资源简介

(共13张PPT)
蠕虫病毒
特征
电脑蠕虫是一种能够自我复制的电脑程序，利用网络和电子邮件进行复制和传播。
与一般病毒不同，电脑蠕虫不需要附在别的程序内。
电脑蠕虫可能会执行垃圾代码以发动分布式拒绝服务攻击（DDoS），令计算机的执行效率极大程度降低，从而影响计算机的正常使用。
电脑蠕虫可能会损毁或修改目标电脑的档案。
“熊猫烧香”
2006年10月16日，25岁的中国湖北武汉新洲区人李俊编写了熊猫烧香病毒。该病毒拥有感染传播功能，2007年1月初肆虐网络。它主要通过下载的档案传染，受到感染的机器文件因为被误携带间接对其它计算机程序、系统破坏严重。2013年6月病毒制造者张顺和李俊因伙同他人开设网络赌场，再次获刑。当时被感染的用户有几百万，无数企业局域网瘫痪。以至于多年以后，有网友听到“熊猫烧香”仍谈之色变。
由于“熊猫烧香”事件造成的破坏巨大，影响恶劣，李俊当时被判有期徒刑四年、张顺判处有期徒刑二年。
病毒原理
“熊猫烧香”是一种蠕虫病毒的变种，而且是经过多次变种而来的，被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样，所以也被称为“熊猫烧香”病毒。但原病毒只会对EXE图标进行替换，并不会对系统本身进行破坏。
用户电脑中毒后可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。同时，该病毒的某些变种可以通过局域网进行传播，进而感染局域网内所有计算机系统，最终导致企业局域网瘫痪。
病毒原理
它能感染系统中exe，com，pif，src，html，asp等文件，它还能终止大量的反病毒软件进程并且会删除扩展名为gho的备份文件。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。
中毒症状
中毒症状
“熊猫烧香”不感染的文件
盘符为A，B的磁盘，类型为DRIVE_REMOTE，DRIVE_FIXED的磁盘。
文件大小超过10485760字节以上的。
如下目录的文件：Microsoft Frontpage、Movie Maker、MSN Gamin Zone、Common Files、Windows NT、Recycled、System Volume 、Information、Documents and Settings……
文件名如下的文件：setup.exe。
本地磁盘感染运行过程
病毒使用两类感染方式应对不同后缀的文件名进行感染。
1）二进制可执行文件（后缀名为：EXE, SCR, PIF, COM）。将感染目标文件和病毒溶合成一个文件（被感染文件贴在病毒文件尾部）完成感染。
2）脚本类（后缀名为：htm, html, asp, php, jsp, aspx）。在这些脚本文件尾加上存在安全漏洞页面链接，在感染时会删除这些磁盘上的后缀名为.GHO的Ghost备份文件。
生成文件
病毒建立一个计时器，以6秒为周期在磁盘的根目录下生成setup.exe（病毒本身）autorun.inf，并利用AutoRun Open关联使病毒在用户点击被感染磁盘时能被自动运行。
局域网传播
病毒生成随机个局域网传播线程实现如下的传播方式：
1、当病毒发现能成功联接攻击目标的139或445端口后，将使用内置的一个用户列表及密码字典进行联接（猜测被攻击端的密码）。当成功联接上以后将自己复制过去，并利用计划任务启动激活病毒。
2、修改操作系统的启动关联。
3、下载文件启动。
4、与杀毒软件对抗。
疑问
为什么在当时危害性极大的“熊猫烧香病毒”如今可以被轻易检测查杀？
由于当年的杀毒技术能力有限，对于加壳病毒的查杀效果并不好，但是由于技术的不断进步和作者的入狱，熊猫烧香只在中国肆虐了一段时间。
其次熊猫烧香实际上就是威金病毒加了个壳，而且它没有运用到任何Rootkit技术，差不多一两年就衰落了。
没了

展开更多......

收起↑