熊猫烧香病毒 - 腾讯云开发者社区 - 腾讯云

开发者社区

文档建议反馈控制台

文章/答案/技术大牛

发布

熊猫烧香病毒简析

熊猫烧香从2007年1月肆虐网络到现在。已经过了查不多4个年头了。病毒的作者李俊现在也从监狱里被放了出来。...在当时熊猫烧香确实给大家一个意外，它采用了一种新的方式对计算机的程序和系统造成了很严重的破坏。其实我的这篇文章也不叫什么分析，只是说简单的简析。...我只是简单的对病毒的机理简单的概述下，然后列出一些简单的查杀方案。熊猫烧香是一种经过多次变种的蠕虫病毒。它可以通过下载文档，查看受感染的网页进行感染。...他的最大创新在于，感染全盘的.exe文件和删除系统的.gho文件，并且将所有.exe文件的图标变成一只举着三根香的熊猫。...解决方案大致是： 1.结束病毒进程 2.删除病毒相关文件 3.删除病毒启动项 4.删除更目录病毒文件 5.恢复受感染的文件或程序 6.也可以采用专杀工具进行查杀版权声明：本文内容由互联网用户自发贡献，

3.1K3 0

病毒丨熊猫烧香病毒分析

作者丨黑蛋一、病毒简介病毒名称：熊猫烧香文件名称：40fee2a4be91d9d46cc133328ed41a3bdf9099be5084efbc95c8d0535ecee496文件格式：EXEx86文件类型...section_name_exception,lang_chinese,timestamp_exception二、环境准备虚拟机调试器安全软件Win7x86x32dbg、OD火绒剑三、程序脱壳首先修改病毒后缀为...call回车进jmp，然后右键数据跟随选择地址：然后在这里看一下IAT表偏移，大小，再把7FFFFFFF改成00000000，然后打开插件，写入OEP：脱壳成功：四、行为分析首先拍个快照，为了更好的查看熊猫行为...，咱赋予他管理员权限，然后把熊猫添加到信任区，最后打开火绒剑开启监控，过滤掉其他进程：然后简单的进行一下动作过滤，主要是行为监控，注册表创建，文件创建等：可以看到主要是释放了一个文件，C:\Windows...5.3.6、第六个计时器首先跟进箭头函数，可以看到是一些网络操作，读取创建等操作：返回上一步向下看，同样是一些下载东西，创建文件，然后启动等操作：六、总结此病毒是加了一个壳，然后需要脱壳修复IAT表，

5.7K3 0

您找到你想要的搜索结果了吗？

是的

没有找到

熊猫烧香病毒分析报告

1．样本概况 1.1 样本信息（1）病毒名称：spo0lsv.exe （2）所属家族：熊猫烧香（3）MD5值：B8F8E75C9E77743A61BBEA9CCBCFFD5D （4）SHA1值：188FC8FC580C0EA4BF8A8900A3D36471823C8923...，了解病毒行为的具体实现原理，知道病毒对机器的执行具体行为，进一步评估病毒对于宿主机器的威胁程度。...各个杀毒软件的可执行程序名称（3）删除杀毒软件在注册表中的值通过火绒剑能观察到病毒每隔一段时间就有检测并且删除杀毒软件在注册表中的自启动选项。...复制文件到指定目录下已复制的文件在拷贝文件完成之后，病毒就会利用WinExec来运行指定的应用程序，之后spo0lsc.exe就会被运行起来，原来的进程会被结束。...3．解决方案 3.1 提取病毒的特征，利用杀毒软件查杀病毒特征：字符串： ***武*汉*男*生*感*染*下*载*者*** Whboy 3.2 手工查杀步骤（1）结束进程spo0lsv.exe，可通过

2.8K1 0

熊猫烧香（中）病毒释放机理

熊猫烧香（中）病毒释放机理 1、sub_40277C子函数 2、sub_405684子函数 3、sub_403ED4子函数 4、sub_4057A4子函数 5.分析sub_4057A4后续删除功能 6....的位置这里我们看到了3个函数，这3个call是熊猫烧香病毒最重要的功能第三步，查看cub_408024neirong 在这个函数最开始的位置我没看到了，将84h的值赋值给ecx，84h表示循环次数...结合病毒来看，它找斜杠的位置，其实这段程序要么是想不包含病毒文件名的路径，要么想获取病毒的文件名（setup.exe）。...正常来讲，病毒还没有运行的时候，这个Desktop_.ini文件应当是不存在的；如果存在的话，病毒首先会改变这个文件的属性，再将这个病毒给删除掉。...这些信息有助于我们获取病毒的行为信息，只有当我们深入分析其原理和实现过程，才有助于我们获取病毒的行为信息。

6471 0

哈哈，我把熊猫烧香病毒扒了！

另外，该病毒还会从网络上下载其他恶意软件或者广告软件，达到制作者的目的。 3.2 程序对用户造成的危害全盘文件感染和gho备份删除并感染其他网络主机。...3.2 安装和运行部分检测当前目录是否存在Desktop_.ini文件，如果存在则删除，该文件保存病毒感染当前目录的日期。...接着，病毒会通过检查文件路径、病毒感染标志来确定进当前病毒属于以下三种情况的哪一种情况。进程本身属于原始病毒文件、被感染的可执行文件、以及伪装目标进程三种情况。...原始病毒文件拷贝自身到 ~/system32/driver/目录，重命名为spcolsv.exe并运行，然后结束当前进程。...病毒的感染标识感染PE文件后，会在文件的末尾写上标志，格式为： WhBoy+ 源文件名 + 0x2标记 + 源文件大小+0x1标记感染文件结构病毒文件 + 原始文件 + 标记字符串 3 感染web

2.5K4 0

练手之经典病毒熊猫烧香分析(上)

扯犊子熊猫烧香病毒在当年可是火的一塌糊涂，感染非常迅速，算是病毒史上比较经典的案例。不过已经比较老了，基本上没啥危害，其中的技术也都过时了。作为练手项目，开始对熊猫烧香病毒进行分析。...首先准备好病毒样本(看雪论坛有)，VM虚拟机和Xp Sp3系统。...首先我们在XP Sp3虚拟机中打开Process Monitor ，然后运行panda.exe病毒，这时候就开始监听熊猫烧香的一举一动。 ?...Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL中的CheckedValue设置为1 最后使用MFC编写了一个熊猫专杀工具...6.总结通过行为监控的方式完成了对熊猫烧香病毒的查杀，不过还不够彻底。那些被感染的exe文件,我们还没有恢复，如果想要进一步的研究，下一节我们对病毒进行逆向，看它是如何感染的。

3.1K3 0

自己手动复现一个熊猫烧香病毒

自己手动复现一个熊猫烧香病毒起因最近逛了一下 bilibili ，偶然的一次机会，我在 bilibili 上看到了某个 up 主分享了一个他自己仿照熊猫病毒的原型制作的一个病毒的演示视频，虽然这个病毒的出现距离现在已经十多年之久了...我觉得蛮有意思的，有必要深究一下，所以我花上几天的时间研究了一下熊猫烧香病毒的源码，仿照熊猫烧香病毒原型，也制作了一个类似的软件，实现的源码我会在文章的末尾给出 GitHub 项目链接，喜欢的朋友不要忘记给我一个...熊猫烧香的介绍熊猫烧香是一个感染性的蠕虫病毒，它能感染系统中的 exe ，com ，pif，src，html，asp 等文件，它还能中止大量的反病毒软件进程并且会删除扩展名为 gho 的文件，该文件是一系统备份工具...如果有同学对熊猫烧香的来源感兴趣的话，可以看看中科大写的关于熊猫烧香的案件分析：由“熊猫烧香”谈起病毒结构分析 ?...这里我使用 MFC 进行“熊猫烧香”病毒专杀工具的开发，绘制界面如下图所示： ? 那么我们该如何编写这个专杀工具呢？

7.9K2 1

【二进制安全】熊猫烧香病毒分析

熊猫烧香这个病毒虽然过去很久了,但是这个病毒值得研究，在病毒出现的这个年代因为安全意识普遍不强，导致大范围被感染。...4.病毒会检测杀毒软件和防火墙 ? 5.这里进行了第二次解密，操作与第一相似。判断完解密结果后，我们会进入病毒三大功能函数，分别进行病毒初始化操作，病毒感染操作、病毒自我保护操作。 ? ?...7.本病毒会将自身拷贝到其他文件进行感染，被感染的文件会执行病毒代码，所以这里的代码部分是在区分是不是病毒母体程序正在运行，还是被感染过的文件，感染过的文件有感染标记位于读取文件信息的最后一个字节： ?...在将病毒文件拷贝到网络共享文件夹中。 ? ? 22.病毒主流程第三个功能函数病毒函数自保护sub_40CED4 ：VirusProtectSelf 病毒自保护函数可以看到病毒设置了4个时钟函数。 ?...0x06结束语熊猫烧香病毒其实没有那么强，只不过病毒封装方面强一些。

3.8K3 0

恶意代码分析实战六：熊猫烧香病毒样本分析

熊猫烧香行为分析查壳因为程序肯定是病毒,我就不上传杀毒网去查杀了。正常我们在分析一个未知恶意程序的时候，流程都是要先上传杀毒网看看。...简单静态分析用Strings和Dependency分别对熊猫烧香的字符串和导出表进行分析。...行为分析进程树监控这里我们还是用Process Monitor来监控病毒行为，打开Process Monitor，在筛选条件中将“样本.exe”加入到筛选器的“Process Name”中，然后运行病毒...行为总结熊猫烧香逆向分析在这里我们利用逆向界的倚天剑和屠龙刀，IDA和OD来对熊猫烧香进行逆向分析，对其内部实现的原理有个了解，因为篇幅关系不会对整个程序彻底分析，而是挑拣一些重要内容进行分析。...③ sub_0040C97C 第3个Call：终止定时器，设置4个新的计时器学习总结终于到此熊猫烧香都分析完了，从行为分析开始然后过渡到IDR软件静态分析，x32dbg动态调试分析，分析每个Call

4.8K2 0

熊猫烧香应急处理方法

熊猫烧香病毒机理分析（1）自启动方式熊猫烧香病毒将自身拷贝至系统目录，同时修改注册表将自身设置为开机启动项这种方式也是绝大部分病毒自启动所采用的方式。...b、感染网页熊猫烧香病毒会查找系统以 .html 和 .asp 为后缀的文件，在里面插入网页标记，这个帧iframe会将另外一个URL嵌入到当前网页，并且宽度和高度设置为0（看不到）。...(3) 自我隐藏 a、禁用安全软件熊猫烧香病毒会尝试关闭安全软件（杀毒软件、防火墙、安全工具）的窗口、进程，比如包含360的名称等；删除注册表中安全软件的启动项；禁用安全软件的服务等操作。...(4)破坏情况 a、熊猫烧香病毒同时会开另一个线程连接某网站下载DDOS程序进行发动恶意攻击具有破坏功能，可开启附件攻击行为，熊猫烧香感染计算机台数非常多，它就能发动多台电脑发起DDOS攻击。...实战过程实验环境： Windows XP 吾爱破解专版实验文件：setup.exe(熊猫烧香) 手动查杀病毒基本流程 1、排插可疑进程 2、检查启动项 3、删除病毒 4、修复被病毒破坏的文件第一步

2.1K1 0

熊猫烧香（上）初始分析

一、病毒初始化 1、工具准备 IDA、OD、PEID 2、基本流程：利用查壳工具检查病毒是否带壳利用OD动态分析病毒利用IDA静态分析病毒二、PEID加壳检查首先需要调用工具检查是否带壳，如果病毒还需要先进行脱壳操作...这次研究的“熊猫烧香”程序并没有加壳。首先打开PEiD工具人，然后将熊猫烧香病毒拖进去，会发现病毒的基本信息。...显示结果如下图所示，可以看到“武汉男生感染下载者”，包括“艾玛…”，这就是病毒作者的信息。早些年病毒作者处于炫耀目的，都会加入一些自己的特征。...这三个call是熊猫烧香病毒最重要的功能，我们下一篇文章继续分析。...四、总结写到这里，熊猫烧香病毒起始阶段的逆向分析就介绍完毕，简单总结如下： 0x0040CB7E call sub_403C98 – 重命名为：AllocStackAndCopyString –

8301 0

YouTube博主实测病毒之王“熊猫烧香”，当年是它太强还是杀毒软件太弱？

在YouTube上，经常测试各种病毒的栏目“爱比较”就出过几款关于“熊猫烧香”的视频，如今已经有将近十万人观看。在知乎上，关于“电脑病毒「熊猫烧香」当年有多凶残？”的话题被浏览超过了1000万次。...是当年的杀毒软件太弱还是“熊猫烧香”太强？在“熊猫烧香”爆发一个多月后，国家计算机病毒应急处理中心就发出“熊猫烧香”的紧急预警，彼时几乎所有的杀毒软件对“熊猫烧香”都束手无策。...作为一种蠕虫病毒，“熊猫烧香”病毒首先将系统中所有.exe可执行文件全部被改成熊猫的图案，这一步其实是将病毒与用户电脑.exe文件绑定在一起，杀毒软件无法正确的将病毒与.exe分开。...显然不是，病毒并没有消失，只是更加隐蔽了。李俊当时开发“熊猫烧香”病毒，和几个同伙一起才盈利十几万元，他们自己也承认，搞出“熊猫烧香”并不是为了赚钱，而是为了“炫技”。...因此，“熊猫烧香”跟今天的病毒木马造成的危害完全不能相比，今天的病毒木马，大多是看不见的威胁（尽一切可能潜伏并获得经济利益），病毒感染规模远超熊猫烧香的比比皆是，非法收入更是动辄千万元级别。

5.3K2 0

熊猫烧香（下）核心函数部分分析

熊猫烧香（下）病毒释放过程 1、loc_408171 2、sub_403F8C子函数 3、sub_4060D4子函数 4、CopyFile和WinExe子函数 1、loc_408171 第一步打开IDA...C:\USERS\14551\DESKTOP\SETUP.EXE C:\WINDOWS\SYSTEM32\DRIVERS\SPOCLSV.EXE 很明显，我们分析的熊猫烧香病毒程序在桌面上，而比对的是DRIVERS...也就是说，它在把当前这个病毒样本复制到drivers目录之后，那么这句代码就是将它执行起来。再往下ExitProcess是结束当前正在运行的进程，即熊猫烧香的病毒样本。...注意，当病毒本体将自身复制到“drivers”中并改名后，这里就是对改了名字的病毒程序执行运行的操作，然后主体程序就退出了。...双击后可以看到提示“跳转已实现”，现在这个病毒就以为自己是spoclsv.exe。第七步，按下F8执行到4082F0位置真正实现病毒功能的也就是“spoclsv.exe”这个程序。

4281 0

千万不要轻易尝试“熊猫烧香”，这不，我后悔了！

想必从事互联网行业的小伙伴多多少少都听说过“熊猫烧香”吧，这里，我就不做过多的科普了，不了解的小伙伴在网上搜索一下吧。...作为一名互联网从业者兼具一定渗透经验的我来说，一直想运行下“熊猫烧香”到底是啥效果。...最近，搞到了一份“正版”的“熊猫烧香”，一直想尝试下在自己电脑上运行下，看看曾经风靡一时的“熊猫烧香”运行起来到底是啥效果。这样，才能对其有进一步的了解，才能更好的分析如何来预防这个顽固的“蠕虫”。...运行后，不出意料的出现了类似下面这张图一样的“熊猫烧香”。 ? 注：当时没有拿手机拍照，实际运行过程中，“熊猫烧香”是铺满整个屏蔽的，而且整体是动态效果。我感觉到它已经超出虚拟机控制的范围了。...我强行关闭虚拟机，这货还是在屏幕上“烧香”。我赶紧强制关闭电脑。试图重启电脑，没想到电脑却陷入了无限重启中。。。 ? ? 电脑陷入了无限重启中，貌似是硬盘坏了？

1.6K2 0

病毒到底是什么，为什么现在很少见到

这里我们拿过去很出名的一个病毒熊猫烧香举例，首先来介绍一下这个病毒，他是一个exe程序，打开他后，会在C盘中一个文件夹偷偷生成一个程序，然后启动这个子病毒。...子病毒会干什么事呢，他会遍历所有文件，把所有的exe程序感染成自己，图标换成一个熊猫烧香的图案，然后会通过对Windows注册表操作，杀死杀毒软件，并通过侵染web文件进行网络传播，当然熊猫烧香本体还会造成电脑蓝屏...是一款以破坏为目的的病毒。我们找到一个熊猫烧香，在我们虚拟机中运行，查看一下他的特征，他会在这里生成一个子病毒：而所有的恶意行为都来源于这个子病毒。...打开很多工具，可以发现都在不断的变成熊猫头像，已经被侵染成子病毒，本体功能已经全部失效。桌面图标也在不断的变成熊猫头像。...抛开熊猫烧香，还有很多奇奇怪怪的病毒，他们会破坏你电脑的任何地方，也会有各种奇奇怪怪的体现。就像比较常见的勒索病毒，他会加密你所有的文件，然后弹出一个框，让你打钱，帮你还原文件等。

1.1K3 0

清明节偷偷训练“熊猫烧香”，结果我的电脑为熊猫“献身了”！

大家好，我是冰河~~ 最近，很多小伙伴都知道，就在清明节假期的最后一天晚上，我偷练“禁术”——熊猫烧香，结果悲剧了。...下面就给大家分享下，尝试“熊猫烧香”的后续情节。在尝试“熊猫烧香”之前，我是把电脑所有网卡都禁用了，网线也拔掉了，总之，能够联网的东西全部禁用。...最后，有时间我再研究下“熊猫烧香”的源码，研究它不是为了别的，而是从源码级别充分了解它的感染机制和传播机制，这样才能更好的防御网络病毒，对网络和信息安全贡献一份力量！...这里，我想对小伙伴们说：千万不要轻易尝试“熊猫烧香”！千万不要轻易尝试“熊猫烧香”！千万不要轻易尝试“熊猫烧香”！我电脑都这样了，小伙伴们还不点赞、在看、转发，三连走一波，安慰下我吗？...特此声明：编译运行“熊猫烧香”前，我已对网络和局域网做了充分的安全保障，不会对外传播。另外，运行“熊猫烧香”程序，纯属个人学习研究，不涉及破坏行为，更不涉及法律风险。

2.3K2 0

盘点世界十大著名黑客攻击事件

相信很多像小编一样的80后，都听说过了蠕虫病毒，或者说熊猫烧香病毒，今天闲着没事，小编来跟大家盘点一下，世界典型大型黑客袭击事件。...一、勒索病毒事件勒索病毒是一种源自美国国安局的一种计算机病毒。近百国中招，其中英国医疗系统陷入瘫痪、大量病人无法就医。中国的高校校内网也被感染。...“爱虫”病毒是迄今为止发现的传染速度最快而且传染面积最广的计算机病毒。...十、“熊猫烧香病毒”事件为什么把熊猫烧香病毒放在最后呢，因为小编对对熊猫烧香病毒体会最深，相信在2006年-2007年初玩电脑的人都会记得一个名为“熊猫烧香”的病毒，2007年1月初开始肆虐网络...不过，熊猫烧香作者只为炫技，并没有像比特病毒一样为了要钱。2007年9月24日，“熊猫烧香”案一审宣判，主犯李俊被判刑4年。

25.8K6 0

爱比较病毒测试(不是震网病毒特点的是)

CIH、爱虫、冲击波、熊猫烧香，对这4种网络病毒你了解多少？...除了这三种病毒之外，还有一种病毒叫做混合型的病毒，混合型的病毒是上面三者混合体，可能是木马病毒和蠕虫病毒的混合，也有可能是三种病毒混合在一起，能够经过不停的复制进犯型病毒来进犯你的电脑，以便更快的将你的电脑攻陷...4.熊猫烧香关于这个病毒能够说是大名鼎鼎了，熊猫烧香在2006年年末大规模的爆发，这是一种木马、蠕虫和进犯三种类型都结合在一起的病毒，在网络上的伤害极端巨大，其时国内很多电脑都是出现了那个拿着三支香的熊猫...熊猫烧香是使用DelBoy.h工具编写出来的，能够将很多的的防病毒软件和防火墙都终止掉，能够说是安全软件的克星了。...除此之外，熊猫烧香还能够修改注册表启动项，把被感染的文件图标变成熊猫烧香的图案；愈加是能够删除扩展名为gho的文件，让用户无法经过ghost软件恢复系统。

1.8K1 0

【读家】专访Killer：计算机病毒大多没有技术含量

不过，如果突然提起“killer”，想必大部分人会认为是在说杀手，不会想到这是一位反病毒专家的“花名”，但如果你知道“熊猫烧香”，你或许会对他有所耳闻。...2006年10月16日，25岁的湖北人李俊（和混江龙李俊同名同姓）编写了“熊猫烧香”病毒，2007年1月，“熊猫烧香”肆虐中国互联网，Killer和他的团队，迅速推出超级巡警杀毒软件，完美查杀“熊猫烧香...计算机病毒大多没有技术含量读家：您因为杀灭熊猫烧香病毒一战成名，但很多安全从业者说，熊猫烧香并不算很高级的病毒，你怎么评价？ Killer：这个要说清楚有点复杂，我多谈几句。...熊猫烧香就是典型案例，以前病毒将自身隐藏在宿主文件的空隙中，甚至不改变宿主文件大小。...仅凭这一点能看出，这是一个反病毒领域的新课题，反病毒厂商总是试图用归一化引擎架构来处理所有问题，熊猫烧香是对这种传统引擎修复方法的穿透。

4.1K2 0

浅谈电子数字取证技术

证据）采集 1、静态采集（Static）当主机是关闭的低效率无法取得易失性数据 2、动态采集（Live）当主机是运行中的数据可能采集的同时被修改从不可信的网络获得的数据是不可靠的 0x05 熊猫烧香案例...熊猫烧香病毒介绍名称：熊猫烧香，worm.whBoy，worm.nimaya 类型：蠕虫，能够终止大量的反病毒软件和防火墙软件进程描述：蠕虫病毒，多次变种，可执行文件出现“熊猫烧香”图案危害：通过局域网在极短时间内感染数千台计算机...鉴定结论 1、制作和传播木马病毒的实验环境 2、编写病毒的软件工具 3、多个病毒的源代码及可执行文件 4、通过木马直接或间接获得的游戏账密等信息 5、所出售木马病毒代码和木马生成器的价格 6、收藏的相关技术资料的网址和多次访问病毒源码留下的历史记录...故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行，后果严重的，依照第一款的规定处罚。总结展望 1、“熊猫烧香”案为以后的计算机网络案件处理提供了借鉴。...参考文献国内外电子数据取证标准规范研究（http://www.gjbmj.gov.cn/n1/2017/0316/c411145-29149427.html）熊猫烧香案件的电子数据司法鉴定理论与实践

3K2 0

点击加载更多

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭