“熊猫烧香”尘埃落定后的反思.docVIP

“熊猫烧香”尘埃落定后的反思 　　中嘉华诚网络安全技术有限公司 梁思?姜旭 　　 专家档案：梁思?，现就任北京中嘉华诚网络安全技术有限公司副总经理。在工作期间，参与主持了中嘉华诚GKR系列产品在国内的行销推广计划，并主持实施新产品GDR的联络及市场运作工作，在网络安全领域具有丰富的经验。 　　 　　 此文为中嘉华诚的专家为本刊撰写，站在专业人士的角度上，分析此次“熊猫烧香”事件和目前我国信息网络安全，为不可多得的专业评论稿。 　　 　　 2006年12月中旬，随着一只憨态可掬、颔首敬香的“熊猫”在网络中的出现，一排排“熊猫”霸占了我们的电脑，短短两个月的时间，它迅速化身数百种变种病毒，疯狂入侵个人电脑，感染门户网站，击溃企业数据系统……蔓延的速度之快、造成的破坏力之大都是继CIH病毒之后难得一见的。 　　 它就是新型病毒――“熊猫烧香”。 　　 2006年12月中旬，“熊猫烧香”急速变种，在经过几次大面积暴发之后，众多电脑用户谈“熊猫”色变。 　　 圣诞节过后，“熊猫烧香”版本已达到近百个，而后，病毒的传播开始以几何方式疯狂增长…… 　　 2006年12月26日，金山毒霸全球反病毒监测中心发布“熊猫烧香”正疯狂作案的病毒预警。 　　 2006年12月27日，江民科技发布关于“熊猫烧香”的紧急病毒警报。 　　 2007年1月7日，国家计算机病毒应急处理中心紧急预警，“通过对互联网络的监测发现，一伪装成‘熊猫烧香’图案的蠕虫病毒传播，已有很多企业局域网遭受该蠕虫的感染。” 　　2007年1月9日，“熊猫烧香”继续蔓延，开始向全国范围的电脑用户涌去。这一天，“熊猫烧香”迎来了一次全国性的大规模暴发，它的的变种数量定格在306个。 　　 各地用户纷纷中招…… 　　 一只小小“熊猫”何会在短短数月的时间引起如此之大的网络安全恐慌？国内外众多知名杀毒软件企业为何无动于衷，任由“熊猫”肆虐网络？经过对“熊猫烧香”病毒分析相信大家会知道其中的原因。 　　 “熊猫烧香”病毒是一个感染型的蠕虫病毒“尼姆亚”的变种，经过改进它能迅速感染系统中扩展名为exe、com、pif、src、html、asp等文件，它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件，使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。同时，受感染的计算机还会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。该病毒会在中毒电脑中所有的网页文件尾部添加病毒代码。一些网站编辑人员的电脑如果被该病毒感染，上传网页到网站后，就会导致用户浏览这些网站时也被病毒感染。 　　 “熊猫烧香”是如何入侵操作系统的？ 　　 1.复制自身到系统目录下： %System%＼drivers＼spoclsv.exe（“%System%”代表Windows所在目录，比如：C:＼Windows） 　　 2.注册表中创建启动项：HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Run] “svcshare”=“%System%＼drivers＼spoclsv.exe” 　　 3.修改“显示所有文件和文件夹”设置（使系统无法显示隐藏文件来隐藏自己） 　　 [HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Explorer＼Advanced＼Folder＼Hidden＼SHOWALL] 　　“CheckedValue”=dword 　　 4.在各分区根目录生成病毒副本：这样病毒可以借助磁盘的“自动播放”功能，在用户每次双击硬盘时即可自动启动运行。 　　X:＼setup.exe 　　X:＼autorun.inf 　　autorun.inf内容： 　　[AutoRun] 　　OPEN=setup.exe 　　 shellexecute=setup.exe 　　 shell＼Auto＼command=setup.exe） 　　 5.每隔一段时间点击病毒作者指定的网页,并用命令行检查系统中是否存在共享，如果共享存在病毒自动运行net share命令关闭admin$共享 　　cmd.exe ／c net share X$ ／del ／y 　　cmd.exe ／c net share admin$ ／del ／y 　　 6.熊猫烧香病毒尝试关闭安全软件相关窗口： 　　例如：瑞星、江民、注册表编辑器、卡巴斯基反病毒、使用的键盘映射的方法关闭安全软件IceSword等安全软件窗口。 　　 7.尝试结束安全软件相关进程： 　　例如：KVXP