实验七 典型病毒(熊猫烧香)的检测和清除

关于熊猫烧香事件的讲述商学系08级市场营销2班 240894226 林婷熊猫烧香是一种经过多次变种的蠕虫病毒变种，2006年10月16日由25岁的中国湖北武汉新洲区人李俊编写，2007年1月初肆虐网络，它主要通过下载的档案传染。

对计算机程序、系统破坏严重。

一、中毒症状除了通过网站带毒感染用户之外，此病毒还会在局域网中传播，在极短时间之内就可以感染几千台计算机，严重时可以导致网络瘫痪。

中毒电脑上会出现“熊猫烧香”图案，所以也被称为“熊猫烧香”病毒。

中毒电脑会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。

二、病毒危害病毒会删除扩展名为gho的文件，使用户无法使用ghost软件恢复操作系统。

“熊猫烧香”感染系统的.exe .com. f.src .html.asp文件，添加病毒网址，导致用户一打开这些网页文件，IE就会自动连接到指定的病毒网址中下载病毒。

在硬盘各个分区下生成文件autorun.inf和setup.exe，可以通过U盘和移动硬盘等方式进行传播，并且利用Windows系统的自动播放功能来运行，搜索硬盘中的.exe可执行文件并感染，感染后的文件图标变成“熊猫烧香”图案。

“熊猫烧香”还可以通过共享文件夹、系统弱口令等多种方式进行传播。

该病毒会在中毒电脑中所有的网页文件尾部添加病毒代码。

一些网站编辑人员的电脑如果被该病毒感染，上传网页到网站后，就会导致用户浏览这些网站时也被病毒感染。

据悉，多家著名网站已经遭到此类攻击，而相继被植入病毒。

由于这些网站的浏览量非常大，致使“熊猫烧香”病毒的感染范围非常广，中毒企业和政府机构已经超过千家，其中不乏金融、税务、能源等关系到国计民生的重要单位。

注：江苏等地区成为“熊猫烧香”重灾区。

三、病毒特征1、这个病毒关闭众多杀毒软件和安全工具2、循环遍历磁盘目录，感染文件，对关键系统文件跳过3、感染所有EXE、SCR、PIF、COM文件,并更改图标为烧香熊猫4、感染所有.htm/.html/.asp/.php/.jsp/.aspx文件，添加木马恶意代码5、自动删除*.gho文件四、传播方法“熊猫烧香”还可以通过共享文件夹、系统弱口令等多种方式进行传播。

国家计算机病毒应急处理中心通过对互联网的监测发现，一伪装成“熊猫烧香”图案的蠕虫正在互联网上进行传播，已有数百万个人计算机用户和企业局域网遭受感染。

国家计算机病毒应急处理中心分析发现，该蠕虫为“威金”蠕虫的一个新变种。

该变种感染计算机系统后，可使系统中所有.exe文件都变成了一种奇怪的图案，该图案显示为“熊猫烧香”国家计算机病毒应急处理中心通过对互联网的监测发现，一伪装成“熊猫烧香”图案的蠕虫正在互联网上进行传播，已有数百万个人计算机用户和企业局域网遭受感染。

国家计算机病毒应急处理中心分析发现，该蠕虫为“威金”蠕虫的一个新变种。

该变种感染计算机系统后，可使系统中所有.exe文件都变成了一种奇怪的图案，该图案显示为“熊猫烧香”，同时受感染的计算机系统会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。

变种可以通过局域网进行传播，进而感染局域网内所有计算机系统，最终导致整个局域网瘫痪，无法正常使用。

该蠕虫先后出现很多变种，再出现后的短时期内迅速传播，遭受感染的用户难于彻底清除，给其工作带来诸多不便。

蠕虫情况分析如下：病毒名称：Worm_Viking中文名：“熊猫烧香”其他名称：Worm/Viking（江民）Worm.WhBoy.h （金山）PE_FUJACKS （趋势）Worm.Nimaya （瑞星）W32/Fujacks （McAfee）病毒类型：蠕虫感染系统：Windows 9X/ Windows ME/ Windows NT/ Windows 2000/Windows XP/ Windows 2003病毒特性：“熊猫烧香”是蠕虫“威金”的一个变种，是一个由Delphi 工具编写的蠕虫，它会感染计算机系统中后缀名为exe、com、pif、src、html、asp等文件,它还会终止一些计算机系统中安装的防病毒软件和防火墙的进程。

1、生成病毒文件蠕虫运行后在%System%目录下生成文件spoclsv.exe，并且在每个文件夹下面生成desktop_.ini 文件，里面标记着病毒发作日期。

信息安全熊猫烧香病毒剖析The document was prepared on January 2, 2021《网络攻击与防御》实验报告计算机科学与技术学院计算机系网络教研室制实验报告撰写要求实验操作是教学过程中理论联系实际的重要环节，而实验报告的撰写又是知识系统化的吸收和升华过程，因此，实验报告应该体现完整性、规范性、正确性、有效性。

现将实验报告撰写的有关内容说明如下：1、实验报告模板为电子版。

2、下载统一的实验报告模板，学生自行完成撰写和打印。

报告的首页包含本次实验的一般信息：组号：例如：2-5 表示第二班第5组。

实验日期：例如：05-10-06 表示本次实验日期。

(年-月-日)……实验编号：例如：表示第一个实验。

实验时间：例如：2学时表示本次实验所用的时间。

实验报告正文部分，从六个方面（目的、内容、步骤等）反映本次实验的要点、要求以及完成过程等情况。

模板已为实验报告正文设定统一格式，学生只需在相应项内填充即可。

续页不再需要包含首页中的实验一般信息。

3、实验报告正文部分具体要求如下：一、实验目的本次实验所涉及并要求掌握的知识点。

二、实验环境实验所使用的设备名称及规格，网络管理工具简介、版本等。

三、实验内容与实验要求实验内容、原理分析及具体实验要求。

四、实验过程与分析根据具体实验，记录、整理相应命令、运行结果等，包括截图和文字说明。

详细记录在实验过程中发生的故障和问题，并进行故障分析，说明故障排除的过程及方法。

五、实验结果总结对实验结果进行分析，完成思考题目，总结实验的心得体会，并提出实验的改进意见。

六、附录1）掌握熊猫烧香病毒的工作原理和感染方法；2）掌握手工清除熊猫病毒的基本方法。

目标主机为windows-2003 所用到的工具o Wsyschecko Filemon三、实验内容与实验要求蠕虫原理1）蠕虫定义2007年1月流行的“熊猫烧香”以及其变种也是蠕虫病毒。

这一病毒利用了微软视窗操作系统的漏洞，计算机感染这一病毒后，会不断自动拨号上网，并利用文件中的地址信息或者网络共享进行传播，最终破坏用户的大部分重要数据。

期在磁 盘的根 目录下生成 ｓｔｐｅ ｅ 病 ｅｕ ． （ ｘ 毒 本 身 ） ｕｏ ｕ ． ｆ并利 用 Ａ ｔＲ ｎ ａ ｔｒ ｎｉ ｎ ｕｏ ｕ Ｏｐ ｎ ｅ 关联 使病 毒在用户点击被 感染磁 盘 时能被 自动运行。
连接 到指定 的病毒 网址中下载病毒。在
硬盘各个分 区下生成 文件 ａ ｔ ｕ ． ｆ ｕｏ ｎｉ 和 ｒ ｎ
进 行联 接 （ 测被 攻击端 的密码 ） 猜 。当 成 功地联 接上以后将 自己复制并利用计 划任务启动激活病毒 ；修改操作系统 的 启动关联 ； 下载文件启动 ；与杀 毒软件
对抗 。
Ｘ 、Ｗｉ ０ ３；病 毒具 体 描述 ：熊 猫 Ｐ ｎ２ ０ 烧香是 一种蠕虫病 毒 ，而且多 次变种。
无法使用 ｇ ｏｔ ｈ ｓ 软件恢复操作系统。熊
猫烧香感染系统的 ｅｅ ｏ 、ｐｆ ｒ、 ｘ、ｃ ｒ ｉ ｃ ｎ 、ｓ
ｈｍｌ ｓ ｔ 、ａ ｐ文件 ，添加 病 毒 网址 ，导 致
用户一打开这些网页文件，Ｉ Ｅ就会 自动
３２生 成 ａ ｔｒｎｉｆ ． ｕｏｕ ． ｎ
病 毒建 立一个 计 时器 以 ０６秒为周 ．
图案，被感 染 的用户系统 中所有 ｅ ｅ ｘ 可 执行文 件全 部 被改 成 熊猫举 着三根 香 的模样，因此被称为 “ 熊猫烧香”病毒 。
内容包括 ：鉴定检材中是否存在制作传 播病毒 的证据 ； 鉴定病毒编写的相关 时 间信息及病毒制作方式 ；提取病毒样本
及与案件相关的其他证据。
Ｄ ＭＥ ＳＯ ５５ ） 高速硬 盘复制机 、 Ｉ Ｎ Ｉ Ｎ １０ 、 四 合一只读读卡器 、取证硬盘 、各 类接口
ｓｔｐｅｅ ｅｕ ． ，可以通过 Ｕ盘和移动硬 盘等 ｘ 方 式 进行 传 播，并且 利用 Ｗｉｄ ｗ 系 ｎｏｓ 统的自动播放功能来 运行，搜 索硬 盘中 的 ｅｅ ｘ 可执行文件并感染 ，感 染后的文

5、被病毒覆盖的文件（覆盖后的文件大小为30,465字节）是不可恢复的，直接删除；被修改的文件用16进制编辑器删除00000000到00007700的代码段，在文件末尾找到并删除从“WhBoy”到最后所有的代码段保存即可恢复原貌。
病毒会删除“安全中心”的相关注册表。病毒增加如下注册表启动项：[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]"FuckJacks"="%SYSTEM%\\FuckJacks.exe"[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"svohost"="%SYSTEM%\\FuckJacks.exe"[HKEY_USERS\S-1-5-21-1757981266-2111687655-682003330-500\Software\Microsoft\Windows\CurrentVersion\Run]"FuckJacks"="%SYSTEM%\\FuckJacks.exe"
查杀方案
1. 断开网络
2. 结束病毒进程
%System%\drivers\spoclsv.exe
3. 删除病毒文件：
%System%\drivers\spoclsv.exe
4. 右键点击分区盘符，点击右键菜单中的“打开”进入分区根目录，删除根目录下的文件：
7.在另一台“安全中心”服务正常的电脑上打开注册表，将 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceswscsvc 的全部内容导出为 .REG 文件，复制到故障电脑上导入注册表，然后重新启动 Windows，恢复被病毒删除的“安全中心”服务。

计算机病毒入侵检测与清除摘要：为了提高计算机操作系统的安全性，提供病毒防护方面的知识，提高用户防范能力，本文主要研究计算机病毒的入侵、检测和清除。

一，概述计算机病毒的特点；二，分析计算机病毒入侵过程；三，计算机感染病毒后用户观察到的一系列现象，根据现象判断病毒类型；四，计算机病毒入侵后的行为；五，病毒感染后，反病毒软件检测不出或者被病毒破坏的情况下，如何手工检测；六，针对已知、未知病毒的处理方法；最后，结合反病毒实战，清除“熊猫烧香”病毒。

关键词：计算机病毒入侵检测清除熊猫烧香当打开计算机，发现运行速度缓慢、时不时死机、重启、蓝屏、文件被莫名其妙的更改，十有八九是“中毒”了。

有的情况也许还可以恢复，如果QQ、网络游戏，支付宝等包含虚拟货币的帐号、密码，甚至银行卡帐号、密码被盗就不止损失那么一点计算机上的资源了，也许大家早就知道病毒有什么危害，但还没有意识到有那么严重。

有的用户说：“装了杀毒软件，不怕病毒！”杀毒软件对付病毒是处于被动状态的，当杀毒软件报告有病毒时，有极大可能该机已经受到感染了。

现在的病毒想方设法的躲过杀毒软件的查杀，可谓防不胜防。

既然病毒那么厉害还防不防？答案当然是肯定的。

“中毒”不怕，要把损失降到最低。

随着计算机软硬件以及互联网的飞速发展，计算机病毒这一领域也成长迅速，正如当年非常有代表性的“熊猫烧香”（又称“武汉男生”）在网络中横行肆虐。

现在市面上发行书籍、教科书所涉及的知识已经远远落后于现在病毒技术。

大多数计算机普通用户在这方面的知识比较匮乏，处理“中毒”这种棘手问题还显得力不从心。

本文就计算机病毒进行详细介绍，包括病毒的各种特点、入侵计算机的过程、入侵后计算机出现的种种现象、入侵后用户的检测、在计算机中的运作过程、针对各种病毒总结出一套适合中高级用户的防护方法。

一、计算机病毒的分类及特点1.计算机病毒的分类及特点概述真正识别、查杀病毒，必需要详细了解病毒！病毒由众多分散的个人或组织编写，没有一个标准去衡量、划分，所以病毒的分类可按多个角度大体去分。

伪装技术
熊猫烧香病毒会伪装成其他正常 的文件或程序，诱骗用户运行， 从而感染计算机系统。
03 熊猫烧香病毒的防范与应 对
防范措施
安装防病毒软件
选择可靠的品牌和版本，并及时更新病毒库。
提高网络安全意识
不随意打开未知来源的邮件和链接，不下载 和运行未知来源的文件和程序。
定期备份重要数据
以防数据被病毒感染或损坏。
案例二：熊猫烧香病毒的攻击目标与手法
熊猫烧香病毒主要攻击个人计算机和企业网络系统，通过感染操作系统和应用程序，导致系统运行缓 慢、蓝屏、死机等问题。
该病毒会修改系统注册表、劫持浏览器、禁用安全软件等手段，以实现长期驻留和控制用户计算机。
熊猫烧香病毒还会窃取用户个人信息，如账号密码、信用卡信息等，给用户的隐私和财产安全带来严重 威胁。
与其他蠕虫病毒的比较
传播方式
熊猫烧香病毒与蠕虫病毒相似，都是通过网络进行快速传播 。熊猫烧香病毒利用系统漏洞和用户不慎点击恶意链接等方 式感染计算机。
破坏性
熊猫烧香病毒在感染计算机后，会对系统文件进行篡改，导 致计算机出现蓝屏、频繁重启等问题。此外，熊猫烧香病毒 还会下载其他恶意软件，进一步损害系统安全。
自我保护机制
熊猫烧香病毒具有自我保护机制，通过修改系统 文件、注册表等手段，防止病毒被轻易删除或查 杀。
病毒的隐藏与反侦察技术
隐藏技术
熊猫烧香病毒采用多种隐藏技术， 如将自身嵌入到其他正常文件中、 使用加密和混淆等技术隐藏自身 代码等。
反侦察技术
熊猫烧香病毒会检测自身是否被 检测或查杀，一旦发现自身被检 测或查杀，会采取相应的反侦察 措施，如删除自身、破坏系统文 件等。
熊猫烧香病毒是一种网络攻击手段，与其他网络攻击如拒绝服务攻击、SQL注入攻击等有所不同。熊猫烧香病毒 主要针对个人计算机系统进行感染和破坏。

熊猫烧香病毒清除方法有哪些电脑病毒看不见，却无处不在，有时防护措施不够或者不当操作都会导致病毒入侵。

熊满烧香是之前很经典也是很可怕的一种病毒，那么具体有什么预防和处理办法呢?方法步骤1. 断开网络(必要)2. 结束病毒进程%System%\drivers\spoclsv.exe3. 删除病毒文件：c:\windows\system32\drivers\spoclsv.exe注意：打开C盘要右键-开打，否则仁兄就要功亏一篑，就要重复2的步骤!4. 修改注册表设置，恢复“显示所有文件和文件夹”选项功能：[Copy to clipboard]CODE:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\C urrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]"CheckedValue"=dword:00000001本步骤针对病毒将显示隐藏文件禁用的情况5. 右键点击分区盘符，点击右键菜单中的“打开”进入分区根目录，删除根目录下的文件：X:\setup.exeX:\autorun.inf6. 删除病毒创建的启动项：[Copy to clipboard]CODE:[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run]"svcshare"="%System%\drivers\spoclsv.exe"7. 使用专杀工具进行全盘扫描，清除恢复被感染的exe文件推荐使用软件：NimayaKiller相关阅读：2018网络安全事件：一、英特尔处理器曝“Meltdown”和“Spectre漏洞”2018年1月，英特尔处理器中曝“Meltdown”(熔断)和“Spectre” (幽灵)两大新型漏洞，包括AMD、ARM、英特尔系统和处理器在内，几乎近20年发售的所有设备都受到影响，受影响的设备包括手机、电脑、服务器以及云计算产品。

熊猫烧香病毒源码分析
{===== 填充startupinfo结构 =====}
procedure fillstartupinfo(var si: start upinfo; state: word); begin si.cb := sizeof(si); si.lpreserved := nil; si.lpdesktop := nil; si.lptitle := nil; si.dwflags := startf_useshowwindow; si.wshowwindow := state; si.cbreserved2 := 0; si.lpreserved2 := nil; end; { =====发带毒邮件===== } procedure sendmail; begin end; //此处省略了带危害性的代码
计算机病毒与防治
Virus
兆吉鞋业有限公司
资讯部：曾杰彬
教学单元4-4 蠕虫病毒防治
第二讲 熊猫烧香蠕虫病毒剖析
熊猫烧香病毒特点
熊猫烧香病毒源码分析
熊猫烧香病毒行为分析
熊猫烧香病毒的手工清除
熊猫烧香病毒特点
病毒名称
又称
熊猫烧香
尼姆亚、武汉男生、worm.whBoy.、worm.nimaya.
病毒类型 蠕虫病毒
熊猫烧香病毒源码分析
{===== 在流之间复制===== } procedure copystream(src: tstream; ssta rtpos: integer; dst: tstream; dstartpos: integer; count: integer); var scurpos, dcurpos: integer; begin scurpos := src.position; dcurpos := dst.position; src.seek(sstartpos, 0); dst.seek(dstartpos, 0); dst.copyfrom(src, count); src.seek(scurpos, 0); dst.seek(dcurpos, 0); end;

“熊猫烧香”（Worm.WhBoy.h）“熊猫烧香”(Worm.WhBoy.h)近段时间，“熊猫烧香”(Worm.WhBoy.h) 蠕虫正处于急速变种期，仅11月份至今，变种数量已达10几个，变种速度之快，影响范围之广，与06年横行于局域网的“维金”不相上下。

现在小编提供一个手动清除此病毒的方法：清除步骤==========1. 断开网络2. 结束病毒进程%System%＼FuckJacks.exe3. 删除病毒文件：%System%＼FuckJacks.exe4. 右键点击分区盘符，点击右键菜单中的“打开”进入分区根目录，删除根目录下的文件X:＼autorun.infX:＼setup.exe5. 删除病毒创建的启动项：[HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Run]"FuckJacks"="%System%＼FuckJacks.exe[HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Run]"svohost"="%System%＼FuckJacks.exe"6. 修复或重新安装反病毒软件7. 使用反病毒软件或专杀工具进行全盘扫描，清除恢复被感染的exe文件中毒文件的恢复（仅个人观点,只在自己的虚拟机上测试正常）首先在清除病毒文件的同时不要删除%SYSTEM%下面释放FuckJacks.exe的这个文件,(注册表里要清除干净)打开运行输入gpedit.msc打开组策略-本地计算机策略-windows 设置-安全设置-软件限制策略-其它规则在其它规则上右键选择-新散列规则=打开新散列规则窗口在文件散列上点击浏览找到-%SYSTEM%下面释放FuckJacks.exe 文件.......安全级别选择-不允许的确定后重启(一定重启)重启后可以双击运行已经被熊猫感染的程序-运行程序后该FuckJacks.exe文件会在注册表里的Run键下建立启动项(不会有问题的）双击运行被感染的程序已经恢复原来样子了,全部回复后用SRENG2把FuckJacks.exe 在注册表里的启动项删除即可!杀病毒：实例讲解如何干掉“熊猫烧香”你中过熊猫烧香么？！看到过熊猫拿着三支香的样子么！？中招后如何处理！？看完本文，你将学会如何从计算机中杀掉“熊猫烧香”。

病毒在“%SystemRoot%\system32\drivers\”目录下释放文件splclsv.exe；在系统各个分区创建自动运行文件autorun.inf和病毒副本setup.exe。

病毒在注册表HKCU\Run下创建svcshare键，将创建的spoclsv.exe设为开机自动运行；同时修改文件隐藏属性，不显示隐藏文件。

病毒在注册表中删除瑞星、金山、McA、卡巴斯基、雅虎助手等杀毒软件的开机自启动项。

由于病毒对任务管理器和注册表进程进行了监控，这两个程序一旦运行，就立即终止。

在IceSword中看到有splclsv.exe和gamesetup.exe两个病毒进程。

在IceSword中可以看到，病毒开启了很多TCP连接，378个TCP连接中，有360多个都是病毒开启的。

对网络的性能影响很大。

个文件夹下写入desktop.ini文件，此文件里面只包含一个日期信息。

在.htm文件结尾插入72字节的隐藏框架：
从XueTr工具可以看出，系统中运行的所有程序都被感染（文件均末签名）。

内核模块文件文件也被替换，这导致开机无法正常启动，只能进入安全模式。

对于感染此病毒的计算机，只有进行全盘杀毒，才能彻底清除病毒。

同时由于病毒创建了大量的垃圾文件desktop.ini，删除起来有些困难。

只是很可惜的是没看到可执行文件感染病毒后图标变成熊猫拄着3柱香的样子（嘿嘿……）。

Any question？
12
9.4.2. 结束以下进程： Mcshield.exe;VsTskMgr.exe;naPrdMgr.exe;UpdaterUI.exe;TBMon.exe;scan32.exe;R avmond.exe;CCenter.exe;RavTask.exe;Rav.exe;Ravmon.exe;RavmonD.exe;RavStub. exe;KVXP.kxp;KvMonXP.kxp;KVCenter.kxp;KVSrvXP.exe;KRegEx.exe;UIHost.exe;Troj Die.kxp;FrogAgent.exe;Logo1_.exe;Logo_1.exe;Rundl132.exe;regedit.exe;msconfig. exe;taskmgr.exe 9.4.3. 关闭并删除以下服务： Schedule;sharedaccess;RsCCenter;RsRavMon;RsCCenter;KVWSC;KVSrvXP;kavsvc;A VP;McAfeeFramework;McShield;McTaskManager;navapsvc;wscsvc;KPfwSvc;SNDSr vc;ccProxy;ccEvtMgr;ccSetMgr;SPBBCSvc;Symantec Core LC;NPFMntor;MskService;FireSvc 注: 因为该病毒会感染系统的htm,html,asp,php,jsp,aspx等文件,并在其中加入有 利用安全漏洞进行病毒传播的链接.如果一台服务器被感染将大大增加病毒传 播的范围。
病毒类型 蠕虫病毒 6. 病毒大小 AxCmd.exe 317KB GameSetup.exe 39KB 7. 传播方式 本地磁盘感染，局域网传播 8. 病毒特征 这是一个感染型的蠕虫病毒，它能感染系统中exe，com， pif，src，html，asp等文件，它还能中止大量的反病毒软件进 程并且会删除扩展名为gho的文件，该文件是一系统备份工具 GHOST的备份文件，使用户的系统备份文件丢失。其中能感 染文件的版本使被感染的用户系统中所有.exe可执行文件全部 被改成熊猫举着三根香的模样。 9. 病毒行为 该病毒的主要行为(针对GameSetup.exe) 5.

实验七典型病毒(熊猫烧香)的检测和清除一、实验目的掌握典型病毒的检测方法，掌握典型病毒-熊猫烧香病毒的检测方法二、实验环境微机1台，熊猫烧香病毒样本、熊猫烧香病毒专杀工具、VMWare虚拟机软件。

三、实验步骤与方法1）熊猫烧香病毒的检测1、备好病毒样本带有熊猫烧香病毒的文件。

2、运行VMWare虚拟机软件。

为了整个计算机本身的安全或整个实验室系统的安全，让实验在虚拟的环境下进行，3、检测干净系统4、种植熊猫烧香病毒点击含有熊猫烧香病毒文件夹下的setup.exe文件，这时就将熊猫烧香病毒种植到计算机系统中了。

5、检测中毒后的系统得出实验结论2）熊猫烧香病毒的清除(1) 熊猫症状表现为:(1.1) 某些EXE文件的图标被改成一个座立的熊猫手里捧着三根香,因此得名,(1.2) 隐藏文件属性无法修改，即显示所有隐藏文件的勾选去掉也不能显示隐藏文件；(1.3) 双击分区盘符无法打开显示内容，必须通过右键打开才可以打开；如果你的电脑出现以上症状那一定是中着了！可以通过以下用超级巡警之熊猫烧香病毒专杀V1.8自动删除和清理病毒（删除前断开网络）拓展资料：手工清除方法(2.1) 清除病毒第一步：点击“开始--运行”，输入"ntsd -c q -pn spoclsv.exe"并确定，结束病毒的进程。

（或进入到文件夹c:\windows(Windows2000下为winnt, windowsXP下为windows)\system32 \drivers中修改spoclsv.exe的文件名为其他的.exe文件），之后我们就可以进入到任务管理器和注册表中了。

第二步：在注册表中寻找“HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\C URRENTVersion\Explorer\Advanced\Folder\Hidden\SHOWALL”,将CheckedValue的值改为1。

熊猫烧香案例分析一、基本案情被告人李俊于2003年开始自学计算机编程技术，并经常向自己的好朋友、也是本案被告人之一的雷磊请教。

2006年10月，被告人李俊从武汉某软件技术开发培训学校毕业后，便将自己以前在国外某网站下载的计算机病毒源代码调出来进行研究、修改，在对此病毒进行修改的基础上完成了“熊猫烧香”电脑病毒的制作，并采取将该病毒非法挂在别人网站上及赠送给网友等方式在互联网上传播。

“熊猫烧香”病毒具有本机感染功能、局域网感染功能及u盘感染功能，并能中止许多反病毒软件和防火墙的运行，中了该病毒的电脑会自动链接访问指定的网站、下载恶意程序等。

其后，李俊请雷磊对该病毒提修改建议。

雷磊认为该病毒存在两个问题，一是改变被感染文件的图标，二是没有隐藏病毒进程。

电脑感染了该病毒后，很容易被电脑用户发现，建议李俊从这两个方面对“熊猫烧香”病毒进行修改，但没有告诉李俊具体的修改方法。

2006年11月中旬，李俊在互联网上叫卖该病毒，同时也请被告人王磊及其他网友帮助出售该病毒。

王磊、李俊及其网友一共卖出了约三十个“熊猫烧香”病毒。

其中，王磊帮李俊卖出了三个“熊猫烧香”病毒，并先后三次共汇款给李俊人民币1450元。

此外，李俊还赠送给其他网友约十个“熊猫烧香”病毒。

随着病毒的出售和赠送给网友，“熊猫烧香”病毒迅速在互联网上传播，导致自动链接访问李俊个人网站的流量大幅上升。

王磊得知此情形后，提出为李俊卖“流量”，并联系被告人张顺购买李俊网站的“流量”，所得收入由王磊和李俊平分。

为了提高访问李俊网站的速度，减少网络拥堵，王磊和李俊商量后，由王磊化名董磊为李俊的网站在南昌锋讯网络科技有限公司租了一个2G内存、百兆独享线路的服务器，租金由李俊、王磊每月各负担800元。

张顺购买李俊网站的流量后，先后将九个游戏木马（也就是盗号木马）通过互联网发给王磊，王磊将这九个游戏木马转发给李俊，然后由李俊将这九个游戏木马挂在其个人网站上，盗取自动链接访问其网站的游戏玩家的“游戏信封（即含有游戏账号和密码的电子邮件）”，游戏木马将盗取的“游戏信封”自动地发给张顺，张顺则将盗取的“游戏信封”进行拆封、转卖，从而获取利益。

《网络攻击与防御》实验报告计算机科学与技术学院计算机系网络教研室制实验报告撰写要求实验操作是教学过程中理论联系实际的重要环节，而实验报告的撰写又是知识系统化的吸收和升华过程，因此，实验报告应该体现完整性、规范性、正确性、有效性。

现将实验报告撰写的有关内容说明如下：1、实验报告模板为电子版。

2、下载统一的实验报告模板，学生自行完成撰写和打印。

报告的首页包含本次实验的一般信息：组号：例如：2-5 表示第二班第5组。

实验日期：例如：05-10-06 表示本次实验日期。

(年-月-日)……实验编号：例如：表示第一个实验。

实验时间：例如：2学时表示本次实验所用的时间。

实验报告正文部分，从六个方面（目的、内容、步骤等）反映本次实验的要点、要求以及完成过程等情况。

模板已为实验报告正文设定统一格式，学生只需在相应项内填充即可。

续页不再需要包含首页中的实验一般信息。

3、实验报告正文部分具体要求如下：一、实验目的本次实验所涉及并要求掌握的知识点。

二、实验环境实验所使用的设备名称及规格，网络管理工具简介、版本等。

三、实验内容与实验要求实验内容、原理分析及具体实验要求。

四、实验过程与分析根据具体实验，记录、整理相应命令、运行结果等，包括截图和文字说明。

详细记录在实验过程中发生的故障和问题，并进行故障分析，说明故障排除的过程及方法。

五、实验结果总结对实验结果进行分析，完成思考题目，总结实验的心得体会，并提出实验的改进意见。

1）掌握熊猫烧香病毒的工作原理和感染方法；2）掌握手工清除熊猫病毒的基本方法。

目标主机为windows-2003所用到的工具o Wsyschecko Filemon三、实验内容与实验要求蠕虫原理1）蠕虫定义2007年1月流行的“熊猫烧香”以及其变种也是蠕虫病毒。

这一病毒利用了微软视窗操作系统的漏洞，计算机感染这一病毒后，会不断自动拨号上网，并利用文件中的地址信息或者网络共享进行传播，最终破坏用户的大部分重要数据。

《网络攻击与防御》实验报告计算机科学与技术学院计算机系网络教研室制实验报告撰写要求实验操作是教学过程中理论联系实际的重要环节，而实验报告的撰写又是知识系统化的吸收和升华过程，因此，实验报告应该体现完整性、规范性、正确性、有效性。

现将实验报告撰写的有关内容说明如下：1、实验报告模板为电子版。

2、下载统一的实验报告模板，学生自行完成撰写和打印。

报告的首页包含本次实验的一般信息：组号：例如：2-5 表示第二班第5组。

实验日期：例如：05-10-06 表示本次实验日期。

(年-月-日)……实验编号：例如：表示第一个实验。

实验时间：例如：2学时表示本次实验所用的时间。

实验报告正文部分，从六个方面（目的、内容、步骤等）反映本次实验的要点、要求以及完成过程等情况。

模板已为实验报告正文设定统一格式，学生只需在相应项内填充即可。

续页不再需要包含首页中的实验一般信息。

3、实验报告正文部分具体要求如下：1）掌握熊猫烧香病毒的工作原理和感染方法；2）掌握手工清除熊猫病毒的基本方法。

目标主机为windows-2003所用到的工具o Wsyschecko Filemon三、实验内容与实验要求蠕虫原理1）蠕虫定义2007年1月流行的“熊猫烧香”以及其变种也是蠕虫病毒。

这一病毒利用了微软视窗操作系统的漏洞，计算机感染这一病毒后，会不断自动拨号上网，并利用文件中的地址信息或者网络共享进行传播，最终破坏用户的大部分重要数据。

蠕虫病毒是自包含的程序(或是一套程序)，它能传播它自身功能的拷贝或它的某些部分到其他的计算机系统中(通常是经过网络连接)。

请注意，与一般病毒不同，蠕虫不需要将其自身附着到宿主程序，有两种类型的蠕虫：主机蠕虫与网络蠕虫。

主计算机蠕虫完全包含在它们运行的计算机中，并且使用网络的连接仅将自身拷贝到其他的计算机中，主计算机蠕虫在将其自身的拷贝加入到另外的主机后，就会终止它自身(因此在任意给定的时刻，只有一个蠕虫的拷贝运行)，这种蠕虫有时也叫"野兔"。

“熊猫烧香”病毒的清除方法可恶的病毒“熊猫烧香”，一查居然是2007 年第一周排行榜第一的病毒。

这个病毒Windows 和常用的系统组件，如IE、Messenger 等的运行倒没有多大影响，但是它会自行搜索硬盘上扩展名为 .EXE、.HTM、.ASP、.CHM 等几种类型的文件，把这些文件当作宿主，寄生在这些文件里。

一旦这几种类型的文件被感染，文件的图标就会变成一个很恶心的烧香熊猫的样子，同时文件大小变大（病毒已经寄生在其中），只要试图运行这些中毒的文件，病毒就会进一步地疯狂扩散。

受病毒的影响，几乎所有的应用软件基本上都不能正常运行了（哪个软件的执行文件不是 .EXE 文件呢）。

而且病毒还具有自行关闭防火墙和杀毒软件的能力，电脑上的瑞星防火墙便被强制禁用，病毒监控虽然可以运行，但也被取消了随系统启动一同加载的权利；同时连 Windows 安全中心也未能幸免，Security Center 服务被整个删除；另外在文件夹选项中也无法查看隐藏的文件夹和文件了，这是一个常见问题，在文件夹选项中设置“显示所有文件夹和文件”后无法保存设置。

和这个病毒纠缠了两天，过程就不说了，说说怎么清理它吧。

由于瑞星已经“泥菩萨过河、自身难保”，所以不得不手动清除。

1.在任务管理器的进程列表中关闭 SPCOLSV.EXE 病毒进程。

这个SPCOLSV.EXE 明显是在模仿系统进程 SPOOLSV.EXE。

2.删除位于%SystemRoot%system32Drivers 文件夹中的SPCOLSV.EXE 文件。

%SystemRoot%system32Drivers 文件夹中不应该存在 .EXE 文件，所以很好找。

3.按照KB555640 提供的方法，恢复资源管理器不能显示隐含文件的问题：4.每个硬盘分区的根目录都有两个隐含的文件AUTORUN.INF 和SETUP.EXE，将这些垃圾全部删除。

5.在注册表HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersio nRun 中把病毒的启动项 svcshare 删除。