計算機病毒熊貓燒香怎么樣
計算機病毒熊貓燒香怎么樣
對于熊貓燒香病毒,你了解多少呢?下面由學習啦小編給你做出詳細的計算機病毒熊貓燒香介紹!希望對你有幫助!
計算機病毒熊貓燒香介紹一:
熊貓燒香案偵破始末
“熊貓燒香”電腦癱瘓
2007年1月中旬,湖北省仙桃某行政單位一臺辦公電腦中毒癱瘓,請網監民警前去幫忙修理,網監民警剛一修好,該臺電腦馬上又出現中毒癥狀,原來里面的病毒不能殺滅干凈。
事情還沒了結,該市江漢熱線信息中心向公安局報案:中心服務器大面積感染病毒,技術人員不能修復,中心工作被迫全面停擺。網監民警查看發現感染癥狀與先前辦公電腦中毒的情況幾乎一樣,電腦屏幕上都出現了一只熊貓手捧三炷香的圖案。
此時這種病毒已在全國泛濫,人們形象地叫它“熊貓燒香”病毒。1月24日,仙桃市公安局決定立案偵察。
網監大隊民警破譯了部分“熊貓燒香”的病毒代碼,發現病毒編寫者在一些病毒程序后署上了“Whboy”或“武漢男孩”的落款。這成為偵破案件唯一的線索。
百兆數據中查“武漢男孩”
“武漢男孩”是何許人?在后續的偵查中民警發現,作案者十分狂妄,敢跟專業人士挑戰,在病毒程序的升級版后留言“感謝某某對我的病毒的關注”等挑戰書。
通過大量的資料比對,民警從自己的資料庫中發現,在2005年,一個署名“武漢男孩”的人曾編寫過“QQ尾巴”計算機病毒在網上傳播。這兩個“武漢男孩”是否同一個人呢?
網監大隊民警通過調取成千上萬條上網記錄(至少有100G的數據量),終于有了一個肯定的答案:從編寫病毒的特征碼和寫作方式來看,兩個“武漢男孩”有驚人的相似之處,應該是同一個人。 1月30日,仙桃網監部門發現“武漢男孩”的上網地址大多在武漢,并找到了他留在網上的一張照片!
2007年1月31日湖北省公安廳分管網監工作的副廳長黃洪主持一保密會議,公安部國家計算機病毒應急中心專家參加了會議,至此,“熊貓燒香”案上升為全國公安機關的大案!
2月1日,所有線索都指向武漢市武昌洪山區一幢四層樓二樓左邊的出租屋。屋內的情況被摸清楚:里面現租住著三個人,有兩臺電腦,有網線。在三個人中,一個叫李俊的男青年引起了偵察員的注意,他與“武漢男孩”的特征十分相似。
從網絡到現實四犯落網 2月2日,公安部門對出租屋開始24小時監控。2月3日,民警發現李俊用化名在網上和一個新疆人說,他發現有點不對勁,要出去躲一躲。指揮部決定:屋內蹲守。民警潛入出租屋。下午2點左右,有人進了出租屋。民警馬上將其控制。經審問,方知他是李俊的弟弟,對該案并不知情。
2月3日下午6時,指揮部對李俊進行了技術定位,發現他沒有跑出包圍圈。但此時的李俊也許發現了什么問題,不停地在外圍兜圈子。
晚上8點40分,李俊終于返回出租屋,蹲守民警立即將他控制。
經突審,李俊承認了他就是“熊貓燒香”的制作者“武漢男孩”。李俊供稱:他與同伙雷磊早在1月下旬就感到勢頭不對,已離開了出租屋,在武漢某賓館開了一個房打聽動靜,現在感到風聲越來越緊,回出租屋就是收拾東西準備外逃。抓捕組隨即在賓館將雷磊擒獲。
2月4日晚,仙桃網監民警兵分三路,分別對網名“才子”的王磊、張順以及兩名參與傳播病毒的重要嫌疑對象進行追捕。 2月8日,“熊貓燒香”案主要犯罪嫌疑人全部歸案,至此,民警們才知道,他們偵破的是全國第一起故意制作和傳播計算機病毒犯罪的案件。
計算機病毒熊貓燒香介紹二:
病毒描述:
“武漢男生”,俗稱“熊貓燒香”,這是一個感染型的蠕蟲病毒,它能感染系統中exe,com,pif,src,html,asp等文件,它還能中止大量的反病毒軟件進程并且會刪除擴展名為gho的文件,該文件是一系統備份工具GHOST的備份文件,使用戶的系統備份文件丟失。被感染的用戶系統中所有.exe可執行文件全部被改成熊貓舉著三根香的模樣。
1:拷貝文件
病毒運行后,會把自己拷貝到C:\WINDOWS\System32\Drivers\spoclsv.exe
2:添加注冊表自啟動
病毒會添加自啟動項HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe
3:病毒行為
a:每隔1秒尋找桌面窗口,并關閉窗口標題中含有以下字符的程序:
QQKav、QQAV、防火墻、進程、VirusScan、網鏢、殺毒、毒霸、瑞星、江民、黃山IE、超級兔子、優化大師、木馬克星、木馬清道夫、QQ病毒、注冊表編輯器、系統配置實用程序、卡巴斯基反病毒、Symantec AntiVirus、Duba、esteem proces、綠鷹PC、密碼防盜、噬菌體、木馬輔助查找器、System Safety Monitor、Wrapped gift Killer、Winsock Expert、游戲木馬檢測大師、msctls_statusbar32、pjf(ustc)、IceSword
并使用的鍵盤映射的方法關閉安全軟件IceSword
添加注冊表使自己自啟動 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe
并中止系統中以下的進程:
Mcshield.exe、VsTskMgr.exe、naPrdMgr.exe、UpdaterUI.exe、TBMon.exe、scan32.exe、Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、RavmonD.exe、RavStub.exe、KVXP.kxp、kvMonXP.kxp、KVCenter.kxp、KVSrvXP.exe、KRegEx.exe、UIHost.exe、TrojDie.kxp、FrogAgent.exe、Logo1_.exe、Logo_1.exe、Rundl132.exe
b:每隔18秒點擊病毒作者指定的網頁,并用命令行檢查系統中是否存在共享,共存在的話就運行net share命令關閉admin$共享
c:每隔10秒下載病毒作者指定的文件,并用命令行檢查系統中是否存在共享,共存在的話就運行net share命令關閉admin$共享
d:每隔6秒刪除安全軟件在注冊表中的鍵值
并修改以下值不顯示隱藏文件 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue -> 0x00
刪除以下服務:
navapsvc、wscsvc、KPfwSvc、SNDSrvc、ccProxy、ccEvtMgr、ccSetMgr、SPBBCSvc、Symantec Core LC、NPFMntor MskService、FireSvc
e:感染文件
病毒會感染擴展名為exe,pif,com,src的文件,把自己附加到文件的頭部,并在擴展名為htm,html, asp,php,jsp,aspx的文件中添加一網址,用戶一但打開了該文件,IE就會不斷的在后臺點擊寫入的網址,達到增加點擊量的目的,但病毒不會感染以下文件夾名中的文件:
WINDOW、Winnt、System Volume Information、Recycled、Windows NT、WindowsUpdate、Windows Media Player、Outlook Express、Internet Explorer、NetMeeting、Common Files、ComPlus Applications、Messenger、InstallShield Installation Information、MSN、Microsoft Frontpage、Movie Maker、MSN Gamin Zone
g:刪除文件
病毒會刪除擴展名為gho的文件,該文件是一系統備份工具GHOST的備份文件使用戶的系統備份文件丟失。
看了“ 計算機病毒熊貓燒香怎么樣”文章的還看了:
5.熊貓燒香病毒介紹