學(xué)習(xí)啦 > 學(xué)習(xí)電腦 > 電腦安全 > 病毒知識(shí) > 計(jì)算機(jī)病毒熊貓燒香怎么樣

計(jì)算機(jī)病毒熊貓燒香怎么樣

時(shí)間: 林輝766 分享

計(jì)算機(jī)病毒熊貓燒香怎么樣

  對(duì)于熊貓燒香病毒,你了解多少呢?下面由學(xué)習(xí)啦小編給你做出詳細(xì)的計(jì)算機(jī)病毒熊貓燒香介紹!希望對(duì)你有幫助!

  計(jì)算機(jī)病毒熊貓燒香介紹一:

  熊貓燒香案?jìng)善剖寄?/p>

  “熊貓燒香”電腦癱瘓

  2007年1月中旬,湖北省仙桃某行政單位一臺(tái)辦公電腦中毒癱瘓,請(qǐng)網(wǎng)監(jiān)民警前去幫忙修理,網(wǎng)監(jiān)民警剛一修好,該臺(tái)電腦馬上又出現(xiàn)中毒癥狀,原來(lái)里面的病毒不能殺滅干凈。

  事情還沒了結(jié),該市江漢熱線信息中心向公安局報(bào)案:中心服務(wù)器大面積感染病毒,技術(shù)人員不能修復(fù),中心工作被迫全面停擺。網(wǎng)監(jiān)民警查看發(fā)現(xiàn)感染癥狀與先前辦公電腦中毒的情況幾乎一樣,電腦屏幕上都出現(xiàn)了一只熊貓手捧三炷香的圖案。

  此時(shí)這種病毒已在全國(guó)泛濫,人們形象地叫它“熊貓燒香”病毒。1月24日,仙桃市公安局決定立案?jìng)刹臁?/p>

  網(wǎng)監(jiān)大隊(duì)民警破譯了部分“熊貓燒香”的病毒代碼,發(fā)現(xiàn)病毒編寫者在一些病毒程序后署上了“Whboy”或“武漢男孩”的落款。這成為偵破案件唯一的線索。

  百兆數(shù)據(jù)中查“武漢男孩”

  “武漢男孩”是何許人?在后續(xù)的偵查中民警發(fā)現(xiàn),作案者十分狂妄,敢跟專業(yè)人士挑戰(zhàn),在病毒程序的升級(jí)版后留言“感謝某某對(duì)我的病毒的關(guān)注”等挑戰(zhàn)書。

  通過大量的資料比對(duì),民警從自己的資料庫(kù)中發(fā)現(xiàn),在2005年,一個(gè)署名“武漢男孩”的人曾編寫過“QQ尾巴”計(jì)算機(jī)病毒在網(wǎng)上傳播。這兩個(gè)“武漢男孩”是否同一個(gè)人呢?

  網(wǎng)監(jiān)大隊(duì)民警通過調(diào)取成千上萬(wàn)條上網(wǎng)記錄(至少有100G的數(shù)據(jù)量),終于有了一個(gè)肯定的答案:從編寫病毒的特征碼和寫作方式來(lái)看,兩個(gè)“武漢男孩”有驚人的相似之處,應(yīng)該是同一個(gè)人。   1月30日,仙桃網(wǎng)監(jiān)部門發(fā)現(xiàn)“武漢男孩”的上網(wǎng)地址大多在武漢,并找到了他留在網(wǎng)上的一張照片!

  2007年1月31日湖北省公安廳分管網(wǎng)監(jiān)工作的副廳長(zhǎng)黃洪主持一保密會(huì)議,公安部國(guó)家計(jì)算機(jī)病毒應(yīng)急中心專家參加了會(huì)議,至此,“熊貓燒香”案上升為全國(guó)公安機(jī)關(guān)的大案!

  2月1日,所有線索都指向武漢市武昌洪山區(qū)一幢四層樓二樓左邊的出租屋。屋內(nèi)的情況被摸清楚:里面現(xiàn)租住著三個(gè)人,有兩臺(tái)電腦,有網(wǎng)線。在三個(gè)人中,一個(gè)叫李俊的男青年引起了偵察員的注意,他與“武漢男孩”的特征十分相似。

  從網(wǎng)絡(luò)到現(xiàn)實(shí)四犯落網(wǎng)  2月2日,公安部門對(duì)出租屋開始24小時(shí)監(jiān)控。2月3日,民警發(fā)現(xiàn)李俊用化名在網(wǎng)上和一個(gè)新疆人說,他發(fā)現(xiàn)有點(diǎn)不對(duì)勁,要出去躲一躲。指揮部決定:屋內(nèi)蹲守。民警潛入出租屋。下午2點(diǎn)左右,有人進(jìn)了出租屋。民警馬上將其控制。經(jīng)審問,方知他是李俊的弟弟,對(duì)該案并不知情。

  2月3日下午6時(shí),指揮部對(duì)李俊進(jìn)行了技術(shù)定位,發(fā)現(xiàn)他沒有跑出包圍圈。但此時(shí)的李俊也許發(fā)現(xiàn)了什么問題,不停地在外圍兜圈子。

  晚上8點(diǎn)40分,李俊終于返回出租屋,蹲守民警立即將他控制。

  經(jīng)突審,李俊承認(rèn)了他就是“熊貓燒香”的制作者“武漢男孩”。李俊供稱:他與同伙雷磊早在1月下旬就感到勢(shì)頭不對(duì),已離開了出租屋,在武漢某賓館開了一個(gè)房打聽動(dòng)靜,現(xiàn)在感到風(fēng)聲越來(lái)越緊,回出租屋就是收拾東西準(zhǔn)備外逃。抓捕組隨即在賓館將雷磊擒獲。

  2月4日晚,仙桃網(wǎng)監(jiān)民警兵分三路,分別對(duì)網(wǎng)名“才子”的王磊、張順以及兩名參與傳播病毒的重要嫌疑對(duì)象進(jìn)行追捕。   2月8日,“熊貓燒香”案主要犯罪嫌疑人全部歸案,至此,民警們才知道,他們偵破的是全國(guó)第一起故意制作和傳播計(jì)算機(jī)病毒犯罪的案件。

  計(jì)算機(jī)病毒熊貓燒香介紹二:

  病毒描述:

  “武漢男生”,俗稱“熊貓燒香”,這是一個(gè)感染型的蠕蟲病毒,它能感染系統(tǒng)中exe,com,pif,src,html,asp等文件,它還能中止大量的反病毒軟件進(jìn)程并且會(huì)刪除擴(kuò)展名為gho的文件,該文件是一系統(tǒng)備份工具GHOST的備份文件,使用戶的系統(tǒng)備份文件丟失。被感染的用戶系統(tǒng)中所有.exe可執(zhí)行文件全部被改成熊貓舉著三根香的模樣。

  1:拷貝文件

  病毒運(yùn)行后,會(huì)把自己拷貝到C:\WINDOWS\System32\Drivers\spoclsv.exe

  2:添加注冊(cè)表自啟動(dòng)

  病毒會(huì)添加自啟動(dòng)項(xiàng)HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe

  3:病毒行為

  a:每隔1秒尋找桌面窗口,并關(guān)閉窗口標(biāo)題中含有以下字符的程序:

  QQKav、QQAV、防火墻、進(jìn)程、VirusScan、網(wǎng)鏢、殺毒、毒霸、瑞星、江民、黃山IE、超級(jí)兔子、優(yōu)化大師、木馬克星、木馬清道夫、QQ病毒、注冊(cè)表編輯器、系統(tǒng)配置實(shí)用程序、卡巴斯基反病毒、Symantec AntiVirus、Duba、esteem proces、綠鷹PC、密碼防盜、噬菌體、木馬輔助查找器、System Safety Monitor、Wrapped gift Killer、Winsock Expert、游戲木馬檢測(cè)大師、msctls_statusbar32、pjf(ustc)、IceSword

  并使用的鍵盤映射的方法關(guān)閉安全軟件IceSword

  添加注冊(cè)表使自己自啟動(dòng) HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe

  并中止系統(tǒng)中以下的進(jìn)程:

  Mcshield.exe、VsTskMgr.exe、naPrdMgr.exe、UpdaterUI.exe、TBMon.exe、scan32.exe、Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、RavmonD.exe、RavStub.exe、KVXP.kxp、kvMonXP.kxp、KVCenter.kxp、KVSrvXP.exe、KRegEx.exe、UIHost.exe、TrojDie.kxp、FrogAgent.exe、Logo1_.exe、Logo_1.exe、Rundl132.exe

  b:每隔18秒點(diǎn)擊病毒作者指定的網(wǎng)頁(yè),并用命令行檢查系統(tǒng)中是否存在共享,共存在的話就運(yùn)行net share命令關(guān)閉admin$共享

  c:每隔10秒下載病毒作者指定的文件,并用命令行檢查系統(tǒng)中是否存在共享,共存在的話就運(yùn)行net share命令關(guān)閉admin$共享

  d:每隔6秒刪除安全軟件在注冊(cè)表中的鍵值

  并修改以下值不顯示隱藏文件 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue -> 0x00

  刪除以下服務(wù):

  navapsvc、wscsvc、KPfwSvc、SNDSrvc、ccProxy、ccEvtMgr、ccSetMgr、SPBBCSvc、Symantec Core LC、NPFMntor MskService、FireSvc

  e:感染文件

  病毒會(huì)感染擴(kuò)展名為exe,pif,com,src的文件,把自己附加到文件的頭部,并在擴(kuò)展名為htm,html, asp,php,jsp,aspx的文件中添加一網(wǎng)址,用戶一但打開了該文件,IE就會(huì)不斷的在后臺(tái)點(diǎn)擊寫入的網(wǎng)址,達(dá)到增加點(diǎn)擊量的目的,但病毒不會(huì)感染以下文件夾名中的文件:

  WINDOW、Winnt、System Volume Information、Recycled、Windows NT、WindowsUpdate、Windows Media Player、Outlook Express、Internet Explorer、NetMeeting、Common Files、ComPlus Applications、Messenger、InstallShield Installation Information、MSN、Microsoft Frontpage、Movie Maker、MSN Gamin Zone

  g:刪除文件

  病毒會(huì)刪除擴(kuò)展名為gho的文件,該文件是一系統(tǒng)備份工具GHOST的備份文件使用戶的系統(tǒng)備份文件丟失。

  看了“ 計(jì)算機(jī)病毒熊貓燒香怎么樣”文章的還看了:

1.熊貓燒香病毒運(yùn)行和危害電腦方式

2.計(jì)算機(jī)病毒-熊貓燒香知識(shí)科普

3.什么是熊貓燒香病毒

4.熊貓燒香病毒及禍害

5.熊貓燒香病毒介紹

6.熊貓燒香病毒的解決方法

7.計(jì)算機(jī)病毒發(fā)展歷史是怎么樣

844841