入侵防范与病毒防范小论文.doc

“熊猫烧香”病毒简介及防范一、事情起因12007年1月中旬，湖北省仙桃某行政单位一台办公电脑中毒瘫痪，请网监民警前去帮忙修理，网监民警刚一修好，该台电脑马上又出现中毒症状，原来里面的病毒不能杀灭干净。事情还没了结，该市江汉热线信息中心向公安局报案：中心服务器大面积感染病毒，技术人员不能修复，中心工作被迫全面停摆。网监民警查看发现感染症状与先前办公电脑中毒的情况几乎一样，电脑屏幕上都出现了一只熊猫手捧三炷香的图案。此时这种病毒已在全国泛滥，人们形象地叫它“熊猫烧香”病毒。1月24日，仙桃市公安局决定立案侦察。二、病毒相关2病毒名称:熊猫烧香 ，Worm.WhBoy.（金山称），Worm.Nimaya. （瑞星称） 病毒别名：尼姆亚，武汉男生，后又化身为“金猪报喜”，国外称“熊猫烧香”危险级别： 病毒类型：蠕虫病毒，能够终止大量的反病毒软件和防火墙软件进程。 影响系统：Win 9x/ME、Win 2000/NT、Win XP、Win 2003 、Win Vista发现时间：2006年10月16日来源地：中国武汉东湖高新技术开发区关山其实这是一种蠕虫病毒的变种，而且是经过多次变种而来的。尼姆亚变种W(Worm.Nimaya.w)，由于中毒电脑的可执行文件会出现“熊猫烧香”图案，所以也被称为 “熊猫烧香”病毒。但原病毒只会对EXE图标进行替换，并不会对系统本身进行破坏。而大多数是中的病毒变种，用户电脑中毒后可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。同时，该病毒的某些变种可以通过局域网进行传播，进而感染局域网内所有计算机系统，最终导致企业局域网瘫痪，无法正常使用，它能感染系统中exe，com，pif，src，html，asp等文件，它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件，该文件是一系统备份工具GHOST的备份文件，使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。三、作者相关2 该病毒始作俑者是李俊，武汉新洲区人，25岁。据他的家人以及朋友介绍，他在初中时英语和数学成绩都很不错，但还是没能考上高中，中专在娲石职业技术学校就读，学习的是水泥工艺专业，毕业后曾上过网络技术职业培训班，他朋友讲他是“自学成才，他的大部分电脑技术都是看书自学的”。2004年李俊到北京、广州的网络安全公司求职，但都因学历低的原因遭拒，于是他开始抱着报复社会以及赚钱的目的编写病毒了。他曾在2003年编写了病毒“武汉男生”，2005年他还编写了病毒QQ尾巴，并对“武汉男生”版本更新成为“武汉男生2005”。此次传播的“熊猫烧香”病毒，作者李俊是先将此病毒在网络中卖给了120余人，每套产品要价5001000元人民币，每日可以收入8000元左右，最多时一天能赚1万余元人民币，作者李俊因此直接非法获利10万余元。然后由这120余人对此病毒进行改写处理并传播出去的，这120余人的传播造成100多万台计算机感染此病毒，他们将盗取来的网友网络游戏以及QQ帐号进行出售牟利，并使用被病毒感染沦陷的机器组成“僵尸网络”为一些网站带来流量。四、中毒症状31.CDEF.盘只能右键打开并且右键出现AUTO2.杀毒软件不能启动3.注册表及任务管理器无法打开4.EXE文件图标统一变为熊猫拿着3根香的形象5.隐藏文件无法显示6.系统备份文件丢失还有自动静音，系统盘出现zap程序，某某runtimeerror，盘内文件无法删掉，系统自东关闭以上均为中了熊猫烧香病毒后出现的主要症状除了通过网站带毒感染用户之外，此病毒还会在局域网中传播，在极短时间之内就可以感染几千台计算机，严重时可以导致网络瘫痪。中毒电脑上会出现“熊猫烧香”图案，所以也被称为“熊猫烧香”病毒。中毒电脑会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。五、病毒原理4（1）病毒描述：含有病毒体的文件被运行后，病毒将自身拷贝至系统目录，同时修改注册表将自身设置为开机启动项，并遍历各个驱动器，将自身写入磁盘根目录下，增加一个Autorun.inf文件，使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染，同时开另外一个线程连接某网站下载ddos程序进行发动恶意攻击。（2）病毒基本情况： 文件信息 病毒名: Virus.Win32.EvilPanda.a.ex$ 大 小: 0xDA00 (55808), (disk) 0xDA00 (55808) SHA1 : F0C3DA82E1620701AD2F0C8B531EEBEA0E8AF69D 壳信息: 未知 危害级别：高 病毒名: Flooder.Win32.FloodBots.a.ex$ 大 小: 0xE800 (59392), (disk) 0xE800 (59392) SHA1 : B71A7EF22A36DBE27E3830888DAFC3B2A7D5DA0D 壳信息: UPX 0.89.6 - 1.02 / 1.05 - 1.24 危害级别：高 （3）病毒行为： Virus.Win32.EvilPanda.a.ex$ ： 1、病毒体执行后，将自身拷贝到系统目录： %SystemRoot%system32FuckJacks.exe HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun Userinit C:WIN2Ksystem32SVCH0ST.exe 2、添加注册表启动项目确保自身在系统重启动后被加载： 键路径：HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun 键名：FuckJacks 键值：C:WINDOWSsystem32FuckJacks.exe 键路径：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 键名：svohost 键值：C:WINDOWSsystem32FuckJacks.exe 3、拷贝自身到所有驱动器根目录，命名为Setup.exe，并生成一个autorun.inf使得用户打开该盘运行病毒，并将这两个文件属性设置为隐藏、只读、系统。 C:autorun.inf 1KB RHS C:setup.exe 230KB RHS 4、关闭众多杀毒软件和安全工具。 5、连接*.3322.org下载某文件，并根据该文件记录的地址，去www.*.com下载某ddos程序，下载成功后执行该程序。 6、刷新，某QQ秀链接。 7、循环遍历磁盘目录，感染文件，对关键系统文件跳过，不感染Windows媒体播放器、MSN、IE 等程序。 Flooder.Win32.FloodBots.a.ex$ ：1、病毒体执行后，将自身拷贝到系统目录： %SystemRoot%SVCH0ST.EXE %SystemRoot%system32SVCH0ST.EXE 2、该病毒后下载运行后，添加注册表启动项目确保自身在系统重启动后被加载： 键路径：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 键名：Userinit 键值：C:WINDOWSsystem32SVCH0ST.exe3、连接ddos2.*.com，获取攻击地址列表和攻击配置，并根据配置文件，进行相应的攻击。 配置文件如下： :3389 :80 :80 :80 1 1 120 50000 “熊猫烧香”FuckJacks.exe的变种，和之前的变种一样使用白底熊猫烧香图标，病毒运行后复制自身到系统目录下： %System%driversspoclsv.exe 创建启动项： HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun svcshare=%System%driversspoclsv.exe 修改注册表信息干扰“显示所有文件和文件夹”设置： HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL CheckedValue=dword:00000000 在各分区根目录生成副本： X:setup.exe X:autorun.inf autorun.inf内容： AutoRun OPEN=setup.exe shellexecute=setup.exe shellAutocommand=setup.exe 尝试关闭下列窗口： QQKav QQAV VirusScan Symantec AntiVirus Duba Windows esteem procs System Safety Monitor Wrapped gift Killer Winsock Expert msctls_statusbar32 pjf(ustc) IceSword结束一些对头的进程： Mcshield.exe VsTskMgr.exe naPrdMgr.exe UpdaterUI.exe TBMon.exe scan32.exe Ravmond.exe CCenter.exe RavTask.exe Rav.exe Ravmon.exeRavmonD.exe RavStub.exe KVXP.kxp KvMonXP.kxp KVCenter.kxp KVSrvXP.exe KRegEx.exe UIHost.exe TrojDie.kxp FrogAgent.exe Logo1_.exe Logo_1.exe Rundl132.exe 禁用一系列服务： Schedule sharedaccess RsCCenter RsRavMon RsCCenter RsRavMon KVWSC KVSrvXP kavsvc AVP McAfeeFramework McShield McTaskManager navapsvc wscsvc KPfwSvc SNDSrvc ccProxy ccEvtMgr ccSetMgr SPBBCSvc Symantec Core LC NPFMntor MskService FireSvc 删除若干安全软件启动项信息： RavTask KvMonXP kav KAVPersonal50 McAfeeUpdaterUI Network Associates Error Reporting Service ShStatEXE YLive.exe yassistse 使用net share命令删除管理共享： net share X$ /del /y net share admin$ /del /y net share IPC$ /del /y 遍历目录，感染除以下系统目录外其它目录中的exe、com、scr、pif文件： X:WINDOWS X:Winnt X:System Volume Information X:Recycled %ProgramFiles%Windows NT %ProgramFiles%WindowsUpdate %ProgramFiles%Windows Media Player %ProgramFiles%Outlook Express %ProgramFiles%Internet Explorer %ProgramFiles%NetMeeting %ProgramFiles%Common Files %ProgramFiles%ComPlus Applications %ProgramFiles%Messenger %ProgramFiles%InstallShield Installation Information %ProgramFiles%MSN %ProgramFiles%Microsoft Frontpage %ProgramFiles%Movie Maker %ProgramFiles%MSN Gamin Zone 将自身捆绑在被感染文件前端，并在尾部添加标记信息： .WhBoy原文件名.exe.原文件大小. 与之前变种不同的是，这个病毒体虽然是22886字节，但是捆绑在文件前段的只有22838字节，被感染文件运行后会出错，而不会像之前变种那样释放出原文件名.exe的原始正常文件。 另外还发现病毒会覆盖少量exe，删除.gho文件。 病毒还尝试使用弱密码访问局域网内其它计算机： password harley golf pussy mustang shadow fish qwerty baseball letmcadmin abc pass passwd database abcd abc123 sybase 123qwe server computer super 123asd ihavenopass godblessyou enable alpha 1234qwer 123abc aaa patrick pat administrator root sex god foobar secret test test123 temp temp123 win asdfpwd qwer yxcv zxcv home xxxowner login Login love mypc mypc123 admin123 mypass mypass123 AdministratorGuestadmin Root六、解决办法31. 断开网络 2. 结束病毒进程 %System%driversspoclsv.exe 3. 删除病毒文件： %System%driversspoclsv.exe 4. 右键点击分区盘符，点击右键菜单中的“打开”进入分区根目录，删除根目录下的文件： X:setup.exe X:autorun.inf 5. 删除病毒创建的启动项： HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun svcshare=%System%driversspoclsv.exe （若不想做上述步骤而想重装系统也可以，但是在重做C:盘.(此时C盘是干净的)做完 后千万不要双击任何别的盘.再接着做下面的步聚。）6. 修改注册表设置，恢复“显示所有文件和文件夹”选项功能： HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL CheckedValue=dword:00000001 7. 修复或重新安装反病毒软件 8. 使用反病毒软件或专杀工具进行全盘扫描，清除恢复被感染的exe文件手动恢复中毒文件（在虚拟机上通过测试，供参考）41.在清除病毒文件的同时不删除%SYSTEM%下面释放*Jacks.exe的这个文件，即执行之前的步骤1、2、4、5。2.打开“运行”输入“gpedit.msc”打开组策略本地计算机策略windows设置安全设置软件限制策略其它规则。在其它规则上右键选择新散列规则打开新散列规则窗口3.在文件散列上点击浏览找到%SYSTEM%下面释放*Jacks.exe文件。安全级别选择不允许的。确定后重启。4.重启后可以双击运行已经被熊猫感染的程序。运行程序后该*Jacks.exe文件会在注册表里的Run键下建立启动项（不会有问题的）。5.双击运行被感染的程序已经恢复原来样子了。全部回春螅 肧REng把*Jacks.exe在注册表里的启动项删除即可！如何防止局域网传播：首先，让我们来了解一下“熊猫烧香”，其别名为“尼姆亚”，最早出现在2006年的11月，到目前为止已经有数十个不同变种 ，除了通过网站带毒感染用户之外，此病毒还会感染优盘，并会在局域网中传播，在极短时间之内就可以感染几千台计算机，严重时可以导致网络瘫痪。中毒电脑上会出现“熊猫烧香”图案，并出现蓝屏、频繁重启，以及系统硬盘中数据文件被破坏等现象，优盘上会出现3个EXE文件，并无法正常打开。发现熊猫烧香的方法： 1、你可以拿有写保护功能的优盘，打开写保护，插在被感染电脑上，这时会出现spoclsv.exe(系统文件为“spoolsv.exe”只差一个字母，大家可要看清楚哦)不断写你的优盘。 2、打开“我的电脑”“工具”“文件夹选项”“查看”把“隐藏受保护的操作系统文件”的勾去掉，并选择“显示所有文件和文件夹”“确定”。这时，用右键打开各本地盘，里面都会出现“setup.exe”文件，图标为一只可爱的熊猫在烧香。3、ctrl+alt+de