计算机病毒与木马防护1.实验指导书-熊猫烧香查找及清除(文档附件)1.实验指导书-熊猫烧香查找及清除(文档附件).docxVIP

实验指导书 项目标号 1 项目名称 病毒查找及清除 学时 2 实验目的 掌握熊猫烧香的查找和清除方法 实验原理 恶意软件名称：熊猫烧香，Worm.WhBoy，Worm.Nimaya。 恶意软件别名：尼姆亚， 武汉男生，后又化身为“ 金猪报喜”，国外称“熊猫烧香”。 危险级别：★★★★★。 恶意软件类型： 蠕虫病毒，能够终止大量的 反病毒软件和防火墙软件进程。 影响系统：Win 9x/ME、Win 2000/NT、Win XP、Win 2003 、Win Vista。 发现时间：2006年10月16日。 实验环境 Windows实验台 实验工具：icesWord Aport端口查看 Regshot注册表对比工具 熊猫烧香病毒专杀工具 实验内容 通过第三方软件，察看病毒的运行状态，对系统配置的修改，从而了解病毒的运行原理，达到手动清楚木马与病毒的目的。实验内容包括： 注册表查看和监控； 文件型病毒代码查看； 进程查看和管理； 端口状态分析。 实验步骤： 系统设置 启动Windows实验台，进入Windows2003系统，将本地主机与实验台同一网段的IP地址删除并断开局域网连接以免病毒感染本机或局域网内主机。 运行“金猪报喜.exe” 通过工具箱下载并运行“金猪报喜.exe”文件。 观察恶意软件运行后的效果 修改部分文件图标； 如图所示，运行恶意软件样本之后首先的现象就是恶意软件会感染部分exe文件。当远程及其它用户点击该程序，则会中毒，造成恶意软件的进一步传播。 无法打开任务管理器； 无法运行msconfig查看启动项； 无法运行注册表编辑器(regedit.exe)； 无法打开防火墙管理服务； 无法查看“显示所有文件”； 无法访问共享，删除当前系统的默认共享； 右键磁盘，出现自动运行菜单，如图所示； 分析是否存在其它异常。 恶意软件常常通过这些方法，使管理员无法查看到或修改关闭该恶意软件运行程序。 恢复备份，分析恶意软件 打开下载病毒查杀工具，启动分析软件重新运行恶意软件（可多次恢复备份以完成下面的所有步骤）。 网络分析 打开端口监听程序aport，会发现sppoolsv.exe在不断对同网段地址进行139、445端口进行连接，如图所示。 工具箱中下载并打开wireshark，分析恶意软件是想通过什么方式实现对远程主机的感染与恶意软件的传播。 进程分析 在运行恶意软件前启动iceWord.exe，看到新建进程sppoolsv.exe，；该进程冒充打印服务，其实是恶意软件后台进程，右键属性可以查看到该进程路径。 关闭这个进程的话，则会启动任务管理器，注册表编辑器和msconfig。