一、实验目的
1)掌握熊猫烧香病毒的工作原理和感染方法;
2)掌握手工清除熊猫病毒的基本方法。
二、实验环境
目标主机为windows-2003
所用到的工具:Wsyscheck、Filemon
三、实验内容与实验要求
实验步骤一
“熊猫烧香”病毒主要行为分析
1,通过病毒分析实验室工具,对“熊猫烧香”病毒主要行为进行分析。在本次实验中,为了方便观察,运行“熊猫烧香”程序将不改变其他文件的图标。
2,运行该程序,“熊猫烧香”病毒感染系统中的.exe、.com、.pif、.src、.html、.asp等文件,我们可以安装熊猫烧香文件夹中的HA_Filemon软件,然后通过它对“熊猫烧香“样本运行情况进行跟踪。打开HA_FileMon文件,可以先将文件保存为log文件,之后用记事本打开查看,跟踪“熊猫烧香”病毒样本spcolsv.exe对系统文件修改的行为展示,如下图所示。
3,现在“熊猫烧香”已经彻底感染了这台电脑,下面观察一下,它会带来哪些症状。它尝试关闭多个安全软件,即天网防火墙进程、VirusScan网镖杀毒、金山毒霸、瑞星、江民、黄山IE、超级兔子、优化大师、木马克星、木马清道夫、QQ病毒、注册表编辑器、系统配置实用程序、卡巴斯基反病毒、Symantec AntiVirus、Dubaesteemproces、绿鹰PC密码防盗、噬菌体、木马辅助查找器、System Safety Monitor、Wrapped gift Killer、Winsock Expert、游戏木马检测大师、msctls_statusbar32、pjf(ustc)、IceSword等。
4,尝试结束安全软件相关进程,即Mcshield.exe、VsTskMgr.exe、naPrdMgr.exe、UpdaterUI.exe、TBMon.exe、scan32.exe、Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、RavmonD.exe、RavStub.exe、KVXP.kxp、kvMonXP.kxp、KVCenter.kxp、KVSrvXP.exe、KRegEx.exe、UIHost.exe、TrojDie.kxp、FrogAgent.exe、Logo1_.exe、Logo_1.exe、Rundl132.exe。打开桌面上“安装包”文件夹,找到瑞星的安装程序,尝试安装,会发现无法安装成功的情况。
5,尝试打开任务管理器,我们发现任务管理器打开之后会迅速自动关闭。
6,点击菜单“开始”,选择“运行”,输入regedit,尝试打开注册表,会发现,注册表打开之后也迅速自动关闭。
7,打开“我的电脑”,双击本地磁盘C盘,会发现无法打开,同时,右键,会发现右键菜单中多了一个“Auto”选项。
8,打开菜单“工具”,打开“文件夹选项”,选择“显示所有文件和文件夹”,选择“确定”。之后,我们重新打开,查看刚才我们的修改是否成功,发现刚才的修改失败。
9,打开桌面熊猫烧香文件夹里的wsyscheck.exe,这是一款系统检测维护工具,可以进行进程和服务驱动的检查,SSDT强化检测,文件查询,注册表操作,DOS删除等操作。打开wsyscheck的进程管理,可以看见系统打开了哪些进程,可以看见spcolsv.exe正在运行,定位它的位置,可以发现,“熊猫烧香”已经将自身复制到了系统目录C:\WINDOWS\system32\drivers\spcolsv.exe下,如下图所示。
10,继续打开“文件管理”框,在C盘下,可以看见隐藏了的“熊猫烧香”的安装程序setup.exe以及autorun.inf文件。可以打开autorun.inf查看里面写入的内容,表明当双击C盘时,setup.exe将自动运行。
11,观察病毒创建启动项[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]svcshare=% system32%\drivers\spcolsv.exe情况,如下图所示。
12,病毒修改了注册表中“显示所有文件和文件夹”的设置内容:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explore\Advanced\Folder\Hidden\SHOWALL]分支下的“CheckedValue”的键值设为“dword:00000000”。
实验步骤二
“熊猫烧香”病毒手工清除
1,结束病毒进程。使用刚才介绍的工具wsyscheck,打开“进程管理”,找到spcolsv.exe,右键选择“结束进程并删除文件”。
2,删除根目录下的病毒文件:
X:\setup.exe
X:\autorun.inf
切换到“文件管理”,找到“熊猫烧香”的安装程序setup.exe,右键选择直接删除,同样直接删除该目录下的autorun.inf文件,
3,删除病毒启动项。切换到“注册表管理”,找到[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]svcshare,右键删掉该值。
4,恢复被修改的“显示所有文件和文件夹”设置。[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]分支下的“CheckedValue”的键值设为“00000001”。
5,恢复或重新安装被破坏的软件。
6,通过上面的措施,接下来验证一下,现在能否打开任务管理器以及注册表,打开方式详见任务一。我们现在可以成功打开注册表和任务管理器。
7,接下来,清空回收站,打开我的电脑,双击C盘,发现仍然不能打开,这个时候,需要重新启动计算机。
8,重启之后,右键C盘,发现仍然存在“Auto”选项。按照步骤1至步骤4重新设置一遍,再次重启。
9,再次重启即可打开C盘。接下来可重新安装杀毒软件,对系统进行全面查杀。
四、实验过程与分析
打开HA_FileMon文件,可以先将文件保存为log文件,之后用记事本打开查看,跟踪“熊猫烧香”病毒样本spcolsv.exe对系统文件修改的行为展示。
打开菜单“工具”,打开“文件夹选项”,选择“显示所有文件和文件夹”,选择“确定”。之后,我们重新打开,查看刚才我们的修改是否成功,发现刚才的修改失败。
打开桌面熊猫烧香文件夹里的wsyscheck.exe,这是一款系统检测维护工具,可以进行进程和服务驱动的检查,SSDT强化检测,文件查询,注册表操作,DOS删除等操作。打开wsyscheck的进程管理,可以看见系统打开了哪些进程,可以看见spcolsv.exe正在运行,定位它的位置,可以发现,“熊猫烧香”已经将自身复制到了系统目录C:\WINDOWS\system32\drivers\spcolsv.exe下。
继续打开“文件管理”框,在C盘下,可以看见隐藏了的“熊猫烧香”的安装程序setup.exe以及autorun.inf文件。可以打开autorun.inf查看里面写入的内容,表明当双击C盘时,setup.exe将自动运行。
恢复被修改的“显示所有文件和文件夹”设置。[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]分支下的“CheckedValue”的键值设为“00000001”。
通过上面的措施,接下来验证一下,现在能否打开任务管理器以及注册表,打开方式详见任务一。如下图所示,我们现在可以成功打开注册表和任务管理器。
五、实验结果总结
通过实验我们学习到蠕虫病毒是自包含的程序(或是一套程序),它能传播它自身功能的拷贝或它的某些部分到其他的计算机系统中(通常是经过网络连接),它的基本结构由传播模块、隐藏模块和目的功能模块组成。蠕虫程序的一般传播过程主要有扫描、攻击和复制。
“熊猫烧香”病毒会感染系统中的.exe、.com、.pif、.src、.html、.asp等文件,并尝试关闭多个安全软件,即天网防火墙进程、VirusScan网镖杀毒、金山毒霸、瑞星、江民、黄山IE、超级兔子、优化大师、木马克星、木马清道夫、QQ病毒、注册表编辑器、系统配置实用程序、卡巴斯基反病毒、Symantec AntiVirus、Dubaesteemproces、绿鹰PC密码防盗、噬菌体、木马辅助查找器、System Safety Monitor、Wrapped gift Killer、Winsock Expert、游戏木马检测大师、msctls_statusbar32、pjf(ustc)、IceSword等。结束安全软件相关进程等,即Mcshield.exe、VsTskMgr.exe、naPrdMgr.exe、UpdaterUI.exe、TBMon.exe、scan32.exe、Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、RavmonD.exe、RavStub.exe、KVXP.kxp、kvMonXP.kxp、KVCenter.kxp、KVSrvXP.exe、KRegEx.exe、UIHost.exe、TrojDie.kxp、FrogAgent.exe、Logo1_.exe、Logo_1.exe、Rundl132.exe。
思考题:
如何防范“熊猫烧香”病毒?
1.该病毒会利用IE、QQ、UC等的漏洞进行传播。请用户及时安装它们的最新补丁程序。
2.计算机应设置复杂的密码,以防止病毒通过局域网传播。
3.关闭系统的“自动运行”功能,防止病毒通过U盘、移动硬盘等侵入用户的电脑。
