福建师范大学数学与计算机科学学院网络安全原理与技术课件第1讲 网络信息安全.pptVIP

网络信息安全 “熊猫烧香（武汉男生）” “熊猫烧香（武汉男生）” 病毒名：Worm.WhBoy.h 　　　“熊猫烧香”最早现身于2006年11月，它是一个由Delphi工具编写的蠕虫，终止大量的反病毒软件和防火墙软件进程。病毒会删除扩展名为gho的文件，使用户无法使用ghost软件恢复操作系统。 “熊猫烧香（武汉男生）” “熊猫烧香”其实是一种蠕虫病毒的变种，而且是经过多次变种而来的。 它是尼姆亚变种W(Worm.Nimaya.w)。由于中毒电脑的可执行文件会出现 “熊猫烧香”图案，所以也被称为“熊猫烧香”病毒。用户电脑中毒后可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。同时，该病毒的某些变种可以通过局域网进行传播，进而感染局域网内所有计算机系统，最终导致企业局域网瘫痪，无法正常使用。 病毒特征 　1、病毒关闭众多杀毒软件和安全工具 　2、循环遍历磁盘目录，感染文件，对关键系统文件跳过 　3、感染所有EXE、SCR、PIF、COM文件,并更改图标为烧香熊猫。在硬盘各个分区下生成文件autorun.inf和setup.exe，可以通过U盘和移动硬盘等方式 进行传播，并且利用Windows系统的自动播放功能来运行，搜索硬盘中的.exe可执行文件并感染，感染后的文件图标变成“熊猫烧香”图案。 　　　 　　　 “熊猫烧香（武汉男生）” 　4、感染所有.htm/.html/.asp/.php/.jsp/.aspx文件，添加木马恶意代码；　　添加病毒网址，导致用户一打开这些网页文 件，IE就会自动连接到指定的病毒网址中下载病毒。 5、自动删除*.gho文件 　６、病毒还可以通过共享文件夹、系统弱口令等多种方式进行传播。 　“熊猫烧香”蠕虫不但可以对用户系统进行破坏，导致大量应用软件无法使用，而且还可删除扩展名为gho的所有文件，造成用户的系统备份文件丢失，从而无法进行系统恢复；同时该病毒还能终止大量反病毒软件进程，大大降低用户系统的安全性。 病毒工作原理 ?1:　拷贝文件?. 病毒运行后,会把自己拷贝到C:\WINDOWS\System32\Drivers\spoclsv.exe?. 2:　添加注册表自启动?. 病毒会添加自启动项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run?svcshare??C:\WINDOWS\System32\Drivers\spoclsv.exe?. 病毒工作原理 3:　病毒行为?. a:　每隔1秒寻找桌面窗口,并关闭窗口标题中含有以下字符的程序：?. QQKav、QQAV、防火墙、进程、 VirusScan、网镖、杀毒、毒霸、瑞星、江民、黄山IE、超级兔子、优化大师、木马克星、木马清道夫、QQ病毒、注册表编辑器、系统配置实用程序、 卡巴斯基反病毒、Symantec?AntiVirus、Duba、esteem?proces、绿鹰PC、密码防盗、噬菌体、木马辅助查找器、 System?Safety?Monitor、Wrapped?gift?Killer、Winsock?Expert、游戏木马检测大师、 msctls_statusbar32、pjf(ustc)、IceSword?. 并使用的键盘映射的方法关闭安全软件IceSword?. 病毒工作原理 添加注册表使自己自启动 ?HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run?svcshare?-?C:\WINDOWS\System32\Drivers\spoclsv.exe?. 并中止系统中以下的进程:?Mcshield.exe、VsTskMgr.exe、 naPrdMgr.exe、UpdaterUI.exe、TBMon.exe、scan32.exe、Ravmond.exe、CCenter.exe、 RavTask.exe、Rav.exe、Ravmon.exe、RavmonD.exe、RavStub.exe、KVXP.kxp、 kvMonXP.kxp、KVCenter.kxp、KVSrvXP.exe、KRegEx.exe、UIHost.exe、TrojDie.kxp、 FrogAgent.exe、Logo1_.exe、Logo_1.exe、Rundl132.exe?. 病毒工作原理 b:　每隔18秒点击病毒作者指定的网页,并用命令行检查系统中是否存在共享，共享存在的话就运行net?share命令，关闭admin$共享?. c:　每隔10秒下载病毒作者指定的文件,并用命令行检查系统中是否存在共享，共存在的话就运行net?share命令关闭admin$共享?. 病毒工作原理