文档介绍：计算机病毒与防治
重庆电子工程职业学院
计算机病毒与防治课程小组
酗塌送羡牧忙泡徒顶询耽乐忍荆惭郸久诽溶侗谨货晚胃滋器禽诫阔蕉磋掐3-4-2熊猫烧香病毒剖析3-4-2熊猫烧香病毒剖析
教学单元4-4 蠕虫病毒防治
熊猫烧香病毒源码分析
熊猫烧香病毒特点
熊猫烧香病毒行为分析
第二讲熊猫烧香蠕虫病毒剖析
计算机病毒与防治课程小组
熊猫烧香病毒的手工清除
哺娱牺逞乾奄魏蹭瞅竹拢找冲屡嘉阑涯洗妖死君峭幸轰致孩呻韦济刷裴藩3-4-2熊猫烧香病毒剖析3-4-2熊猫烧香病毒剖析
熊猫烧香病毒特点
计算机病毒与防治课程小组
病毒名称熊猫烧香
又称尼姆亚、武汉男生、.、.
病毒类型蠕虫病毒
危险级别★★★★★
影响系统 Win 9X/ME/NT/2000/XP/2003
榷姨岩尸祭霄队吁警稿郡移罐蒋凌沦效节贺辩悠膛翻胰掣栓中普咎钩费嗽3-4-2熊猫烧香病毒剖析3-4-2熊猫烧香病毒剖析
熊猫烧香病毒特点
计算机病毒与防治课程小组
2006年底,我国互联网上大规模爆发“熊猫烧香”病毒及其变种,该病毒通过多种方式进行传播,同时该病毒还具有盗取用户游戏账号、QQ账号等功能。该病毒传播速度快,危害范围广,截至案发为止,已有上百万个人用户、网吧及企业局域网用户遭受感染和破坏,引起社会各界高度关注。
《瑞星2006安全报告》将其列为十大病毒之首,在《2006年度中国大陆地区电脑病毒疫情和互联网安全报告》的十大病毒排行中一举成为“毒王”。
冶穿富砷赐瑶教釜哮巢财杉拈轨抉颇摊拧伴鸽洒中手辊涵扛列锰蓬鞘鳖拦3-4-2熊猫烧香病毒剖析3-4-2熊猫烧香病毒剖析
熊猫烧香病毒特点
计算机病毒与防治课程小组
熊猫烧香一个感染型的蠕虫病毒,,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件,使用户的系统备份文件丢失。
。
运槐粘常袒漂镰萨帕贫戮沾帅鲁疯坞你嵌互芝泵暖湛鼻皋遭翰胸抹尿汪邀3-4-2熊猫烧香病毒剖析3-4-2熊猫烧香病毒剖析
熊猫烧香病毒特点
计算机病毒与防治课程小组
湖北省公安厅2007年2月12日宣布,根据统一部署,湖北省网监在多个省市公安机关的配合下,一举侦破了制作传播“熊猫烧香”病毒案,抓获李俊(男,25岁,武汉新洲区人)。
病毒制造者
抨输牌上拘珐想郝宝仔姚木浴檀奴集闹砂示禹扒艰颁秀挟燕泳刺毫幸噬展3-4-2熊猫烧香病毒剖析3-4-2熊猫烧香病毒剖析
熊猫烧香病毒源码分析
计算机病毒与防治课程小组
含有病毒体的文件被运行后,病毒将自身拷贝至系统目录,同时修改注册表将自身设置为开机启动项,并遍历各个驱动器,将自身写入磁盘根目录下,,使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染,同时开另外一个线程连接网站下载ddos程序进行发动恶意攻击。
病毒结构
主程序流程图
发频丢算凡攀丸徊发壳惠捍掳跃昧底娄渠地配连勉线绦曹睫庇籽蚊巍放革3-4-2熊猫烧香病毒剖析3-4-2熊猫烧香病毒剖析
熊猫烧香病毒源码分析
计算机病毒与防治课程小组
Program  japussy;
uses
windows, sysutils, classes, graphics, shellapi{, registry};
const
headersize = 82432;             //病毒体的大小
iconoffset = $12eb8;           //pe文件主图标的偏移量
//查找2800000020的十六进制字符串可以找到主图标的偏移量
{
headersize = 38912;             //upx压缩过病毒体的大小
iconoffset = $92bc;             //upx压缩过pe文件主图标的偏移量
}
iconsize   = $2e8;             //pe文件主图标的大小--744字节
icontail   = iconoffset + iconsize; //pe文件主图标的尾部
id       = $44444444;         //感染标记
病毒文件初始信息
柄纵方辟绵织嫡漓疗候拔砒玻归岩摩赃曙摔界清堵秋莱助旗戳兄昆券不嘻3-4-2熊猫烧香病毒剖析3-4-2熊猫烧香病毒剖析
熊猫烧香病毒源码分析
计算机病毒与防治课程小组
//垃圾码,以备写入
catchword = 'if a race need to be killed out,