熊猫烧香病毒取证鉴定技术研究.docx
《熊猫烧香病毒取证鉴定技术研究.docx》由会员分享,可在线阅读,更多相关《熊猫烧香病毒取证鉴定技术研究.docx(12页珍藏版)》请在咨信网上搜索。
1、 “熊猫烧香”病毒取证鉴定技术研究 麦永浩,向大为(湖北警官学院电子取证重点实验室,湖北武汉43()()34)1案件背景从2006年年底到2007年年初,短短的两个多月时间,一个名为熊猫烧香的病毒不断入侵个人电脑、感染门户网站、击溃数据系统,给上百万个人用户、网吧及企业局域网用户带来无法估量的损失,被2006年度中国大陆地区电脑病毒疫情和互联网安全报告评为“毒王”。2熊猫烧香病毒介绍病毒名称:熊猫烧香,worm.whBov(金山称),worm.nlmaya.(瑞星称)病毒别名:尼姆亚,武汉男生,后又化身为“金猪报喜”;危险级别:;病毒类型:蠕虫病毒,能够终止大量的反病毒软件和防火墙软件进程;影
2、响系统:Win 9x/ME、Win 2000/NT、WinXP、Win 2003;病毒具体描述:熊猫烧香是一种蠕虫病毒,而且多次变种。尼姆亚变种W(WormNimaya.w),由于中毒电脑的可执行文件会出现“熊猫烧香”图案,被感染的用户系统中所有exe可执行文件全部被改成熊猫举着三根香的模样,因此被称为“熊猫烧香”病毒。病毒危害:该病毒的某些变种可以通过局域网进行传播,在极短时间之内就可以感染几千台计算机,用户电脑中毒后可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象,最终导致局域网瘫痪,无法正常使用。该病毒会删除扩展名为gho的文件,使用户无法使用ghost软件恢复操作系统。熊猫烧
3、香感染系统的exe、com、pif、src、html、asp文件,添加病毒网址,导致用户一打开这些网页文件IE就会自动连接到指定的病毒网址中下载病毒。在硬盘各个分区下生成文件autoruninf和setup.exe,可以通过U盘和移动硬盘等方式进行传播,并且利用Windows系统的自动播放功能来运行,搜索硬盘中的exe可执行文件并感染,感染后的文件图标变成“熊猫烧香”图案。熊猫烧香还可以通过共享文件夹、系统弱口令等多种方式进行传播。该病毒会在中毒电脑中所有的网页文件尾部添加病毒代码。一些网站编辑人员的电脑如果被该病毒感染,上传网页到网站后,就会导致用户浏览这些网站时也被病毒感染。据悉,多家著名
4、网站就是遭到此类攻击,相继被植入病毒。由于这些网站的浏览量非常大,导致熊猫烧香病毒的感染范围非常广´中毒企业和政府机构不计其数,其中不乏金融、税务、能源等关系到国计民生的重要单位。3熊猫烧香病毒网络破坏过程3.1本地磁盘感染1)感染对象:病毒对系统中所有除了盘符为A,B的磁盘类型为DRIVE_REMOTE, DRIVE_FIXED的磁盘进行文件遍历感染(不感染大小超过10485760字节以上的文件)。2)感染方式来自WwW.lw5u.Com:病毒将使用两类感染方式应对不同后缀的文件名进行感染:二进制可执行文件(后缀名为:exe,scr,pif, com):将感染目标文件和病毒溶合成
5、一个文件(被感染文件贴在病毒文件尾部)完成感染。脚本类(后缀名为:htm,html, asp, php, jsp, aspx):在这些脚本文件尾加上如下链接(下边的页面存在安全漏洞),在感染时会删除这些磁盘上的后缀名为gho的文件。3.2生成autorun.inf病毒建立一个计时器以0.6秒为周期在磁盘的根目录下生成setupexe(病毒本身)autoruninf并利用AutoRunOpen关联使病毒在用户点击被感染磁盘时能被自动运行。3.3局域网传播病毒生成随机个局域网传播线程实现如下的传播方式:当病毒发现能成功联接攻击目标的139或445端口后,将使用内置的一个用户列表及密码字典进行联接(
6、猜测被攻击端的密码)。当成功地联接上以后将自己复制并利用计划任务启动激活病毒;修改操作系统的启动关联;下载文件启动;与杀毒软件对抗。4鉴定要求本实验室对主要犯罪嫌疑人李俊出租屋中收集的鉴材进行取证鉴定。鉴定内容包括:鉴定检材中是否存在制作传播病毒的证据;鉴定病毒编写的相关时间信息及病毒制作方式;提取病毒样本及与案件相关的其他证据。5鉴定环境l)硬件:取证用台式计算机(Dell-DIMENSION5150)、高速硬盘复制机、四合一只读读卡器、取证硬盘、各类接口转换卡、数据线、移动硬盘、U盘。2)软件i Microsoft Windows Server2003 Enterprise Edition
7、、ENCASE 5.04b、UltraEdit-32。6检材克隆和md5值校验使用硬盘复制机将原始硬盘数据克隆至无任何数据的取证硬盘,克隆后的取证硬盘与取证计算机连接,其他介质通过只读读卡器与计算机连接。连接后通过ENCASE软件进行初步分析,如果数据已被删除,则利用数据恢复工具进行恢复,对全部嫌疑数据进行分析统计并形成鉴定报告。证据文件固定后进行md5值校验。鉴定完成后,除需要提交的鉴定书和有关附件数据外,销毁取证过程中产生的所有数据,整个操作流程对原始存储媒介中保存的原始信息不会造成任何影响。7鉴定过程1)存储介质工作情况良好,可以正常读出数据。2)经检查,在“蓝天使移动硬盘”分区l中找到
8、delphi7(程序设计工具)和Vmware(操作系统虚拟机)等软件工具,这些软件可以构成进行计算机木马病毒实验的基本环境,还发现可用于更改程序图表的工具“ICO”等软件。3)在分区一、二的收藏夹( Favorites)中发现大量被收藏的黑客基地、木马、病毒技术的网站。以上数据显示,硬盘所有者在较长一段时间内对黑客攻防及制作、传播病毒方面的知识有着极浓厚的兴趣。4)在分区五(tools分区)myhacker目录下,找到“灰鸽子远程管理”、“nc.exe、“Sniffer、“DDOS.EXE、“黑客之门”、“网络神偷”、“Web3389.exe”、“日志清理”等大量黑客工具软件,另外,在该目录下
9、还发现大量黑客软件的使用说明书及制作木马、病毒、实施黑客攻击的相关电子书、录像等资料,并在历史日志中发现,该硬盘使用者曾多次访问过这些数据及其所在的目录。在分区五的Source Code目录下发现大量用VB、VC和Delphi等程序设计工具编写的病毒和木马程序的源代码文件,其功能包括:“多线程端口扫描”、“PHP注入”“文件捆绑”、“在任何文件上添加字节”、“隐藏运行窗口”、“QQ密码截取”、“IE密码探测”、“木马自动生成”等,几乎涵盖了具备网络攻击及传染功能的病毒和木马程序工作的方方面面。5)在“分区五(tools分区)”和“桌面”等多个目录下发现了一些已经编写好并打包成exe文件(可执行
10、文件)的木马程序,如“征途木马”、“网页木马”、“老马库”等多个木马程序文件,这些木马完全可以直接运行。在“分区五(tools分区y的SourceCodeDelphiMy_Work目录下,发现“武汉男生”(又称熊猫烧香)木马病毒的来自www.lw5U.com客户端和服务端程序,同时,在SourceCodeDelphiMy_Work武汉男生进程监控V:ode目录下发现“武汉男生”的源程度代码文件。在该目录的说明文件中,木马的作者注释道:“使用前,先用老版本工具卸载一次,然后再使用本版本进行设置和运行。”说明该病毒应该有多个版本,且作者直在对其进行改进、升级和维护。在“Source CodeDel
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 熊猫 烧香 病毒 取证 鉴定 技术研究
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【w****g】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【w****g】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。