入侵防范与病毒防范小论文入侵防范与病毒防范小论文.doc

“熊猫烧香”病毒简介及防范 一、事情起因[1] 2007年1月中旬，湖北省仙桃某行政单位一台办公电脑中毒瘫痪，请网监民警前去帮忙修理，网监民警刚一修好，该台电脑马上又出现中毒症状，原来里面的病毒不能杀灭干净。 　　事情还没了结，该市江汉热线信息中心向公安局报案：中心服务器大面积感染病毒，技术人员不能修复，中心工作被迫全面停摆。网监民警查看发现感染症状与先前办公电脑中毒的情况几乎一样，电脑屏幕上都出现了一只熊猫手捧三炷香的图案。 　　此时这种病毒已在全国泛滥，人们形象地叫它“熊猫烧香”病毒。1月24日，仙桃市公安局决定立案侦察。 二、病毒相关[2] 　病毒名称:熊猫烧香 ，Worm.WhBoy.（金山称），Worm.Nimaya. （瑞星称） 　　病毒别名：尼姆亚，武汉男生，后又化身为“金猪报喜”，国外称“熊猫烧香” 　　危险级别：★★★★★ 　　病毒类型：蠕虫病毒，能够终止大量的反病毒软件和防火墙软件进程。 　　影响系统：Win 9x/ME、Win 2000/NT、Win XP、Win 2003 、Win Vista 　　发现时间：2006年10月16日　来源地：中国武汉东湖高新技术开发区关山 其实这是一种蠕虫病毒的变种，而且是经过多次变种而来的。尼姆亚变种W(Worm.Nimaya.w)，由于中毒电脑的可执行文件会出现“熊猫烧香”图案，所以也被称为 “熊猫烧香”病毒。但原病毒只会对EXE图标进行替换，并不会对系统本身进行破坏。而大多数是中的病毒变种，用户电脑中毒后可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。同时，该病毒的某些变种可以通过局域网进行传播，进而感染局域网内所有计算机系统，最终导致企业局域网瘫痪，无法正常使用，它能感染系统中exe，com，pif，src，html，asp等文件，它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件，该文件是一系统备份工具GHOST的备份文件，使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。 三、作者相关[2] 　 该病毒始作俑者是李俊，武汉新洲区人，25岁。据他的家人以及朋友介绍，他在初中时英语和数学成绩都很不错，但还是没能考上高中，中专在娲石职业技术学校就读，学习的是水泥工艺专业，毕业后曾上过网络技术职业培训班，他朋友讲他是“自学成才，他的大部分电脑技术都是看书自学的”。2004年李俊到北京、广州的网络安全公司求职，但都因学历低的原因遭拒，于是他开始抱着报复社会以及赚钱的目的编写病毒了。他曾在2003年编写了病毒“武汉男生”，2005年他还编写了病毒QQ尾巴，并对“武汉男生”版本更新成为“武汉男生2005”。 此次传播的“熊猫烧香”病毒，作者李俊是先将此病毒在网络中卖给了120余人，每套产品要价500～1000元人民币，每日可以收入8000元左右，最多时一天能赚1万余元人民币，作者李俊因此直接非法获利10万余元。然后由这120余人对此病毒进行改写处理并传播出去的，这120余人的传播造成100多万台计算机感染此病毒，他们将盗取来的网友网络游戏以及QQ帐号进行出售牟利，并使用被病毒感染沦陷的机器组成“僵尸网络”为一些网站带来流量。 四、中毒症状[3] 1.CDEF..盘只能右键打开?并且右键出现AUTO?2.杀毒软件不能启动?3.注册表及任务管理器无法打开?4.EXE文件图标统一变为熊猫拿着3根香的形象?5.隐藏文件无法显示?6.系统备份文件丢失? ? 还有自动静音，?系统盘出现zap程序，某某runtime?error，盘内文件无法删掉，系统自东关闭? 以上均为中了熊猫烧香病毒后出现的主要症状 除了通过网站带毒感染用户之外，此病毒还会在局域网中传播，在极短时间之内就可以感染几千台计算机，严重时可以导致网络瘫痪。中毒电脑上会出现“熊猫烧香”图案，所以也被称为“熊猫烧香”病毒。中毒电脑会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。 五、病毒原理[4] （1）病毒描述： 含有病毒体的文件被运行后，病毒将自身拷贝至系统目录，同时修改注册表将自身设置为开机启动项，并遍历各个驱动器，将自身写入磁盘根目录下，增加一个Autorun.inf文件，使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染，同时开另外一个线程连接某网站下载ddos程序进行发动恶意攻击。 （2）病毒基本情况： ????[文件信息] ?????病毒名: Virus.Win32.EvilPanda.a.ex$ ????大 小: 0xDA00 (55808), (disk) 0xDA00 (55808) ????SHA1 : F0C3DA82E1620