一個(gè)可愛(ài)的名字,一幅有趣的動(dòng)畫(huà),一只憨態(tài)可掬的熊貓……在燒香!?如果不是親身經(jīng)歷,全球電腦用戶很難把熊貓、燒香、病毒和系統(tǒng)崩潰這幾個(gè)詞聯(lián)系起來(lái),但是如果你在自己的電腦里看見(jiàn)一群可愛(ài)的熊貓?jiān)跓愕臅r(shí)候,那只好準(zhǔn)備重新安裝系統(tǒng)了,因?yàn)檫@里所說(shuō)的是一種電腦病毒。
“熊貓燒香”病毒是一個(gè)能在WINDOWS 9x/NT/2000/XP/2003系統(tǒng)上運(yùn)行的蠕蟲(chóng)病毒。這一病毒采用“熊貓燒香”頭像作為圖標(biāo),誘使計(jì)算機(jī)用戶運(yùn)行。它的變種會(huì)感染計(jì)算機(jī)上的EXE可執(zhí)行文件,被病毒感染的文件圖標(biāo)均變?yōu)椤靶茇垷恪薄M瑫r(shí),受感染的計(jì)算機(jī)還會(huì)出現(xiàn)藍(lán)屏、頻繁重啟以及系統(tǒng)硬盤中數(shù)據(jù)文件被破壞等現(xiàn)象。該病毒會(huì)在中毒電腦中所有的網(wǎng)頁(yè)文件尾部添加病毒代碼。一些網(wǎng)站編輯人員的電腦如果被該病毒感染,上傳網(wǎng)頁(yè)到網(wǎng)站后,就會(huì)導(dǎo)致用戶瀏覽這些網(wǎng)站時(shí)也被病毒感染。其實(shí)2006年6月肆虐互聯(lián)網(wǎng)的“威金”蠕蟲(chóng)就是“熊貓燒香”的前身,這個(gè)病毒同樣感染W(wǎng)indows可執(zhí)行文件,并會(huì)查找局域網(wǎng)中所有的共享計(jì)算機(jī),嘗試猜解它們的密碼,試圖感染這些計(jì)算機(jī)。該病毒還會(huì)自動(dòng)在后臺(tái)下載并運(yùn)行“西游木馬”等程序,竊取網(wǎng)絡(luò)游戲玩家的賬號(hào)和密碼并發(fā)送給黑客。同時(shí),該病毒還會(huì)下載一個(gè)QQ病毒,自動(dòng)向用戶的好友發(fā)送內(nèi)容為“看看啊。我最近的照片~才掃描到相冊(cè)上的!”的消息并附帶一個(gè)網(wǎng)址,其他用戶點(diǎn)擊消息中的網(wǎng)址就可能被病毒感染。相比前輩“威金”,“熊貓燒香”的威力更大,傳播速度更快,對(duì)電腦系統(tǒng)的危害更大,
在2006年的重大電腦病毒事件之中,復(fù)合型病毒正在互聯(lián)網(wǎng)上占據(jù)了主要地位。這類病毒集文件型病毒、蠕蟲(chóng)病毒、病毒下載器于一身,傳播能力非常強(qiáng)。防病毒產(chǎn)品大體上可以分為硬件和軟件兩大類:防病毒網(wǎng)關(guān)和殺毒軟件。防病毒網(wǎng)關(guān)是安裝在兩個(gè)網(wǎng)絡(luò)或者多個(gè)網(wǎng)絡(luò)之間,在網(wǎng)絡(luò)邊緣檢測(cè)病毒、蠕蟲(chóng)、木馬的硬件防病毒產(chǎn)品,一般情況下安裝在內(nèi)部網(wǎng)和外部網(wǎng)、公網(wǎng)之間,或者安裝在企業(yè)內(nèi)部網(wǎng)絡(luò)和外部合作伙伴的網(wǎng)絡(luò)之間。防毒網(wǎng)關(guān)工作深入到應(yīng)用層,可以實(shí)時(shí)快速地監(jiān)測(cè)流經(jīng)網(wǎng)關(guān)任意方向的數(shù)據(jù)流,如果發(fā)現(xiàn)了病毒就攔截并且清除,同時(shí)記錄病毒日志和向管理員提交報(bào)告,然后將無(wú)病毒的數(shù)據(jù)流轉(zhuǎn)發(fā)到目的地。而殺毒軟件就是專門檢測(cè)網(wǎng)絡(luò)或者單機(jī)系統(tǒng)中隱藏的病毒或者具有安全威脅的程序等的軟件產(chǎn)品,它主要是在已經(jīng)發(fā)生病毒侵害并且已經(jīng)造成損失并為人們所發(fā)現(xiàn)的情況下才會(huì)工作,這個(gè)時(shí)候只能亡羊補(bǔ)牢了。針對(duì)“熊貓燒香”病毒來(lái)說(shuō),其發(fā)作之后是很難清除的,而且清除病毒的代價(jià)也是很大的,除了少數(shù)專業(yè)技術(shù)人員耗費(fèi)大量的時(shí)間手工清除之后系統(tǒng)還能使用,基本上沒(méi)有辦法恢復(fù)系統(tǒng),這時(shí)候已經(jīng)沒(méi)有“補(bǔ)牢”的機(jī)會(huì)了。
我們?cè)購(gòu)摹靶茇垷恪钡氖录飦?lái)看網(wǎng)關(guān)防病毒的實(shí)際功效:
“熊貓燒香”病毒困擾裝有防病毒軟件的網(wǎng)絡(luò)
“熊貓燒香”從大體上分,目前主要有四大變種,變種A是最常見(jiàn)的感染EXE文件,變種B的就是大家常說(shuō)的spoclsv.exe進(jìn)程,它藏在路徑% SystemRoot%Driversspoclsv.exe下,其它部分與變種A基本一致。變種C主要的改動(dòng)是對(duì)抗殺毒軟件,尤其是專殺工具,變種C通過(guò)查找窗口標(biāo)題中的專殺工具的名稱,即關(guān)閉該窗口。因此許多用戶下載了舊版的專殺,發(fā)現(xiàn)打開(kāi)就被關(guān)閉,同時(shí)熊貓燒香病毒還會(huì)關(guān)閉其它一些常見(jiàn)的進(jìn)程管理的程序,比如常用的Windows任務(wù)管理器。變種D是最近才出現(xiàn)的一個(gè)變種,該變種感染文件后圖標(biāo)不是熊貓模樣,當(dāng)感染該變種會(huì)在臨時(shí)目錄發(fā)現(xiàn)100個(gè)圖標(biāo)文件。還有其它近百種變種,基本都是為了躲避查殺進(jìn)行修改和下載不同的后門的版本。而硬件防毒網(wǎng)關(guān)在阻斷病毒于網(wǎng)絡(luò)入口處,保證內(nèi)部安全。各類變種的基本特征在網(wǎng)絡(luò)出口就被防毒網(wǎng)關(guān)發(fā)現(xiàn)并阻斷。
熊貓燒香在感染的系統(tǒng)上,會(huì)關(guān)閉殺毒軟件進(jìn)程,刪除殺毒軟件的注冊(cè)表項(xiàng)目,禁用殺毒軟件的服務(wù),修改資源管理器,其舊變種會(huì)全面感染系統(tǒng)文件,新變種會(huì)感染除系統(tǒng)目錄外的文件,即盡量不感染微軟操作系統(tǒng)自身的文件。新舊變種都會(huì)刪除*.gho文件,一般人會(huì)在安裝完成系統(tǒng)后,使用Norton Ghost進(jìn)行備份,熊貓會(huì)惡意刪除這個(gè)備份文件。最大的破壞是,熊貓燒香本身就是一種下載者,會(huì)在指定的網(wǎng)站下載后門、木馬、各種盜號(hào)程序,甚至DDoS程序。這些特性都說(shuō)明現(xiàn)在的病毒基本上以徹底破壞系統(tǒng)為目的,所以有效阻止病毒進(jìn)入網(wǎng)絡(luò)感染系統(tǒng)是最有效的防毒手段,而防病毒網(wǎng)關(guān)是完成這個(gè)御敵于“國(guó)門”之外的最佳產(chǎn)品。
目前中毒用戶使用了各類“熊貓”專殺后,將一臺(tái)機(jī)器殺干凈了,但不久又發(fā)現(xiàn)感染了,這是因?yàn)椤靶茇垷恪痹诟腥玖艘粋€(gè)系統(tǒng)后,開(kāi)啟一個(gè)單獨(dú)的線程進(jìn)行C類網(wǎng)絡(luò)掃描感染,訪問(wèn)同網(wǎng)段的139/445端口,進(jìn)行IPC$密碼猜解和查找共享,并感染共享中的文件。這樣只要網(wǎng)絡(luò)內(nèi)有一臺(tái)機(jī)器還有存活的熊貓燒香病毒,就依然存在再次感染全網(wǎng)的可能。隨著“熊貓燒香”病毒的攻擊重點(diǎn)轉(zhuǎn)向企業(yè)局域網(wǎng)和網(wǎng)站,由于這些網(wǎng)站的瀏覽量非常大,致使“熊貓燒香”病毒的感染范圍非常廣,中毒企業(yè)和政府機(jī)構(gòu)已經(jīng)超過(guò)千家,其中不乏金融、稅務(wù)、能源等關(guān)系到國(guó)計(jì)民生的重要單位。此病毒在局域網(wǎng)極短時(shí)間之內(nèi)就可以感染幾千臺(tái)計(jì)算機(jī),嚴(yán)重時(shí)可以導(dǎo)致網(wǎng)絡(luò)癱瘓。北京、廣州、上海等大型城市是重災(zāi)區(qū)。現(xiàn)在臨近春節(jié),“熊貓”病毒可能會(huì)利用春節(jié)假期,進(jìn)行偷襲,讓很多用戶在春節(jié)上班第一天沒(méi)法使用電腦。這是因?yàn)殚L(zhǎng)時(shí)間用戶和網(wǎng)絡(luò)的防病毒軟件都沒(méi)有更新,對(duì)新的變種沒(méi)有免疫力,而對(duì)于一直在不斷工作的防病毒網(wǎng)關(guān)來(lái)說(shuō),不僅在互聯(lián)網(wǎng)實(shí)時(shí)更新了病毒特征碼,更可以保證內(nèi)網(wǎng)不被新的變種侵入,這樣即使用戶的單機(jī)防毒系統(tǒng)沒(méi)有更新病毒庫(kù)也不會(huì)被感染。
用過(guò)濾網(wǎng)關(guān)把“熊貓”攔在“關(guān)”外“燒香”
在防病毒領(lǐng)域中,基于硬件開(kāi)發(fā)的防毒網(wǎng)關(guān)已經(jīng)推出一段時(shí)間,而具有相同功能的軟件產(chǎn)品在市場(chǎng)上出現(xiàn)得更早。從應(yīng)用效果上看看,硬件產(chǎn)品以高性能高穩(wěn)定性得到用戶的青睞。軟件防病毒產(chǎn)品是基于一定的操作系統(tǒng)開(kāi)發(fā)的,而開(kāi)放式系統(tǒng)往往存有自身的安全漏洞,這時(shí)防病毒軟件產(chǎn)品不僅起不到安全防護(hù)作用,反而成為網(wǎng)絡(luò)的安全隱患。同時(shí)軟件防毒墻產(chǎn)品在性能和效率上也會(huì)受到硬件環(huán)境的限制而無(wú)法達(dá)到最佳效果,而上述的缺陷恰恰可以在硬件防毒網(wǎng)關(guān)里中避免,并發(fā)揮拒病毒于網(wǎng)關(guān)之外的重大作用。
天融信的網(wǎng)絡(luò)衛(wèi)士過(guò)濾網(wǎng)關(guān)是高效的硬件防病毒網(wǎng)關(guān),產(chǎn)品具有即插即用能力,易于管理和安裝。產(chǎn)品采用專用硬件設(shè)備以透明串接的方式接入網(wǎng)絡(luò),并通過(guò)WEB方式提供遠(yuǎn)程顯示和管理配置功能。網(wǎng)絡(luò)衛(wèi)士過(guò)濾網(wǎng)關(guān)的硬件設(shè)備主要作用是對(duì)通過(guò)其的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行分析過(guò)濾,防止病毒代碼從設(shè)備穿過(guò)滲透到公司內(nèi)部網(wǎng)絡(luò),同時(shí)防止蠕蟲(chóng)攻擊,以及垃圾郵件對(duì)公司正常辦公的干擾。WEB管理主要提供一種可以對(duì)過(guò)濾網(wǎng)關(guān)設(shè)備進(jìn)行遠(yuǎn)程管理和配置的方式。用戶可以遠(yuǎn)程地管理硬件設(shè)備,對(duì)要處理的主要網(wǎng)絡(luò)協(xié)議進(jìn)行設(shè)置,同時(shí)還可以通過(guò)WEB方式查詢相應(yīng)的日志和生成所要的報(bào)表。
天融信網(wǎng)絡(luò)衛(wèi)士過(guò)濾網(wǎng)關(guān)可以發(fā)現(xiàn)和阻斷多個(gè)變種“熊貓燒香”病毒,并將熊貓燒香病毒命名為:Fujack。結(jié)合產(chǎn)品自身防垃圾郵件和惡意軟件以及木馬的能力,可以說(shuō)在網(wǎng)關(guān)全面的阻斷了“熊貓燒香”病毒的傳播途徑。
![]("http://security.ccidnet.com/col/attachment/2007/2/1007927.jpg")
天融信的網(wǎng)絡(luò)衛(wèi)士過(guò)濾網(wǎng)關(guān)(TopFilter)系列產(chǎn)品結(jié)合網(wǎng)絡(luò)防病毒產(chǎn)品和單機(jī)版防病毒產(chǎn)品,可以在內(nèi)網(wǎng)中形成一個(gè)立體的病毒防護(hù)體系,我們可以放心的讓“熊貓”在“關(guān)”外“燒香”了,而這道“關(guān)”就是天融信網(wǎng)絡(luò)衛(wèi)士過(guò)濾網(wǎng)關(guān)。
