2012012194信安1202李自然-实验的四---蠕虫行为分析与清除实验.doc

北京信息科技大学 信息管理学院 课程设计报告 课程名称 《计算机病毒分析与防范》课程设计 题 目 蠕虫行为分析与清除实验 指导教师 孙 璇 设计起止日期 2015年5月4日 系 别 信息管理学院 专 业 信息安全 学生姓名 　 李自然 班级/学号 信安1202/2012012194 成 绩 　 北京信息科技大学 信息管理学院 （课程设计）实验报告 实验名称 蠕虫行为分析与清除实验 实验地点 702 实验时间 课程设计目的： 本次实验要求学生了解蠕虫的感染和破坏机制。通过对熊猫烧香蠕虫在系统中的行为进行监测，进而利用工具软件清除熊猫烧香，从而理解对蠕虫的原理和清除的方法。 课程设计内容： 预备知识： “熊猫烧香”蠕虫 1）“熊猫烧香”档案 ????? 又名：尼亚姆、武汉男生、worm.whBoy、worm.nimaya ????? 后又化身为：“金猪报喜” ????? 病毒类型：蠕虫 ????? 影响系统：Windows 9X/ME/NT/2000/XP/2003/Vista/7 ? 2）“熊猫烧香”病毒特点 ????? 2006年底，我国互联网上大规模爆发“熊猫烧香”病毒及其变种，该病毒通过多种方式进行传播，同时该病毒还具有盗取用户游戏账号、QQ账号等功能。该病毒传播速度快，危害范围广，截至案发为止，已有上百万个人用户、网吧及企业局域网用户遭受感染和破坏，引起社会各界高度关注。《瑞星2006安全报告》将其列为十大病毒之首，在《2006年度中国计算机病毒疫情和互联网安全报告》的十大病毒排行中一举成为“毒王”。 ????? “熊猫烧香”，是一个感染型的蠕虫，它能感染系统中exe，com，pif，src，html，asp等文件，它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件，该文件是一系统备份工具GHOST的备份文件，使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。 ? “熊猫烧香”行为 ????? 含有病毒体的文件被运行后，病毒将自身复制至系统目录，同时修改注册表将自身设置为开机启动项，并遍历各个驱动器，将自身写入磁盘根目录下，增加一个Autorun.inf文件，使得用户打开该磁盘时激活病毒体。随后病毒体创建一个线程进行本地文件感染，同时创建另外一个线程连接网站下载DOS程序发动恶意攻击。 实验步骤： ? 通过病毒分析实验室工具，对“熊猫烧香”病毒主要行为进行分析。在本次实验中，为了方便观察，运行“熊猫烧香”程序将不改变其他文件的图标。 1．打开桌面上的实验工具，找到熊猫烧香的病毒样本。 2．运行该程序，“熊猫烧香”病毒感染系统中的.exe、.com、.pif、.src、.html、.asp等文件，通过File Monitor对“熊猫烧香”样本运行情况进行跟踪，打开HA_FileMon文件，可以先将文件保存为log文件，之后用记事本打开查看，跟踪“熊猫烧香”病毒样本spcolsv.exe对系统文件修改的行为展示。 3．现在“熊猫烧香”已经彻底感染了这台电脑，我们下面观察一下，它会带来哪些症状。它尝试关闭多个安全软件，即天网防火墙进程、VirusScan网镖杀毒、金山毒霸、瑞星、江民、黄山IE、超级兔子、优化大师、木马克星、木马清道夫、QQ病毒、注册表编辑器、系统配置实用程序、卡巴斯基反病毒、Symantec AntiVirus、Dubaesteemproces、绿鹰PC密码防盗、噬菌体、木马辅助查找器、System Safety Monitor、Wrapped gift Killer、Winsock Expert、游戏木马检测大师、msctls_statusbar32、pjf(ustc)、IceSword等。 4．（这步可以先不做）尝试结束安全软件相关进程，即Mcshield.exe、VsTskMgr.exe、naPrdMgr.exe、UpdaterUI.exe、TBMon.exe、scan32.exe、Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、RavmonD.exe、RavStub.exe、KVXP.kxp、kvMonXP.kxp、KVCenter.kxp、KVSrvXP.exe、KRegEx.exe、UIHost.exe、TrojDie.kxp、FrogAgent.exe、Log