计算机病毒计算机病毒---熊猫烧香熊猫烧香11 教本一班 孟奇 110401041115社会背景社会背景熊猫烧香(英文名 Worm.WhBoy.cw)是一种经过多次变种的“蠕虫病毒”变种,2006 年 10 月 16 日由 25 岁的中国湖北武汉新洲区人李俊编写,拥有感染传播功能,2007 年 1 月初肆虐网络,它主要通过下载的档案传染,受到感染的机器文件因为被误携带间接对其 它计算机程序、系统破坏严重 计算机病毒(Computer Virus)是编制者在计算机程序中插入的破坏计算机功能或者数 据的代码,能影响计算机使用,能自我复制的一组计算机指令或者程序代码 计算机病毒具有传播性、隐蔽性、感染性、潜伏性、可激发性、表现性或破坏性计 算机病毒的生命周期:开发期→传染期→潜伏期→发作期→发现期→消化期→消亡期 计算机病毒是一个程序,一段可执行码就像生物病毒一样,具有自我繁殖、互相传 染以及激活再生等生物病毒特征计算机病毒有独特的复制能力,它们能够快速蔓延,又 常常难以根除它们能把自身附着在各种类型的文件上,当文件被复制或从一个用户传送 到另一个用户时,它们就随同文件一起蔓延开来经济损失经济损失2006 年爆发的“熊猫烧香”病毒给我国互联网行业造成了巨大恐慌,数百万台计算机 受到影响,造成的经济损失难以估量。
据悉,多家著名网站已经遭到此类攻击,而相继被 植入病毒由于这些网站的浏览量非常大,致使“熊猫烧香”病毒的感染范围非常广,中毒 企业和政府机构已经超过千家,其中不乏金融、税务、能源等关系到国计民生的重要单位 江苏等地区成为“熊猫烧香”重灾区至此,据不完全统计,仅 2007 年变种数已达 90 多个, 个人用户感染熊猫烧香的已经高达几百万,企业用户感染数还在继续上升现象现象1.被感染的用户系统中所有.exe 可执行文件全部被改成熊猫举着三根香的模样 ,所以也被称为“熊猫烧香”病毒 2.中毒电脑会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象 3.病毒会删除扩展名为 gho 的文件,使用户无法使用 ghost 软件恢复操作系统 4.在硬盘各个分区下生成文件 autorun.inf 和 setup.exe,原理原理1、拷贝文件 病毒运行后,会把自己拷贝到 C:\WINDOWS\System32\Drivers\spoclsv.exe 2、添加注册表自启动 病毒会添加到 svcshare ->C:\WINDOWS\System32\Drivers\spoclsv.exe 3.自动终止大量的反病毒软件进程,每隔若干秒就会扫描计算机的文件发现反病毒软 件自动终止。
4.病毒会删除扩展名为 gho 的文件,该文件是一系统备份工具 GHOST 的备份文件, 使用户的系统备份文件丢失 5.“熊猫烧香”感染系统的.exe .com. f.src .html.asp 文件,添加病毒网址,导致用户一打开这些网页文件,IE 就会自动连接到指定的病毒网址中下载病毒 6.病毒会感染扩展名为 exe,pif,com,src 的文件,把自己附加到文件的头部并在扩展名为 htm,html,asp,php,jsp,aspx 的文件中添加一网址,用户一但打开了该文件,IE 就会不断的在 后台点击写入的网址,达到传播的目的传播途径传播途径1.通过互联网传播 2.通过 U 盘和移动硬盘传播 3.感染网页文件传播 4.通过网站管理者传播 5.自我复制生产病6.局域网传播传播机制传播机制1.感染后自动联网下载病毒 “熊猫烧香”感染系统的.exe .com. f.src .html.asp 文件,添加病毒网址,导致用户一打开这些 网页文件,IE 就会自动连接到指定的病毒网址中下载病毒 2.U 盘和移动硬盘传播 在硬盘各个分区下生成文件 autorun.inf 和 setup.exe,可以通过 U 盘和移动硬盘等方式进行 传播,并且利用 Windows 系统的自动播放功能来运行,搜索硬盘中的.exe 可执行文件并感 染,感染后的文件图标变成“熊猫烧香”图案。
3.病毒会在中毒电脑中所有的网页文件尾部添加病毒代码病毒会感染扩展名为 exe,pif,com,src 的文件,把自己附加到文件的头部并在扩展名为 htm,html,asp,php,jsp,aspx 的 文件中添加一网址 4.一些网站编辑人员的电脑如果被该病毒感染,上传网页到网站后,就会导致用户浏 览这些网站时也被病毒感染5.自我复制生产病毒,病毒建立一个计时器,以 6 秒为周期 在磁盘的根目录下生成 setup.exe(病毒本身)autorun.inf,并利用 AutoRun Open 关联 使病毒在用户点击被感染磁盘时能被自动运行 5.自我复制生产病毒,病毒建立一个计时器,以 6 秒为周期在磁盘的根目录下生成 setup.exe(病毒本身)autorun.inf,并利用 AutoRun Open 关联使病毒在用户点击被感染 磁盘时能被自动运行 6.局域网传播,病毒生成随机个局域网传播线程实现如下的传播方式:当病毒发现能 成功联接攻击目标的 139 或 445 端口后,将使用内置的一个用户列表及密码字典进行联接 (猜测被攻击端的密码)当成功联接上以后将自己复制过去,并利用计划任务启动激活病毒。
清除方法(自动清除方法(自动\手动)手动)自动:自动: 用户及时更新杀毒软件病毒库,并下载各杀毒软件公司提供的专杀工具,即可对“熊猫烧香” 病毒进行查杀 手动:手动: 1.在任务管理器的进程列表中关闭 SPCOLSV.EXE 病毒进程这个 SPCOLSV.EXE 明显是在模仿系统进程 SPOOLSV.EXE 2.删除位于 %SystemRoot%system32Drivers 文件夹中的 SPCOLSV.EXE 文件SystemRoot%system32Drivers 文件夹中不应该存在 .EXE 文件,所以很好找 3.按照 KB555640 提供的方法,恢复资源管理器不能显示隐含文件的问题: 4.每个硬盘分区的根目录都有两个隐含的文件 AUTORUN.INF 和 SETUP.EXE,将这 些垃圾全部删除 5.在注册表 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion Run 中把病毒的启动项 svcshare 删除如果存在多个用户帐户,每个用户帐户的 HKEY_CURRENT_USER 都要清理 6.恢复杀毒软件随系统启动的加载项,以瑞星为例,在注册表 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 中加上一个 RavTask,设置命令为 “C:RiSingRavRavTask.exe“ -system 即可,其中 C:RisingRAV 是瑞 星的默认安装位置。
7.在另一台“安全中心”服务正常的电脑上打开注册表,将 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceswscsvc 的全部内容导出为 .REG 文件,复制到故障电脑上导入注册表,然后重新启动 Windows,恢复被病毒删除的 “安全中心”服务。