实验目的与要求
- 了解熊猫烧香病毒发作原理。
- 学习手工查杀病毒过程。
实验环境
Windows 2003操作系统, SimpleISES
实验原理
熊猫烧香是一种蠕虫病毒的变种,而且是经过多次变种而来的,由于中毒电脑的可执行文件会出现“熊猫烧香”图案,所以也被称为 “熊猫烧香”病毒。
但原病毒只会对EXE图标进行替换,并不会对系统本身进行破坏。而大多数是中等病毒变种,用户电脑中毒后可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。
同时,该病毒的某些变种可以通过局域网进行传播,进而感染局域网内所有计算机系统,最终导致企业局域网瘫痪,无法正常使用,它能感染系统中exe,com,pif,src,html,asp等文件,它还能终止大量的反病毒软件进程并且会删除扩展名为gho的备份文件。
实验内容
- 运行熊猫烧香病毒。
- 手工清除熊猫烧香病毒。
实验步骤与结果
1. 打开C:\tools\熊猫烧香病毒手工清除实验文件夹,双击运行setup.exe
2. 发现任务管理器打不开,且进程一直处在百分之百。
3. 在cmd下输入命令tasklist /svc查看系统内所有的进程,发现进程spoclsy.exe比较可疑。
4. 输入taskkill /f /im PID,这条命令意思是结束某个pid对应的进程,我们来结束可疑进程。
5. 查看启动项,点击开始-运行-msconfig(若无法打开请重复几次2.2/2.3步骤),msconfig即系统配置实用程序,是Microsoft System Configuration的缩写,可以查看程序的开启或者禁用。我们可以看到恶意病毒的位置和注册表的信息。记下病毒的注册表位置和命令位置,分别是HKCU\SOFTWAER\Microsoft\windows\CurrentVerstion\RUN和C:\windows\system32\drivers\spoclsv.exe,
6. 在开始-运行-输入regedit.exe进入注册表,找到病毒的注册表位置并删除
7.此时发现启动项中已无spoclsv
8. 在cmd中进入c:\windows\system32\drivers目录后输入dir spoclsv.exe查看信息。
9. 输入del /f spoclsv.exe强制删除spoclsv.exe。
10. 检查是否还有感染和隐藏的文件。进入CMD在C盘下面输入:dir /ah,这个命令的意思是显示当前目录的隐藏文件和隐藏文件夹。发现有隐藏的病毒和文件。
11. 在cmd下运行attrib -r -h -s autorun.inf和attrib -r -h -s setup.exe,attrib -r -h -s命令的意思是去除只读、系统、隐藏文件属性。清除后,用del /f 来删除文件。至此,病毒清除完毕。
实验结论
通过清除熊猫烧香病毒的实验,大致了解了电脑感染病毒后会出现的的一些改变,以及查杀病毒的一般手段和步骤。同时,也能分析出一般病毒所具备的一些功能,比如躲避查杀能力、开机启动技术、后门技术等。
(by 归忆)