文档介绍:Panda熊猫烧香病毒查杀实验
目录
一、实训目的
二、实训知识准备
三、实训要求
四、实训环境
一、实训目的
通过对熊猫烧香病毒两个变种的分析、观察、查杀,了解此类病毒的特点。并熟悉安全模式杀毒,及利用工具修复被感染文件的方法。
二、实训知识准备
1. 病毒名称
2. 病毒别名
3. 病毒文件信息
.
MD5:121911e0995c530bad4ec8c98ba3003e
SHA1:b6d1bda8fbf5609db8a22d359178345231b7c8ea
壳:无
.
MD5:13128116337312a09752837fef762de0
SHA1:0fa434af07af3e2e27d4
壳:UPolyX
4. 影响系统
Win 9X/ME/NT/2000/XP/2003
二、实训知识准备
5. 病毒类型
蠕虫病毒
6. 病毒大小
317KB
39KB
7. 传播方式
本地磁盘感染,局域网传播
8. 病毒特征
这是一个感染型的蠕虫病毒,, pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件,该文件是一系统备份工具 GHOST的备份文件,使用户的系统备份文件丢失。。
9. 病毒行为
该病毒的主要行为()
二、实训知识准备
. 传播
. 本地磁盘感染
病毒对系统中所有除了盘符为A,B的磁盘类型为DRIVE_REMOTE,DRIVE_FIXED的磁盘进行
文件遍历感染注:不感染文件大小超过10485760字节以上的.
(病毒将不感染如下目录的文件):
Microsoft Frontpage;Movie Maker;MSN Gamin mon Files;Windows NT;Recycled;System Volume Information;Documents and Settings;....
(病毒将不感染文件名如下的文件):
;
病毒将使用两类感染方式应对不同后缀的文件名进行感染。
1) 二进制可执行文件(后缀后为:EXE,SCR,)
将感染目标文件和病毒溶合成一个文件(被感染文件贴在病毒文件尾部)完成感染.
2) 脚本类(后缀名为:htm,html,asp,php,jsp,aspx)
在这些脚本文件尾加上如下链接(下边的页面存在安全漏洞):
<iframe src= width=height=0></iframe>
3)
,写上当前日期标记已被感染
二、实训知识准备
.
病毒建立一个计时器以,(病毒本身) 并利用AutoRun Open关联
使病毒在用户点击被感染磁盘时能被自动运行。这两个文件需在重启机器后起作用。
. 局域网传播
病毒生成随机个局域网传播线程实现如下的传播方式:
当病毒发现能成功联接攻击目标的139或445端口后,将使用内置的一个用户列表及密码字典进行联接.(猜测被攻击端的密码)当成功的联接上以后将自己复制过去并利用计划任务将病毒体拷贝到网络计算机的文件夹中:'\Documents and Settings\All Users\Start Menu\Programs\Startup\', '\Documents and Settings\All Users\「开始」菜单\程序\启动\', '\WINDOWS\Start Menu\Programs\Startup\'。
启动激活病毒。
被尝试猜测密码的账户号为:
Administrator;Guest;admin;Root
用来进行密码尝试的字典为:
1234;password;6969;harley;123456;golf;pussy;mustang;1111;shadow;1313;fish;5150;7777;qwerty;baseball;2112;letmein;mein;12345678;12345;admin;5201314