当前位置:首页 » 业界资讯 » 软件资讯

“熊猫烧香”钻了补丁漏洞 及时升级打补丁即可防范

...

    反病毒技术权威表示,被杀毒厂商评为“2006十大计算机病毒之首”的“熊猫烧香”,其实技术水平很低,只有因为很多网民没有及时给自己的系统升级打补丁,才“成全”其名气。

  截至昨日,尽管涉嫌“熊猫烧香”病毒制作及传播的李俊等8名犯罪嫌疑人于上月初在湖北落网,但其他握有病毒源代码的涉案人员仍在缉捕之中,而该病毒的新变种更是层出不穷。

  据记者了解,8名落网人员在传播病毒的同时,还实施了盗取用户游戏账号、QQ账号的犯罪行为。目前,业内广泛关注的并不是如何惩处涉案元凶,而是为何一个被众反病毒家评为没啥技术含量的蠕虫病毒,却能在如此短的时间内疯狂泛滥?
  
  【业内透露】
  利用用户弊病实施攻击
  据媒体报道,早在2003年,李俊就编写过“武汉男孩”病毒,2004年中专毕业后,他曾多次到北京、广州找IT方面的工作,但均未果。2005年又相继编写了“武汉男孩2005”病毒及“QQ尾巴”病毒。这些使他从炫耀技术的黑客,到扬名圈内的盗号高手,再到席卷全国的“熊猫教父”,因而有人称其为“网络方面的天才”。

  但是,瑞星公司反病毒技术负责人史王禹告诉记者,他认为李俊不像一些网友所说的那样有才华及创意,其行为只是为了达到目的不择手段而已。并强调说,绝不会将这样人品有问题的人招入麾下。同时,他认为“熊猫烧香”实际上没啥技术含量。

  史王禹表示:“之所以说该病毒技术含量并不高,是因其主要采用的是病毒感染方式,只是简单的捆绑EXE,这种手段大约是在2000年比较流行。当时Binder,就是文件捆绑器较为流行,它主要用于把木马捆绑在正常软件上,然后被感染用户运行这些正常软件时就自动运行木马。木马和原始文件就像油和水一样是可以分离的。运行这个文件的时候木马会被释放出来,但被释放的木马不会去感染其他文件。而作为蠕虫病毒(Worm)的‘熊猫烧香’和它的区别只是释放出的部分会去感染其他文件,自动捆绑在其他文件上。但是这种技术是感染型里最简单的,目前很多感染型病毒会将原始文件加密,在运行时再解密或像CIH一样,把自身插入到原始文件的空白处,能保持原始文件大小不变。同时,它也没有用到驱动\Rootkits等技术。”

  对于其泛滥的根源,史王禹认为,该病毒只是利用了许多WINDOWS 2000、WINDOWSXP等用户不为程序漏洞打补丁、升级的弊病,针对一个去年微软公布的WINDOWS漏洞实施攻击。
  
  【见招拆招】
  防范“毒王”有四招

  “熊猫烧香”病毒不但可以对用户系统进行破坏,导致大量应用软件无法使用,而且还可删除扩展名为gho的所有文件,造成用户的系统备份文件丢失,从而无法进行系统恢复;同时该病毒还能终止大量反病毒软件进程,大大降低用户系统的安全性。记者通过采访某国际知名杀毒厂商技术总监郭先生了解到,通过如下四招即可安全防范该“毒王”。

  第一招,及时为操作系统升级打补丁。该病毒的泛滥“得益于”国内网民电脑安全使用常识普遍缺乏,许多人从不对WINDOWS操作系统进行漏洞安全升级即打补丁。这样一来,即使装有再好的防病毒软件也可能难防技术等级较低的“熊猫烧香”的攻击。事实上,非正版WINDOWS不出意外都是可以正常进行升级打补丁的。对于电脑用户来说,操作系统的定期升级是最为根本的安全防护措施。

  第二招,启用windows防火墙保护所使用的计算机。许多安装了杀毒软件的用户,常常仅开启杀毒软件的防火墙来保护计算机,实际上windows防火墙的启用也是必不可少的。

  第三招,修改电脑administrator组成员口令,将原先简单口令或空口令,设为由字母、数字及特殊字符组合的安全口令。

  第四招,不上非法的网站,如:色情、暴力的网站。同时,一定要选择正规的共享软件网站下载软件。
  
  【记者观察】
  “熊猫烧香”走了,病毒何时了?

  2007年2月9日,李俊在仙桃市第一看守所内编写“熊猫烧香”的专杀工具时,写下了这样一段话:“熊猫走了,是结束吗?不是的,网络永远没有安全的时候,或许在不久,会有很多更厉害的病毒出来!所以我在这里提醒大家,提高网络安全意识,并不是你应该注意的,而是你必须懂得和去做的一些事情!”

  在谈及此段留言时,一位业内人士沉下嗓音说道:“熊猫烧香还没有烧醒芸芸众生呀!即便我们通过媒体日日呼吁人们要及时下载操作系统补丁,可眼下仍有九成以上的电脑使用者对此不理不睬。请允许我再强调一次,作为普通的电脑使用者,一定要牢记及时下载并更新操作系统,不要上一些不明网及不良站,那里是病毒和木马等恶意程序滋生的温床!”

  据了解,眼下“熊猫烧香”变种不断、余威尚未退去,互联网又遭到了新一轮的侵袭。来自某计算机反病毒厂商的最新监测报告显示,就在上月,以广告程序为代表的恶意程序开始泛滥互联网,感染比例由1月份的15%猛升至40%。因此,即便是熊猫烧香走了,人们与病毒和木马之战也不会结束……
  
  病毒档案
  学名:Worm.WhBoy.h 绰号:熊猫烧香
  病毒类型:蠕虫 波及系统:Win 9X/ME/NT/2000/XP等
  技术等级:★★ 危害等级:★★★★
  ●典型症状:
  “熊猫烧香”是一个由Delphi工具编写的蠕虫病毒。其入侵电脑操作系统后可终止大量的反病毒软件和防火墙软件进程,会删除扩展名为gho的文件,用户将无法使用ghost(系统镜像)软件恢复操作系统。

  其可感染系统的.exe、.com、.pif、.src、.html、.asp文件,添加病毒网址,导致用户一打开这些网页文件,IE就会自动连接到指定的病毒网址中下载病毒。并会在硬盘各分区下生成autorun.inf和setup.exe文件,可通过U盘和移动硬盘等方式进行传播,还会利用Windows系统的自动播放功能来运行,搜索硬盘中的.exe可执行文件并进行感染,感染后系统的文件图标会变成一只熊猫手捧3炷香的图案。此外,它还可以通过共享文件夹、系统弱口令等方式进行传播。
  
  ●名词解释:
  肉鸡,专指那些被病毒及木马程序发布者掌控了的电脑,他们自己形象地称之为“肉鸡”,意思就是随时可以吃、随时可以进入中毒电脑里盗窃主人的信息。 信报记者 徐娅萍

继续阅读
新“熊猫烧香”病毒现身 作者称鄙视杀毒软件
熊猫烧香作者:不是网络英雄 只是网络混混
警方否认"熊猫烧香"主犯编写的杀毒软件已试运行
比熊猫烧香厉害十倍"灰鸽子之父"是安庆青年
四名“熊猫烧香”病毒制造者被起诉
熊猫烧香作者拘留所编写杀毒软件
发表评论

昵称:
最新评论
暂时没有评论!