反病毒技术权威表示,被杀毒厂商评为“2006十大计算机病毒之首”的“熊猫烧香”,其实技术水平很低,只有因为很多网民没有及时给自己的系统升级打补丁,才“成全”其名气。
截至昨日,尽管涉嫌“熊猫烧香”病毒制作及传播的李俊等8名犯罪嫌疑人于上月初在湖北落网,但其他握有病毒源代码的涉案人员仍在缉捕之中,而该病毒的新变种更是层出不穷。
据记者了解,8名落网人员在传播病毒的同时,还实施了盗取用户游戏账号、QQ账号的犯罪行为。
目前,业内广泛关注的并不是如何惩处涉案元凶,而是为何一个被众反病毒家评为没啥技术含量的蠕虫病毒,却能在如此短的时间内疯狂泛滥?
【业内透露】
利用用户弊病实施攻击
据媒体报道,早在2003年,李俊就编写过“武汉男孩”病毒,2004年中专毕业后,他曾多次到北京、广州找IT方面的工作,但均未果。2005年又相继编写了“武汉男孩2005”病毒及“QQ尾巴”病毒。这些使他从炫耀技术的黑客,到扬名圈内的盗号高手,再到席卷全国的“熊猫教父”,因而有人称其为“网络方面的天才”。
但是,瑞星公司反病毒技术负责人史王禹告诉记者,他认为李俊不像一些网友所说的那样有才华及创意,其行为只是为了达到目的不择手段而已。并强调说,绝不会将这样人品有问题的人招入麾下。同时,他认为“熊猫烧香”实际上没啥技术含量。
史王禹表示:“之所以说该病毒技术含量并不高,是因其主要采用的是病毒感染方式,只是简单的捆绑EXE,这种手段大约是在2000年比较流行。当时Binder,就是文件捆绑器较为流行,它主要用于把木马捆绑在正常软件上,然后被感染用户运行这些正常软件时就自动运行木马。木马和原始文件就像油和水一样是可以分离的。运行这个文件的时候木马会被释放出来,但被释放的木马不会去感染其他文件。而作为蠕虫病毒(Worm)的‘熊猫烧香’和它的区别只是释放出的部分会去感染其他文件,自动捆绑在其他文件上。但是这种技术是感染型里最简单的,目前很多感染型病毒会将原始文件加密,在运行时再解密或像CIH一样,把自身插入到原始文件的空白处,能保持原始文件大小不变。同时,它也没有用到驱动\Rootkits等技术。”
对于其泛滥的根源,史王禹认为,该病毒只是利用了许多WINDOWS 2000、WINDOWSXP等用户不为程序漏洞打补丁、升级的弊病,针对一个去年微软公布的WINDOWS漏洞实施攻击。
【见招拆招】
防范“毒王”有四招
“熊猫烧香”病毒不但可以对用户系统进行破坏,导致大量应用软件无法使用,而且还可删除扩展名为gho的所有文件,造成用户的系统备份文件丢失,从而无法进行系统恢复;同时该病毒还能终止大量反病毒软件进程,大大降低用户系统的安全性。记者通过采访某国际知名杀毒厂商技术总监郭先生了解到,通过如下四招即可安全防范该“毒王”。
第一招,及时为操作系统升级打补丁。该病毒的泛滥“得益于”国内网民电脑安全使用常识普遍缺乏,许多人从不对WINDOWS操作系统进行漏洞安全升级即打补丁。这样一来,即使装有再好的防病毒软件也可能难防技术等级较低的“熊猫烧香”的攻击。事实上,非正版WINDOWS不出意外都是可以正常进行升级打补丁的。对于电脑用户来说,操作系统的定期升级是最为根本的安全防护措施。
第二招,启用windows防火墙保护所使用的计算机。许多安装了杀毒软件的用户,常常仅开启杀毒软件的防火墙来保护计算机,实际上windows防火墙的启用也是必不可少的。
第三招,修改电脑administrator组成员口令,将原先简单口令或空口令,设为由字母、数字及特殊字符组合的安全口令。
第四招,不上非法的网站,如:色情、暴力的网站。同时,一定要选择正规的共享软件网站下载软件。
【记者观察】
“熊猫烧香”走了,病毒何时了?
2007年2月9日,李俊在仙桃市第一看守所内编写“熊猫烧香”的专杀工具时,写下了这样一段话:“熊猫走了,是结束吗?不是的,网络永远没有安全的时候,或许在不久,会有很多更厉害的病毒出来!所以我在这里提醒大家,提高网络安全意识,并不是你应该注意的,而是你必须懂得和去做的一些事情!”
在谈及此段留言时,一位业内人士沉下嗓音说道:“熊猫烧香还没有烧醒芸芸众生呀!即便我们通过媒体日日呼吁人们要及时下载操作系统补丁,可眼下仍有九成以上的电脑使用者对此不理不睬。请允许我再强调一次,作为普通的电脑使用者,一定要牢记及时下载并更新操作系统,不要上一些不明网及不良站,那里是病毒和木马等恶意程序滋生的温床!”
据了解,眼下“熊猫烧香”变种不断、余威尚未退去,互联网又遭到了新一轮的侵袭。来自某计算机反病毒厂商的最新监测报告显示,就在上月,以广告程序为代表的恶意程序开始泛滥互联网,感染比例由1月份的15%猛升至40%。因此,即便是熊猫烧香走了,人们与病毒和木马之战也不会结束……
病毒档案
学名:Worm.WhBoy.h 绰号:熊猫烧香
病毒类型:蠕虫 波及系统:Win 9X/ME/NT/2000/XP等
技术等级:★★ 危害等级:★★★★
●典型症状:
“熊猫烧香”是一个由Delphi工具编写的蠕虫病毒。其入侵电脑操作系统后可终止大量的反病毒软件和防火墙软件进程,会删除扩展名为gho的文件,用户将无法使用ghost(系统镜像)软件恢复操作系统。
其可感染系统的.exe、.com、.pif、.src、.html、.asp文件,添加病毒网址,导致用户一打开这些网页文件,IE就会自动连接到指定的病毒网址中下载病毒。并会在硬盘各分区下生成autorun.inf和setup.exe文件,可通过U盘和移动硬盘等方式进行传播,还会利用Windows系统的自动播放功能来运行,搜索硬盘中的.exe可执行文件并进行感染,感染后系统的文件图标会变成一只熊猫手捧3炷香的图案。此外,它还可以通过共享文件夹、系统弱口令等方式进行传播。