admin 管理员组文章数量: 1087139
2024年4月24日发(作者:织梦首页调用下载链接)
计算机病毒---熊猫烧香
11教本一班 孟奇 11
社会背景
熊猫烧香(英文名)是一种经过多次变种的“蠕虫病毒”变种,2006
年10月16日由25岁的中国湖北武汉新洲区人李俊编写,拥有感染传播功能,2007年1月
初肆虐网络,它主要通过下载的档案传染,受到感染的机器文件因为被误携带间接对其它计
算机程序、系统破坏严重。
计算机病毒(Computer Virus)是编制者在计算机程序中插入的破坏计算机功能或者数
据的代码,能影响计算机使用,能自我复制的一组计算机指令或者程序代码。
计算机病毒具有传播性、隐蔽性、感染性、潜伏性、可激发性、表现性或破坏性。计算
机病毒的生命周期:开发期→传染期→潜伏期→发作期→发现期→消化期→消亡期。
计算机病毒是一个程序,一段可执行码。就像生物病毒一样,具有自我繁殖、互相传染
以及激活再生等生物病毒特征。计算机病毒有独特的复制能力,它们能够快速蔓延,又常常
难以根除。它们能把自身附着在各种类型的文件上,当文件被复制或从一个用户传送到另一
个用户时,它们就随同文件一起蔓延开来。
经济损失
2006年爆发的“熊猫烧香”病毒给我国互联网行业造成了巨大恐慌,数百万台计算机
受到影响,造成的经济损失难以估量。据悉,多家著名网站已经遭到此类攻击,而相继被植
入病毒。由于这些网站的浏览量非常大,致使“熊猫烧香”病毒的感染范围非常广,中毒企业
和政府机构已经超过千家,其中不乏金融、税务、能源等关系到国计民生的重要单位。江苏
等地区成为“熊猫烧香”重灾区。至此,据不完全统计,仅2007年变种数已达90多个,个人
用户感染熊猫烧香的已经高达几百万,企业用户感染数还在继续上升。
现象
1.被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。
,所以也被称为“熊猫烧香”病毒。
2.中毒电脑会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。
3.病毒会删除扩展名为gho的文件,使用户无法使用ghost软件恢复操作系统。
4.在硬盘各个分区下生成文件和,
原理
1、拷贝文件
病毒运行后,会把自己拷贝到C:
2、添加注册表自启动
病毒会添加到svcshare ->C:
3.自动终止大量的反病毒软件进程,每隔若干秒就会扫描计算机的文件发现反病毒软件
自动终止。
4.病毒会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件,使
用户的系统备份文件丢失。
5.“熊猫烧香”感染系统的.exe .com. .文件,添加病毒网址,导致用户一打开
这些网页文件,IE就会自动连接到指定的病毒网址中下载病毒。
6.病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部并在扩展名为
htm,html,asp,php,jsp,aspx的文件中添加一网址,用户一但打开了该文件,IE就会不断的在后
台点击写入的网址,达到传播的目的。
传播途径
1.通过互联网传播。
2.通过U盘和移动硬盘传播
3.感染网页文件传播。
4.通过网站管理者传播。
5.自我复制生产病。
6.局域网传播
。
传播机制
1.感染后自动联网下载病毒。
“熊猫烧香”感染系统的.exe .com. .文件,添加病毒网址,导致用户一打开这些
网页文件,IE就会自动连接到指定的病毒网址中下载病毒。
2.U盘和移动硬盘传播
在硬盘各个分区下生成文件和,可以通过U盘和移动硬盘等方式进行
传播,并且利用Windows系统的自动播放功能来运行,搜索硬盘中的.exe可执行文件并感
染,感染后的文件图标变成“熊猫烧香”图案。
3.病毒会在中毒电脑中所有的网页文件尾部添加病毒代码。病毒会感染扩展名为
exe,pif,com,src的文件,把自己附加到文件的头部并在扩展名为htm,html,asp,php,jsp,aspx的
文件中添加一网址。
4.一些网站编辑人员的电脑如果被该病毒感染,上传网页到网站后,就会导致用户浏览
这些网站时也被病毒感染。5.自我复制生产病毒,病毒建立一个计时器,以6秒为周期在磁
盘的根目录下生成(病毒本身),并利用AutoRun Open关联使病毒
在用户点击被感染磁盘时能被自动运行。
5.自我复制生产病毒,病毒建立一个计时器,以6秒为周期在磁盘的根目录下生成
(病毒本身),并利用AutoRun Open关联使病毒在用户点击被感染
磁盘时能被自动运行。
6.局域网传播,病毒生成随机个局域网传播线程实现如下的传播方式:当病毒发现能成
功联接攻击目标的139或445端口后,将使用内置的一个用户列表及密码字典进行联接(猜
测被攻击端的密码)。当成功联接上以后将自己复制过去,并利用计划任务启动激活病毒
。
清除方法(自动手动)
自动:
用户及时更新杀毒软件病毒库,并下载各杀毒软件公司提供的专杀工具,即可对“熊猫烧香”
病毒进行查杀。
手动:
1.在任务管理器的进程列表中关闭 病毒进程。这个 明
显是在模仿系统进程 。
2.删除位于 %SystemRoot%system32Drivers 文件夹中的 文
件。%SystemRoot%system32Drivers 文件夹中不应该存在 .EXE 文件,所以很好找。
3.按照 KB555640 提供的方法,恢复资源管理器不能显示隐含文件的问题:
4.每个硬盘分区的根目录都有两个隐含的文件 和 ,将这
些垃圾全部删除。
5.在注册表 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion
Run 中把病毒的启动项 svcshare 删除。如果存在多个用户帐户,每个用户帐户的
HKEY_CURRENT_USER 都要清理。
6.恢复杀毒软件随系统启动的加载项,以瑞星为例,在注册表
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 中加上一个
RavTask,设置命令为 "C:" -system 即可,其中 C:RisingRAV 是瑞星
的默认安装位置。
7.在另一台“安全中心”服务正常的电脑上打开注册表,将
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceswscsvc 的全部内容导出
为 .REG 文件,复制到故障电脑上导入注册表,然后重新启动 Windows,恢复被病毒删除
的“安全中心”服务。
版权声明:本文标题:计算机病毒--熊猫烧香 内容由网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:http://roclinux.cn/b/1713960818a659432.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论