計算機病毒熊貓燒香怎麼樣

　　對於熊貓燒香病毒，你瞭解多少呢?下面由小編給你做出詳細的計算機病毒熊貓燒香介紹!希望對你有幫助!

　　計算機病毒熊貓燒香介紹一：

　　熊貓燒香案偵破始末

　　“熊貓燒香”電腦癱瘓

　　2007年1月中旬，湖北省仙桃某行政單位一臺辦公電腦中毒癱瘓，請網監民警前去幫忙修理，網監民警剛一修好，該臺電腦馬上又出現中毒症狀，原來裡面的病毒不能殺滅乾淨。

　　事情還沒了結，該市江漢熱線資訊中心向公安局報案：中心伺服器大面積感染病毒，技術人員不能修復，中心工作被迫全面停擺。網監民警檢視發現感染症狀與先前辦公電腦中毒的情況幾乎一樣，電腦螢幕上都出現了一隻熊貓手捧三炷香的圖案。

　　此時這種病毒已在全國氾濫，人們形象地叫它“熊貓燒香”病毒。1月24日，仙桃市公安局決定立案偵察。

　　網監大隊民警破譯了部分“熊貓燒香”的病毒程式碼，發現病毒編寫者在一些病毒程式後署上了“Whboy”或“武漢男孩”的落款。這成為偵破案件唯一的線索。

　　百兆資料中查“武漢男孩”

　　“武漢男孩”是何許人?在後續的偵查中民警發現，作案者十分狂妄，敢跟專業人士挑戰，在病毒程式的升級版後留言“感謝某某對我的病毒的關注”等挑戰書。

　　通過大量的資料比對，民警從自己的資料庫中發現，在2005年，一個署名“武漢男孩”的人曾編寫過“QQ尾巴”計算機病毒在網上傳播。這兩個“武漢男孩”是否同一個人呢?

　　網監大隊民警通過調取成千上萬條上網記錄***至少有100G的資料量***，終於有了一個肯定的答案：從編寫病毒的特徵碼和寫作方式來看，兩個“武漢男孩”有驚人的相似之處，應該是同一個人。 　　1月30日，仙桃網監部門發現“武漢男孩”的上網地址大多在武漢，並找到了他留在網上的一張照片!

　　2007年1月31日湖北省公安廳分管網監工作的副廳長黃洪主持一保密會議，公安部國家計算機病毒應急中心專家參加了會議，至此，“熊貓燒香”案上升為全國公安機關的大案!

　　2月1日，所有線索都指向武漢市武昌洪山區一幢四層樓二樓左邊的出租屋。屋內的情況被摸清楚：裡面現租住著三個人，有兩臺電腦，有網線。在三個人中，一個叫李俊的男青年引起了偵察員的注意，他與“武漢男孩”的特徵十分相似。

　　從網路到現實四犯落網　　2月2日，公安部門對出租屋開始24小時監控。2月3日，民警發現李俊用化名在網上和一個新疆人說，他發現有點不對勁，要出去躲一躲。指揮部決定：屋內蹲守。民警潛入出租屋。下午2點左右，有人進了出租屋。民警馬上將其控制。經審問，方知他是李俊的弟弟，對該案並不知情。

　　2月3日下午6時，指揮部對李俊進行了技術定位，發現他沒有跑出包圍圈。但此時的李俊也許發現了什麼問題，不停地在外圍兜圈子。

　　晚上8點40分，李俊終於返回出租屋，蹲守民警立即將他控制。

　　經突審，李俊承認了他就是“熊貓燒香”的製作者“武漢男孩”。李俊供稱：他與同夥雷磊早在1月下旬就感到勢頭不對，已離開了出租屋，在武漢某賓館開了一個房打聽動靜，現在感到風聲越來越緊，回出租屋就是收拾東西準備外逃。抓捕組隨即在賓館將雷磊擒獲。

　　2月4日晚，仙桃網監民警兵分三路，分別對網名“才子”的王磊、張順以及兩名參與傳播病毒的重要嫌疑物件進行追捕。 　　2月8日，“熊貓燒香”案主要犯罪嫌疑人全部歸案，至此，民警們才知道，他們偵破的是全國第一起故意製作和傳播計算機病毒犯罪的案件。

　　計算機病毒熊貓燒香介紹二：

　　病毒描述：

　　“武漢男生”，俗稱“熊貓燒香”，這是一個感染型的蠕蟲病毒，它能感染系統中exe，com，pif，src，html，asp等檔案，它還能中止大量的反病毒軟體程序並且會刪除副檔名為gho的檔案，該檔案是一系統備份工具GHOST的備份檔案，使使用者的系統備份檔案丟失。被感染的使用者系統中所有.exe可執行檔案全部被改成熊貓舉著三根香的模樣。

　　1:拷貝檔案

　　病毒執行後,會把自己拷貝到C:\WINDOWS\System32\Drivers\spoclsv.exe

　　2:添加註冊表自啟動

　　病毒會新增自啟動項HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe

　　3:病毒行為

　　a:每隔1秒尋找桌面視窗,並關閉視窗標題中含有以下字元的程式：

　　QQKav、QQAV、防火牆、程序、VirusScan、網鏢、防毒、毒霸、瑞星、江民、黃山IE、超級兔子、優化大師、木馬克星、木馬清道夫、QQ病毒、登錄檔編輯器、系統配置實用程式、卡巴斯基反病毒、Symantec AntiVirus、Duba、esteem proces、綠鷹PC、密碼防盜、噬菌體、木馬輔助查詢器、System Safety Monitor、Wrapped gift Killer、Winsock Expert、遊戲木馬檢測大師、msctls_statusbar32、pjf***ustc***、IceSword

　　並使用的鍵盤對映的方法關閉安全軟體IceSword

　　添加註冊表使自己自啟動 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe

　　並中止系統中以下的程序:

　　Mcshield.exe、VsTskMgr.exe、naPrdMgr.exe、UpdaterUI.exe、TBMon.exe、scan32.exe、Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、RavmonD.exe、RavStub.exe、KVXP.kxp、kvMonXP.kxp、KVCenter.kxp、KVSrvXP.exe、KRegEx.exe、UIHost.exe、TrojDie.kxp、FrogAgent.exe、Logo1_.exe、Logo_1.exe、Rundl132.exe

　　b:每隔18秒點選病毒作者指定的網頁,並用命令列檢查系統中是否存在共享，共存在的話就執行net share命令關閉admin$共享

　　c:每隔10秒下載病毒作者指定的檔案,並用命令列檢查系統中是否存在共享，共存在的話就執行net share命令關閉admin$共享

　　d:每隔6秒刪除安全軟體在登錄檔中的鍵值

　　並修改以下值不顯示隱藏檔案 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue -> 0x00

　　刪除以下服務:

　　navapsvc、wscsvc、KPfwSvc、SNDSrvc、ccProxy、ccEvtMgr、ccSetMgr、SPBBCSvc、Symantec Core LC、NPFMntor MskService、FireSvc

　　e:感染檔案

　　病毒會感染副檔名為exe,pif,com,src的檔案,把自己附加到檔案的頭部，並在副檔名為htm,html, asp,php,jsp,aspx的檔案中新增一網址，使用者一但打開了該檔案，IE就會不斷的在後臺點選寫入的網址，達到增加點選量的目的,但病毒不會感染以下資料夾名中的檔案：

　　WINDOW、Winnt、System Volume Information、Recycled、Windows NT、WindowsUpdate、Windows Media Player、Outlook Express、Internet Explorer、NetMeeting、Common Files、ComPlus Applications、Messenger、InstallShield Installation Information、MSN、Microsoft Frontpage、Movie Maker、MSN Gamin Zone

　　g:刪除檔案

　　病毒會刪除副檔名為gho的檔案，該檔案是一系統備份工具GHOST的備份檔案使使用者的系統備份檔案丟失。