網(wǎng)絡(luò)病毒的發(fā)展趨勢(shì)與“熊貓燒香”

被殺毒廠商評(píng)為“2007年1季度十大計(jì)算機(jī)病毒之首”的“熊貓燒香”病毒及其上百個(gè)變種，在2007年初掀起了不小的波瀾：數(shù)百萬(wàn)個(gè)人計(jì)算機(jī)用戶、企事業(yè)單位和政府機(jī)構(gòu)局域網(wǎng)遭受感染，北京、上海等計(jì)算機(jī)用戶較為集中的城市更是成為了“重災(zāi)區(qū)”。面對(duì)來(lái)勢(shì)洶洶的蠕蟲(chóng)病毒，啟明星辰公司支持某政府單位，憑借先期建立起的以網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)（IDS）為核心的預(yù)警體系和安全機(jī)制，有效防范了此次大規(guī)模爆發(fā)的蠕蟲(chóng)病毒事件，保障了全網(wǎng)辦公系統(tǒng)的平穩(wěn)運(yùn)行，取得了良好的效果。

一、網(wǎng)絡(luò)病毒的發(fā)展趨勢(shì)與“熊貓燒香”

“網(wǎng)絡(luò)蠕蟲(chóng)病毒”對(duì)于大多數(shù)計(jì)算機(jī)用戶來(lái)說(shuō)，并不是一個(gè)陌生的字眼。它是將黑客技術(shù)與病毒技術(shù)相融合，形成的“惡意代碼”，其形成過(guò)程詳見(jiàn)圖表1。

圖表 1：惡意代碼的誕生示意圖

令網(wǎng)絡(luò)管理人員頭疼不已的是：一旦感染了蠕蟲(chóng)病毒，在短時(shí)間內(nèi)，幾乎網(wǎng)絡(luò)上所有的計(jì)算機(jī)都會(huì)被依次感染，同時(shí)網(wǎng)絡(luò)還將出現(xiàn)各種異常狀況甚至阻塞，嚴(yán)重影響正常使用。而且蠕蟲(chóng)病毒很難根除，好不容易清除了本地的，一旦遠(yuǎn)程計(jì)算機(jī)聯(lián)入，病毒又死灰復(fù)燃。

“熊貓燒香”病毒的產(chǎn)生與爆發(fā)，就是一個(gè)網(wǎng)絡(luò)蠕蟲(chóng)的典型例子。

“熊貓燒香”病毒是一個(gè)由Delphi工具編寫(xiě)的蠕蟲(chóng)病毒。入侵操作系統(tǒng)后可終止大量反病毒軟件和防火墻軟件進(jìn)程，刪除擴(kuò)展名為gho（系統(tǒng)備份軟件ghost的備份文件擴(kuò)展名）的文件。可感染系統(tǒng)的“.exe”、“.com”、“.pif”、“.src”、“.html”、“.asp”文件，用戶一打開(kāi)網(wǎng)頁(yè)文件，IE就自動(dòng)連接到指定的病毒網(wǎng)址。同時(shí)在硬盤(pán)各分區(qū)下生成autorun.inf和setup.exe文件，可通過(guò)U盤(pán)和移動(dòng)硬盤(pán)等方式進(jìn)行傳播，同時(shí)利用Windows系統(tǒng)的自動(dòng)播放功能來(lái)運(yùn)行，搜索硬盤(pán)中的.exe文件進(jìn)行感染。該蠕蟲(chóng)感染計(jì)算機(jī)系統(tǒng)后，將系統(tǒng)中所有.exe文件都變成了一種“熊貓燒香”的奇怪圖案。同時(shí)受感染的計(jì)算機(jī)系統(tǒng)會(huì)出現(xiàn)藍(lán)屏、頻繁重啟以及系統(tǒng)硬盤(pán)中數(shù)據(jù)文件被破壞等現(xiàn)象。

2007年1月7日，國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心緊急預(yù)警：“通過(guò)對(duì)互聯(lián)網(wǎng)絡(luò)的監(jiān)測(cè)發(fā)現(xiàn)，一個(gè)偽裝成‘熊貓燒香’圖案的蠕蟲(chóng)病毒正在傳播，并已有很多企業(yè)局域網(wǎng)遭受了該蠕蟲(chóng)的感染。”1月9日，感染的電腦用戶約達(dá)數(shù)十萬(wàn)；2007年1月29日，“熊貓燒香”病毒變種達(dá)416個(gè)，數(shù)百萬(wàn)個(gè)人計(jì)算機(jī)用戶和企業(yè)局域網(wǎng)遭受感染。“熊貓燒香”發(fā)作時(shí)的表現(xiàn)見(jiàn)圖表2。

圖表 2：“熊貓燒香”病毒發(fā)作時(shí)的表現(xiàn)示例

此次“熊貓燒香”病毒的傳播途徑有以下五種：

1）通過(guò)已經(jīng)染毒的移動(dòng)存儲(chǔ)設(shè)備（如U盤(pán)等）傳播；

2）通過(guò)局域網(wǎng)中的共享文件傳播；

3）蠕蟲(chóng)病毒通過(guò)猜解administrator組成員口令，獲得該設(shè)備的控制權(quán)限自動(dòng)傳播；

4）蠕蟲(chóng)病毒自動(dòng)掃描并利用WINDOWS的系統(tǒng)漏洞傳播；

5）通過(guò)被感染的網(wǎng)站（通常是非法的網(wǎng)站）傳播。

對(duì)于第1、2種傳播方式，防范起來(lái)相對(duì)比較簡(jiǎn)單，但是第3、4、5種傳播方式危害更大，也更難以防范。

大型機(jī)構(gòu)中的計(jì)算機(jī)用戶普遍缺乏網(wǎng)絡(luò)安全防范意識(shí)和良好的安全習(xí)慣，這給病毒傳播帶來(lái)可乘之機(jī)。雖然一些組織和機(jī)構(gòu)在全網(wǎng)部署了殺毒軟件，但是由于此次“熊貓燒香”病毒具有攻擊防病毒軟件的能力，如果沒(méi)有全局預(yù)警和檢測(cè)設(shè)備，從根源上消除蠕蟲(chóng)病毒的來(lái)源，網(wǎng)管人員這個(gè)時(shí)候就只能四處“救火”了。