入侵防范与病毒防范小论文

“熊猫烧香”病毒简介及防范

一、事情起因[1]

2007年1月中旬，湖北省仙桃某行政单位一台办公电脑中毒瘫痪，请网监民警前去帮忙修理，网监民警刚一修好，该台电脑马上又出现中毒症状，原来里面的病毒不能杀灭干净。

事情还没了结，该市江汉热线信息中心向公安局报案：中心服务器大面积感染病毒，技术人员不能修复，中心工作被迫全面停摆。网监民警查看发现感染症状与先前办公电脑中毒的情况几乎一样，电脑屏幕上都出现了一只熊猫手捧三炷香的图案。

此时这种病毒已在全国泛滥，人们形象地叫它“熊猫烧香”病毒。1月24日，仙桃市公安局决定立案侦察。

二、病毒相关[2]

病毒名称:熊猫烧香 ，Worm.WhBoy.（金山称），Worm.Nimaya. （瑞星称） 病毒别名：尼姆亚，武汉男生，后又化身为“金猪报喜”，国外称“熊猫烧香” 危险级别：★★★★★

病毒类型：蠕虫病毒，能够终止大量的反病毒软件和防火墙软件进程。 影响系统：Win 9x/ME、Win 2000/NT、Win XP、Win 2003 、Win Vista 发现时间：2006年10月16日 来源地：中国武汉东湖高新技术开发区关山

其实这是一种蠕虫病毒的变种，而且是经过多次变种而来的。尼姆亚变种

W(Worm.Nimaya.w)，由于中毒电脑的可执行文件会出现“熊猫烧香”图案，所以也被称为 “熊猫烧香”病毒。但原病毒只会对EXE图标进行替换，并不会对系统本身进行破坏。而大多数是中的病毒变种，用户电脑中毒后可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。同时，该病毒的某些变种可以通过局域网进行传播，进而感染局域网内所有计算机系统，最终导致企业局域网瘫痪，无法正常使用，它能感染系统中exe，com，pif，src，html，asp等文件，它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件，该文件是一系统备份工具GHOST的备份文件，使用

1

户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。

三、作者相关[2]

该病毒始作俑者是李俊，武汉新洲区人，25岁。据他的家人以及朋友介绍，他在初中时英语和数学成绩都很不错，但还是没能考上高中，中专在娲石职业技术学校就读，学习的是水泥工艺专业，毕业后曾上过网络技术职业培训班，他朋友讲他是“自学成才，他的大部分电脑技术都是看书自学的”。2004年李俊到北京、广州的网络安全公司求职，但都因学历低的原因遭拒，于是他开始抱着报复社会以及赚钱的目的编写病毒了。他曾在2003年编写了病毒“武汉男生”，2005年他还编写了病毒QQ尾巴，并对“武汉男生”版本更新成为“武汉男生2005”。

此次传播的“熊猫烧香”病毒，作者李俊是先将此病毒在网络中卖给了120余人，每套产品要价500～1000元人民币，每日可以收入8000元左右，最多时一天能赚1万余元人民币，作者李俊因此直接非法获利10万余元。然后由这120余人对此病毒进行改写处理并传播出去的，这120余人的传播造成100多万台计算机感染此病毒，他们将盗取来的网友网络游戏以及QQ帐号进行出售牟利，并使用被病毒感染沦陷的机器组成“僵尸网络”为一些网站带来流量。

四、中毒症状[3]

1.CDEF..盘只能右键打开 并且右键出现AUTO 2.杀毒软件不能启动

3.注册表及任务管理器无法打开

4.EXE文件图标统一变为熊猫拿着3根香的形象 5.隐藏文件无法显示 6.系统备份文件丢失

还有自动静音， 系统盘出现zap程序，某某 runtime error，盘内文件无法删掉，系统自东关闭 以上均为中了熊猫烧香病毒后出现的主要症状

2

除了通过网站带毒感染用户之外，此病毒还会在局域网中传播，在极短时间之内就可以感染几千台计算机，严重时可以导致网络瘫痪。中毒电脑上会出现“熊猫烧香”图案，所以也被称为“熊猫烧香”病毒。中毒电脑会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。

五、病毒原理[4]

（1）病毒描述：

含有病毒体的文件被运行后，病毒将自身拷贝至系统目录，同时修改注册表将自身设置为开机启动项，并遍历各个驱动器，将自身写入磁盘根目录下，增加一个Autorun.inf文件，使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染，同时开另外一个线程连接某网站下载ddos程序进行发动恶意攻击。 （2）病毒基本情况： [文件信息]

病毒名: Virus.Win32.EvilPanda.a.ex$

大 小: 0xDA00 (55808), (disk) 0xDA00 (55808)

SHA1 : F0C3DA82E1620701AD2F0C8B531EEBEA0E8AF69D 壳信息: 未知 危害级别：高

病毒名: Flooder.Win32.FloodBots.a.ex$ 大 小: 0xE800 (59392), (disk) 0xE800 (59392)

SHA1 : B71A7EF22A36DBE27E3830888DAFC3B2A7D5DA0D 壳信息: UPX 0.89.6 - 1.02 / 1.05 - 1.24 危害级别：高

（3）病毒行为：

Virus.Win32.EvilPanda.a.ex$ ：

1、病毒体执行后，将自身拷贝到系统目录： %SystemRoot%\\system32\\FuckJacks.exe

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run Userinit \

2、添加注册表启动项目确保自身在系统重启动后被加载：

键路径：HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run 键名：FuckJacks

键值：\

键路径：HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

3

键名：svohost

键值：\

3、拷贝自身到所有驱动器根目录，命名为Setup.exe，并生成一个autorun.inf使得用户打开该盘运行病毒，并将这两个文件属性设置为隐藏、只读、系统。 C:\\autorun.inf 1KB RHS C:\\setup.exe 230KB RHS

4、关闭众多杀毒软件和安全工具。

5、连接*****.3322.org下载某文件，并根据该文件记录的地址，去www.****.com下载某ddos程序，下载成功后执行该程序。 6、刷新bbs.qq.com，某QQ秀链接。

7、循环遍历磁盘目录，感染文件，对关键系统文件跳过，不感染Windows媒体播放器、MSN、IE 等程序。

Flooder.Win32.FloodBots.a.ex$ ：

1、病毒体执行后，将自身拷贝到系统目录： %SystemRoot%\\SVCH0ST.EXE

%SystemRoot%\\system32\\SVCH0ST.EXE

2、该病毒后下载运行后，添加注册表启动项目确保自身在系统重启动后被加载： 键路径：HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run 键名：Userinit

键值：\

3、连接ddos2.****.com，获取攻击地址列表和攻击配置，并根据配置文件，进行相应的攻击。

配置文件如下： www.victim.net:3389 www.victim.net:80 www.victim.com:80 www.victim.net:80 1 1 120 50000

“熊猫烧香”FuckJacks.exe的变种，和之前的变种一样使用白底熊猫烧香图标，病毒运行后复制自身到系统目录下： %System%\\drivers\\spoclsv.exe 创建启动项：

[HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run] \

修改注册表信息干扰“显示所有文件和文件夹”设置：

4