【“熊猫烧香”尘埃落定后的反思】电脑感染熊猫烧香后的特征

　　中嘉华诚网络安全技术有限公司 梁思�姜旭 　　 专家档案：梁思�，现就任北京中嘉华诚网络安全技术有限公司副总经理。在工作期间，参与主持了中嘉华诚GKR系列产品在国内的行销推广计划，并主持实施新产品GDR的联络及市场运作工作，在网络安全领域具有丰富的经验。
　　
　　 此文为中嘉华诚的专家为本刊撰写，站在专业人士的角度上，分析此次“熊猫烧香”事件和目前我国信息网络安全，为不可多得的专业评论稿。
　　
　　 2006年12月中旬，随着一只憨态可掬、颔首敬香的“熊猫”在网络中的出现，一排排“熊猫”霸占了我们的电脑，短短两个月的时间，它迅速化身数百种变种病毒，疯狂入侵个人电脑，感染门户网站，击溃企业数据系统……蔓延的速度之快、造成的破坏力之大都是继CIH病毒之后难得一见的。
　　 它就是新型病毒――“熊猫烧香”。
　　 2006年12月中旬，“熊猫烧香”急速变种，在经过几次大面积暴发之后，众多电脑用户谈“熊猫”色变。
　　 圣诞节过后，“熊猫烧香”版本已达到近百个，而后，病毒的传播开始以几何方式疯狂增长……
　　 2006年12月26日，金山毒霸全球反病毒监测中心发布“熊猫烧香”正疯狂作案的病毒预警。
　　 2006年12月27日，江民科技发布关于“熊猫烧香”的紧急病毒警报。
　　 2007年1月7日，国家计算机病毒应急处理中心紧急预警，“通过对互联网络的监测发现，一伪装成‘熊猫烧香’图案的蠕虫病毒传播，已有很多企业局域网遭受该蠕虫的感染。”
　　2007年1月9日，“熊猫烧香”继续蔓延，开始向全国范围的电脑用户涌去。这一天，“熊猫烧香”迎来了一次全国性的大规模暴发，它的的变种数量定格在306个。
　　 各地用户纷纷中招……
　　 一只小小“熊猫”何会在短短数月的时间引起如此之大的网络安全恐慌？国内外众多知名杀毒软件企业为何无动于衷，任由“熊猫”肆虐网络？经过对“熊猫烧香”病毒分析相信大家会知道其中的原因。
　　 “熊猫烧香”病毒是一个感染型的蠕虫病毒“尼姆亚”的变种，经过改进它能迅速感染系统中扩展名为exe、com、pif、src、html、asp等文件，它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件，使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。同时，受感染的计算机还会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。该病毒会在中毒电脑中所有的网页文件尾部添加病毒代码。一些网站编辑人员的电脑如果被该病毒感染，上传网页到网站后，就会导致用户浏览这些网站时也被病毒感染。
　　 “熊猫烧香”是如何入侵操作系统的？
　　 1.复制自身到系统目录下： %System%＼drivers＼spoclsv.exe（“%System%”代表Windows所在目录，比如：C:＼Windows）
　　 2.注册表中创建启动项：HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Run] “svcshare”=“%System%＼drivers＼spoclsv.exe”
　　 3.修改“显示所有文件和文件夹”设置（使系统无法显示隐藏文件来隐藏自己）
　　 [HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Explorer＼Advanced＼Folder＼Hidden＼SHOWALL]
　　“CheckedValue”=dword:00000000
　　 4.在各分区根目录生成病毒副本：这样病毒可以借助磁盘的“自动播放”功能，在用户每次双击硬盘时即可自动启动运行。
　　X:＼setup.exe
　　X:＼autorun.inf
　　autorun.inf内容：
　　[AutoRun]
　　OPEN=setup.exe
　　 shellexecute=setup.exe
　　 shell＼Auto＼command=setup.exe）
　　 5.每隔一段时间点击病毒作者指定的网页,并用命令行检查系统中是否存在共享，如果共享存在病毒自动运行net share命令关闭admin$共享
　　cmd.exe ／c net share X$ ／del ／y
　　cmd.exe ／c net share admin$ ／del ／y
　　 6.熊猫烧香病毒尝试关闭安全软件相关窗口：
　　例如：瑞星、江民、注册表编辑器、卡巴斯基反病毒、使用的键盘映射的方法关闭安全软件IceSword等安全软件窗口。
　　 7.尝试结束安全软件相关进程：
　　例如：KVXP.kxp、kvMonXP.kxp、KVCenter.kxp等进程。
　　 8.禁用安全软件相关服务：
　　例如：KVWSC 、KVSrvXP 、kavsvc等相关服务。
　　 9.每隔6秒删除安全软件在注册表中的启动键值：
　　 HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Run
　　 10.遍历目录修改htm／html／asp／php／jsp／aspx等网页文件，在这些文件尾部追加信息：
　　 用户一但打开了该文件,IE就会不断的在后台点击写入的网址,达到增加点击量的目的。
　　 11.在访问过的目录下生成Desktop_.ini文件，内容为当前日期。
　　 12.此外，病毒还会尝试删除GHO文件。该文件是一系统备份工具GHOST的备份文件，使用户的系统备份文件丢失。
　　 13.病毒还尝试使用弱密码将副本以GameSetup.exe的文件名复制到局域网内其它计算机中。
　　 经过一系列的多点入侵，操作系统已经完全被“熊猫”侵占，并且“熊猫”还在做着入侵其他电脑的准备，到目前为止，真正可以杀灭“熊猫烧香”病毒的软件还没有出现（病毒作者现正编写杀毒程序，但尚未经过安全部认证），目前杀毒软件采用病毒特征代码法的检测工具，面对不断出现的新病毒，必须不断更新版本，否则检测工具便会老化，逐渐失去实用价值。病毒特征代码法对从未见过的新病毒，自然无法知道其特征代码，因而无法去检测这些新病毒。而且由于此次“熊猫烧香”病毒是通过多种方式同时感染，因此一旦感染病毒后，很难在短时间清除。
　　 通过此次“熊猫烧香”病毒爆发，可以看出目前我国信息安全在诸多方面面临严峻形势：
　　
　　信息与网络的安全防护能力差
　　
　　 以前我们的信息安全防护主要是“头痛医头，脚痛医脚”， 哪里出现了安全问题，再去设置安全防护系统，虽说“亡羊补牢，为时未晚”但一次又一次的“亡羊”应该给我们敲响警钟，信息与网络的安全防护不能永远滞后于安全事件，我们应该提前防范，并在专家的指导下进行有预见性有针对性的防范。目前一些主动防御的安全产品和安全技术已经成熟，完全可以保证我们的网络和信息系统“防患于未然”。
　　
　　对引进技术和设备缺乏安全检
　　
　　 国外的技术，国外的产品，给我们的印象是，高科技，高品质，良好的服务，但是在一些关键设备和产品上国外产品往往和外国政府部门一起合作，留下“后门”不为人知的安全漏洞，随着国际局势的日趋复杂，一旦情况有变，这些“后门”就会发挥他们的作用，源源不断的把我们的信息，情报，泄露出去。这绝非是危言耸听，经过中科院相关部门的测试，某国外品牌的手机即使在关机状态，依然有微弱的电子信号在不断发送消息。某国外品牌的知名电脑操作系统已被证实和该国安全部门合作，在其操作系统内留下了“紧急通道”。我们在使用这些国外产品的时候，往往更多的注重其功能性，往往忽略了这些安全产品本身的安全性，所以国家相关部门曾经指出，在关键部门以及一些特殊领域里，应尽量使用国产产品，以保障安全性和可靠性。
　　
　　基础信息产业严重依赖国外
　　
　　 这次“熊猫烧香”病毒泛滥之时，碰巧赶上海底网络通讯电缆断裂，很多我们国内的电脑用户，使用的是国外的防病毒软件产品。在病毒泛滥的时候，由于与国外服务器的通讯连接异常，防病毒软件不能进行正常的升级，最后只能眼睁睁的看着自己网络里的计算机，一台台的被“熊猫”占领。
　　
　　信息犯罪有快速蔓延之势
　　
　　 随着科技的进步，根据CCID的调查显示，进几年的信息犯罪有快速蔓延的趋势，安全事件年年增加，但是和前几年相比，近年来的黑客攻击事件有了一定的变化。他们不在毫无目的的攻击以显示自己的水平，想反，有组织有对象的破坏性攻击事件增多，熊猫烧香作为一个强传染性电脑病毒，其实他的核心技术并不复杂，该病毒作者在第一版熊猫烧香病毒发布后一直在关注反病毒界的动作，他曾在卡卡反病毒论坛里仔细研究别人对熊猫烧香病毒的防范原理和方法，然后更改自己的病毒，更新病毒版本，绕过检查，避开防御。据作者自己说，最多的一天，病毒更新了20余次，加上病毒的自我变化，最终定格为306个变种，让防病毒专家和厂商手忙脚乱，防不胜防。
　　 还有一个例子。
　　 12月4日,微客网被IDG评为“中国最具创新网站”，但微客网创始人、总裁康录发的兴奋还未能持续24小时，12月5日,微客网开始遭遇黑客攻击,“开始是登录速度变慢,最后是完全无法登录”,随后该公司的业务陷入停顿状态，而在接下来的二十多天里，微客网开始四处流浪，寻求托管网站。据了解，当时，微客网的服务器托管于北京电信通公司，其机房位于北京国贸附近的惠普大厦。
　　 接下来的几天，微客网遭受黑客攻击的问题并没有得到解决。12月8号，瞬间攻击流量超过了3G(北京电信通机房全部带宽为4G)。这不仅造成了微客网服务器的中断，北京电信通的其他服务器同时受到了攻击，整个机房陷入间歇性瘫痪状态。
　　 当天，通过服务器代理商，微客网将其服务器交由光环新网托管。光环新网的机房位于北京东直门。很快，微客网再次受到攻击，同时，随着攻击流量暴涨，机房内的其他服务器也受到攻击。
　　 随后，微客网的服务器又选择了铁通的机房。铁通机房的整体带宽为2G，然后类似情况再次发生。微客网于是接着逃离。但结局总是一样――网站很快被黑客攻击，并且很快殃及机房内的其他服务器。
　　 对于网站四处逃亡，却无法逃脱黑客攻击的原因，CNCERT/CC有关负责人张旭对记者表示，"服务器更换托管机房后，尽管网站IP随之发生变化，但黑客登陆之后就会查出新的IP地址，然后对新的IP进行流量攻击，新的机房跟着遭殃。
　　 12月18日，康录发通过代理商找到了亚洲最大的机房――网通旗下的北京宜庄机房，要求托管服务器。后者以“你的网站正在被攻击”为由，拒绝了康录发的托管请求。
　　 如果说，“熊猫烧香”是在不断的躲避，那么这个网站却象是在被黑客所“追杀”，到最后居然没有一个机房敢收留它。类似这样的攻击事件在2006年还有很多，这些安全事件本应该引起我们足够的重视，可惜，实际情况却并非如此。
　　
　　社会的信息安全意识淡薄
　　
　　 现在，我们大多数人对信息安全还没有一个完整的概念，很多人不知道信息安全到底指的是什么，还有一些人，认为信息安全就是防火墙防病毒等简单的防护手段。实际上，信息安全应该是一个完整的独立的，保障我们信息和网络系统能够正常稳定运行的保障系统，它应该涵盖从物理层，系统层，网络层，应用层到管理层的方方面面，绝不是简单的安全产品的堆砌。在我们安装了防火墙，防病毒软件之后，我们就安全了吗？
　　 在2006年的夏天，北京某大学网站被黑客攻击，由于正在放暑假，学校里的相关教师都不在校内，直到3天后，网站页面才被修复。攻击者是一名来自广东的17岁少年，在记者采访的时候他这样对记者说：“我只是想让他们知道，他们的防御到底有多么脆弱”。
　　 类似的事情不胜枚举，从根本上说，是全社会的信息安全意识淡薄，没有把信息安全当做是一件必须要做，必须要做好的事情。可以说，什么时候大家都能像爱惜自己钱包一样的爱护自己的信息系统，那么我们的信息安全意识就算达标了。