近日来,“熊猫烧香”成了一个高频词。这个会烧香的熊猫成了各种媒体争相报道和追踪的对象。其传播范围之广,破坏力之强,都不禁让人提心吊胆。但是,仔细分析一下2006年这场规模最大的病毒流行事件,或许,“熊猫烧香”的案例能带给我们一些启示和思考。
关于“熊猫烧香”
Worm.Nimaya,中文名武汉男生(又名尼姆亚),目前大家都习惯形象地称之为“熊猫烧香”。这是一个感染型的蠕虫病毒,会感染系统中的可执行文件以及网页,被感染的PE文件图标会变成一个可笑的熊猫烧香图案。此病毒会在局域网内通过暴力口令破解感染其他计算机,或在Internet上通过感染网页而感染使用IE的网页访问者。
最成熟技术的综合应用是熊猫成功的要诀
“熊猫烧香”是很长一段时间以来为数不多的、有广泛影响的感染型蠕虫之一。通过对病毒样本的技术分析,这里列出一些病毒传播和保护自身的手段,其中大部分肯定都是你曾经听说过的,并没有太多具有创新性的地方。
1. 把自己改名为看似系统进程的名字,添加启动项。
2. 杀反病毒软件。“熊猫烧香”的反病毒软件列表更为全面,更有中国特色。不仅仅是反病毒软件,连一些有清除流氓软件功能的工具软件也在被杀之列。
3. 修改注册表,阻止显示隐藏的文件。
4. 感染可执行文件和网页文件。感染网页文件可以说是这次大规模感染的一个主要原因。但从技术上来讲,对于IFrame漏洞的利用,已经是很多年前的故事了。
5. 通过局域网,暴力破解口令感染。在各分区的根目录创建自运行相关文件。
从以上的分析来看,应该说几乎所有的东西都是病毒和木马的常用手段。但是我的意思并不是说这是一个无关痛痒的病毒。引用瑞星论坛上TOM2000的一段评论,“从技术上来说该病毒并没有什么创新之处,但是它却借鉴很多经典病毒、木马甚至是劫持软件的长处。这样一个没有尖端技术却拥有最成熟技术的病毒综合体来到我们面前。”
其实,对用户危害最大的病毒并不一定是有最高技术的,或者说,“熊猫烧香”最成功的地方,就是它把最成熟的技术用在了传播上。具体原因主要有以下3点:
1. 感染网页。感染网页病毒做起来简单,直接在所有的asp和htm文件后面追加一段通过IFrame去下载病毒的代码。这种方式使得很多网站不幸成为了病毒传播的帮凶。这是近2年挂马流行以来,最为成功的一次应用。但是即便是简单的病毒,杀毒软件想要很好地清除网页中的病毒内容,同时不能误报、不能漏报,还不能十分影响系统性能,确实是很困难。
2. 频繁的升级。反病毒软件通过频繁升级来为用户提供最新的病毒库,对于病毒的响应速度和升级频度,已经成为了公认的评价标准。但是,这是病毒首次更新频率赶上甚至超过反病毒软件,以前只有流氓软件才有这样的实力。频繁的升级,配合上感染网页的方式,确实让反病毒公司很为头疼。
3. 局域网感染。用户对于密码的随意,一直是一个广泛的问题。这次,懒惰的代价终于显现了出来。通过猜测网内计算机的密码,病毒可以复制自己,并且执行。这样,一个公司内,一个人中毒可能很快变成一场集体灾难。
我们应该做什么
面对这次大规模的病毒爆发,我觉得无论是反病毒厂商还是最终用户,都应该从中得到一些启示。
首先,作为反病毒公司,应该加快反病毒方式的变革,致力于研发功能更强大的反病毒引擎,有效地解决病毒加壳以及免杀技术,从而解决病毒变种速度过快而给公司带来的巨额维护成本。(如果你对于变革反病毒的方式方法有什么创意,欢迎和我讨论 majie -at- rising.com.cn)。
其次,对于这种传播广泛的流行病毒,应该让网关防毒设备更好地发挥作用。通过在防毒墙这样的网关设备上配置合适的规则,可以较为容易地在网络边缘拦截病毒,保护内网的计算机用户。
最后,用户更高的安全意识仍旧是最好的安全手段。
数据挖掘研究院
从“熊猫烧香”的一些传播行为来看,没有设置安全的口令,没有及时安装系统补丁,还是这次病毒泛滥的重要原因。这些都要依赖于用户安全意识的提高,养成良好的习惯,才能有效避免未来的病毒。
数据挖掘实验室
