文档介绍：合肥工业大学计算机与信息学院课程: 计算机病毒与反病毒作业名称: 熊猫烧香病毒演示和手工清除姓名: 古鑫学号: 20102680 2014-6-6 合肥工业大学一、关于熊猫烧香病毒 1. 病毒描述其实是一种蠕虫病毒的变种, 熊猫烧香而且是经过多次变种而来的, 由于中毒电脑的可执行文件会出现“熊猫烧香”图案, 所以也被称为“熊猫烧香”病毒。但原病毒只会对 EXE 图标进行替换,并不会对系统本身进行破坏。而大多数是中的病毒变种, 用户电脑中毒后可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。同时, 该病毒的某些变种可以通过局域网进行传播, 进而感染局域网内所有计算机系统, 最终导致企业局域网瘫痪, 无法正常使用, 它能感染系统中 exe , com , pif , src , html , asp 等文件, 它还能终止大量的反病毒软件进程并且会删除扩展名为 gho 的备份文件。 e 可执行文件全部被改成熊猫举着三根香的模样。 2. 中毒症状除了通过网站带毒感染用户之外,此病毒还会在局域网中传播, 中毒时的电脑桌面在极短时间之内就可以感染几千台计算机,严重时可以导致网络瘫痪。中毒电脑上会出现“熊猫烧香”图案, 所以也被称为“熊猫烧香”病毒。中毒电脑会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。 3. 病毒危害病毒会删除扩展名为 gho 的文件, 使用户无法使用 ghost 软件恢复操作系统。中毒时会弹出的窗口“熊猫烧香” .com. . 文件,添加病毒网址,导致用户一打开这些网页文件, IE 就会自动连接到指定的病毒网址中下载病毒。在硬盘各个分区下生成文件 和 , 可以通过 U 盘和移动硬盘等方式进行传播,并且利用 Windows 系统的自动播放功能来运行, 可执行文件并感染,感染后的文件图标变成“熊猫烧香”图案。“熊猫烧香”还可以通过共享文件夹、用户简单密码等多种方式进行传播。该病毒会在中毒电脑中所有的网页文件尾部添加病毒代码。一些网站编辑人员的电脑如果被该病毒感染, 上传网页到网站后, 就会导致用户浏览这些网站时也被病毒感染。据悉, 多家著名网站已经遭到此类攻击, 而相继被植入病毒。由于这些网站的浏览量非常大, 致使“熊猫烧香”病毒的感染范围非常广, 中毒企业和政府机构已经超过千家, 其中不乏金融、税务、能源等关系到国计民生的重要单位。注:江苏等地区成为“熊猫烧香”重灾区。二、熊猫烧香病毒的演示 1. 实验环境、工具及条件 VMware Workstation 虚拟机上的 windows XP professional 版本上,张老师提供的熊猫烧香病毒的样本, UE 工具软件等等 2. 实验目的 1) 了解熊猫烧香病毒及其类似病毒的工作原理 2) 了解病毒对计算机的危害 3) 初步掌握清除一般病毒的方法 3. 实验的过程 1) 解压所提供的的病毒样本; 2) 双击图标运行病毒程序,结果如下,可知计算机已经被病毒所感染: 图1 3) 查看被 C:\Program Files 文件下的应用软件, 发现几乎所有的可执行文件都变成了熊猫的图标,可以验证已经被熊猫烧香病毒所感染: 图2 4) 被熊猫烧香病毒