網(wǎng)絡病毒的發(fā)展趨勢與“熊貓燒香”

被殺毒廠商評為“2007年1季度十大計算機病毒之首”的“熊貓燒香”病毒及其上百個變種，在2007年初掀起了不小的波瀾：數(shù)百萬個人計算機用戶、企事業(yè)單位和政府機構局域網(wǎng)遭受感染，北京、上海等計算機用戶較為集中的城市更是成為了“重災區(qū)”。面對來勢洶洶的蠕蟲病毒，啟明星辰公司支持某政府單位，憑借先期建立起的以網(wǎng)絡入侵檢測系統(tǒng)（IDS）為核心的預警體系和安全機制，有效防范了此次大規(guī)模爆發(fā)的蠕蟲病毒事件，保障了全網(wǎng)辦公系統(tǒng)的平穩(wěn)運行，取得了良好的效果。

一、網(wǎng)絡病毒的發(fā)展趨勢與“熊貓燒香”

“網(wǎng)絡蠕蟲病毒”對于大多數(shù)計算機用戶來說，并不是一個陌生的字眼。它是將黑客技術與病毒技術相融合，形成的“惡意代碼”，其形成過程詳見圖表1。

圖表 1：惡意代碼的誕生示意圖

令網(wǎng)絡管理人員頭疼不已的是：一旦感染了蠕蟲病毒，在短時間內(nèi)，幾乎網(wǎng)絡上所有的計算機都會被依次感染，同時網(wǎng)絡還將出現(xiàn)各種異常狀況甚至阻塞，嚴重影響正常使用。而且蠕蟲病毒很難根除，好不容易清除了本地的，一旦遠程計算機聯(lián)入，病毒又死灰復燃。

“熊貓燒香”病毒的產(chǎn)生與爆發(fā)，就是一個網(wǎng)絡蠕蟲的典型例子。

“熊貓燒香”病毒是一個由Delphi工具編寫的蠕蟲病毒。入侵操作系統(tǒng)后可終止大量反病毒軟件和防火墻軟件進程，刪除擴展名為gho（系統(tǒng)備份軟件ghost的備份文件擴展名）的文件。可感染系統(tǒng)的“.exe”、“.com”、“.pif”、“.src”、“.html”、“.asp”文件，用戶一打開網(wǎng)頁文件，IE就自動連接到指定的病毒網(wǎng)址。同時在硬盤各分區(qū)下生成autorun.inf和setup.exe文件，可通過U盤和移動硬盤等方式進行傳播，同時利用Windows系統(tǒng)的自動播放功能來運行，搜索硬盤中的.exe文件進行感染。該蠕蟲感染計算機系統(tǒng)后，將系統(tǒng)中所有.exe文件都變成了一種“熊貓燒香”的奇怪圖案。同時受感染的計算機系統(tǒng)會出現(xiàn)藍屏、頻繁重啟以及系統(tǒng)硬盤中數(shù)據(jù)文件被破壞等現(xiàn)象。

2007年1月7日，國家計算機病毒應急處理中心緊急預警：“通過對互聯(lián)網(wǎng)絡的監(jiān)測發(fā)現(xiàn)，一個偽裝成‘熊貓燒香’圖案的蠕蟲病毒正在傳播，并已有很多企業(yè)局域網(wǎng)遭受了該蠕蟲的感染。”1月9日，感染的電腦用戶約達數(shù)十萬；2007年1月29日，“熊貓燒香”病毒變種達416個，數(shù)百萬個人計算機用戶和企業(yè)局域網(wǎng)遭受感染。“熊貓燒香”發(fā)作時的表現(xiàn)見圖表2。

圖表 2：“熊貓燒香”病毒發(fā)作時的表現(xiàn)示例

此次“熊貓燒香”病毒的傳播途徑有以下五種：

1）通過已經(jīng)染毒的移動存儲設備（如U盤等）傳播；

2）通過局域網(wǎng)中的共享文件傳播；

3）蠕蟲病毒通過猜解administrator組成員口令，獲得該設備的控制權限自動傳播；

4）蠕蟲病毒自動掃描并利用WINDOWS的系統(tǒng)漏洞傳播；

5）通過被感染的網(wǎng)站（通常是非法的網(wǎng)站）傳播。

對于第1、2種傳播方式，防范起來相對比較簡單，但是第3、4、5種傳播方式危害更大，也更難以防范。

大型機構中的計算機用戶普遍缺乏網(wǎng)絡安全防范意識和良好的安全習慣，這給病毒傳播帶來可乘之機。雖然一些組織和機構在全網(wǎng)部署了殺毒軟件，但是由于此次“熊貓燒香”病毒具有攻擊防病毒軟件的能力，如果沒有全局預警和檢測設備，從根源上消除蠕蟲病毒的來源，網(wǎng)管人員這個時候就只能四處“救火”了。