計算機(jī)病毒-熊貓燒香知識科普
計算機(jī)病毒-熊貓燒香知識科普
今天學(xué)習(xí)啦小編要跟大家講解下計算機(jī)病毒史中非常出名的“熊貓燒香”,下面就是學(xué)習(xí)啦小編為大家整理到的資料,請大家認(rèn)真看看!
計算機(jī)病毒-熊貓燒香知識科普
熊貓燒香跟灰鴿子不同,這是名副其實的病毒,是一種經(jīng)過多次變種的“蠕蟲病毒”變種,2006年10月16日由25歲的中國湖北武漢新洲區(qū)人李俊編寫,擁有感染傳播功能,2007年1月初肆虐網(wǎng)絡(luò),它主要通過下載的檔案傳染,受到感染的機(jī)器文件因為被誤攜帶間接對其它計算機(jī)程序、系統(tǒng)破壞嚴(yán)重。2013年6月病毒制造者張順和李俊伙同他人開設(shè)網(wǎng)絡(luò)賭場案,再次獲刑。
病毒原理
其實是一種蠕蟲病毒的變種,
而且是經(jīng)過多次變種而來的,由于中毒電腦的可執(zhí)行文件會出現(xiàn)“熊貓燒香”圖案,所以也被稱為 “熊貓燒香”病毒。但原病毒只會對EXE圖標(biāo)進(jìn)行替換,并不會對系統(tǒng)本身進(jìn)行破壞。而大多數(shù)是中等病毒變種,用戶電腦中毒后可能會出現(xiàn)藍(lán)屏、頻繁重啟以及系統(tǒng)硬盤中數(shù)據(jù)文件被破壞等現(xiàn)象。同時,該病毒的某些變種可以通過局域網(wǎng)進(jìn)行傳播,進(jìn)而感染局域網(wǎng)內(nèi)所有計算機(jī)系統(tǒng),最終導(dǎo)致企業(yè)局域網(wǎng)癱瘓,無法正常使用,它能感染系統(tǒng)中exe,com,pif,src,html,asp等文件,它還能終止大量的反病毒軟件進(jìn)程并且會刪除擴(kuò)展名為gho的備份文件。被感染的用戶系統(tǒng)中所有.exe可執(zhí)行文件全部被改成熊貓舉著三根香的模樣。
中毒癥狀
除通過網(wǎng)站帶毒感染用戶之外,此病毒還會在局域網(wǎng)中傳播,在極短時間之內(nèi)就可以感染幾千臺計算機(jī),嚴(yán)重時可以導(dǎo)致網(wǎng)絡(luò)癱瘓。中毒電腦上會出現(xiàn)“熊貓燒香”圖案,所以也被稱為“熊貓燒香”病毒。中毒電腦會出現(xiàn)藍(lán)屏、頻繁重啟以及系統(tǒng)硬盤中數(shù)據(jù)文件被破壞等現(xiàn)象。
病毒危害
病毒會刪除擴(kuò)展名為gho的文件,使用戶無法使用ghost軟件恢復(fù)操作系統(tǒng)。
“熊貓燒香”感染系統(tǒng)的.exe .com. f.src .html.asp文件,添加病毒網(wǎng)址,導(dǎo)致用戶一打開這些網(wǎng)頁文件,IE就會自動連接到指定的病毒網(wǎng)址中下載病毒。在硬盤各個分區(qū)下生成文件autorun.inf和setup.exe,可以通過U盤和移動硬盤等方式進(jìn)行傳播,并且利用Windows系統(tǒng)的自動播放功能來運行,搜索硬盤中的.exe可執(zhí)行文件并感染,感染后的文件圖標(biāo)變成“熊貓燒香”圖案。
“熊貓燒香”還可以通過共享文件夾、用戶簡單密碼等多種方式進(jìn)行傳播。該病毒會在中毒電腦中所有的網(wǎng)頁文件尾部添加病毒代碼。
一些網(wǎng)站編輯人員的電腦如果被該病毒感染,上傳網(wǎng)頁到網(wǎng)站后,就會導(dǎo)致用戶瀏覽這些網(wǎng)站時也被病毒感染。據(jù)悉,多家著名網(wǎng)站已經(jīng)遭到此類攻擊,而相繼被植入病毒。由于這些網(wǎng)站的瀏覽量非常大,致使“熊貓燒香”病毒的感染范圍非常廣,中毒企業(yè)和政府機(jī)構(gòu)已經(jīng)超過千家,其中不乏金融、稅務(wù)、能源等關(guān)系到國計民生的重要單位。注:江蘇等地區(qū)成為“熊貓燒香”重災(zāi)區(qū)。
變種病毒
至此,據(jù)不完全統(tǒng)計,僅12月份至今,變種數(shù)已達(dá)90多個,個人用戶感染熊貓燒香的已經(jīng)高達(dá)幾百萬,企業(yè)用戶感染數(shù)還在繼續(xù)上升。反防毒專家表示,伴隨著各大殺毒廠商對“熊貓燒香”病毒的集中絞殺,該病毒正在不斷“繁衍”新的變種,密謀更加隱蔽的傳播方式。反病毒專家建議,用戶不打開可疑郵件和可疑網(wǎng)站,不要隨便運行不知名程序或打開陌生人郵件的附件。
傳播方法
金山分析:這是一個感染型的蠕蟲病毒,它能感染系統(tǒng)中exe,com,pif,src,html,asp等文件,它還能結(jié)束大量的反病毒軟件進(jìn)程
1、拷貝文件
病毒運行后,會把自己拷貝到C:\WINDOWS\System32\Drivers\spoclsv.exe
2、添加注冊表自啟動
病毒會添加自啟動項svcshare ->C:\WINDOWS\System32\Drivers\spoclsv.exe
3、病毒行為
a:每隔1秒
運行過程
本地磁盤感染病毒對系統(tǒng)中所有除了盤符為A,B的磁盤類型為DRⅣE_REMOTE,DRⅣE_FⅨED的磁盤進(jìn)行文件遍歷感染。
局域網(wǎng)傳播病毒生成隨機(jī)個局域網(wǎng)傳播線程實現(xiàn)如下的傳播方式:當(dāng)病毒發(fā)現(xiàn)能成功聯(lián)接攻擊目標(biāo)的139或445端口后,將使用內(nèi)置的一個用戶列表及密碼字典進(jìn)行聯(lián)接(猜測被攻擊端的密碼)。當(dāng)成功聯(lián)接上以后將自己復(fù)制過去,并利用計劃任務(wù)啟動激活病毒。修改操作系統(tǒng)的啟動關(guān)聯(lián)下載文件啟動與殺毒軟件對抗。
變種病毒
金豬報喜病毒實際就是熊貓燒香的新變種,
春節(jié)將至,然而廣大網(wǎng)絡(luò)用戶仍沒有徹底擺脫“熊貓燒香”的陰霾。伴隨著大量“熊貓燒香”變種的出現(xiàn),對用戶的危害一浪高過一浪。1月29日,來自金山毒霸反病毒中心最新消息:“熊貓燒香”化身“金豬”,危害指數(shù)再度升級,被感染的電腦中不但“熊貓”成群,而且“金豬”滿圈。但象征財富的金豬仍然讓用戶無法擺脫“系統(tǒng)被破壞,大量應(yīng)用軟件無法應(yīng)用”的噩夢。
病毒描述:
“武漢男生”,俗稱“熊貓燒香”, 2006年12月又化身為“金豬報喜” ,這是一個感染型的蠕蟲病毒,它能感染系統(tǒng)中exe,com,pif,src,html,asp等文件,它還能中止大量的反病毒軟件進(jìn)程并且會刪除擴(kuò)展名為gho的文件,該文件是一系統(tǒng)備份工具GHOST的備份文件,使用戶的系統(tǒng)備份文件丟失。被感染的用戶系統(tǒng)中所有.exe可執(zhí)行文件全部被改成可愛金豬的模樣。
2007年1月30日,江民科技反病毒中心監(jiān)測到,肆虐互聯(lián)網(wǎng)的“熊貓燒香”又出新變種。此次變種把“熊貓燒香”圖案變成“金豬報喜”。江民反病毒專家提醒用戶,春節(jié)臨近,謹(jǐn)防春節(jié)期間病毒借人們互致祝福之際大面積爆發(fā)。
專家介紹,“熊貓燒香”2006年11月中旬被首次發(fā)現(xiàn),短短兩個月時間,新老變種已達(dá)700多種,據(jù)江民反病毒預(yù)警中心監(jiān)測到的數(shù)據(jù)顯示,“熊貓燒香”病毒2006年12月一舉闖入病毒排名前20名,2007年1月份更是有望進(jìn)入前10名。疫情最嚴(yán)重的地區(qū)分別為:廣東、山東、江蘇、北京和遼寧。
針對該病毒,江民殺毒軟件KV系列已緊急升級,用戶升級到最新病毒庫即可有效防范該病毒于系統(tǒng)之外。江民“熊貓燒香”專殺工具已同步更新,未安裝殺毒軟件的用戶可以登陸江民網(wǎng)站下載殺毒。此外,針對“熊貓燒香”變種頻繁的特征,江民殺毒軟件KV2007主動防御規(guī)則庫可徹底防范“熊貓燒香”及其變種,用戶可以登陸江民反病毒論壇下載使用。
此外學(xué)生寒假開始,上網(wǎng)人群短期內(nèi)集中上升,病毒的傳播速度也空前加快,所以用戶在進(jìn)行上網(wǎng)的過程中要更加警惕病毒的入侵。據(jù)了解,前幾天在網(wǎng)絡(luò)上出現(xiàn)了“熊貓燒香”作者聲稱不再有變種出現(xiàn),而“金豬”的出現(xiàn)再次粉碎了人們的美夢,再次將人們拉回到熊貓燒香的夢魘之中。專家稱,按照當(dāng)時“熊貓燒香”破壞程度,威脅將延伸至春節(jié)。
專家提醒大家,遇到“金豬”不要心慌,用熊貓燒香專殺工具就可以完全對付這只小金豬啦!
熊貓燒香變身“金豬報喜”再作亂“熊貓燒香”余毒未盡,新變種接踵而來。據(jù)悉,熊貓燒香已改頭換面變成新病毒“金豬報喜”。日前,江民、瑞星、金山等反病毒公司已經(jīng)陸續(xù)截獲大量“金豬報喜”病毒的報告,而這一病毒甚至可以清除用戶機(jī)器里原有的“熊貓燒香”病毒,并自動取而代之。
由于“熊貓燒香”病毒作者不斷更新變種程序,眾多殺毒軟件無法跟隨病毒的發(fā)展速度。而近日出現(xiàn)的“金豬報喜”病毒圖表,同樣是可愛的小動物,但危害卻在與“熊貓燒香”一樣感染EXE文件外,還能感染RAR跟ZIP等格式文件。據(jù)悉當(dāng)時2008年幾家反病毒廠商尚未推出針對“金豬報喜”的專殺工具。
由于春節(jié)臨近,更多新 病毒可能集中出現(xiàn),因此反病毒專家提醒用戶要加強(qiáng)警惕,及時升級 殺毒軟件,不要隨便點擊莫名來歷文件。
最虔誠的病毒--熊貓燒香
對于這個在06年給人們帶來黑色記憶的病毒,其成因只因為作者為了炫耀自己而產(chǎn)生,其借助U盤的傳播方式也引領(lǐng)新的反病毒課題,但這一切都沒有其LOGO的熊貓給人的印象深刻,熊貓拿著三根香虔誠的祈禱什么?這給很多人以遐想。所以最虔誠的病毒只能頒給舉著香在祈禱的熊貓。
2007年9月24日,“熊貓燒香”案一審宣判,主犯李俊被判刑4年。庭審中,李俊的辯護(hù)律師王萬雄出示了一份某網(wǎng)絡(luò)公司發(fā)給李俊的邀請函,請他擔(dān)任公司的技術(shù)總監(jiān)。據(jù)悉,案發(fā)后已有不下10家網(wǎng)絡(luò)大公司跟李俊聯(lián)系,欲以100萬年薪邀請其加入(見9月25日《長江商報》)。
熊貓燒香傳播性極高,中病毒者會在短時間內(nèi)傳染局域網(wǎng)內(nèi)其他用戶。
應(yīng)對方法
殺毒方法
雖然用戶及時更新殺毒軟件病毒庫,并下載各殺毒軟件公司提供的專殺工具,即可對“熊貓燒香”病毒進(jìn)行查殺,但是如果能做到防患于未然豈不更好。
解決辦法
【1】 立即檢查本機(jī)administrator組成員口令,一定要放棄簡單口令甚至空口令,
安全的口令是字母數(shù)字特殊字符的組合,自己記得住,別讓病毒猜到就行。
(修改方法:右鍵單擊我的電腦,選擇管理,瀏覽到本地用戶和組,在右邊的窗格中,選擇具備管理員權(quán)限的用戶名,單擊右鍵,選擇設(shè)置密碼,輸入新密碼就行。)
【2】 利用組策略,關(guān)閉所有驅(qū)動器的自動播放功能。
步驟1
單擊開始,運行,輸入gpedit.msc,打開組策略編輯器,瀏覽到計算機(jī)配置,管理模板,系統(tǒng),在右邊的窗格中選擇關(guān)閉自動播放,該配置缺省是未配置,在下拉框中選擇所有驅(qū)動器,再選取已啟用,確定后關(guān)閉。最后,在開始,運行中輸入gpupdate,確定后,該策略就生效了。
【3】 修改文件夾選項,以查看不明文件的真實屬性,避免無意雙擊騙子程序中毒。
步驟2
打開資源管理器(按windows徽標(biāo)鍵+E),點工具菜單下文件夾選項,再點查看,在高級設(shè)置中,選擇查看所有文件,取消隱藏受保護(hù)的操作系統(tǒng)文件,取消隱藏文件擴(kuò)展名。
【4】 時刻保持操作系統(tǒng)獲得最新的安全更新,不要隨意訪問來源不明的網(wǎng)站,特別是微軟的MS06-014漏洞,應(yīng)立即打好該漏洞補(bǔ)丁。
同時,QQ、UC的漏洞也可以被該病毒利用,因此,用戶應(yīng)該去他們的官方網(wǎng)站打好最新補(bǔ)丁。此外,由于該病毒會利用IE瀏覽器的漏洞進(jìn)行攻擊,因此用戶還應(yīng)該給IE打好所有的補(bǔ)丁。如果必要的話,用戶可以暫時換用Firefox、Opera等比較安全的瀏覽器。
【5】 啟用Windows防火墻保護(hù)本地計算機(jī)。同時,局域網(wǎng)用戶盡量避免創(chuàng)建可寫的共享目錄,已經(jīng)創(chuàng)建共享目錄的應(yīng)立即停止共享。
此外,對于未感染的用戶,病毒專家建議,不要登錄不良網(wǎng)站,及時下載微軟公布的最新補(bǔ)丁,來避免病毒利用漏洞襲擊用戶的電腦,同時上網(wǎng)時應(yīng)采用“殺毒軟件+防火墻”的立體防御體系。病毒源碼。
防御方法
計世網(wǎng)消息 在2007年新年出現(xiàn)的“PE_FUJACKS”就是一種讓廣大互聯(lián)網(wǎng)用戶聞之色變的“熊貓燒香”。該病毒的作者為“武漢男生”(文件末簽名”WhBoy”),這個版本的病毒已經(jīng)集成了PE_FUJA CK和QQ大盜的代碼,通過網(wǎng)絡(luò)共享,文件感染和移動存儲設(shè)備傳播,尤其是感染網(wǎng)頁文件,并在網(wǎng)頁文件寫入自動更新的代碼,一旦瀏覽該網(wǎng)頁,就會感染更新后的變種。
不幸中招的用戶都知道,“熊貓燒香”會占用局域網(wǎng)帶寬,使得電腦變得緩慢,計算機(jī)會出現(xiàn)以下癥狀:熊貓燒香病毒會在網(wǎng)絡(luò)共享文件夾中生成一個名為GameSetup.exe的病毒文件;結(jié)束某些應(yīng)用程序以及防毒軟件的進(jìn)程,導(dǎo)致應(yīng)用程序異常,或不能正常執(zhí)行,或速度變慢;硬盤分區(qū)或者U盤不能訪問使用;exe程序無法使用程序圖標(biāo)變成熊貓燒香圖標(biāo);硬盤的根目錄出現(xiàn)setup.exe auturun.INF文件 ;同時瀏覽器會莫名其妙地開啟或關(guān)閉。
該病毒主要通過瀏覽惡意網(wǎng)站、網(wǎng)絡(luò)共享、文件感染和移動存儲設(shè)備(如U盤)等途徑感染,其中網(wǎng)絡(luò)共享和文件感染的風(fēng)險系數(shù)較高,而通過Web和移動存儲感染的風(fēng)險相對較低。該病毒會自行啟動安裝,生成注冊列表和病毒文件%System%\drivers\spoclsv.exe ,并在所有磁盤跟目錄下生成病毒文件setup.exe,autorun.inf。
應(yīng)用統(tǒng)一變?yōu)樾茇垷愕膱D標(biāo)其實就是在注冊表的HKEY_CLASSES_ROOT這個分支中寫入了一個值,將所有的EXE文件圖標(biāo)指向一個圖標(biāo)文件,所以一般只要刪除此值,改回原貌就可以了。