被感染的用户系统中所有exe可执行文件全部被改成熊猫举着三根香的模样。2006年10月16日由25岁的湖北武汉新洲区人李俊编写,2007年1月初肆虐网络,它主要通过下载的文件传染。2007年2月12日,湖北省公安厅宣布,李俊以及其同伙共8人已经落网,这是中国警方破获的首例计算机病毒大案。2014年,张顺、李俊被法院以开设赌场罪分别判处有期徒刑五年和三年,并分别处罚金20万元和8万元。
中文名
熊猫烧香
外文名
WormWhBoycw
程序类别
蠕虫病毒
感染系统
Win9x/NT/2000/ME/XP/2003/Vista
制作人
李俊
快速
导航
运行过程特点原理传播方法影响危害应对方案
发展沿革
2006年12月,一种被称为“尼姆亚”新型病毒在互联网上大规模爆发。
2006年12月份—2007年1月30日,变种数已达90多个,个人用户感染熊猫烧香的已经高达几百万,企业用户感染数还在继续上升[1]。
2007年1月7日,国家计算机病毒应急处理中心发出“熊猫烧香”的紧急预警。
2007年1月9日,湖北仙桃市公安局接报,该市“江汉热线”不幸感染“熊猫烧香”病毒而致网络瘫痪。
2007年1月31日下午,各路专家齐聚省公安厅,对“1·22”案进行“会诊”,同时成立联合工作专班。
2007年2月3日,回出租屋取东西准备潜逃的李俊被当场抓获。随后将其同伙雷磊抓获归案。[2]
2007年9月24日,“熊猫烧香”计算机病毒制造者及主要传播者李俊等4人,被湖北省仙桃市人民法院以破坏计算机信息系统罪判处李俊有期徒刑四年、王磊有期徒刑二年六个月、张顺有期徒刑二年、雷磊有期徒刑一年,并判决李俊、王磊、张顺的违法所得予以追缴,上缴国库;被告人李俊有立功表现,依法可以从轻处罚。[2]
2012年1月29日,金山毒霸反病毒中心称:“熊猫烧香”化身“金猪报喜”,危害指数再度升级。[3]
2013年6月,据浙江省丽水市人民政府官方微博“丽水发布”提供的消息称,“熊猫烧香”病毒制造者张顺、李俊因设立“金元宝棋牌”网络赌场,非法敛财数百万元,已经被丽水市莲都区检察院批准逮捕。
运行过程
磁盘感染
熊猫烧香病毒对系统中所有除了盘符为A,B的磁盘类型为DRⅣE_REMOTE,DRⅣE_FⅨED的磁盘进行文件遍历感染
熊猫烧香
注:不感染文件大小超过10MB以上的
(病毒将不感染如下目录的文件):
Microsoft Frontpage
Movie Maker
MSN Gamin Zone
Common Files
Windows NT
Recycled
System Volume Information
Documents and Settings
……
(病毒将不感染文件名如下的文件):
setupexe
病毒将使用两类感染方式应对不同后缀的文件名进行感染
1)二进制可执行文件(后缀名为:EXE,SCR,PIF,COM): 将感染目标文件和病毒溶合成一个文件(被感染文件贴在病毒文件尾部)完成感染
2)脚本类(后缀名为:htm,html,asp,php,jsp,aspx): 在这些脚本文件尾加上如下链接(下边的页面存在安全漏洞):
<iframe src=></iframe>
在感染时会删除这些磁盘上的后缀名为GHO的Ghost备份文件
生成文件
病毒建立一个计时器,以6秒为周期在磁盘的根目录下生成setupexe(病毒本身)autoruninf,并利用AutoRun Open关联使病毒在用户点击被感染
因为电脑病毒熊猫烧香危害大,所以它出名,你了解熊猫烧香吗下面由我给你做出详细的电脑病毒熊猫烧香介绍!希望对你有帮助!
电脑病毒熊猫烧香介绍一:
中文名:熊猫烧香病毒(又称武汉男生),英文名(WormWhBoy),目前发现的变种数已超过50个。
病毒典型恶劣表现:
1感染病毒后发现较多的EXE文件图标变成点着香的熊猫,这也是该病毒命名的由来,现在发现的部分变种已经不再使用这个广为人知的图标了。
2部分变种可以直接通过互联网更新版本,部分变种感染除exe文件外,还可以感染htm,html,asp,php,jsp,aspx等网页格式文件。
3一旦web服务器被感染,将意味着所有浏览这些网页的计算机可能会自动下载并感染上熊猫烧香病毒。
4该系列变种会释放以下几个典型文件
分区根目录下: setupexe、autoruninf、%System%Fuckjacksexe;%System%Driversspoclsvexe
局域网环境下:GameSetupexe
病毒行为
1删除常用杀毒软件在注册表中的启动项或服务,终止杀毒软件的进程,几乎涉及目前所有杀毒软件
2终止部分安全辅助工具的进程,如IceSword,任务管理器taskmon。
3终止维金的相关进程Logo1_exe、Logo_1exe、Rundl123exe。
4弱口令破解局域网其他电脑的Administror帐号,并用GameSetupexe进行复制传播。
5修改注册表键值,导致不能查看隐藏文件和系统文件。
6除C盘如下目录外,病毒会尝试破坏 其它 分区下的部分exe、com、gho、pif、scr文件,病毒不会去感染以下目录中的文件(给我们解决此病毒留下机会了,请看下文中的有关描述)。
WINDOW,Winnt,System Volume Information,Recycled,Windows NT,Windows Update,Windows MediaPlayer,Outlook Express,Internet Explorer,NetMeeting,Common Files,ComPlus Applications,Messenger,InstallShield Installation Information,MSN,Microsoft Frontpage,MovieMaker,MSN GaminZone。
7病毒会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件,使用户的系统备份文件丢失。
电脑病毒熊猫烧香介绍二:
李俊,1982年生人。2006年12月至2007年1月,李俊碰上了擅长“病毒商业运作”的“生意人”王磊和张顺。在“暴利”诱惑下的结合,他们最终引发了“熊猫烧香”席卷网络的灾难。短短的两个多月时间,该病毒不断入侵个人电脑、感染门户网站、击溃数据系统,上千万台次电脑遭到病毒攻击和破坏。
作为熊猫烧香病毒的制造者,李俊成为网络病毒案的第一人。去年12月底,李俊出狱。他来到北京想寻找一份工作,重新开始自己的生活。
他之所以被抓 用他他自己说的来说话
就是
当时我在网上找到了这张,觉得很好玩,一个熊猫拿着三个香,比较有意思,就用了。其实我一直觉得熊猫烧香是个恶作剧。你说一般的病毒,都要隐藏自己,不会告诉你中了什么毒。而我生产出的病毒还要告诉大家你中了熊猫烧香了。如果不是用这个图案,我也坐不了牢。
电脑病毒熊猫烧香介绍三:
由于熊猫烧香病毒感染计算机内的所有EXE文件,估计你的常用软件和游戏软件都不能使用了,需要重新修复或安装。至于照片和文件资料则不会被感染。
给你推荐两个专杀工具,安全模式下执行专杀。
你可以使用江民的KV专杀配合超级巡警的专杀来清除,
由于此类病毒感染所有计算机EXE文件,杀毒软件清除完成以后可能破坏数据,如果计算机有重要数据,请清除前备份到其它存储介质!
超级巡警专杀(需要解压缩以后使用):
请在Windows安全模式下执行专杀。
最后再执行这个专杀清除病毒,见附件:
对于熊猫烧香这种病毒,最好的办法就是重新分区格式化重装系统,因为这种病毒破坏力极强,即使杀完毒,电脑内的大部分软件也都不能使用了。
这两天很多人都被比特币勒索病毒“永恒之蓝“给弄傻了,一言不合就加密硬盘,还只收比特币,简直让人没法沟通了。其实这“永恒之蓝”并不算是一个性质很恶劣的病毒,在漫长的病毒发展史上充其量就是一个小兄弟,而伴随着计算机发展这几十年,病毒与反病毒之间的斗争一直不曾消亡,接下来铁柱就跟大家介绍几个历史上最负盛名的“著名”病毒,看一看你是否中招过!1 CIH(1998年)
提到病毒,首屈一指的莫过于当年的CIH了。它的厉害之处就在于,其他病毒破坏的都是电脑软件(充其量也就是 *** 作系统、数据文件一级),而CIH破坏的是电脑硬件(让电脑无法开机)!当时恢复的方法,除了彻底清除硬盘数据外,还需要借助专业工具重写主板BIOS。也正是从那个时代开始,杀毒厂商才冒出了所谓的专杀工具,而主板厂商也因此开发出了双BIOS这样一些很奇葩的设计。
2 红色代码(2001年)
“红色代码”病毒是2001年7月15日发现的一种网络蠕虫病毒,感染运行Microsoft IIS Web服务器的计算机。其传播所使用的技术可以充分体现网络时代网络安全与病毒的巧妙结合,将网络蠕虫、计算机病毒、木马程序合为一体,开创了网络病毒传播的新路,可称之为划时代的病毒。如果稍加改造,将是非常致命的病毒,可以完全取得所攻破计算机的所有权限并为所欲为,可以盗走机密数据,严重威胁网络安全。
红色代码病毒
3 冲击波(2003年)
冲击波病毒是利用在2003年7月21日公布的RPC漏洞进行传播的,该病毒于当年8月爆发。病毒运行时会不停地利用IP扫描技术寻找网络上系统为Win2000或XP的计算机,找到后就利用DCOM/RPC缓冲区漏洞攻击该系统,一旦攻击成功,病毒体将会被传送到对方计算机中进行感染,使系统 *** 作异常、不停重启、甚至导致系统奔溃。另外,该病毒还会对系统升级网站进行拒绝服务攻击,导致该网站堵塞,使用户无法通过该网站升级系统。只要是计算机上有RPC服务并且没有打安全补丁的计算机都存在有RPC漏洞,具体涉及的 *** 作系统是:Windows 2000\XP\Server 2003\NT40。
制造冲击波变种的少年
4 震荡波(2004年)
“冲击波”余音未消,“震荡波”又来了,时隔一年之后又一款和冲击波表现类似的电脑病毒重回网友电脑。从名称上看,这两款病毒貌似区别并不是很大,甚至连重启提示都长得一样一样的。但实际上冲击波利用的是系统RPC漏洞,而震荡波利用的则是系统LSASS漏洞。甭管怎么说吧,反正这两种病毒始终都是那个时代的噩梦!
与“冲击波”齐名的“震荡波”病毒
5 熊猫烧香(2006年)
提到熊猫,我们总会想起那憨憨可爱的样子,谁能想到它也会摇身一变成为一款令人胆战心惊的计算机病毒呢?2006年底到2007年初短短两个月时间里,一款名叫“熊猫烧香”的病毒便席卷了整个神州大地,一时间各大网站、个人电脑都被一个很诡异的病毒图标所覆盖——一只正在烧香的熊猫。除了图标外,熊猫烧香也会更改部分系统文件,造成个人数据丢失。而它的始作俑者——湖北武汉新洲区人李俊,也在当年被判处4年有期徒刑!
很多人都见过的“熊猫烧香”
6 磁碟机(2007年)
磁碟机病毒又名dummycom病毒,是近一个月来传播最迅速,变种最快,破坏力最强的病毒。据360安全中心统计每日感染磁碟机病毒人数已逾100,1000用户!“磁碟机”现已经出现100余个变种,目前病毒感染和传播范围正在呈现蔓延之势。病毒造成的危害及损失10倍于“熊猫烧香”。
磁碟机病毒
7 超级工厂病毒(2010年)
Stuxnet蠕虫病毒(超级工厂病毒)是世界上首个专门针对工业控制系统编写的破坏性病毒,能够利用对windows系统和西门子SIMATIC WinCC系统的7个漏洞进行攻击。特别是针对西门子公司的SIMATIC WinCC监控与数据采集 (SCADA) 系统进行攻击,由于该系统在我国的多个重要行业应用广泛,被用来进行钢铁、电力、能源、化工等重要行业的人机交互与监控。 传播途径:该病毒主要通过U盘和局域网进行传播。历史“贡献”:曾造成伊朗核电站推迟发电。 2010-09-25,进入中国。
火爆当年的“超级病毒”Stuxnet
8 WannaCry
WannaCry(想哭,又叫Wanna Decryptor),一种“蠕虫式”的勒索病毒软件,大小33MB,由不法分子利用NSA(National Security Agency,美国国家安全局)泄露的危险漏洞“EternalBlue”(永恒之蓝)进行传播。
该恶意软件会扫描电脑上的TCP 445端口(Server Message Block/SMB),以类似于蠕虫病毒的方式传播,攻击主机并加密主机上存储的文件,然后要求以比特币的形式支付赎金。勒索金额为300至600美元。
2017年5月14日,WannaCry 勒索病毒出现了变种:WannaCry 20,取消Kill Switch 传播速度或更快。截止2017年5月15日,WannaCry造成至少有150个国家受到网络攻击,已经影响到金融,能源,医疗等行业,造成严重的危机管理问题。中国部分Windows *** 作系统用户遭受感染,校园网用户首当其冲,受害严重,大量实验室数据和毕业设计被锁定加密。
目前,安全业界暂未能有效破除该勒索软件的恶意加密行为。微软总裁兼首席法务官Brad Smith称,美国国家安全局未披露更多的安全漏洞,给了犯罪组织可乘之机,最终带来了这一次攻击了150个国家的勒索病毒。
WannaCry永恒之蓝病毒
写在最后
纵观这些年间计算机病毒的发展历史,不难发现,尽管病毒是伴随着计算机与互联网同步生成的一个产物,但随着各种安全防护工具普及,以及人们安全意识的提高,近些年类似“熊猫烧香”这样的恶性病毒已经越来越少见了。不过近期爆发的WannaCry还是给我们敲响了一记警钟,定期打补丁,定期给重要数据做备份,永远都不是一个落伍的话题!警钟长鸣,做好备份!
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)