2006年的圣诞节过后,刚刚欢聚完节日的网民在放松了警惕之时,几乎没有什么人意识到原本平静的生活将要再次被打破。12月26日下午,正要下班的江民、瑞星等杀毒厂商却陆续接到了来自全国各地网民的求助电话……接下来的几天,求助电话越来越多,求助者也从个人用户发展到了企业用户,甚至有网吧业主等数百台机器的拥有者,上千名企业用户的信息让他们意识到,又一种可以与年度毒王相提并论的病毒出现了。
去年“毒王”再次现身
“我的电脑瘫痪了,系统变得十分缓慢,什么都干不了。”“请问你的电脑还有哪些症状,是否升级过杀毒软件?”杀毒公司的员工耐心地询问着。“所有的EXE文件都变成了一只小熊猫在烧三根香的图标。最近几天我还没来得及升级……”
接着一个又一个几乎同样内容的求助电话,反病毒公司的人员心情越发沉重。一连几个周末,江民、瑞星、金山甚至卡巴斯基、趋势、赛门铁克等国外公司也都纷纷加班,连夜分析病毒样本,并在第一时间推出专杀工具。但是,这种被命名为“熊猫烧香”的病毒厉害程度显然超出反病毒工程师们的想象。在短短一周之内已经出现超过50个变种,截止到目前的不到一个月时间内,已经超过了500个变种。“也就是说,即使杀毒软件升级得再及时,也会有新的变种出来逃过杀毒软件的阻拦,电脑一但中毒,清除起来就很麻烦……”这次少见的挑战也让反病毒工程师们异常兴奋,证明他们能力的时刻来了。
据反病毒专家何公道介绍,这次来势汹汹的“熊猫烧香”病毒经诊断与之前的“威金”蠕虫病毒有着很大关系,而后者之前已被江民等公司列为2006年十大病毒之首,也就是俗称的“毒王”。对于这次跨年度的病毒发作,何公道认为其正是利用了人们在圣诞节和元旦前后放假期间的松懈而趁机作乱,等到用户发现的时候已经来不及查杀。
“当我打开电脑的时候,我几乎不敢相信自己的眼睛,系统盘中几乎所有的文件都被替换成了小熊猫的图标,我不知道该点哪个,不知道该干些什么……”不幸成为受害者的徐先生这样说道。
接连两周,“熊猫烧香”的各个变种病毒正在网上大肆传播,将所有感染的.exe文件图标换成“小熊猫”图案,并会修改部分文件,严重危害电脑用户的数据安全。在安装了防火墙的企业局域网上,一旦用户访问多家IT门户以及专业网站,在这些网站上被种植的病毒也会利用IE浏览器存在漏洞潜入用户电脑,根据监测被“熊猫烧香”种植病毒的网站全球排名均在前300名之列,因此杀毒厂商估计目前已经有上百万人受此病毒威胁。
这是一个由Delphi工具编写的蠕虫,能够终止大量的反病毒软件和防火墙软件进程,病毒会删除扩展名为gho的文件,使用户无法使用ghost软件恢复操作系统。“熊猫烧香”感染系统的*.exe、*.com、*.pif、*.src、*.html、*.asp文件,添加病毒网址,导致用户一打开这些网页文件,IE就会自动连接到指定的病毒网址中下载病毒。在硬盘各个分区下生成文件autorun.inf和setup.exe,可以通过U盘和移动硬盘等方式进行传播,并且利用Windows系统的自动播放功能来运行。该病毒还可以修改注册表启动项,以使自身随操作系统同步运行。搜索硬盘中的*.EXE可执行文件并感染,感染后的文件图标变成“熊猫烧香”图案。“熊猫烧香”还可以通过共享文件夹、系统弱口令等多种方式进行传播。
胆大“黑客”何许人也
看过美国大片《黑客帝国》的读者可能都知道,利用病毒技术远程控制对方甚至发生盗窃行为的人,被统称为“黑客”。在现实世界中,“黑客”由于技术高超、手法高明,可以孤身挑战众多反病毒厂商而被年轻人群所追捧,但我国一直明文禁止利用计算机技术盗窃牟利行为,因此争先恐后成为“黑客”之风在我国并不流行。
据反病毒专家介绍,此次出现的熊猫烧香病毒变种中一般只是大规模爆发感染用户电脑,病毒作者的意图似乎只是想证明自己的能力,并未发生盗窃行为,基本上不能称之为“黑客”。不过,在本周刚刚截获的最新变种病毒中,已经出现了盗窃网络游戏帐号的行为,“黑客”行径初现端倪。
反病毒工程师在多个病毒代码解析时发现了“WHBOY”字样,因此怀疑该病毒与去年变种冠军“武汉男生”同出一源,“武汉男生”自从2004年被截获后出现了上千变种,被江民反病毒中心列入2005年十大病毒之列,两种病毒变种之频繁以及传播手法如出一辙。目前这种病毒还只在国内范围感染,由此也可断定病毒作者出自国内。
来自百度贴吧等热烈讨论“熊猫烧香”的论坛中信息显示,病毒作者有可能是武汉当地一位15岁的天才少年,他在得意地用自己的计算机技术对抗中外众多反病毒厂商。而反病毒公司的监测也证实了这一点,“前不久,作者在一个变种源代码中留言,表示将不再更新病毒,而从作者对一些安全论坛的熟悉程度来看,病毒作者在一些安全论坛也留下不少踪迹。”江民公司策划部经理曹凌翔这样告诉记者。
曹所指的痕迹是论坛中的一些言论,“在此对各位中过此木马的网友和各位网管人员表示深深的歉意!对不起,你们辛苦了!很想和你们交流下!某某原因,我想还是算了……”但从后来熊猫烧香再次出现大量变种的状况来看,病毒作者不是自食其言就是另有他人。
损失程度超过“冲击波”病毒
“几年前造成大面积影响的‘冲击波’病毒,也只是造成了系统的不断重启,而现在的熊猫烧香却是不断删除和更改系统文件,并且由于变种速度极快,让人有些防不胜防。”
反病毒工程师介绍,导致“熊猫烧香”病毒快速传播的原因主要有三个:一个大量的企业用户使用国外杀毒软件,而国外杀毒软件对于此类国产病毒响应速度特别慢。二是一部分网站编辑或网站管理人员本身机器感染了病毒,由于病毒能够修改HTML文件,当他们把受感染文件上传到服务器后,访问者点击此类受感染网页即中毒。三是病毒综合利用了多种漏洞和传播途径,如利用微软MS06-014漏洞感染HTML文件,通过QQ最新漏洞传播自身,通过网络文件共享、默认共享、系统弱口令、U盘及移动硬盘等多种途径传播。局域网中一台机器感染,可以瞬间传遍整个网络。
也就是说,即使你在公司的数百台电脑都被断开了网络连接,但即使有一台电脑进行了光盘、移动硬盘或U盘等方式的数据输入,理论上都是存在被感染病毒的可能。根据瑞星反病毒监测网统计的数据,此病毒变种已经超过了600个。危害程度接近之前产生上千变种的“武汉男生”病毒,甚至已经超过了“冲击波”病毒。
截止目前,国内已有上千家企业级用户受到影响,一些数百台电脑集体瘫痪的网吧业主在无奈停业损失数十万元之后表示“想杀人的心都有”。在网上的论坛中,不少受害网友强烈表示捉拿病毒作者,甚至还出现了一群网友悬赏10万美金通缉“熊猫烧香”病毒作者的告示,此举还是互联网反病毒历史上的第一次。
杀毒公司内外有别
每到病毒大规模爆发之际都是反病毒公司施展才华之时。但在此次“熊猫烧香”病毒的爆发过程中,国内外的杀毒软件厂商却由于“太平洋海底光缆断裂”等不可抗拒力产生了内外有别的行为。
在12月底该病毒初显威力之时,江民、瑞星、金山等国内公司争先恐后地推出了专杀工具,并且纷纷宣称免费提供给网民,而几家公司的网络下载版也都提供了时间不等的免费使用功能。但对于服务器设在国外的卡巴斯基、赛门铁克等公司,却由于光缆断裂无法及时升级而延误了“战机”,更新升级病毒库的速度明显不及国内反病毒厂商。
在争夺杀毒软件巨大市场商机之时,国内几家反病毒公司各自寻找起了对策。1月10日,江民开展了“新年无毒”大行动,实施三大举措,面向全国免费发放100万个月卡序列号,在江民网站免费提供一个月的江民杀毒软件下载,同时为部分城市企业用户提供免费上门杀毒等服务,全国追杀“熊猫烧香”病毒。
瑞星也迅速推出了专杀工具,并且继续推心两个月免费下载的政策,并为那些使用国外杀毒软件而暂时无法升级的用户提供了保障。或许是瑞星公开宣布无偿“招纳”卡巴斯基用户的挖墙角之举惹怒了国外厂商,两家公司还因此爆发了一场防病毒技术孰优孰劣的口水战。为此,瑞星还特意发布一份声明指责对手“指鹿为马、混淆事实”。
与前两家国内公司相比,金山公司不但将该病毒等级列为“四星级重大”,还推出了套整体的解决方案,同时金山毒霸还在第一时间内新增了对感染型流行病毒“熊猫烧香”的免疫能力。在服务期内的毒霸用户,将会通过金山毒霸的主动实时升级功能,自动升级到最新版本,实现对“熊猫烧香”的免疫。
解决“熊猫烧香”制胜几招
反病毒专家提醒用户,已安装杀毒软件的用户建议立刻升级到最新病毒库,对电脑进行全盘查杀。未安装杀毒软件的用户建议下载安装网上免费提供的熊猫烧香专杀工具,可以有效清除病毒和修复被感染文件。
与此同时,用户应该尽量做到:
1、局域网用户尽量避免创建可写的共享目录,已经创建共享目录的应立即停止共享。
2、如无必要,Windows 2000/XP用户应尽量关闭IPC$共享,并给具有管理员权限的帐号设置强健的密码。
3、及时安装微软的安全更新,不要随意访问来源不明的网站。特别是微软的MS06-014这一漏洞,应立即打好该漏洞补丁。补丁下载地址:http://www.microsoft.com/china/technethttp://security.chinaitlab.com/bulletin/ms06-014.mspx
4、由于“熊猫烧香”病毒变种特别快,因此如果一些网上的专杀工具更新不及时的话,也未必能够及时清除一些新的变种病毒。这时候最好是使用一些未知病毒检测工具。把“检测”结果中可疑概念很高的进程(通常在60%以上)以及可疑文件删除,对付一些新的病毒变种十分有效。需要注意的是,这项功能适合对系统文件有一定了解的高级用户使用,初级用户应警慎操作,免得把一些正常文件删掉。
5、QQ用户请下载安装最新版本的QQ软件,已发现多起恶意网站利用QQ漏洞传播熊猫蠕虫的现象。5、开启杀毒软件的网页监控功能,使用U盘等移动设备交换文件时,要开启杀毒软件的实时监控,或先用杀毒软件扫描,并关闭自动播放功能。
关闭自动播放功能方法如下:在“开始”菜单的“运行”框中运行“gpedit.msc”命令,在“组策略”找到“计算机配置”和“用户配置”下的“管理模板”功能,打开其中的“系统”菜单中的“关闭自动播放”的设置,在其属性里面选择“已启用”,接着选择“所有驱动器”,最后确定保存即可。