计算机病毒熊猫烧香演示

1、合肥工业大学计算机与信息学院 课 程：计算机病毒与反病毒作业名称：熊猫烧香病毒演示和手工去除姓 名：古鑫学 号：202126802014-6-6合 肥 工 业 大 学关于熊猫烧香病毒病毒描述其实是一种蠕虫病毒的变种，熊猫烧香而且是经过屡次变种而来的，由于中毒电脑的可执行文件会出现“熊猫烧香图案，所以也被称为 “熊猫烧香病毒。但原病毒只会对EXE图标进行替换，并不会对系统本身进行破坏。而大多数是中的病毒变种，用户电脑中毒后可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。同时，该病毒的某些变种可以通过局域网进行传播，进而感染局域网内所有计算机系统，最终导致企业局域网瘫痪，无法正常使用，

2、它能感染系统中exe，com，pif，src，html，asp等文件，它还能终止大量的反病毒软件进程并且会删除扩展名为gho的备份文件。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。中毒病症除了通过网站带毒感染用户之外，此病毒还会在局域网中传播，中毒时的电脑桌面在极短时间之内就 可以感染几千台计算机，严重时可以导致网络瘫痪。中毒电脑上会出现“熊猫烧香图案，所以也被称为“熊猫烧香病毒。中毒电脑会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。病毒危害病毒会删除扩展名为gho的文件，使用户无法使用ghost软件恢复操作系统。 中毒时会弹出的窗口“熊猫烧香感染系的.e

3、xe . f.src .html.asp文件，添加病毒网址，导致用户一翻开这些网页文件，IE就会自动连接到指定的病毒网址中下载病毒。在硬盘各个分区下生成文件autorun.inf和setup.exe，可以通过U盘和移动硬盘等方式进行传播，并且利用Windows系统的自动播放功能来运行，搜索硬盘中的.exe可执行文件并感染，感染后的文件图标变成“熊猫烧香图案。“熊猫烧香还可以通过共享文件夹、用户简单密码等多种方式进行传播。该病毒会在中毒电脑中所有的网页文件尾部添加病毒代码。一些网站编辑人员的电脑如果被该病毒感染，上传网页到网站后，就会导致用户浏览这些网站时也被病毒感染。据悉，多家著名网站已经遭到

4、此类攻击，而相继被植入病毒。由于这些网站的浏览量非常大，致使“熊猫烧香病毒的感染范围非常广，中毒企业和政府机构已经超过千家，其中不乏金融、税务、能源等关系到国计民生的重要单位。注：江苏等地区成为“熊猫烧香重灾区。熊猫烧香病毒的演示实验环境、工具及条件VMware Workstation虚拟机上的windows XP professional版本上，张老师提供的熊猫烧香病毒的样本，UE工具软件等等实验目的了解熊猫烧香病毒及其类似病毒的工作原理了解病毒对计算机的危害初步掌握去除一般病毒的方法实验的过程解压所提供的的病毒样本；双击图标运行病毒程序，结果如下，可知计算机已经被病毒所感染： 图1查看被C

5、:Program Files文件下的应用软件，发现几乎所有的可执行文件都变成了熊猫的图标，可以验证已经被熊猫烧香病毒所感染：图2被熊猫烧香病毒感染后，注册表和任务管理都无法翻开，因此去除病毒的第一步是：结束病毒进程，spo0lsv.exe进程。但因为中毒后无法翻开任务管理器，因此，我通过命令行的tasklist命令找到相关的进程，并且用tskill命令将之结束。结束进程后，任务管理器和注册表就可以翻开了，截图如下：翻开注册表，按Ctrl+F键，查找spo0lsv,并删除所以的关于spo0lsv的工程；在注册表中查找showall，并把键值改为1，目的是显示隐藏文件；显示隐藏文件，我的电脑工具文

6、件夹选项查看,显示所有文件或文件夹，去掉隐藏受保护的操作系统文件前面的钩，找到病毒文件并删除；完成以上的工作后，重启计算机，病毒不再自启动，但是被感染的可执行文件中的病毒还没有被去除，下面的步骤是手工去除被感染文件的病毒；由于别感染的文件太多，不能一一去除，在此，选择C:Program FilesIDM Computer SolutionsUltraEdit下的Update.exe来做去除的样例，手工去除的具体过程如下：首先找到Update.exe文件，用UE翻开；在UE的“搜索菜单下点击“查找按钮，输入“4D 5A 90 00，点击查找；图3找到后，选择以上的全部的十六进制文件；图4点击保存，再查看Update.exe即可发现图标已经变为正常的图标，比照图2 可知病毒已经被去除，结果如下列图：实验的结论和感悟被熊猫烧香病毒感染后，电脑上的可执行文件