计算机病毒熊猫烧香怎么样

2016-11-07

对于熊猫烧香病毒,你了解多少呢?下面由小编给你做出详细的计算机病毒熊猫烧香介绍!希望对你有帮助!

计算机病毒熊猫烧香介绍一:

熊猫烧香案侦破始末

“熊猫烧香”电脑瘫痪

2007年1月中旬,湖北省仙桃某行政单位一台办公电脑中毒瘫痪,请网监民警前去帮忙修理,网监民警刚一修好,该台电脑马上又出现中毒症状,原来里面的病毒不能杀灭干净。

事情还没了结,该市江汉热线信息中心向公安局报案:中心服务器大面积感染病毒,技术人员不能修复,中心工作被迫全面停摆。网监民警查看发现感染症状与先前办公电脑中毒的情况几乎一样,电脑屏幕上都出现了一只熊猫手捧三炷香的图案。

此时这种病毒已在全国泛滥,人们形象地叫它“熊猫烧香”病毒。1月24日,仙桃市公安局决定立案侦察。

网监大队民警破译了部分“熊猫烧香”的病毒代码,发现病毒编写者在一些病毒程序后署上了“Whboy”或“武汉男孩”的落款。这成为侦破案件唯一的线索。

百兆数据中查“武汉男孩”

“武汉男孩”是何许人?在后续的侦查中民警发现,作案者十分狂妄,敢跟专业人士挑战,在病毒程序的升级版后留言“感谢某某对我的病毒的关注”等挑战书。

通过大量的资料比对,民警从自己的资料库中发现,在2005年,一个署名“武汉男孩”的人曾编写过“QQ尾巴”计算机病毒在网上传播。这两个“武汉男孩”是否同一个人呢?

网监大队民警通过调取成千上万条上网记录(至少有100G的数据量),终于有了一个肯定的答案:从编写病毒的特征码和写作方式来看,两个“武汉男孩”有惊人的相似之处,应该是同一个人。 1月30日,仙桃网监部门发现“武汉男孩”的上网地址大多在武汉,并找到了他留在网上的一张照片!

2007年1月31日湖北省公安厅分管网监工作的副厅长黄洪主持一保密会议,公安部国家计算机病毒应急中心专家参加了会议,至此,“熊猫烧香”案上升为全国公安机关的大案!

2月1日,所有线索都指向武汉市武昌洪山区一幢四层楼二楼左边的出租屋。屋内的情况被摸清楚:里面现租住着三个人,有两台电脑,有网线。在三个人中,一个叫李俊的男青年引起了侦察员的注意,他与“武汉男孩”的特征十分相似。

从网络到现实四犯落网 2月2日,公安部门对出租屋开始24小时监控。2月3日,民警发现李俊用化名在网上和一个新疆人说,他发现有点不对劲,要出去躲一躲。指挥部决定:屋内蹲守。民警潜入出租屋。下午2点左右,有人进了出租屋。民警马上将其控制。经审问,方知他是李俊的弟弟,对该案并不知情。

2月3日下午6时,指挥部对李俊进行了技术定位,发现他没有跑出包围圈。但此时的李俊也许发现了什么问题,不停地在外围兜圈子。

晚上8点40分,李俊终于返回出租屋,蹲守民警立即将他控制。

经突审,李俊承认了他就是“熊猫烧香”的制作者“武汉男孩”。李俊供称:他与同伙雷磊早在1月下旬就感到势头不对,已离开了出租屋,在武汉某宾馆开了一个房打听动静,现在感到风声越来越紧,回出租屋就是收拾东西准备外逃。抓捕组随即在宾馆将雷磊擒获。

2月4日晚,仙桃网监民警兵分三路,分别对网名“才子”的王磊、张顺以及两名参与传播病毒的重要嫌疑对象进行追捕。 2月8日,“熊猫烧香”案主要犯罪嫌疑人全部归案,至此,民警们才知道,他们侦破的是全国第一起故意制作和传播计算机病毒犯罪的案件。

计算机病毒熊猫烧香介绍二:

病毒描述:

“武汉男生”,俗称“熊猫烧香”,这是一个感染型的蠕虫病毒,它能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件,使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。

1:拷贝文件

病毒运行后,会把自己拷贝到C:WINDOWSSystem32Driversspoclsv.exe

2:添加注册表自启动

病毒会添加自启动项HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun svcshare -> C:WINDOWSSystem32Driversspoclsv.exe

3:病毒行为

a:每隔1秒寻找桌面窗口,并关闭窗口标题中含有以下字符的程序:

QQKav、QQAV、防火墙、进程、VirusScan、网镖、杀毒、毒霸、瑞星、江民、黄山IE、超级兔子、优化大师、木马克星、木马清道夫、QQ病毒、注册表编辑器、系统配置实用程序、卡巴斯基反病毒、Symantec AntiVirus、Duba、esteem proces、绿鹰PC、密码防盗、噬菌体、木马辅助查找器、System Safety Monitor、Wrapped gift Killer、Winsock Expert、游戏木马检测大师、msctls_statusbar32、pjf(ustc)、IceSword

并使用的键盘映射的方法关闭安全软件IceSword

添加注册表使自己自启动 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun svcshare -> C:WINDOWSSystem32Driversspoclsv.exe

并中止系统中以下的进程:

Mcshield.exe、VsTskMgr.exe、naPrdMgr.exe、UpdaterUI.exe、TBMon.exe、scan32.exe、Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、RavmonD.exe、RavStub.exe、KVXP.kxp、kvMonXP.kxp、KVCenter.kxp、KVSrvXP.exe、KRegEx.exe、UIHost.exe、TrojDie.kxp、FrogAgent.exe、Logo1_.exe、Logo_1.exe、Rundl132.exe

b:每隔18秒点击病毒作者指定的网页,并用命令行检查系统中是否存在共享,共存在的话就运行net share命令关闭admin$共享

c:每隔10秒下载病毒作者指定的文件,并用命令行检查系统中是否存在共享,共存在的话就运行net share命令关闭admin$共享

d:每隔6秒删除安全软件在注册表中的键值

并修改以下值不显示隐藏文件 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL CheckedValue -> 0x00

删除以下服务:

navapsvc、wscsvc、KPfwSvc、SNDSrvc、ccProxy、ccEvtMgr、ccSetMgr、SPBBCSvc、Symantec Core LC、NPFMntor MskService、FireSvc

e:感染文件

病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部,并在扩展名为htm,html, asp,php,jsp,aspx的文件中添加一网址,用户一但打开了该文件,IE就会不断的在后台点击写入的网址,达到增加点击量的目的,但病毒不会感染以下文件夹名中的文件:

WINDOW、Winnt、System Volume Information、Recycled、Windows NT、WindowsUpdate、Windows Media Player、Outlook Express、Internet Explorer、NetMeeting、Common Files、ComPlus Applications、Messenger、InstallShield Installation Information、MSN、Microsoft Frontpage、Movie Maker、MSN Gamin Zone

g:删除文件

病毒会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件使用户的系统备份文件丢失。

更多相关阅读

最新发布的文章