012194信安1202李自然实验四蠕虫行为分析与清除实验.docx

012194信安1202李自然实验四蠕虫行为分析与清除实验.docx

《012194信安1202李自然实验四蠕虫行为分析与清除实验.docx》由会员分享，可在线阅读，更多相关《012194信安1202李自然实验四蠕虫行为分析与清除实验.docx（13页珍藏版）》请在冰豆网上搜索。

012194信安1202李自然实验四蠕虫行为分析与清除实验

北京信息科技大学

信息管理学院

课程设计报告

课程名称《计算机病毒分析与防范》课程设计

题目蠕虫行为分析与清除实验

指导教师孙璇

设计起止日期2015年5月4日

系别信息管理学院

专业信息安全

学生姓名　李自然

班级/学号信安1202/2012012194

成绩　

北京信息科技大学

信息管理学院

（课程设计）实验报告

实验名称

蠕虫行为分析与清除实验

实验地点

702

实验时间

1.课程设计目的：

本次实验要求学生了解蠕虫的感染和破坏机制。

通过对熊猫烧香蠕虫在系统中的行为进行监测，进而利用工具软件清除熊猫烧香，从而理解对蠕虫的原理和清除的方法。

2.课程设计内容：

预备知识：

“熊猫烧香”蠕虫

1）“熊猫烧香”档案

     又名：

尼亚姆、武汉男生、worm.whBoy、worm.nimaya

     后又化身为：

“金猪报喜”

     病毒类型：

蠕虫

     影响系统：

Windows9X/ME/NT/2000/XP/2003/Vista/7

2）“熊猫烧香”病毒特点

     2006年底，我国互联网上大规模爆发“熊猫烧香”病毒及其变种，该病毒通过多种方式进行传播，同时该病毒还具有盗取用户游戏账号、QQ账号等功能。

该病毒传播速度快，危害范围广，截至案发为止，已有上百万个人用户、网吧及企业局域网用户遭受感染和破坏，引起社会各界高度关注。

《瑞星2006安全报告》将其列为十大病毒之首，在《2006年度中国计算机病毒疫情和互联网安全报告》的十大病毒排行中一举成为“毒王”。

     “熊猫烧香”，是一个感染型的蠕虫，它能感染系统中exe，com，pif，src，html，asp等文件，它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件，该文件是一系统备份工具GHOST的备份文件，使用户的系统备份文件丢失。

被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。

“熊猫烧香”行为

     含有病毒体的文件被运行后，病毒将自身复制至系统目录，同时修改注册表将自身设置为开机启动项，并遍历各个驱动器，将自身写入磁盘根目录下，增加一个Autorun.inf文件，使得用户打开该磁盘时激活病毒体。

随后病毒体创建一个线程进行本地文件感染，同时创建另外一个线程连接网站下载DOS程序发动恶意攻击。

实验步骤：

 通过病毒分析实验室工具，对“熊猫烧香”病毒主要行为进行分析。

在本次实验中，为了方便观察，运行“熊猫烧香”程序将不改变其他文件的图标。

1．打开桌面上的实验工具，找到熊猫烧香的病毒样本。

2．运行该程序，“熊猫烧香”病毒感染系统中的.exe、.com、.pif、.src、.html、.asp等文件，通过FileMonitor对“熊猫烧香”样本运行情况进行跟踪，打开HA_FileMon文件，可以先将文件保存为log文件，之后用记事本打开查看，跟踪“熊猫烧香”病毒样本spcolsv.exe对系统文件修改的行为展示。

3．现在“熊猫烧香”已经彻底感染了这台电脑，我们下面观察一下，它会带来哪些症状。

它尝试关闭多个安全软件，即天网防火墙进程、VirusScan网镖杀毒、金山毒霸、瑞星、江民、黄山IE、超级兔子、优化大师、木马克星、木马清道夫、QQ病毒、注册表编辑器、系统配置实用程序、卡巴斯基反病毒、SymantecAntiVirus、Dubaesteemproces、绿鹰PC密码防盗、噬菌体、木马辅助查找器、SystemSafetyMonitor、WrappedgiftKiller、WinsockExpert、游戏木马检测大师、msctls_statusbar32、pjf（ustc）、IceSword等。

4．（这步可以先不做）尝试结束安全软件相关进程，即Mcshield.exe、VsTskMgr.exe、naPrdMgr.exe、UpdaterUI.exe、TBMon.exe、scan32.exe、Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、RavmonD.exe、RavStub.exe、KVXP.kxp、kvMonXP.kxp、KVCenter.kxp、KVSrvXP.exe、KRegEx.exe、UIHost.exe、TrojDie.kxp、FrogAgent.exe、Logo1_.exe、Logo_1.exe、Rundl132.exe。

我们打开桌面上“安装包”文件夹，找到瑞星的安装程序，尝试安装，会发现无法安装成功。

5．尝试打开任务管理器，我们发现任务管理器打开之后会迅速自动关闭。

6．点击菜单“开始”，选择“运行”，输入regedit，尝试打开注册表，会发现，注册表打开之后也迅速自动关闭。

7．打开“我的电脑”，双击本地磁盘C盘，会发现无法打开，同时，右键，会发现右键菜单中多了一个“Auto”选项。

8．打开菜单“工具”，打开“文件夹选项”，选择“显示所有文件和文件夹”，选择“确定”。

之后，我们重新打开，查看刚才我们的修改是否成功，发现刚才的修改失败。

9．打开桌面上wsyscheck.exe，这是一款系统检测维护工具，可以进行进程和服务驱动的检查，SSDT强化检测，文件查询，注册表操作，DOS删除等操作。

打开wsyscheck的进程管理，我们可以看见系统打开了哪些进程，我们可以看见spcolsv.exe正在运行，我们定位它的位置，可以发现，“熊猫烧香”已经将自身复制到了系统目录C:

\WINDOWS\system32\drivers\spcolsv.exe。

10．继续打开“文件管理”框，在C盘下，可以看见隐藏了的“熊猫烧香”的安装程序setup.exe以及autorun.inf文件。

我们可以打开autorun.inf查看里面写入的内容，表明当双击C盘时，setup.exe将自动运行。

11．观察病毒创建启动项[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]svcshare=%system32%\drivers\spcolsv.exe情况。

12．病毒修改了注册表中“显示所有文件和文件夹”的设置内容：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explore\Advanced\Folder\Hidder\SHOWALL]分支下的“CheckedValue”的键值设为“dword：

00000000”。

熊猫烧香的清除

1．结束病毒进程。

使用刚才介绍的工具wsyscheck，打开“进程管理”，找到spcolsv.exe，右键选择“结束进程并删除文件”。

2．删除根目录下的病毒文件：

     X:

\setup.exe

     X:

\autorun.inf

切换到“文件管理”，找到“熊猫烧香”的安装程序setup.exe，右键选择直接删除，同样直接删除该目录下的autorun.inf文件，

3．删除病毒启动项。

切换到“注册表管理”，找到[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]svcshare，右键删掉该值。

4．恢复被修改的“显示所有文件和文件夹”设置。

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explore\Advanced\Folder\Hidder\SHOWALL]分支下的“CheckedValue”的键值设为“dword：

00000001”。

5．恢复或重新安装被破坏的软件。

6．通过上面的措施，接下来验证一下，现在能否打开任务管理器以及注册表，打开方式详见任务一。

7．接下来，清空回收站，我们打开我的电脑，双击C盘，如果发现仍然不能打开，这个时候，需要重新启动计算机。

8．重启之后，我们右键C盘，如果发现仍然存在如下图所示的情况。

这时，我们只需要按照步骤1至步骤4重新设置一遍，然后再一次重启。

9．再次重启之后，这个时候我们就可以打开C盘了。

3.课程设计要求：

本次实验要求学生了解蠕虫的感染和破坏机制。

通过对熊猫烧香蠕虫在系统中的行为进行监测，进而利用工具软件清除熊猫烧香，从而理解对蠕虫的原理和清除的方法。

4.实验条件：

5.实验方法与步骤：

1.打开桌面上的实验工具，找到熊猫烧香的病毒样本

解压后

2.运行该程序，“熊猫烧香”病毒感染系统中的.exe、.com、.pif、.src、.html、.asp等文件，通过FileMonitor对“熊猫烧香”样本运行情况进行跟踪，打开HA_FileMon文件，可以先将文件保存为log文件，之后用记事本打开查看，跟踪“熊猫烧香”病毒样本spcolsv.exe对系统文件修改的行为展示

3．现在“熊猫烧香”已经彻底感染了这台电脑，我们下面观察一下，它会带来哪些症状。

它尝试关闭多个安全软件，即天网防火墙进程、VirusScan网镖杀毒、金山毒霸、瑞星、江民、黄山IE、超级兔子、优化大师、木马克星、木马清道夫、QQ病毒、注册表编辑器、系统配置实用程序、卡巴斯基反病毒、SymantecAntiVirus、Dubaesteemproces、绿鹰PC密码防盗、噬菌体、木马辅助查找器、SystemSafetyMonitor、WrappedgiftKiller、WinsockExpert、游戏木马检测大师、msctls_statusbar32、pjf（ustc）、IceSword等。

4．（这步可以先不做）尝试结束安全软件相关进程，即Mcshield.exe、VsTskMgr.exe、naPrdMgr.exe、UpdaterUI.exe、TBMon.exe、scan32.exe、Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、RavmonD.exe、RavStub.exe、KVXP.kxp、kvMonXP.kxp、KVCenter.kxp、KVSrvXP.exe、KRegEx.exe、UIHost.exe、TrojDie.kxp、FrogAgent.exe、Logo1_.exe、Logo_1.exe、Rundl132.exe。

我们打开桌面上“安装包”文件夹，找到瑞星的安装程序，尝试安装，会发现无法安装成功。

5．尝试打开任务管理器，我们发现任务管理器打开之后会迅速自动关闭。

答：

闪退！

6．点击菜单“开始”，选择“运行”，输入regedit，尝试打开注册表，会发现，注册表打开之后也迅速自动关闭。

答：

闪退！

7．打开“我的电脑”，双击本地磁盘C盘，会发现无法打开，同时，右键，会发现右键菜单中多了一个“Auto”选项。

8．打开菜单“工具”，打开“文件夹选项”，选择“显示所有文件和文件夹”，选择“确定”。

之后，我们重新打开，查看刚才我们的修改是否成功，发现刚才的修改失败。

答：

无法修复！

9．打开桌面上wsyscheck.exe，这是一款系统检测维护工具，可以进行进程和服务驱动的检查，SSDT强化检测，文件查询，注册表操作，DOS删除等操作。

打开wsyscheck的进程管理，我们可以看见系统打开了哪些进程，我们可以看见spcolsv.exe正在运行，我们定位它的位置，可以发现，“熊猫烧香”已经将自身复制到了系统目录C:

\WINDOWS\system32\drivers\spcolsv.exe。

10．继续打开“文件管理”框，在C盘下，可以看见隐藏了的“熊猫烧香”的安装程序setup.exe以及autorun.inf文件。

我们可以打开autorun.inf查看里面写入的内容，表明当双击C盘时，setup.exe将自动运行。

11．观察病毒创建启动项[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]svcshare=%system32%\drivers\spcolsv.exe情况。

12．病毒修改了注册表中“显示所有文件和文件夹”的设置内容：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explore\Advanced\Folder\Hidder\SHOWALL]分支下的“CheckedValue”的键值设为“dword：

00000000”

熊猫烧香的清除

1．结束病毒进程。

使用刚才介绍的工具wsyscheck，打开“进程管理”，找到spcolsv.exe，右键选择“结束进程并删除文件”

2．删除根目录下的病毒文件：

     X:

\setup.exe

     X:

\autorun.inf

切换到“文件管理”，找到“熊猫烧香”的安装程序setup.exe，右键选择直接删除，同样直接删除该目录下的autorun.inf文件

3．删除病毒启动项。

切换到“注册表管理”，找到[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]svcshare，右键删掉该值。

4．恢复被修改的“显示所有文件和文件夹”设置。

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explore\Advanced\Folder\Hidder\SHOWALL]分支下的“CheckedValue”的键值设为“dword：

00000001”

5．恢复或重新安装被破坏的软件。

6．通过上面的措施，接下来验证一下，现在能否打开任务管理器以及注册表，打开方式详见任务一

7．接下来，清空回收站，我们打开我的电脑，双击C盘，如果发现仍然不能打开，这个时候，需要重新启动计算机。

8．重启之后，我们右键C盘，如果发现仍然存在如下图所示的情况。

这时，我们只需要按照步骤1至步骤4重新设置一遍，然后再一次重启。

9．再次重启之后，这个时候我们就可以打开C盘了。

6.实验总结：

通过这次实验我了解了熊猫烧香这个蠕虫病毒，利用软件看到了他对程序软件的篡改，而且还阻止我们打开硬盘，主要是修改了我们的注册表，所以我们删除文件，恢复我们的注册表信息，就可以把它清楚了！

说明：

1.课程名称、课程设计目的、课程设计内容、课程设计要求由教师确定，实验前由教师事先填好，然后作为实验报告模版供学生使用；

2.实验条件由学生在实验或上机之前填写，教师应该在实验前检查并指导；

3.实验过程由学生记录实验的过程，包括操作过程、遇到哪些问题以及如何解决等；

4.实验总结由学生在实验后填写，总结本次实验的收获、未解决的问题以及体会和建议等；

5.源程序、代码、具体语句等，若表格空间不足时可作为附录另外附页。