三大原因导致“新版熊猫烧香”肆虐
近日,“新版熊猫烧香”病毒泛滥成灾,已经到了天怒人怨的地步。据悉,由于多家著名网站遭到此类病毒攻击而相继被植入病毒。由于这些网站的浏览量非常大,致使此次“新版熊猫烧香”病毒的感染范围非常广。
据瑞星反病毒专家介绍,“新版熊猫烧香”其实是“尼姆亚”病毒的新变种,最早出现在2006年的11月。由于它一直在不停地进行变种,而且该病毒会在中毒电脑中所有的网页文件尾部添加病毒代码,因此,一旦一些网站编辑人员的电脑被该病毒感染,网站编辑在上传网页到网站后,就会导致所有浏览该网页的计算机用户也被感染上该病毒。
同时,据金山毒霸反病毒中心表示,“新版熊猫烧香”除了通过网站带毒感染用户之外,此病毒还会通过QQ最新漏洞传播自身,通过网络文件共享、默认共享、系统弱口令、U盘及
移动硬盘等多种途径传播。而局域网中只要有一台机器感染,就可以瞬间传遍整个网络,甚至在极短时间之内就可以感染几千台计算机,严重时可以导致网络瘫痪。中毒症状表现为电脑中所有可执行的.exe文件都变成了一种怪异的图案,该图案显示为“新版熊猫烧香”,继而系统蓝屏、频繁重启、硬盘数据被破坏等,严重的整个公司局域网内所有电脑会全部中毒。
对此,江民反病毒专家何公道分析认为:导致病毒快速传播目前存在三大原因。一是大量的企业用户使用国外杀毒软件,而国外杀毒软件对于此类国产病毒响应速度特别慢。二是由于被种植“新版熊猫烧香”病毒网站的点击量的全球排名均在前300名之列,而当一部分网站编辑本身机器感染了病毒之后,当他们把受感染文件上传到服务器后,访问者点击此类受感染网页即中毒,因此,该病毒才会得以迅速传播。三是其病毒具有极强的变种能力,仅从2006年11月至年底短短一个多月的时间,该病毒就变种将近30余次,因此在许多用户疏于防范而没有更新杀毒软件时,该病毒即可借机迅速传播。
熊猫烧香的由来!
这是一波电脑病毒蔓延的狂潮。在两个多月的时间里,数百万电脑用户被卷将进去,那只憨态可掬、颔首敬香的“熊猫”除而不尽,成为人们噩梦般的记忆。
反病毒工程师们将它命名为“尼姆亚”。它还有一个更通俗的名字———“熊猫烧香”。它迅速化身数百种,不断入侵个人电脑,感染门户网站,击溃企业数据系统……它的蔓延考问着网络的公共安全,同时引发了一场虚拟世界里“道”与“魔”的较量。反病毒工程师和民间反病毒人士纷纷投身其中。
1月19日,一个最新的“熊猫烧香”变种病毒出现。病毒作者宣称,这将是“熊猫烧香”最后一次更新。
“蜜罐”中发现病毒
2006年11月14日,中关村瑞星公司总部14楼。一群反病毒工程师围着一台与网络隔绝的电脑。随着鼠标点动,数百个熊猫图标出现在屏幕上。这是工程师们当天捕获的病毒,命名为“尼姆亚”。
史瑀是瑞星公司研发部病毒组的反病毒工程师。他每天的工作就是,和数十名伙伴一起捕捉网上流传的病毒,然后将病毒“拆”开,研究其内部结构后,升级瑞星的病毒库。当天下午,一名用户向他们提交了一份病毒样本。随后,他们又在病毒组的“蜜罐”内,发现了该病毒的踪影。
“蜜罐”是病毒组设立在互联网上的一些防卫性孱弱的服务器,工程师们故意在服务器上设置多种漏洞,诱使病毒侵入。“就像猎人做的沾满蜜糖的陷阱,专门吸引猎物上钩。”从“蜜罐”里提取病毒后,史瑀和同事们将病毒移到公司14楼的一台与网络隔离的电脑上,这里是病毒的“解剖台”。“运行病毒之后,系统所有的图标都变成了熊猫。”史瑀眼前的屏幕上,出现了一排排的熊猫图案,熊猫们手持三炷香,合十作揖。
经过分析,工程师们发现,在病毒卡通化的外表下,隐藏着巨大的传染潜力,它的传染模式和杀伤手段,与风行一时的“威金”病毒十分相像。瑞星公司随即发布病毒预警。
病毒蔓延涌向全国
“最开始的‘尼姆亚’不算厉害。”史瑀说,随着病毒作者的不断更新,它的破坏力和传染力也随之上升。2006年11月底,“尼姆亚”只有不到十个变种,然而12月开始,病毒作者从数日一更新,变为一日数更新,它的变种数量成倍上升。这时候,“熊猫烧香”已经取代了“尼姆亚”这个名字。12月中旬,“熊猫烧香”进入急速变种期,在几次大面积暴发之后,“熊猫烧香”成为众多电脑用户谈之色变的词汇。圣诞节过后,“熊猫烧香”版本已达到近百个。
史瑀说,去年12月下旬,国内近千家大型企业感染“熊猫烧香”,向瑞星求助。“当病毒变种和感染人群超过一定数量时,病毒的传播就会以几何方式增长。”1月9日,“熊猫烧香”继续蔓延,开始向全国范围的电脑用户涌去。这一天,“熊猫烧香”迎来了一次全国性的大规模暴发,它的的变种数量定格在306个。
各地用户纷纷中招
根据瑞星公司提供的“熊猫烧香”病毒用户求助数据,仅1月9日一天,瑞星用户向公司求助的人数已达1016人次,11日达到1002人次。因为是选择性求助,并仅限于瑞星杀毒软件的正版用户,这个数据只是冰山一角。
据了解,1月9日感染的电脑用户达数十万。其中北京、上海等电脑用户较集中的城市成为“重灾区”。
“熊猫”并未就此止步,它继续四处“烧香”。随着变种的不断增多,病毒洪潮蔓延无休,并且愈演愈烈。截至目前,“熊猫烧香”病毒变种已达416个,受感染电脑用户达到数百万台。
“熊猫烧香”因何难退
“‘熊猫烧香’和以往的病毒不同,它采用了一种新的传播手段。”史瑀说,传统的蠕虫病毒是通过一台中毒电脑传至局域网内其他电脑,而“熊猫烧香”在整合了所有可利用的传播漏洞之外,还可以通过网站传播。感染“熊猫烧香”的电脑,会在硬盘的所有网页文件上附加病毒。“如果被感染的是网站编辑和记者的电脑,那么通过中毒的网页,‘熊猫烧香’就可能附身在网站的所有网页上。”史瑀说,访问这种中毒的网站时,网民就会感染“熊猫烧香”病毒。从传统的点对点,到现在的点对面,“熊猫烧香”借助中毒网站的惊人访问量急速传播。
据反病毒工程师称,他们曾监控到,“熊猫烧香”感染过天涯社区、硅谷动力、pconline等门户网站,在暴风影音等知名软件的下载链接中也曾有“熊猫烧香”附身的痕迹。同时,“熊猫烧香”还可借助搜索引擎进行病毒传播。
“借助局域网天女散花,借助门户网站星火燎原,借助U盘死灰复燃。”史瑀说,“熊猫烧香”的三项主要传播方式,成为病毒难以退去的主要原因。
反毒人士抗击病毒
史瑀说,自去年圣诞节之后,瑞星公司病毒组就开始不断加班,每当“熊猫烧香”发布新变种,工程师们就立即采集样本,解剖病毒,并升级相应的专杀工具。“这段时间里,通宵熬夜就有4次。”“‘熊猫烧香’技术谈不上高超,主要依赖于作者不断疯狂地更新,它更新,我们就随之更新专杀工具。”史瑀说,“熊猫烧香”善于利用新漏洞,比如1月8日的变种就利用了QQ一项最新的安全漏洞。
“熊猫烧香”诞生至今,病毒版本修改了400余次,史瑀和同事们开发的专杀工具也升级了10余次。
除杀毒软件公司外,散布在网民中的“反毒高手”在抗击“熊猫烧香”中同样发挥了重要作用。
一场未结束的战争
1月19日,“熊猫烧香”发布了一个新的变种,病毒作者同时宣称,这将是“熊猫烧香”最后一次更新。
1月24日下午,反病毒工程师们又发现了一种新型病毒,这种病毒和“熊猫烧香”十分相似,工程师怀疑它是“熊猫烧香”作者创作的新版本病毒。这种病毒会把受感染用户电脑上的所有图标换成一个男子的头像,在头像的眼睛位置是两个电灯泡。反病毒工程师们担心的是,“灯泡男子”会不会成为“熊猫烧香”的接班人。
病毒内部列出“鸣谢单位”
2006年12月初,“熊猫烧香”变种加速,代码中除了whboy字样外,又多了一行汉字:“武汉男孩感染下载者。”随着变种的增多,代码内附带的信息也越来越多。随后,武汉男孩似乎迷恋上了这种病毒内部列出“鸣谢单位”的模式,在1月5日的病毒留言中,感谢名单上添加了艾玛的名字。1月9日,感谢名单中又多了杀毒高手“海色之月”的名字,文末还添加了一句“服了……艾玛……”
在“熊猫烧香”的最后一个版本中,武汉男孩写下了临别赠语:“在此对各位中过此木马的网友和各位网管人员表示深深的歉意!对不起,你们辛苦了!
面对“熊猫烧香”停止更新的消息,反病毒工程师史瑀显得很平静:“我们希望熊猫风波就此结束,但是武汉男孩有失言的先例。总之他只要更新,我们就奉陪到底。”
“熊猫烧香”带有商业目的
史瑀说,他们经过分析认为,“熊猫烧香”带有强烈的商业目的,“用户感染病毒后,会从后台点击国外的网站,部分变种中含有盗号木马,病毒作者可借此牟利。现在的病毒作者和上世纪90年代的不同,他们不再以炫耀技术为目的,而是带有明确商业目的,病毒和流氓软件界限越来越模糊了。”
昨天下午,瑞星公司工作人员表示,已将病毒作者的相关证据和病毒特性提交给国家计算机病毒应急处理中心。国家计算机病毒应急处理中心工作人员称,关于这场“熊猫烧香”病毒风暴,受波及的电脑数字以及造成的经济损失等相关数据,目前正在统计,将于近日在其主页上公布。
据金山毒霸反病毒中心表示,近期“新版熊猫烧香”的变种异常活跃,因此从目前至春节期间,该病毒还将会一直骚扰着电脑用户。虽然用户及时更新杀毒软件病毒库,并下载各杀毒软件公司提供的专杀工具,即可对“新版熊猫烧香”病毒进行查杀,但是如果能做到防患于未然岂不更好。为此,记者在采访中,还总结了以下五招预防措施,希望可以帮您远离“新版熊猫烧香”病毒的骚扰。
1.立即检查本机administrator组成员口令,一定要放弃简单口令甚至空口令,安全的口令是字母数字特殊字符的组合,自己记得住,别让病毒猜到就行。
修改方法:右键单击我的电脑,选择管理,浏览到本地用户和组,在右边的窗格中,选择具备管理员权限的用户名,单击右键,选择设置密码,输入新密码就行。
2.利用组策略,关闭所有驱动器的自动播放功能。
步骤:单击开始,运行,输入gpedit.msc,打开组策略编辑器,浏览到计算机配置,管理模板,系统,在右边的窗格中选择关闭自动播放,该配置缺省是未配置,在下拉框中选择所有驱动器,再选取已启用,确定后关闭。最后,在开始,运行中输入gpupdate,确定后,该策略就生效了。
3.修改文件夹选项,以查看不明文件的真实属性,避免无意双击骗子程序中毒。
步骤:打开资源管理器(按windows徽标键+E),点工具菜单下文件夹选项,再点查看,在高级设置中,选择查看所有文件,取消隐藏受保护的操作系统文件,取消隐藏文件扩展名。
4.时刻保持操作系统获得最新的安全更新,不要随意访问来源不明的网站,特别是微软的MS06-014漏洞,应立即打好该漏洞补丁。
同时,QQ、UC的漏洞也可以被该病毒利用,因此,用户应该去他们的官方网站打好最新补丁。此外,由于该病毒会利用IE浏览器的漏洞进行攻击,因此用户还应该给IE打好所有的补丁。如果必要的话,用户可以暂时换用Firefox、Opera等比较安全的浏览器。
5.启用Windows防火墙保护本地计算机。同时,局域网用户尽量避免创建可写的共享目录,已经创建共享目录的应立即停止共享。
