网络病毒的发展趋势与“熊猫烧香”
被杀毒厂商评为“2007年1季度十大计算机病毒之首”的“熊猫烧香”病毒及其上百个变种,在2007年初掀起了不小的波澜:数百万个人计算机用户、企事业单位和政府机构局域网遭受感染,北京、上海等计算机用户较为集中的城市更是成为了“重灾区”。面对来势汹汹的蠕虫病毒,启明星辰公司支持某政府单位,凭借先期建立起的以网络入侵检测系统(IDS)为核心的预警体系和安全机制,有效防范了此次大规模爆发的蠕虫病毒事件,保障了全网办公系统的平稳运行,取得了良好的效果。
一、网络病毒的发展趋势与“熊猫烧香”
“网络蠕虫病毒”对于大多数计算机用户来说,并不是一个陌生的字眼。它是将黑客技术与病毒技术相融合,形成的“恶意代码”,其形成过程详见图表1。
![""]("http://img.article.pchome.net/00/21/40/81/image002.jpg")
图表 1:恶意代码的诞生示意图
令网络管理人员头疼不已的是:一旦感染了蠕虫病毒,在短时间内,几乎网络上所有的计算机都会被依次感染,同时网络还将出现各种异常状况甚至阻塞,严重影响正常使用。而且蠕虫病毒很难根除,好不容易清除了本地的,一旦远程计算机联入,病毒又死灰复燃。
“熊猫烧香”病毒的产生与爆发,就是一个网络蠕虫的典型例子。
“熊猫烧香”病毒是一个由Delphi工具编写的蠕虫病毒。入侵操作系统后可终止大量反病毒软件和防火墙软件进程,删除扩展名为gho(系统备份软件ghost的备份文件扩展名)的文件。可感染系统的“.exe”、“.com”、“.pif”、“.src”、“.html”、“.asp”文件,用户一打开网页文件,IE就自动连接到指定的病毒网址。同时在硬盘各分区下生成autorun.inf和setup.exe文件,可通过U盘和移动硬盘等方式进行传播,同时利用Windows系统的自动播放功能来运行,搜索硬盘中的.exe文件进行感染。该蠕虫感染计算机系统后,将系统中所有.exe文件都变成了一种“熊猫烧香”的奇怪图案。同时受感染的计算机系统会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。
2007年1月7日,国家计算机病毒应急处理中心紧急预警:“通过对互联网络的监测发现,一个伪装成‘熊猫烧香’图案的蠕虫病毒正在传播,并已有很多企业局域网遭受了该蠕虫的感染。”1月9日,感染的电脑用户约达数十万;2007年1月29日,“熊猫烧香”病毒变种达416个,数百万个人计算机用户和企业局域网遭受感染。“熊猫烧香”发作时的表现见图表2。
![""]("http://img.article.pchome.net/00/21/40/81/image003.jpg")
图表 2:“熊猫烧香”病毒发作时的表现示例
此次“熊猫烧香”病毒的传播途径有以下五种:
1)通过已经染毒的移动存储设备(如U盘等)传播;
2)通过局域网中的共享文件传播;
3)蠕虫病毒通过猜解administrator组成员口令,获得该设备的控制权限自动传播;
4)蠕虫病毒自动扫描并利用WINDOWS的系统漏洞传播;
5)通过被感染的网站(通常是非法的网站)传播。
对于第1、2种传播方式,防范起来相对比较简单,但是第3、4、5种传播方式危害更大,也更难以防范。
大型机构中的计算机用户普遍缺乏网络安全防范意识和良好的安全习惯,这给病毒传播带来可乘之机。虽然一些组织和机构在全网部署了杀毒软件,但是由于此次“熊猫烧香”病毒具有攻击防病毒软件的能力,如果没有全局预警和检测设备,从根源上消除蠕虫病毒的来源,网管人员这个时候就只能四处“救火”了。
