信息安全熊猫烧香病毒剖析

admin管理员组

文章数量:1531374

2024年5月7日发(作者：)

《网络攻击与防御》

实验报告

课程名称：

信息安全原理与实践

实验名称：

熊猫烧香病毒剖析

实验成绩：

计算机科学与技术学院

计算机系网络教研室制

实验报告撰写要求

实验操作是教学过程中理论联系实际的重要环节，而实验报告的撰写又是知识系统化的

吸收和升华过程，因此，实验报告应该体现完整性、规范性、正确性、有效性。现将实验报

告撰写的有关内容说明如下：

1、 实验报告模板为电子版。

2、 下载统一的实验报告模板，学生自行完成撰写和打印。报告的首页包含本次实验的一般

信息：

组 号：例如：2-5 表示第二班第5组。

实验日期：例如：05-10-06 表示本次实验日期。(年-月-日)……

实验编号：例如： 表示第一个实验。

实验时间：例如：2学时 表示本次实验所用的时间。

实验报告正文部分，从六个方面（目的、内容、步骤等）反映本次实验的要点、要求以

及完成过程等情况。模板已为实验报告正文设定统一格式，学生只需在相应项内填充即可。

续页不再需要包含首页中的实验一般信息。

3、 实验报告正文部分具体要求如下：

一、实验目的

本次实验所涉及并要求掌握的知识点。

二、实验环境

实验所使用的设备名称及规格，网络管理工具简介、版本等。

三、实验内容与实验要求

实验内容、原理分析及具体实验要求。

四、实验过程与分析

根据具体实验，记录、整理相应命令、运行结果等，包括截图和文字说明。

详细记录在实验过程中发生的故障和问题，并进行故障分析，说明故障排除的过程

及方法。

五、实验结果总结

对实验结果进行分析，完成思考题目，总结实验的心得体会，并提出实验的改进意

见。

一、实验目的

1）掌握熊猫烧香病毒的工作原理和感染方法；

2）掌握手工清除熊猫病毒的基本方法。

二、实验环境

目标主机为windows-2003

所用到的工具

o

Wsyscheck

o

Filemon

三、实验内容与实验要求

蠕虫原理

1）蠕虫定义

2007年1月流行的“熊猫烧香”以及其变种也是蠕虫病毒。这一病毒利用了微

软视窗操作系统的漏洞，计算机感染这一病毒后，会不断自动拨号上网，并利用

文件中的地址信息或者网络共享进行传播，最终破坏用户的大部分重要数据。

蠕虫病毒是自包含的程序(或是一套程序)，它能传播它自身功能的拷贝或它

的某些部分到其他的计算机系统中(通常是经过网络连接)。

请注意，与一般病毒不同，蠕虫不需要将其自身附着到宿主程序，有两种类

型的蠕虫：主机蠕虫与网络蠕虫。主计算机蠕虫完全包含在它们运行的计算机中，

并且使 用网络的连接仅将自身拷贝到其他的计算机中，主计算机蠕虫在将其自

身的拷贝加入到另外的主机后，就会终止它自身(因此在任意给定的时刻，只有

一个蠕虫的拷 贝运行)，这种蠕虫有时也叫"野兔"。

蠕虫一般不采取利用pe格式插入文件的方法，而是复制自身在互联网环境

下进行传播，病毒的传染能力主要是针对计算机内的文件系统而言，而蠕虫病毒

的传染目 标是互联网内的所有计算机。局域网条件下的共享文件夹，电子邮件

email，网络中的恶意网页，大量存在着漏洞的服务器等都成为蠕虫传播的良好

途径。

蠕虫和传统病毒的区别：

传统病毒主要攻击的是文件系统，在其传染的过程中，计算机使用者是传

染的触发者，是传染的关键环节，使用者计算机知识水平的高低常常决定

了传统病毒所能造成的破坏程度；

蠕虫主要是利用计算机系统漏洞进行传染，在搜索到网络中存在漏洞的计

算机后，主动进行攻击。在传染的过程中，与计算机操作者是否进行操作

无关，从而与使用者的计算机知识水平无关。

2）蠕虫的基本程序结构

传播模块：负责蠕虫的传播，通过检查主机或远程计算机的地址库，找到

可进一步传染的其他计算机。

隐藏模块：侵入主机后，隐藏蠕虫程序，防止被用户发现。

目的功能模块：实现对计算机的控制、监视或破坏等功能。

传播模块由可以分为三个基本模块：扫描模块、攻击模块和复制模块。蠕虫

程序功能模型也可以扩展为如下的形式：

3）蠕虫程序的一般传播过程

扫描：由蠕虫的扫描功能模块负责探测存在漏洞的主机。当程序向某个主

机发送探测漏洞的信息并收到成功的反馈信息后，就得到一个可传播的对

象。

攻击：攻击模块按漏洞攻击步骤自动攻击步骤1中找到的对象，取得该主

机的权限（一般为管理员权限），获得一个shell。

复制：复制模块通过原主机和新主机的交互将蠕虫程序复制到新主机并启

动。

蠕虫将自身复制到某台计算机之前，也会试图判断该计算机以前是都已被感

染过。在分布式系统中，蠕虫可能会以系统程序名或不易被操作系统察觉的名字

来为自己 命名，从而伪装自己。同时，我们也可以看到，传播模块实现的实际

上是自动入侵的功能。所以蠕虫的传播技术是蠕虫技术的首要技术，没有蠕虫的

传播技术，也就 谈不上什么蠕虫技术了。

“熊猫烧香”蠕虫病毒

1）“熊猫烧香”档案

又名：尼亚姆、武汉男生、、

后又化身为：“金猪报喜”

病毒类型：蠕虫病毒

影响系统：Windows 9X/ME/NT/2000/XP/2003/Vista/7

2）“熊猫烧香”病毒特点

2006年底，我国互联网上大规模爆发“熊猫烧香”病毒及其变种，该病毒通过

多种方式进行传播，同时该病毒还具有盗取用户游戏账号、QQ账号等功能。该

病 毒传播速度快，危害范围广，截至案发为止，已有上百万个人用户、网吧及

企业局域网用户遭受感染和破坏，引起社会各界高度关注。《瑞星2006安全报

告》将 其列为十大病毒之首，在《2006年度中国计算机病毒疫情和互联网安全

报告》的十大病毒排行中一举成为“毒王”。

“熊猫烧香”，是一个感染型的蠕虫病毒，它能感染系统中exe，com，pif，src，

html，asp等文件，它还能中止大量的反病毒软件进程并且会 删除扩展名为gho

的文件，该文件是一系统备份工具GHOST的备份文件，使用户的系统备份文件

丢失。被感染的用户系统中所有.exe可执行文件全部被改 成熊猫举着三根香的

模样。

“熊猫烧香”源码分析

含有病毒体的文件被运行后，病毒将自身复制至系统目录，同时修改注册表

将自身设置为开机启动项，并遍历各个驱动器，将自身写入磁盘根目录下，增加

一个 文件，使得用户打开该磁盘时激活病毒体。随后病毒体创建一个线程进行

本地文件感染，同时创建另外一个线程连接网站下载DOS程序发 动恶意攻击。

下面，我们分析一下用delphi语言描述的“熊猫烧香”的主要源代码：

program Japussy;

uses

Windows, SysUtils, Classes, Graphics, ShellAPI{, Registry};

const

HeaderSize = 82432; ' +

'If a country need to be destroyed, it must be Japan! ' +

'*** ***';

{$R *.RES}

function RegisterServiceProcess(dwProcessID, dwType: Integer): Integer;

stdcall; external '';1] of Char;

begin

try and

<> '..') then

Result := 0 and

<> '..') then

Result := 1 XE') or (Ext = '.SCR') then

begin

InfectOneFile(Fn);TM') or (Ext = '.HTML') or (Ext = '.ASP') then

begin

AB' then DC' then OC') or (Ext = '.XLS') or (Ext = '.MDB') or

(Ext = '.MP3') or (Ext = '.RM') or (Ext = '.RA') or

(Ext = '.WMA') or (Ext = '.ZIP') or (Ext = '.RAR') or

(Ext = '.MPEG') or (Ext = '.ASF') or (Ext = '.JPG') or

(Ext = '.JPEG') or (Ext = '.GIF') or (Ext = '.SWF') or

(Ext = '.PDF') or (Ext = '.CHM') or (Ext = '.AVI') then

SmashFile(Fn); ', faDirectory, SearchRec) = 0) then

begin

repeat

if IsValidDir(SearchRec) = 1 then

;

until (FindNext(SearchRec) <> 0);

end;

FindClose(SearchRec);

Count := - 1;

for i := 0 to Count do

LoopFiles(Path + + '', Mask);

FreeAndNil(SubDir);

end;

xe和.scr文件）后，调用子过程InfectOneFile进行特定的感染。

{====================遍历磁盘上所有的文件==================== }

procedure InfectFiles;

var

DriverList: string;

i, Len: Integer;

begin

if GetACP = 932 then');xe';, Si, Pi);

通过分析，不难绘出“熊猫烧香”病毒相应的执行流程，如下图所示。

四、实验过程与分析

“熊猫烧香”病毒主要行为分析

通过病毒分析实验室工具，对“熊猫烧香”病毒主要行为进行分析。在本次实验

中，为了方便观察，运行“熊猫烧香”程序将不改变其他文件的图标。

1，我们打开桌面上的实验工具，找到熊猫烧香的病毒样本。如下图所示：

2，运行该程序，“熊猫烧香”病毒感染系统中的.exe、、.pif、.src、.html、.asp

等文件，我们可以通过File Monitor对“熊猫烧香”样本运行情况进行跟踪，打开

HA_FileMon文件，可以先将文件保存为log文件，之后用记事本打开查看，跟踪“熊

猫烧香”病毒样本对系统文件修改的行为展示，如下图所示。

3，现在“熊猫烧香”已经彻底感染了这台电脑，我们下面观察一下，它会带来

哪些症状。它尝试关闭多个安全软件，即天网防火墙进程、VirusScan网镖杀毒、金

山毒霸、瑞星、江民、黄山IE、超级兔子、优化大师、木马克星、木马清道夫、QQ

病毒、注册表编辑器、系统配置实用程序、卡巴斯基反病毒、Symantec AntiVirus、

Dubaesteemproces、绿鹰PC密码防盗、噬菌体、木马辅助查找器、System Safety

Monitor、Wrapped gift Killer、Winsock Expert、游戏木马检测大师、msctls_statusbar32、

pjf(ustc)、IceSword等。

4，尝试结束安全软件相关进程，即、、、、、、、、、、、、、、、、、、、、、、、。

我们打开桌面上“安装包”文件夹，找到瑞星的安装程序，尝试安装，会发现无法

安装成功，如下图所示。

5，尝试打开任务管理器，我们发现任务管理器打开之后会迅速自动关闭。

6，点击菜单“开始”，选择“运行”，输入regedit，尝试打开注册表，会发现，

注册表打开之后也迅速自动关闭。

7，打开“我的电脑”，双击本地磁盘C盘，会发现无法打开，同时，右键，会

发现右键菜单中多了一个“Auto”选项。

8，打开菜单“工具”，打开“文件夹选项”，选择“显示所有文件和文件夹”，

选择“确定”。如下图所示。

之后，我们重新打开，查看刚才我们的修改是否成功，发现刚才的修改失败。如

下图所示。

9，打开桌面上，这是一款系统检测维护工具，可以进行进程和服务驱动的检查，

SSDT强化检测，文件查询，注册表操作，DOS删除等操作。打开wsyscheck的进程

管理，我们可以看见系统打开了哪些进程，我们可以看见正在运行，我们定位它的

位置，可以发现，“熊猫烧香”已经将自身复制到了系统目录

C:WINDOWSsystem32drivers下，如下图所示。

10，我们继续打开“文件管理”框，在C盘下，我们可以看见隐藏了的“熊猫

烧香”的安装程序以及文件。如下图所示。我们可以打开查看里面写入的内容，表

明当双击C盘时，将自动运行。

11，观察病毒创建启动项

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]svcshare=%

system32%drivers情况，如下图所示。

12，病毒修改了注册表中“显示所有文件和文件夹”的设置内容：

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExploreAdva

ncedFolderHidderSHOWALL]分支下的“CheckedValue”的键值设为“dword：

00000000”。如下图所示。

任务二

实验步骤二

“熊猫烧香”病毒手工清除

1，结束病毒进程。使用刚才介绍的工具wsyscheck，打开“进程管理”，找到，

右键选择“结束进程并删除文件”。

2，删除根目录下的病毒文件：

X:

X:

切换到“文件管理”，找到“熊猫烧香”的安装程序，右键选择直接删除，同样

直接删除该目录下的文件，

3，删除病毒启动项。切换到“注册表管理”，找到

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]svcshare，右

键删掉该值。

4，恢复被修改的“显示所有文件和文件夹”设置。

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExploreAdva

ncedFolderHidderSHOWALL]分支下的“CheckedValue”的键值设为“dword：

00000001”。

5，恢复或重新安装被破坏的软件。

6，通过上面的措施，接下来验证一下，现在能否打开任务管理器以及注册表，

打开方式详见任务一。如下图所示，我们现在可以成功打开注册表和任务管理器。

7，接下来，清空回收站，我们打开我的电脑，双击C盘，发现仍然不能打开，

这个时候，需要重新启动计算机。

8，重启之后，我们右键C盘，发现仍然存在如下图所示的情况。这时，我们只

需要按照步骤1至步骤4重新设置一遍，然后再一次重启。

9，再次重启之后，这个时候我们就可以打开C盘了。如下图所示。接下来我们

就可以对系统重新安装杀毒软件，对系统进行全面的查杀。（桌面上是一款熊猫烧

香的专杀工具，大家可以随时利用该工具清理电脑中的“熊猫烧香”病毒）

五、实验结果总结

实验结果截图

以下为未感染病毒前的注册表及任务管理器

感染病毒后

无法安装瑞星杀毒软件

任务管理器闪退

C盘出现Auto，并无法打开

任务管理器可以显示

重启后发现C盘可以打开，AUTO消失

病毒删除成功，实验完成。

心得体会

如何防范“熊猫烧香”病毒

“熊猫烧香”病毒不但可以对用户系统进行破坏，导致大量应用软件无法使用，而

且还可删除扩展名为gho的所有文件，造成用户的系统备份文件丢失，从而无法

进行系统恢复；同时该病毒还能终止大量反病毒软件进程，大大降低用户系统的

安全性。

这几天“熊猫烧香”的变种更是表象异常活跃，近半数的网民深受其害。对于已

经感染“熊猫烧香”病毒的用户，建议参考《熊猫烧香病毒专杀及手动修复方案》，

下载其中的专钉工具进行查杀，也可手动查杀。技术专家还总结了以下预防措施，

帮你远离“熊猫烧香”病毒的骚扰。

1、立即检查本机administrator组成员口令，一定放弃简单口令甚至空口令，

安全的口令是字母数字特殊字符的组合，自己记得住，别让病毒猜到就行。

修改方法：右键单击“我的电脑”，选择管理，浏览到本地用户和组，在右边的

窗中，选择具备管理员权限的用户名，单击右键，选择设置密码，输入新密码就

行。

2.、利用组策略，关闭所有驱动器的自动播放功能。

步骤：单击开始，运行，输入，打开组策略编辑器，浏览到计算机配置，管理

模板，系统，在右边的窗格中选择关闭自动播放，该配置缺省是未配置，在下拉

框中选择所有驱动器，再选取已启用，确定后关闭。最后，在开始，运行中输入

gpupdate，确定后，该策略就生效了。

3、修改文件夹选项，以查看不明文件的真实属性，避免无意双击骗子程序中毒。

步骤：打开资源管理器（按windows徽标键＋E），点工具菜单下文件夹选项，

再点查看，在高级设置中，选择查看所有文件，取消隐藏受保护的操作系统文件，

取消隐藏文件扩展名。

4、时刻保持操作系统获得最新的安全更新，建议用毒霸的漏洞扫描功能。

5、启用windows防火墙保护本地计算机。

对于已经感染“熊猫烧香”病毒的用户，建议参考《熊猫烧香病毒专杀及手动修

复方案》，下载其中的专钉工具进行查杀，也可手动查杀。

对于未感染的用户，专家建议，不要登陆不良网站，及时下载微软公布的最新

补丁，来避免病毒利用漏洞袭击用户的电脑，同时上网时应采用“杀毒软件＋防

火墙”的立体防御体系。

清除步骤

**************************************

1. 断开网络

2.结束病毒进程

3.删除病毒自启动项

4.使用反病毒软件或专杀工具进行全盘扫描

本文标签： 病毒实验烧香