为“威金”蠕虫的一个新变种。
该变种感染计算机系统后,可使系统中所有.exe文件都变成了一种奇怪的图案,该图案显示为“熊猫烧香”,同时受感染的计算机系统会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。
变种可以通过局域网进行传播,进而感染局域网内所有计算机系统,最终导致整个局域网瘫痪,无法正常使用。
该蠕虫先后出现很多变种,再出现后的短时期内迅速传播,遭受感染的用户难于彻底清除,给其工作带来诸多不便。
蠕虫情况分析如下:病毒名称:Worm_Viking中文名:“熊猫烧香”其他名称:Worm/Viking(江民)Worm.WhBoy.h (金山)PE_FUJACKS (趋势)Worm.Nimaya (瑞星)W32/Fujacks (McAfee)病毒类型:蠕虫感染系统:Windows 9X/ Windows ME/ Windows NT/ Windows 2000/Windows XP/ Windows 2003病毒特性:“熊猫烧香”是蠕虫“威金”的一个变种,是一个由Delphi 工具编写的蠕虫,它会感染计算机系统中后缀名为exe、com、pif、src、html、asp等文件,它还会终止一些计算机系统中安装的防病毒软件和防火墙的进程。
1、生成病毒文件蠕虫运行后在%System%目录下生成文件spoclsv.exe,并且在每个文件夹下面生成desktop_.ini 文件,里面标记着病毒发作日期。
信息安全熊猫烧香病毒剖析
信息安全熊猫烧香病毒剖析The document was prepared on January 2, 2021《网络攻击与防御》实验报告计算机科学与技术学院计算机系网络教研室制实验报告撰写要求实验操作是教学过程中理论联系实际的重要环节,而实验报告的撰写又是知识系统化的吸收和升华过程,因此,实验报告应该体现完整性、规范性、正确性、有效性。
现将实验报告撰写的有关内容说明如下:1、实验报告模板为电子版。
2、下载统一的实验报告模板,学生自行完成撰写和打印。
报告的首页包含本次实验的一般信息:组号:例如:2-5 表示第二班第5组。
实验日期:例如:05-10-06 表示本次实验日期。
(年-月-日)……实验编号:例如:表示第一个实验。
实验时间:例如:2学时表示本次实验所用的时间。
实验报告正文部分,从六个方面(目的、内容、步骤等)反映本次实验的要点、要求以及完成过程等情况。
模板已为实验报告正文设定统一格式,学生只需在相应项内填充即可。
续页不再需要包含首页中的实验一般信息。
3、实验报告正文部分具体要求如下:一、实验目的本次实验所涉及并要求掌握的知识点。
二、实验环境实验所使用的设备名称及规格,网络管理工具简介、版本等。
三、实验内容与实验要求实验内容、原理分析及具体实验要求。
四、实验过程与分析根据具体实验,记录、整理相应命令、运行结果等,包括截图和文字说明。
详细记录在实验过程中发生的故障和问题,并进行故障分析,说明故障排除的过程及方法。
五、实验结果总结对实验结果进行分析,完成思考题目,总结实验的心得体会,并提出实验的改进意见。
六、附录1)掌握熊猫烧香病毒的工作原理和感染方法;2)掌握手工清除熊猫病毒的基本方法。
目标主机为windows-2003 所用到的工具o Wsyschecko Filemon三、实验内容与实验要求蠕虫原理1)蠕虫定义2007年1月流行的“熊猫烧香”以及其变种也是蠕虫病毒。
这一病毒利用了微软视窗操作系统的漏洞,计算机感染这一病毒后,会不断自动拨号上网,并利用文件中的地址信息或者网络共享进行传播,最终破坏用户的大部分重要数据。
“熊猫烧香”病毒取证鉴定技术研究
连接 到指定 的病毒 网址中下载病毒。在
硬盘各个分 区下生成 文件 a t u . f uo ni 和 r n
进 行联 接 ( 测被 攻击端 的密码 ) 猜 。当 成 功地联 接上以后将 自己复制并利用计 划任务启动激活病毒 ;修改操作系统 的 启动关联 ; 下载文件启动 ;与杀 毒软件
对抗 。
X 、Wi 0 3;病 毒具 体 描述 :熊 猫 P n2 0 烧香是 一种蠕虫病 毒 ,而且多 次变种。
无法使用 g ot h s 软件恢复操作系统。熊
猫烧香感染系统的 ee o 、pf r、 x、c r i c n 、s
hml s t 、a p文件 ,添加 病 毒 网址 ,导 致
用户一打开这些网页文件,I E就会 自动
32生 成 a trnif . uou . n
病 毒建 立一个 计 时器 以 06秒为周 .
图案,被感 染 的用户系统 中所有 e e x 可 执行文 件全 部 被改 成 熊猫举 着三根 香 的模样,因此被称为 “ 熊猫烧香”病毒 。
内容包括 :鉴定检材中是否存在制作传 播病毒 的证据 ; 鉴定病毒编写的相关 时 间信息及病毒制作方式 ;提取病毒样本
及与案件相关的其他证据。
D ME SO 55 ) 高速硬 盘复制机 、 I N I N 10 、 四 合一只读读卡器 、取证硬盘 、各 类接口
stpee eu . ,可以通过 U盘和移动硬 盘等 x 方 式 进行 传 播,并且 利用 Wid w 系 nos 统的自动播放功能来 运行,搜 索硬 盘中 的 ee x 可执行文件并感染 ,感 染后的文
手动清除熊猫病毒
5、被病毒覆盖的文件(覆盖后的文件大小为30,465字节)是不可恢复的,直接删除;被修改的文件用16进制编辑器删除00000000到00007700的代码段,在文件末尾找到并删除从“WhBoy”到最后所有的代码段保存即可恢复原貌。
病毒会删除“安全中心”的相关注册表。病毒增加如下注册表启动项:[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]"FuckJacks"="%SYSTEM%\\FuckJacks.exe"[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"svohost"="%SYSTEM%\\FuckJacks.exe"[HKEY_USERS\S-1-5-21-1757981266-2111687655-682003330-500\Software\Microsoft\Windows\CurrentVersion\Run]"FuckJacks"="%SYSTEM%\\FuckJacks.exe"
查杀方案
1. 断开网络
2. 结束病毒进程
%System%\drivers\spoclsv.exe
3. 删除病毒文件:
%System%\drivers\spoclsv.exe
4. 右键点击分区盘符,点击右键菜单中的“打开”进入分区根目录,删除根目录下的文件:
7.在另一台“安全中心”服务正常的电脑上打开注册表,将 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceswscsvc 的全部内容导出为 .REG 文件,复制到故障电脑上导入注册表,然后重新启动 Windows,恢复被病毒删除的“安全中心”服务。
计算机病毒入侵检测与清除
计算机病毒入侵检测与清除摘要:为了提高计算机操作系统的安全性,提供病毒防护方面的知识,提高用户防范能力,本文主要研究计算机病毒的入侵、检测和清除。
一,概述计算机病毒的特点;二,分析计算机病毒入侵过程;三,计算机感染病毒后用户观察到的一系列现象,根据现象判断病毒类型;四,计算机病毒入侵后的行为;五,病毒感染后,反病毒软件检测不出或者被病毒破坏的情况下,如何手工检测;六,针对已知、未知病毒的处理方法;最后,结合反病毒实战,清除“熊猫烧香”病毒。
关键词:计算机病毒入侵检测清除熊猫烧香当打开计算机,发现运行速度缓慢、时不时死机、重启、蓝屏、文件被莫名其妙的更改,十有八九是“中毒”了。
有的情况也许还可以恢复,如果QQ、网络游戏,支付宝等包含虚拟货币的帐号、密码,甚至银行卡帐号、密码被盗就不止损失那么一点计算机上的资源了,也许大家早就知道病毒有什么危害,但还没有意识到有那么严重。
有的用户说:“装了杀毒软件,不怕病毒!”杀毒软件对付病毒是处于被动状态的,当杀毒软件报告有病毒时,有极大可能该机已经受到感染了。
现在的病毒想方设法的躲过杀毒软件的查杀,可谓防不胜防。
既然病毒那么厉害还防不防?答案当然是肯定的。
“中毒”不怕,要把损失降到最低。
随着计算机软硬件以及互联网的飞速发展,计算机病毒这一领域也成长迅速,正如当年非常有代表性的“熊猫烧香”(又称“武汉男生”)在网络中横行肆虐。
现在市面上发行书籍、教科书所涉及的知识已经远远落后于现在病毒技术。
大多数计算机普通用户在这方面的知识比较匮乏,处理“中毒”这种棘手问题还显得力不从心。
本文就计算机病毒进行详细介绍,包括病毒的各种特点、入侵计算机的过程、入侵后计算机出现的种种现象、入侵后用户的检测、在计算机中的运作过程、针对各种病毒总结出一套适合中高级用户的防护方法。
一、计算机病毒的分类及特点1.计算机病毒的分类及特点概述真正识别、查杀病毒,必需要详细了解病毒!病毒由众多分散的个人或组织编写,没有一个标准去衡量、划分,所以病毒的分类可按多个角度大体去分。
熊猫烧香病毒剖析
伪装技术
熊猫烧香病毒会伪装成其他正常 的文件或程序,诱骗用户运行, 从而感染计算机系统。
03 熊猫烧香病毒的防范与应 对
防范措施
安装防病毒软件
选择可靠的品牌和版本,并及时更新病毒库。
提高网络安全意识
不随意打开未知来源的邮件和链接,不下载 和运行未知来源的文件和程序。
定期备份重要数据
以防数据被病毒感染或损坏。
案例二:熊猫烧香病毒的攻击目标与手法
熊猫烧香病毒主要攻击个人计算机和企业网络系统,通过感染操作系统和应用程序,导致系统运行缓 慢、蓝屏、死机等问题。
该病毒会修改系统注册表、劫持浏览器、禁用安全软件等手段,以实现长期驻留和控制用户计算机。
熊猫烧香病毒还会窃取用户个人信息,如账号密码、信用卡信息等,给用户的隐私和财产安全带来严重 威胁。
与其他蠕虫病毒的比较
传播方式
熊猫烧香病毒与蠕虫病毒相似,都是通过网络进行快速传播 。熊猫烧香病毒利用系统漏洞和用户不慎点击恶意链接等方 式感染计算机。
破坏性
熊猫烧香病毒在感染计算机后,会对系统文件进行篡改,导 致计算机出现蓝屏、频繁重启等问题。此外,熊猫烧香病毒 还会下载其他恶意软件,进一步损害系统安全。
自我保护机制
熊猫烧香病毒具有自我保护机制,通过修改系统 文件、注册表等手段,防止病毒被轻易删除或查 杀。
病毒的隐藏与反侦察技术
隐藏技术
熊猫烧香病毒采用多种隐藏技术, 如将自身嵌入到其他正常文件中、 使用加密和混淆等技术隐藏自身 代码等。
反侦察技术
熊猫烧香病毒会检测自身是否被 检测或查杀,一旦发现自身被检 测或查杀,会采取相应的反侦察 措施,如删除自身、破坏系统文 件等。
熊猫烧香病毒是一种网络攻击手段,与其他网络攻击如拒绝服务攻击、SQL注入攻击等有所不同。熊猫烧香病毒 主要针对个人计算机系统进行感染和破坏。
熊猫烧香病毒清除方法有哪些
熊猫烧香病毒清除方法有哪些电脑病毒看不见,却无处不在,有时防护措施不够或者不当操作都会导致病毒入侵。
熊满烧香是之前很经典也是很可怕的一种病毒,那么具体有什么预防和处理办法呢?方法步骤1. 断开网络(必要)2. 结束病毒进程%System%\drivers\spoclsv.exe3. 删除病毒文件:c:\windows\system32\drivers\spoclsv.exe注意:打开C盘要右键-开打,否则仁兄就要功亏一篑,就要重复2的步骤!4. 修改注册表设置,恢复“显示所有文件和文件夹”选项功能:[Copy to clipboard]CODE:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\C urrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]"CheckedValue"=dword:00000001本步骤针对病毒将显示隐藏文件禁用的情况5. 右键点击分区盘符,点击右键菜单中的“打开”进入分区根目录,删除根目录下的文件:X:\setup.exeX:\autorun.inf6. 删除病毒创建的启动项:[Copy to clipboard]CODE:[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run]"svcshare"="%System%\drivers\spoclsv.exe"7. 使用专杀工具进行全盘扫描,清除恢复被感染的exe文件推荐使用软件:NimayaKiller相关阅读:2018网络安全事件:一、英特尔处理器曝“Meltdown”和“Spectre漏洞”2018年1月,英特尔处理器中曝“Meltdown”(熔断)和“Spectre” (幽灵)两大新型漏洞,包括AMD、ARM、英特尔系统和处理器在内,几乎近20年发售的所有设备都受到影响,受影响的设备包括手机、电脑、服务器以及云计算产品。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
实验七典型病毒(熊猫烧香)的检测和清除
一、实验目的
掌握典型病毒的检测方法,掌握典型病毒-熊猫烧香病毒的检测方法
二、实验环境
微机1台,熊猫烧香病毒样本、熊猫烧香病毒专杀工具、VMWare虚拟机软件。
三、实验步骤与方法
1)熊猫烧香病毒的检测
1、备好病毒样本
带有熊猫烧香病毒的文件。
2、运行VMWare虚拟机软件。
为了整个计算机本身的安全或整个实验室系统的安全,让实验在虚拟的环境下进行,
3、检测干净系统
4、种植熊猫烧香病毒
点击含有熊猫烧香病毒文件夹下的setup.exe文件,这时就将熊猫烧香病毒种植到计算机系统中了。
5、检测中毒后的系统
得出实验结论
2)熊猫烧香病毒的清除
(1) 熊猫症状表现为:
(1.1) 某些EXE文件的图标被改成一个座立的熊猫手里捧着三根香,因此得名,
(1.2) 隐藏文件属性无法修改,即显示所有隐藏文件的勾选去掉也不能显示隐藏文件;(1.3) 双击分区盘符无法打开显示内容,必须通过右键打开才可以打开;
如果你的电脑出现以上症状那一定是中着了!可以通过以下用超级巡警之熊猫烧香病毒专杀V1.8自动删除和清理病毒(删除前断开网络)
拓展资料:手工清除方法
(2.1) 清除病毒
第一步:点击“开始--运行”,输入"ntsd -c q -pn spoclsv.exe"并确定,结束病毒的进程。
(或进入到文件夹c:\windows(Windows2000下为winnt, windowsXP下为windows)\system32 \drivers中修改spoclsv.exe的文件名为其他的.exe文件),之后我们就可以进入到任务管理器和注册表中了。
第二步:在注册表中寻找“HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\C URRENTVersion\Explorer\Advanced\Folder\Hidden\SHOWALL”,将CheckedValue的值改为1。
打开“HKEY_CURRENT_USER\Software\Microsoft\Windows\CrrentVersion\Run”,将svcs hare的项目删除。
第三步:删除硬盘各分区根目录下的"setup.exe"和"autorun.inf"文件;删除掉C:\Windows\ system32\drivers下的spoclsv.exe文件。
第四步:搜索硬盘上的网页格式文件,找到其中类似”<iframe src="http://www.ctv163.co m/wuhan/down.htm"width="0" height="0" frameborder="0"></iframe>“的文字,将其删除。
被嵌入的代码可能是其他的网站。
(2.2) 显示出被隐藏的系统文件
运行——regedit
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Adv anced\Folder\Hidden\SHOWALL,将CheckedValue键值修改为1
这里要注意,病毒会把本来有效的DWORD值CheckedValue删除掉,新建了一个无效的字符串值CheckedValue,并且把键值改为0!我们将这个改为1是毫无作用的。
(有部分病毒变种会直接把这个CheckedValue给删掉,只需和下面一样,自己再重新建一个就可以了)
方法:删除此CheckedValue键值,单击右键新建——Dword值——命名为Checke dValue,然后修改它的键值为1,这样就可以选择“显示所有隐藏文件”和“显示系统文件”。
在文件夹——工具——文件夹选项中将系统文件和隐藏文件设置为显示
重启电脑后,发现杀毒软件可以打开,分区盘双击可以打开了。
(2) 如何防范”熊猫烧香“病毒
第一,该病毒会利用IE,QQ,UC等的漏洞进行传播。
所以需要即使安装他们的最新补丁程序。
第二,计算机应设置复杂的密码,以防止病毒通过局域网传播。
第三,关闭系统的”自动运行“功能,防止病毒通过U盘,移动硬盘等侵入你的电脑。
(3)附:结束进程的方法:
调出windows任务管理器(Ctrl+Alt+Del),发现通过简单的右击当前用户名的***.exe来结束进程是行不通的.会弹出该进程为系统进程无法结束的提醒框;鼠标右键点击"任务栏",选择"任务管理器"。
点击菜单"查看(V)"->"选择列(S)...",在弹出的对话框中选择"PID(进程标识符)",并点击"确定"。
找到映象名称为"***.exe",并且用户名不是"SYSTEM"的一项,记住其PID号.点击"开始"-->“运行”,输入"CMD",点击"确定"打开命令行控制台。
输入"ntsd –c q -p (PID)",比如我的计算机上就输入"ntsd –c q -p 1132".
四、实验调查:
五、实习小结
1、如何有效防范病毒?。