计算机病毒--熊猫烧香

1、计算机病毒计算机病毒-熊猫烧香熊猫烧香11 教本一班 孟奇 110401041115社会背景社会背景熊猫烧香（英文名 Worm.WhBoy.cw）是一种经过多次变种的“蠕虫病毒”变种，2006 年 10 月 16 日由 25 岁的中国湖北武汉新洲区人李俊编写，拥有感染传播功能，2007 年 1 月初肆虐网络，它主要通过下载的档案传染，受到感染的机器文件因为被误携带间接对其 它计算机程序、系统破坏严重。 计算机病毒（Computer Virus）是编制者在计算机程序中插入的破坏计算机功能或者数 据的代码，能影响计算机使用，能自我复制的一组计算机指令或者程序代码。 计算机病毒具有传播性、隐蔽性、感染性、潜伏性、可激发性、表现性或破坏性。计 算机病毒的生命周期：开发期传染期潜伏期发作期发现期消化期消亡期。 计算机病毒是一个程序，一段可执行码。就像生物病毒一样，具有自我繁殖、互相传 染以及激活再生等生物病毒特征。计算机病毒有独特的复制能力，它们能够快速蔓延，又 常常难以根除。它们能把自身附着在各种类型的文件上，当文件被复制或从一个用户传送 到另一个用户时，它们就随同文件一起蔓延开来。经济损失经

2、济损失2006 年爆发的“熊猫烧香”病毒给我国互联网行业造成了巨大恐慌，数百万台计算机 受到影响，造成的经济损失难以估量。据悉，多家著名网站已经遭到此类攻击，而相继被 植入病毒。由于这些网站的浏览量非常大，致使“熊猫烧香”病毒的感染范围非常广，中毒 企业和政府机构已经超过千家，其中不乏金融、税务、能源等关系到国计民生的重要单位。 江苏等地区成为“熊猫烧香”重灾区。至此，据不完全统计，仅 2007 年变种数已达 90 多个， 个人用户感染熊猫烧香的已经高达几百万，企业用户感染数还在继续上升。现象现象1.被感染的用户系统中所有.exe 可执行文件全部被改成熊猫举着三根香的模样。 ，所以也被称为“熊猫烧香”病毒。 2.中毒电脑会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。 3.病毒会删除扩展名为 gho 的文件，使用户无法使用 ghost 软件恢复操作系统。 4.在硬盘各个分区下生成文件 autorun.inf 和 setup.exe，原理原理1、拷贝文件 病毒运行后，会把自己拷贝到 C:WINDOWSSystem32Driversspoclsv.exe 2、添加注册表自启动 病毒

3、会添加到 svcshare -C:WINDOWSSystem32Driversspoclsv.exe 3.自动终止大量的反病毒软件进程，每隔若干秒就会扫描计算机的文件发现反病毒软 件自动终止。 4.病毒会删除扩展名为 gho 的文件，该文件是一系统备份工具 GHOST 的备份文件， 使用户的系统备份文件丢失。 5.“熊猫烧香”感染系统的.exe .com. f.src .html.asp 文件，添加病毒网址，导致用户一打开这些网页文件，IE 就会自动连接到指定的病毒网址中下载病毒。 6.病毒会感染扩展名为 exe,pif,com,src 的文件，把自己附加到文件的头部并在扩展名为 htm,html,asp,php,jsp,aspx 的文件中添加一网址，用户一但打开了该文件，IE 就会不断的在 后台点击写入的网址，达到传播的目的。传播途径传播途径1.通过互联网传播。 2.通过 U 盘和移动硬盘传播 3.感染网页文件传播。 4.通过网站管理者传播。 5.自我复制生产病。6.局域网传播。传播机制传播机制1.感染后自动联网下载病毒。 “熊猫烧香”感染系统的.exe .com. f.src .h

4、tml.asp 文件，添加病毒网址，导致用户一打开这些 网页文件，IE 就会自动连接到指定的病毒网址中下载病毒。 2.U 盘和移动硬盘传播 在硬盘各个分区下生成文件 autorun.inf 和 setup.exe，可以通过 U 盘和移动硬盘等方式进行 传播，并且利用 Windows 系统的自动播放功能来运行，搜索硬盘中的.exe 可执行文件并感 染，感染后的文件图标变成“熊猫烧香”图案。 3.病毒会在中毒电脑中所有的网页文件尾部添加病毒代码。病毒会感染扩展名为 exe,pif,com,src 的文件，把自己附加到文件的头部并在扩展名为 htm,html,asp,php,jsp,aspx 的 文件中添加一网址。 4.一些网站编辑人员的电脑如果被该病毒感染，上传网页到网站后，就会导致用户浏 览这些网站时也被病毒感染。5.自我复制生产病毒，病毒建立一个计时器，以 6 秒为周期 在磁盘的根目录下生成 setup.exe（病毒本身）autorun.inf，并利用 AutoRun Open 关联 使病毒在用户点击被感染磁盘时能被自动运行。 5.自我复制生产病毒，病毒建立一个计时器，以 6 秒为周期

5、在磁盘的根目录下生成 setup.exe（病毒本身）autorun.inf，并利用 AutoRun Open 关联使病毒在用户点击被感染 磁盘时能被自动运行。 6.局域网传播，病毒生成随机个局域网传播线程实现如下的传播方式：当病毒发现能 成功联接攻击目标的 139 或 445 端口后，将使用内置的一个用户列表及密码字典进行联接 （猜测被攻击端的密码）。当成功联接上以后将自己复制过去，并利用计划任务启动激活病毒。清除方法（自动清除方法（自动手动）手动）自动：自动： 用户及时更新杀毒软件病毒库，并下载各杀毒软件公司提供的专杀工具，即可对“熊猫烧香” 病毒进行查杀。 手动：手动： 1.在任务管理器的进程列表中关闭 SPCOLSV.EXE 病毒进程。这个 SPCOLSV.EXE 明显是在模仿系统进程 SPOOLSV.EXE。 2.删除位于 %SystemRoot%system32Drivers 文件夹中的 SPCOLSV.EXE 文件。%SystemRoot%system32Drivers 文件夹中不应该存在 .EXE 文件，所以很好找。 3.按照 KB555640 提供的方法，恢复资源管理器

6、不能显示隐含文件的问题： 4.每个硬盘分区的根目录都有两个隐含的文件 AUTORUN.INF 和 SETUP.EXE，将这 些垃圾全部删除。 5.在注册表 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion Run 中把病毒的启动项 svcshare 删除。如果存在多个用户帐户，每个用户帐户的 HKEY_CURRENT_USER 都要清理。 6.恢复杀毒软件随系统启动的加载项，以瑞星为例，在注册表 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 中加上一个 RavTask，设置命令为 “C:RiSingRavRavTask.exe“ -system 即可，其中 C:RisingRAV 是瑞 星的默认安装位置。 7.在另一台“安全中心”服务正常的电脑上打开注册表，将 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceswscsvc 的全部内容导出为 .REG 文件，复制到故障电脑上导入注册表，然后重新启动 Windows，恢复被病毒删除的 “安全中心”服务。

《计算机病毒--熊猫烧香》由会员飞***分享，可在线阅读，更多相关《计算机病毒--熊猫烧香》请在金锄头文库上搜索。