一個可愛的名字,一幅有趣的動畫,一只憨態(tài)可掬的熊貓……在燒香!?如果不是親身經(jīng)歷,全球電腦用戶很難把熊貓、燒香、病毒和系統(tǒng)崩潰這幾個詞聯(lián)系起來,但是如果你在自己的電腦里看見一群可愛的熊貓?jiān)跓愕臅r候,那只好準(zhǔn)備重新安裝系統(tǒng)了,因?yàn)檫@里所說的是一種電腦病毒。
“熊貓燒香”病毒是一個能在WINDOWS 9x/NT/2000/XP/2003系統(tǒng)上運(yùn)行的蠕蟲病毒。這一病毒采用“熊貓燒香”頭像作為圖標(biāo),誘使計(jì)算機(jī)用戶運(yùn)行。它的變種會感染計(jì)算機(jī)上的EXE可執(zhí)行文件,被病毒感染的文件圖標(biāo)均變?yōu)椤靶茇垷恪薄M瑫r,受感染的計(jì)算機(jī)還會出現(xiàn)藍(lán)屏、頻繁重啟以及系統(tǒng)硬盤中數(shù)據(jù)文件被破壞等現(xiàn)象。該病毒會在中毒電腦中所有的網(wǎng)頁文件尾部添加病毒代碼。一些網(wǎng)站編輯人員的電腦如果被該病毒感染,上傳網(wǎng)頁到網(wǎng)站后,就會導(dǎo)致用戶瀏覽這些網(wǎng)站時也被病毒感染。其實(shí)2006年6月肆虐互聯(lián)網(wǎng)的“威金”蠕蟲就是“熊貓燒香”的前身,這個病毒同樣感染W(wǎng)indows可執(zhí)行文件,并會查找局域網(wǎng)中所有的共享計(jì)算機(jī),嘗試猜解它們的密碼,試圖感染這些計(jì)算機(jī)。該病毒還會自動在后臺下載并運(yùn)行“西游木馬”等程序,竊取網(wǎng)絡(luò)游戲玩家的賬號和密碼并發(fā)送給黑客。同時,該病毒還會下載一個QQ病毒,自動向用戶的好友發(fā)送內(nèi)容為“看看啊。我最近的照片~才掃描到相冊上的!”的消息并附帶一個網(wǎng)址,其他用戶點(diǎn)擊消息中的網(wǎng)址就可能被病毒感染。相比前輩“威金”,“熊貓燒香”的威力更大,傳播速度更快,對電腦系統(tǒng)的危害更大,
在2006年的重大電腦病毒事件之中,復(fù)合型病毒正在互聯(lián)網(wǎng)上占據(jù)了主要地位。這類病毒集文件型病毒、蠕蟲病毒、病毒下載器于一身,傳播能力非常強(qiáng)。防病毒產(chǎn)品大體上可以分為硬件和軟件兩大類:防病毒網(wǎng)關(guān)和殺毒軟件。防病毒網(wǎng)關(guān)是安裝在兩個網(wǎng)絡(luò)或者多個網(wǎng)絡(luò)之間,在網(wǎng)絡(luò)邊緣檢測病毒、蠕蟲、木馬的硬件防病毒產(chǎn)品,一般情況下安裝在內(nèi)部網(wǎng)和外部網(wǎng)、公網(wǎng)之間,或者安裝在企業(yè)內(nèi)部網(wǎng)絡(luò)和外部合作伙伴的網(wǎng)絡(luò)之間。防毒網(wǎng)關(guān)工作深入到應(yīng)用層,可以實(shí)時快速地監(jiān)測流經(jīng)網(wǎng)關(guān)任意方向的數(shù)據(jù)流,如果發(fā)現(xiàn)了病毒就攔截并且清除,同時記錄病毒日志和向管理員提交報告,然后將無病毒的數(shù)據(jù)流轉(zhuǎn)發(fā)到目的地。而殺毒軟件就是專門檢測網(wǎng)絡(luò)或者單機(jī)系統(tǒng)中隱藏的病毒或者具有安全威脅的程序等的軟件產(chǎn)品,它主要是在已經(jīng)發(fā)生病毒侵害并且已經(jīng)造成損失并為人們所發(fā)現(xiàn)的情況下才會工作,這個時候只能亡羊補(bǔ)牢了。針對“熊貓燒香”病毒來說,其發(fā)作之后是很難清除的,而且清除病毒的代價也是很大的,除了少數(shù)專業(yè)技術(shù)人員耗費(fèi)大量的時間手工清除之后系統(tǒng)還能使用,基本上沒有辦法恢復(fù)系統(tǒng),這時候已經(jīng)沒有“補(bǔ)牢”的機(jī)會了。
我們再從“熊貓燒香”的事件里來看網(wǎng)關(guān)防病毒的實(shí)際功效:
“熊貓燒香”病毒困擾裝有防病毒軟件的網(wǎng)絡(luò)
“熊貓燒香”從大體上分,目前主要有四大變種,變種A是最常見的感染EXE文件,變種B的就是大家常說的spoclsv.exe進(jìn)程,它藏在路徑% SystemRoot%Driversspoclsv.exe下,其它部分與變種A基本一致。變種C主要的改動是對抗殺毒軟件,尤其是專殺工具,變種C通過查找窗口標(biāo)題中的專殺工具的名稱,即關(guān)閉該窗口。因此許多用戶下載了舊版的專殺,發(fā)現(xiàn)打開就被關(guān)閉,同時熊貓燒香病毒還會關(guān)閉其它一些常見的進(jìn)程管理的程序,比如常用的Windows任務(wù)管理器。變種D是最近才出現(xiàn)的一個變種,該變種感染文件后圖標(biāo)不是熊貓模樣,當(dāng)感染該變種會在臨時目錄發(fā)現(xiàn)100個圖標(biāo)文件。還有其它近百種變種,基本都是為了躲避查殺進(jìn)行修改和下載不同的后門的版本。而硬件防毒網(wǎng)關(guān)在阻斷病毒于網(wǎng)絡(luò)入口處,保證內(nèi)部安全。各類變種的基本特征在網(wǎng)絡(luò)出口就被防毒網(wǎng)關(guān)發(fā)現(xiàn)并阻斷。
熊貓燒香在感染的系統(tǒng)上,會關(guān)閉殺毒軟件進(jìn)程,刪除殺毒軟件的注冊表項(xiàng)目,禁用殺毒軟件的服務(wù),修改資源管理器,其舊變種會全面感染系統(tǒng)文件,新變種會感染除系統(tǒng)目錄外的文件,即盡量不感染微軟操作系統(tǒng)自身的文件。新舊變種都會刪除*.gho文件,一般人會在安裝完成系統(tǒng)后,使用Norton Ghost進(jìn)行備份,熊貓會惡意刪除這個備份文件。最大的破壞是,熊貓燒香本身就是一種下載者,會在指定的網(wǎng)站下載后門、木馬、各種盜號程序,甚至DDoS程序。這些特性都說明現(xiàn)在的病毒基本上以徹底破壞系統(tǒng)為目的,所以有效阻止病毒進(jìn)入網(wǎng)絡(luò)感染系統(tǒng)是最有效的防毒手段,而防病毒網(wǎng)關(guān)是完成這個御敵于“國門”之外的最佳產(chǎn)品。
目前中毒用戶使用了各類“熊貓”專殺后,將一臺機(jī)器殺干凈了,但不久又發(fā)現(xiàn)感染了,這是因?yàn)椤靶茇垷恪痹诟腥玖艘粋€系統(tǒng)后,開啟一個單獨(dú)的線程進(jìn)行C類網(wǎng)絡(luò)掃描感染,訪問同網(wǎng)段的139/445端口,進(jìn)行IPC$密碼猜解和查找共享,并感染共享中的文件。這樣只要網(wǎng)絡(luò)內(nèi)有一臺機(jī)器還有存活的熊貓燒香病毒,就依然存在再次感染全網(wǎng)的可能。隨著“熊貓燒香”病毒的攻擊重點(diǎn)轉(zhuǎn)向企業(yè)局域網(wǎng)和網(wǎng)站,由于這些網(wǎng)站的瀏覽量非常大,致使“熊貓燒香”病毒的感染范圍非常廣,中毒企業(yè)和政府機(jī)構(gòu)已經(jīng)超過千家,其中不乏金融、稅務(wù)、能源等關(guān)系到國計(jì)民生的重要單位。此病毒在局域網(wǎng)極短時間之內(nèi)就可以感染幾千臺計(jì)算機(jī),嚴(yán)重時可以導(dǎo)致網(wǎng)絡(luò)癱瘓。北京、廣州、上海等大型城市是重災(zāi)區(qū)。現(xiàn)在臨近春節(jié),“熊貓”病毒可能會利用春節(jié)假期,進(jìn)行偷襲,讓很多用戶在春節(jié)上班第一天沒法使用電腦。這是因?yàn)殚L時間用戶和網(wǎng)絡(luò)的防病毒軟件都沒有更新,對新的變種沒有免疫力,而對于一直在不斷工作的防病毒網(wǎng)關(guān)來說,不僅在互聯(lián)網(wǎng)實(shí)時更新了病毒特征碼,更可以保證內(nèi)網(wǎng)不被新的變種侵入,這樣即使用戶的單機(jī)防毒系統(tǒng)沒有更新病毒庫也不會被感染。
用過濾網(wǎng)關(guān)把“熊貓”攔在“關(guān)”外“燒香”
在防病毒領(lǐng)域中,基于硬件開發(fā)的防毒網(wǎng)關(guān)已經(jīng)推出一段時間,而具有相同功能的軟件產(chǎn)品在市場上出現(xiàn)得更早。從應(yīng)用效果上看看,硬件產(chǎn)品以高性能高穩(wěn)定性得到用戶的青睞。軟件防病毒產(chǎn)品是基于一定的操作系統(tǒng)開發(fā)的,而開放式系統(tǒng)往往存有自身的安全漏洞,這時防病毒軟件產(chǎn)品不僅起不到安全防護(hù)作用,反而成為網(wǎng)絡(luò)的安全隱患。同時軟件防毒墻產(chǎn)品在性能和效率上也會受到硬件環(huán)境的限制而無法達(dá)到最佳效果,而上述的缺陷恰恰可以在硬件防毒網(wǎng)關(guān)里中避免,并發(fā)揮拒病毒于網(wǎng)關(guān)之外的重大作用。
天融信的網(wǎng)絡(luò)衛(wèi)士過濾網(wǎng)關(guān)是高效的硬件防病毒網(wǎng)關(guān),產(chǎn)品具有即插即用能力,易于管理和安裝。產(chǎn)品采用專用硬件設(shè)備以透明串接的方式接入網(wǎng)絡(luò),并通過WEB方式提供遠(yuǎn)程顯示和管理配置功能。網(wǎng)絡(luò)衛(wèi)士過濾網(wǎng)關(guān)的硬件設(shè)備主要作用是對通過其的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行分析過濾,防止病毒代碼從設(shè)備穿過滲透到公司內(nèi)部網(wǎng)絡(luò),同時防止蠕蟲攻擊,以及垃圾郵件對公司正常辦公的干擾。WEB管理主要提供一種可以對過濾網(wǎng)關(guān)設(shè)備進(jìn)行遠(yuǎn)程管理和配置的方式。用戶可以遠(yuǎn)程地管理硬件設(shè)備,對要處理的主要網(wǎng)絡(luò)協(xié)議進(jìn)行設(shè)置,同時還可以通過WEB方式查詢相應(yīng)的日志和生成所要的報表。
天融信網(wǎng)絡(luò)衛(wèi)士過濾網(wǎng)關(guān)可以發(fā)現(xiàn)和阻斷多個變種“熊貓燒香”病毒,并將熊貓燒香病毒命名為:Fujack。結(jié)合產(chǎn)品自身防垃圾郵件和惡意軟件以及木馬的能力,可以說在網(wǎng)關(guān)全面的阻斷了“熊貓燒香”病毒的傳播途徑。
天融信的網(wǎng)絡(luò)衛(wèi)士過濾網(wǎng)關(guān)(TopFilter)系列產(chǎn)品結(jié)合網(wǎng)絡(luò)防病毒產(chǎn)品和單機(jī)版防病毒產(chǎn)品,可以在內(nèi)網(wǎng)中形成一個立體的病毒防護(hù)體系,我們可以放心的讓“熊貓”在“關(guān)”外“燒香”了,而這道“關(guān)”就是天融信網(wǎng)絡(luò)衛(wèi)士過濾網(wǎng)關(guān)。
