網(wǎng)絡(luò)病毒的發(fā)展趨勢與“熊貓燒香”
被殺毒廠商評為“2007年1季度十大計(jì)算機(jī)病毒之首”的“熊貓燒香”病毒及其上百個(gè)變種,在2007年初掀起了不小的波瀾:數(shù)百萬個(gè)人計(jì)算機(jī)用戶、企事業(yè)單位和政府機(jī)構(gòu)局域網(wǎng)遭受感染,北京、上海等計(jì)算機(jī)用戶較為集中的城市更是成為了“重災(zāi)區(qū)”。面對來勢洶洶的蠕蟲病毒,啟明星辰公司支持某政府單位,憑借先期建立起的以網(wǎng)絡(luò)入侵檢測系統(tǒng)(IDS)為核心的預(yù)警體系和安全機(jī)制,有效防范了此次大規(guī)模爆發(fā)的蠕蟲病毒事件,保障了全網(wǎng)辦公系統(tǒng)的平穩(wěn)運(yùn)行,取得了良好的效果。
一、網(wǎng)絡(luò)病毒的發(fā)展趨勢與“熊貓燒香”
“網(wǎng)絡(luò)蠕蟲病毒”對于大多數(shù)計(jì)算機(jī)用戶來說,并不是一個(gè)陌生的字眼。它是將黑客技術(shù)與病毒技術(shù)相融合,形成的“惡意代碼”,其形成過程詳見圖表1。
![""]("http://img.article.pchome.net/00/21/40/81/image002.jpg")
圖表 1:惡意代碼的誕生示意圖
令網(wǎng)絡(luò)管理人員頭疼不已的是:一旦感染了蠕蟲病毒,在短時(shí)間內(nèi),幾乎網(wǎng)絡(luò)上所有的計(jì)算機(jī)都會(huì)被依次感染,同時(shí)網(wǎng)絡(luò)還將出現(xiàn)各種異常狀況甚至阻塞,嚴(yán)重影響正常使用。而且蠕蟲病毒很難根除,好不容易清除了本地的,一旦遠(yuǎn)程計(jì)算機(jī)聯(lián)入,病毒又死灰復(fù)燃。
“熊貓燒香”病毒的產(chǎn)生與爆發(fā),就是一個(gè)網(wǎng)絡(luò)蠕蟲的典型例子。
“熊貓燒香”病毒是一個(gè)由Delphi工具編寫的蠕蟲病毒。入侵操作系統(tǒng)后可終止大量反病毒軟件和防火墻軟件進(jìn)程,刪除擴(kuò)展名為gho(系統(tǒng)備份軟件ghost的備份文件擴(kuò)展名)的文件。可感染系統(tǒng)的“.exe”、“.com”、“.pif”、“.src”、“.html”、“.asp”文件,用戶一打開網(wǎng)頁文件,IE就自動(dòng)連接到指定的病毒網(wǎng)址。同時(shí)在硬盤各分區(qū)下生成autorun.inf和setup.exe文件,可通過U盤和移動(dòng)硬盤等方式進(jìn)行傳播,同時(shí)利用Windows系統(tǒng)的自動(dòng)播放功能來運(yùn)行,搜索硬盤中的.exe文件進(jìn)行感染。該蠕蟲感染計(jì)算機(jī)系統(tǒng)后,將系統(tǒng)中所有.exe文件都變成了一種“熊貓燒香”的奇怪圖案。同時(shí)受感染的計(jì)算機(jī)系統(tǒng)會(huì)出現(xiàn)藍(lán)屏、頻繁重啟以及系統(tǒng)硬盤中數(shù)據(jù)文件被破壞等現(xiàn)象。
2007年1月7日,國家計(jì)算機(jī)病毒應(yīng)急處理中心緊急預(yù)警:“通過對互聯(lián)網(wǎng)絡(luò)的監(jiān)測發(fā)現(xiàn),一個(gè)偽裝成‘熊貓燒香’圖案的蠕蟲病毒正在傳播,并已有很多企業(yè)局域網(wǎng)遭受了該蠕蟲的感染。”1月9日,感染的電腦用戶約達(dá)數(shù)十萬;2007年1月29日,“熊貓燒香”病毒變種達(dá)416個(gè),數(shù)百萬個(gè)人計(jì)算機(jī)用戶和企業(yè)局域網(wǎng)遭受感染。“熊貓燒香”發(fā)作時(shí)的表現(xiàn)見圖表2。
![""]("http://img.article.pchome.net/00/21/40/81/image003.jpg")
圖表 2:“熊貓燒香”病毒發(fā)作時(shí)的表現(xiàn)示例
此次“熊貓燒香”病毒的傳播途徑有以下五種:
1)通過已經(jīng)染毒的移動(dòng)存儲(chǔ)設(shè)備(如U盤等)傳播;
2)通過局域網(wǎng)中的共享文件傳播;
3)蠕蟲病毒通過猜解administrator組成員口令,獲得該設(shè)備的控制權(quán)限自動(dòng)傳播;
4)蠕蟲病毒自動(dòng)掃描并利用WINDOWS的系統(tǒng)漏洞傳播;
5)通過被感染的網(wǎng)站(通常是非法的網(wǎng)站)傳播。
對于第1、2種傳播方式,防范起來相對比較簡單,但是第3、4、5種傳播方式危害更大,也更難以防范。
大型機(jī)構(gòu)中的計(jì)算機(jī)用戶普遍缺乏網(wǎng)絡(luò)安全防范意識和良好的安全習(xí)慣,這給病毒傳播帶來可乘之機(jī)。雖然一些組織和機(jī)構(gòu)在全網(wǎng)部署了殺毒軟件,但是由于此次“熊貓燒香”病毒具有攻擊防病毒軟件的能力,如果沒有全局預(yù)警和檢測設(shè)備,從根源上消除蠕蟲病毒的來源,網(wǎng)管人員這個(gè)時(shí)候就只能四處“救火”了。
