 |
|
 |
| 您现在的位置: 先创网 >> 网络应用 >> 网络安全 >> 文章正文 |
|
|
| 熊猫烧香病毒特性分析及解决方案 |
| 计算机网络应急处理中心 |
| 2007-1-30 17:55:35文/佚名 |
|
|
|
|
|
1、生成病毒文件
蠕虫运行后在%System%目录下生成文件spoclsv.exe,并且在每个文件夹下面生成 desktop_.ini 文件,里面标记着病毒发作日期。蠕虫还会在硬盘各个分
区下面生成autorun.inf 文件和 setup.exe 文件。(其中,%System%为系统文件夹,在默认情况下,Windows 95/98/Me中为 C:\Windows\System、Windows NT/2000中为C:\Winnt\System32、WindowsXP中C:\Windows\System32)
2、 修改注册表项
蠕虫添加注册表项,使得自身能够在系统启动时自动运行,在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 下添加
"svcshare" = %System%\drivers\spoclsv.exe(其中,%System%在Windows95/98/Me 下为C:\Windows\System,在Windows NT/2000下为C:\Winnt\System32,在Windows XP下为 C:\Windows\System32)
3、感染系统中文件
该蠕虫是一个复合型病毒,不但具有蠕虫的特性,还可以感染可执行文件。它会搜索硬盘中的EXE文件并且感染,感染后的文件图标变成“熊猫烧香”的图案。蠕虫感染计算机系统中文件扩展名为exe、pif、com、src等文件,把自己附加到这些文件的头部。另外,蠕虫还会感染计算机系统中文件扩展名为htm、html、asp、php、jsp、aspx等文件,在其中添加进蠕虫的恶意代码(蠕虫下载的链接网页地址)。计算机用户一但浏览这些受到感染的网页,计算机系统的IE浏览器就会自动链接到指定的服务器网址下载蠕虫并运行,进而进一步传播和扩散。
4、 传播途径
该蠕虫具有多种传播途径,可以通过U盘和移动硬盘进行传播,并且利用Windows 系统的自动播放功能来运行,并且可以通过共享文件夹、系统弱口令等多种方式进行传播。
5、删除文件
蠕虫会删除计算机系统中文件扩展名为.gho(一种备份硬盘数据的扩展名)的文件,使计算机用户的系统备份文件丢失,无法使用GHOST软件(备份工具)恢复操作系统。
上一页 [1] [2] [3] 下一页 |
|
|
|
|
|
|
 |
|
 |
|
|
|
相关文章 
