一個可愛的名字,一幅有趣的動畫,一只憨態可掬的熊貓……在燒香!?如果不是親身經歷,全球電腦用戶很難把熊貓、燒香、病毒和系統崩潰這幾個詞聯系起來,但是如果你在自己的電腦里看見一群可愛的熊貓在燒香的時候,那只好準備重新安裝系統了,因為這里所說的是一種電腦病毒。
“熊貓燒香”病毒是一個能在WINDOWS 9x/NT/2000/XP/2003系統上運行的蠕蟲病毒。這一病毒采用“熊貓燒香”頭像作為圖標,誘使計算機用戶運行。它的變種會感染計算機上的EXE可執行文件,被病毒感染的文件圖標均變為“熊貓燒香”。同時,受感染的計算機還會出現藍屏、頻繁重啟以及系統硬盤中數據文件被破壞等現象。該病毒會在中毒電腦中所有的網頁文件尾部添加病毒代碼。一些網站編輯人員的電腦如果被該病毒感染,上傳網頁到網站后,就會導致用戶瀏覽這些網站時也被病毒感染。其實2006年6月肆虐互聯網的“威金”蠕蟲就是“熊貓燒香”的前身,這個病毒同樣感染Windows可執行文件,并會查找局域網中所有的共享計算機,嘗試猜解它們的密碼,試圖感染這些計算機。該病毒還會自動在后臺下載并運行“西游木馬”等程序,竊取網絡游戲玩家的賬號和密碼并發送給黑客。同時,該病毒還會下載一個QQ病毒,自動向用戶的好友發送內容為“看看啊。我最近的照片~才掃描到相冊上的!”的消息并附帶一個網址,其他用戶點擊消息中的網址就可能被病毒感染。相比前輩“威金”,“熊貓燒香”的威力更大,傳播速度更快,對電腦系統的危害更大,
在2006年的重大電腦病毒事件之中,復合型病毒正在互聯網上占據了主要地位。這類病毒集文件型病毒、蠕蟲病毒、病毒下載器于一身,傳播能力非常強。防病毒產品大體上可以分為硬件和軟件兩大類:防病毒網關和殺毒軟件。防病毒網關是安裝在兩個網絡或者多個網絡之間,在網絡邊緣檢測病毒、蠕蟲、木馬的硬件防病毒產品,一般情況下安裝在內部網和外部網、公網之間,或者安裝在企業內部網絡和外部合作伙伴的網絡之間。防毒網關工作深入到應用層,可以實時快速地監測流經網關任意方向的數據流,如果發現了病毒就攔截并且清除,同時記錄病毒日志和向管理員提交報告,然后將無病毒的數據流轉發到目的地。而殺毒軟件就是專門檢測網絡或者單機系統中隱藏的病毒或者具有安全威脅的程序等的軟件產品,它主要是在已經發生病毒侵害并且已經造成損失并為人們所發現的情況下才會工作,這個時候只能亡羊補牢了。針對“熊貓燒香”病毒來說,其發作之后是很難清除的,而且清除病毒的代價也是很大的,除了少數專業技術人員耗費大量的時間手工清除之后系統還能使用,基本上沒有辦法恢復系統,這時候已經沒有“補牢”的機會了。
我們再從“熊貓燒香”的事件里來看網關防病毒的實際功效:
“熊貓燒香”病毒困擾裝有防病毒軟件的網絡
“熊貓燒香”從大體上分,目前主要有四大變種,變種A是最常見的感染EXE文件,變種B的就是大家常說的spoclsv.exe進程,它藏在路徑% SystemRoot%Driversspoclsv.exe下,其它部分與變種A基本一致。變種C主要的改動是對抗殺毒軟件,尤其是專殺工具,變種C通過查找窗口標題中的專殺工具的名稱,即關閉該窗口。因此許多用戶下載了舊版的專殺,發現打開就被關閉,同時熊貓燒香病毒還會關閉其它一些常見的進程管理的程序,比如常用的Windows任務管理器。變種D是最近才出現的一個變種,該變種感染文件后圖標不是熊貓模樣,當感染該變種會在臨時目錄發現100個圖標文件。還有其它近百種變種,基本都是為了躲避查殺進行修改和下載不同的后門的版本。而硬件防毒網關在阻斷病毒于網絡入口處,保證內部安全。各類變種的基本特征在網絡出口就被防毒網關發現并阻斷。
熊貓燒香在感染的系統上,會關閉殺毒軟件進程,刪除殺毒軟件的注冊表項目,禁用殺毒軟件的服務,修改資源管理器,其舊變種會全面感染系統文件,新變種會感染除系統目錄外的文件,即盡量不感染微軟操作系統自身的文件。新舊變種都會刪除*.gho文件,一般人會在安裝完成系統后,使用Norton Ghost進行備份,熊貓會惡意刪除這個備份文件。最大的破壞是,熊貓燒香本身就是一種下載者,會在指定的網站下載后門、木馬、各種盜號程序,甚至DDoS程序。這些特性都說明現在的病毒基本上以徹底破壞系統為目的,所以有效阻止病毒進入網絡感染系統是最有效的防毒手段,而防病毒網關是完成這個御敵于“國門”之外的最佳產品。
目前中毒用戶使用了各類“熊貓”專殺后,將一臺機器殺干凈了,但不久又發現感染了,這是因為“熊貓燒香”在感染了一個系統后,開啟一個單獨的線程進行C類網絡掃描感染,訪問同網段的139/445端口,進行IPC$密碼猜解和查找共享,并感染共享中的文件。這樣只要網絡內有一臺機器還有存活的熊貓燒香病毒,就依然存在再次感染全網的可能。隨著“熊貓燒香”病毒的攻擊重點轉向企業局域網和網站,由于這些網站的瀏覽量非常大,致使“熊貓燒香”病毒的感染范圍非常廣,中毒企業和政府機構已經超過千家,其中不乏金融、稅務、能源等關系到國計民生的重要單位。此病毒在局域網極短時間之內就可以感染幾千臺計算機,嚴重時可以導致網絡癱瘓。北京、廣州、上海等大型城市是重災區。現在臨近春節,“熊貓”病毒可能會利用春節假期,進行偷襲,讓很多用戶在春節上班第一天沒法使用電腦。這是因為長時間用戶和網絡的防病毒軟件都沒有更新,對新的變種沒有免疫力,而對于一直在不斷工作的防病毒網關來說,不僅在互聯網實時更新了病毒特征碼,更可以保證內網不被新的變種侵入,這樣即使用戶的單機防毒系統沒有更新病毒庫也不會被感染。
用過濾網關把“熊貓”攔在“關”外“燒香”
在防病毒領域中,基于硬件開發的防毒網關已經推出一段時間,而具有相同功能的軟件產品在市場上出現得更早。從應用效果上看看,硬件產品以高性能高穩定性得到用戶的青睞。軟件防病毒產品是基于一定的操作系統開發的,而開放式系統往往存有自身的安全漏洞,這時防病毒軟件產品不僅起不到安全防護作用,反而成為網絡的安全隱患。同時軟件防毒墻產品在性能和效率上也會受到硬件環境的限制而無法達到最佳效果,而上述的缺陷恰恰可以在硬件防毒網關里中避免,并發揮拒病毒于網關之外的重大作用。
天融信的網絡衛士過濾網關是高效的硬件防病毒網關,產品具有即插即用能力,易于管理和安裝。產品采用專用硬件設備以透明串接的方式接入網絡,并通過WEB方式提供遠程顯示和管理配置功能。網絡衛士過濾網關的硬件設備主要作用是對通過其的網絡數據進行分析過濾,防止病毒代碼從設備穿過滲透到公司內部網絡,同時防止蠕蟲攻擊,以及垃圾郵件對公司正常辦公的干擾。WEB管理主要提供一種可以對過濾網關設備進行遠程管理和配置的方式。用戶可以遠程地管理硬件設備,對要處理的主要網絡協議進行設置,同時還可以通過WEB方式查詢相應的日志和生成所要的報表。
天融信網絡衛士過濾網關可以發現和阻斷多個變種“熊貓燒香”病毒,并將熊貓燒香病毒命名為:Fujack。結合產品自身防垃圾郵件和惡意軟件以及木馬的能力,可以說在網關全面的阻斷了“熊貓燒香”病毒的傳播途徑。
![]("http://security.ccidnet.com/col/attachment/2007/2/1007927.jpg")
天融信的網絡衛士過濾網關(TopFilter)系列產品結合網絡防病毒產品和單機版防病毒產品,可以在內網中形成一個立體的病毒防護體系,我們可以放心的讓“熊貓”在“關”外“燒香”了,而這道“關”就是天融信網絡衛士過濾網關。
