蠕虫病毒

“熊猫烧香”

2006年10月16日，25岁的中国湖北武汉新洲区人李俊 编写了熊猫烧香病毒。该病毒拥有感染传播功能，2007 年1月初肆虐网络。它主要通过下载的档案传染，受到 感染的机器文件因为被误携带间接对其它计算机程序、 系统破坏严重。2013年6月病毒制造者张顺和李俊因伙 同他人开设网络赌场，再次获刑。当时被感染的用户有 几百万，无数企业局域网瘫痪。以至于多年以后，有网 友听到“熊猫烧香”仍谈之色变。 由于“熊猫烧香”事件造成的破坏巨大，影响恶劣，李 俊当时被判有期徒刑四年、张顺判处有期徒刑二年。

病毒原理

它能感染系统中exe，com，pif，src，html，asp等文件， 它还能终止大量的反病毒软件进程并且会删除扩展名为 gho的备份文件。被感染的用户系统中所有.exe可执行文 件全部被改成熊猫举着三根香的模样。
中毒症状
中毒症状
“熊猫烧香”不感染的文件

盘符为A，B的磁盘，类型为DRIVE_REMOTE， DRIVE_FIXED的磁盘。
生成文件

病毒建立一个计时器，以6秒为周期在磁盘的根目录下 生成setup.exe（病毒本身）autorun.inf，并利用 AutoRun Open关联使病毒在用户点击被感染磁盘时能被 自动运行。
局域网传播
病毒生成随机个局域网传播线程实现如下的传播方式： 1、当病毒发现能成功联接攻击目标的139或445端口后， 将使用内置的一个用户列表及密码字典进行联接（猜测被 攻击端的密码）。当成功联接上以后将自己复制过去，并 利用计划任务启动激活病毒。 2、修改操作系统的启动关联。 3、下载文件启动。 4、与杀毒软件对抗。
疑问

为什么在当时危害性极大的“熊猫烧香病毒”如今可以 被轻易检测查杀？
由于当年的杀毒技术能力有限，对于加壳病毒的查杀 效果并不好，但是由于技术的不断进步和作者的入狱，熊 猫烧香只在中国肆虐了一段时间。
其次熊猫烧香实际上就是威金病毒加了个壳，而且它 没有运用到任何Rootkit技术，差不多一两年就衰落了。

病毒原理

“熊猫烧香”是一种蠕虫病毒的变种，而且是经过多次 变种而来的，被感染的用户系统中所有.exe可执行文件 全部被改成熊猫举着三根香的模样，所以也被称为“熊 猫烧香”病毒。但原病毒只会对EXE图标进行替换，并 不会对系统本身进行破坏。 用户电脑中毒后可能会出现蓝屏、频繁重启以及系统硬 盘中数据文件被破坏等现象。同时，该病毒的某些变种 可以通过局域网进行传播，进而感染局域网内所有计算 机系统，最终导致企业局域网瘫痪。


文件大小超过10485760字节以上的。
如下目录的文件：Microsoft Frontpage、Movie Maker、 MSN Gamin Zone、Common Files、Windows NT、 Recycled、System Volume 、Information、Documents and Settings…… 文件名如下的文件：setup.exe。
没了

本地磁盘感染运行过程
病毒使用两类感染方式应对不同后缀的文件名进行感 染。
1）二进制可执行文件（后缀名为：EXE, SCR, PIF, COM）。 将感染目标文件和病毒溶合成一个文件（被感染文件贴在 病毒文件尾部）完成感染。
2）脚本类（后缀名为：htm, html, asp, php, jsp, aspx）。 在这些脚本文件尾加上存在安全漏洞页面链接，在感染时 会删除这些磁盘上的后缀名为.GHO的Ghost备份文件。
小组成员： 王东 叶玉明 叶鹏飞 张航 庹林琰 钟楚维
蠕虫病毒
来自百度文库
特征

电脑蠕虫是一种能够自我复制的电脑程序，利用网络和 电子邮件进行复制和传播。


与一般病毒不同，电脑蠕虫不需要附在别的程序内。
电脑蠕虫可能会执行垃圾代码以发动分布式拒绝服务攻 击（DDoS），令计算机的执行效率极大程度降低，从而 影响计算机的正常使用。 电脑蠕虫可能会损毁或修改目标电脑的档案。