IT运维管理,创造商业价值!
中国IT运维网首页 | 资讯中心 | 运维管理 | 信息安全 | CIO视界 | 云计算 | 最佳案例 | 运维资源 | 专题策划 | 知识库 | 论坛

拒绝“熊猫烧香”的入侵

2007年02月06日
赛迪网/

一个可爱的名字,一幅有趣的动画,一只憨态可掬的熊猫……在烧香!?如果不是亲身经历,全球电脑用户很难把熊猫、烧香、病毒和系统崩溃这几个词联系起来,但是如果你在自己的电脑里看见一群可爱的熊猫在烧香的时候,那只好准备重新安装系统了,因为这里所说的是一种电脑病毒。

“熊猫烧香”病毒是一个能在WINDOWS 9x/NT/2000/XP/2003系统上运行的蠕虫病毒。这一病毒采用“熊猫烧香”头像作为图标,诱使计算机用户运行。它的变种会感染计算机上的EXE可执行文件,被病毒感染的文件图标均变为“熊猫烧香”。同时,受感染的计算机还会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。该病毒会在中毒电脑中所有的网页文件尾部添加病毒代码。一些网站编辑人员的电脑如果被该病毒感染,上传网页到网站后,就会导致用户浏览这些网站时也被病毒感染。其实2006年6月肆虐互联网的“威金”蠕虫就是“熊猫烧香”的前身,这个病毒同样感染Windows可执行文件,并会查找局域网中所有的共享计算机,尝试猜解它们的密码,试图感染这些计算机。该病毒还会自动在后台下载并运行“西游木马”等程序,窃取网络游戏玩家的账号和密码并发送给黑客。同时,该病毒还会下载一个QQ病毒,自动向用户的好友发送内容为“看看啊。我最近的照片~才扫描到相册上的!”的消息并附带一个网址,其他用户点击消息中的网址就可能被病毒感染。相比前辈“威金”,“熊猫烧香”的威力更大,传播速度更快,对电脑系统的危害更大,

在2006年的重大电脑病毒事件之中,复合型病毒正在互联网上占据了主要地位。这类病毒集文件型病毒、蠕虫病毒、病毒下载器于一身,传播能力非常强。防病毒产品大体上可以分为硬件和软件两大类:防病毒网关和杀毒软件。防病毒网关是安装在两个网络或者多个网络之间,在网络边缘检测病毒、蠕虫、木马的硬件防病毒产品,一般情况下安装在内部网和外部网、公网之间,或者安装在企业内部网络和外部合作伙伴的网络之间。防毒网关工作深入到应用层,可以实时快速地监测流经网关任意方向的数据流,如果发现了病毒就拦截并且清除,同时记录病毒日志和向管理员提交报告,然后将无病毒的数据流转发到目的地。而杀毒软件就是专门检测网络或者单机系统中隐藏的病毒或者具有安全威胁的程序等的软件产品,它主要是在已经发生病毒侵害并且已经造成损失并为人们所发现的情况下才会工作,这个时候只能亡羊补牢了。针对“熊猫烧香”病毒来说,其发作之后是很难清除的,而且清除病毒的代价也是很大的,除了少数专业技术人员耗费大量的时间手工清除之后系统还能使用,基本上没有办法恢复系统,这时候已经没有“补牢”的机会了。

我们再从“熊猫烧香”的事件里来看网关防病毒的实际功效:

“熊猫烧香”病毒困扰装有防病毒软件的网络

“熊猫烧香”从大体上分,目前主要有四大变种,变种A是最常见的感染EXE文件,变种B的就是大家常说的spoclsv.exe进程,它藏在路径% SystemRoot%Driversspoclsv.exe下,其它部分与变种A基本一致。变种C主要的改动是对抗杀毒软件,尤其是专杀工具,变种C通过查找窗口标题中的专杀工具的名称,即关闭该窗口。因此许多用户下载了旧版的专杀,发现打开就被关闭,同时熊猫烧香病毒还会关闭其它一些常见的进程管理的程序,比如常用的Windows任务管理器。变种D是最近才出现的一个变种,该变种感染文件后图标不是熊猫模样,当感染该变种会在临时目录发现100个图标文件。还有其它近百种变种,基本都是为了躲避查杀进行修改和下载不同的后门的版本。而硬件防毒网关在阻断病毒于网络入口处,保证内部安全。各类变种的基本特征在网络出口就被防毒网关发现并阻断。

熊猫烧香在感染的系统上,会关闭杀毒软件进程,删除杀毒软件的注册表项目,禁用杀毒软件的服务,修改资源管理器,其旧变种会全面感染系统文件,新变种会感染除系统目录外的文件,即尽量不感染微软操作系统自身的文件。新旧变种都会删除*.gho文件,一般人会在安装完成系统后,使用Norton Ghost进行备份,熊猫会恶意删除这个备份文件。最大的破坏是,熊猫烧香本身就是一种下载者,会在指定的网站下载后门、木马、各种盗号程序,甚至DDoS程序。这些特性都说明现在的病毒基本上以彻底破坏系统为目的,所以有效阻止病毒进入网络感染系统是最有效的防毒手段,而防病毒网关是完成这个御敌于“国门”之外的最佳产品。

目前中毒用户使用了各类“熊猫”专杀后,将一台机器杀干净了,但不久又发现感染了,这是因为“熊猫烧香”在感染了一个系统后,开启一个单独的线程进行C类网络扫描感染,访问同网段的139/445端口,进行IPC$密码猜解和查找共享,并感染共享中的文件。这样只要网络内有一台机器还有存活的熊猫烧香病毒,就依然存在再次感染全网的可能。随着“熊猫烧香”病毒的攻击重点转向企业局域网和网站,由于这些网站的浏览量非常大,致使“熊猫烧香”病毒的感染范围非常广,中毒企业和政府机构已经超过千家,其中不乏金融、税务、能源等关系到国计民生的重要单位。此病毒在局域网极短时间之内就可以感染几千台计算机,严重时可以导致网络瘫痪。北京、广州、上海等大型城市是重灾区。现在临近春节,“熊猫”病毒可能会利用春节假期,进行偷袭,让很多用户在春节上班第一天没法使用电脑。这是因为长时间用户和网络的防病毒软件都没有更新,对新的变种没有免疫力,而对于一直在不断工作的防病毒网关来说,不仅在互联网实时更新了病毒特征码,更可以保证内网不被新的变种侵入,这样即使用户的单机防毒系统没有更新病毒库也不会被感染。

用过滤网关把“熊猫”拦在“关”外“烧香”

在防病毒领域中,基于硬件开发的防毒网关已经推出一段时间,而具有相同功能的软件产品在市场上出现得更早。从应用效果上看看,硬件产品以高性能高稳定性得到用户的青睐。软件防病毒产品是基于一定的操作系统开发的,而开放式系统往往存有自身的安全漏洞,这时防病毒软件产品不仅起不到安全防护作用,反而成为网络的安全隐患。同时软件防毒墙产品在性能和效率上也会受到硬件环境的限制而无法达到最佳效果,而上述的缺陷恰恰可以在硬件防毒网关里中避免,并发挥拒病毒于网关之外的重大作用。

天融信的网络卫士过滤网关是高效的硬件防病毒网关,产品具有即插即用能力,易于管理和安装。产品采用专用硬件设备以透明串接的方式接入网络,并通过WEB方式提供远程显示和管理配置功能。网络卫士过滤网关的硬件设备主要作用是对通过其的网络数据进行分析过滤,防止病毒代码从设备穿过渗透到公司内部网络,同时防止蠕虫攻击,以及垃圾邮件对公司正常办公的干扰。WEB管理主要提供一种可以对过滤网关设备进行远程管理和配置的方式。用户可以远程地管理硬件设备,对要处理的主要网络协议进行设置,同时还可以通过WEB方式查询相应的日志和生成所要的报表。

天融信网络卫士过滤网关可以发现和阻断多个变种“熊猫烧香”病毒,并将熊猫烧香病毒命名为:Fujack。结合产品自身防垃圾邮件和恶意软件以及木马的能力,可以说在网关全面的阻断了“熊猫烧香”病毒的传播途径。

图[1] 御“熊猫”于“关”外的防病毒过滤网关

天融信的网络卫士过滤网关(TopFilter)系列产品结合网络防病毒产品和单机版防病毒产品,可以在内网中形成一个立体的病毒防护体系,我们可以放心的让“熊猫”在“关”外“烧香”了,而这道“关”就是天融信网络卫士过滤网关。

发表评论请到:http://bbs.cnitom.com

相关阅读

图文热点

Power架构产品创新 IBM推动其本土化发展
Power架构产品创新 IBM推动其本土化发展自从1990年,IBM推出基于RISC系统的新产品线RS/6000(现称eServer p系列)之后,...
WAF:高校Web应用安全守护者
WAF:高校Web应用安全守护者最近几年高校网站被攻击的事件时有发生,造成了不良影响,因此越来越多的高校开始...

本类热点