超級病毒肆虐互聯網 『熊貓燒香』全追查[圖]

超級病毒歲末年初肆虐互聯網，百萬網民千家企業受害

　　■病毒檔案

　　緝毒目標：Worm.WhBoy.h

　　中文名：“熊貓燒香”

　　病毒長度：可變

　　病毒類型：蠕蟲

　　危害等級：★★★★

　　影響平臺：Win9X/ME/NT/2000/XP/2003

　　2006年的聖誕節剛過，人們正沈浸在新年的氣氛中，沒有人會想到打開電腦後會撞上一個可怕的病毒。12月26日下午，正准備下班的江民、瑞星等殺毒廠商的工作人員陸續接到各地網民的求助電話。接下來的幾天，求助者越來越多，從個人用戶到企業用戶，甚至有網吧業主哭訴數百臺機器全部癱瘓。他們意識到，又一種可以與年度毒王相提並論的新病毒出現了。這個近期瘋狂肆虐互聯網，令上百萬網民、上千家企業深受其害的病毒就是“熊貓燒香”。

　　超級病毒一月產生600餘變種

　　“我的電腦癱瘓了，系統變得十分緩慢，什麼都乾不了。”“所有EXE文件的圖標都變成了一只小熊貓在燒香。”一個又一個求助電話敘述的電腦中毒癥狀幾乎全部相似。江民、瑞星、金山等國內殺毒廠商，甚至連卡巴斯基、趨勢、賽門鐵克等國外公司也紛紛加班分析病毒樣本，並在第一時間推出專殺工具。但是，“熊貓燒香”的厲害程度顯然超出反病毒工程師們的想象。在短短一周內，“熊貓燒香”出現超過50個變種。根據瑞星反病毒監測網統計的數據，截止到目前的一個月時間內，已經有600多個變種。“也就是說，即使殺毒軟件昇級得再及時，也會有新的變種出來逃過殺毒軟件的阻攔。而且電腦一旦中毒，清除起來就很麻煩。”一位反病毒工程師說。

　　“中毒”網友10萬美元緝凶

　　據反病毒專家何公道介紹，來勢洶洶的“熊貓燒香”病毒經診斷與之前的“威金”蠕蟲病毒有著很大關系，而後者已被江民等公司列為2006年十大病毒之首，也就是俗稱的“毒王”。對於這次跨年度的病毒發作，何公道認為其正是利用了人們在聖誕節和元旦前後放假期間的松懈而趁機作亂，等到用戶發現的時候已經來不及查殺。

　　據了解，國內已有上千家企業級用戶受到“熊貓燒香”的影響。一位數百臺電腦集體癱瘓的網吧業主對記者說，無奈停業已造成數十萬元損失，“想殺人的心都有”。在一些論壇上，不少受害網友強烈要求捉拿病毒作者。在百度“熊貓燒香”帖吧，“中毒”的網友憤怒地發帖，聲明願出10萬美元通緝“熊貓燒香”作者。此舉還是互聯網反病毒歷史上的第一次。

　　傳播危害程度超過“衝擊波”

　　“幾年前造成大面積影響的‘衝擊波’病毒，也只是造成了系統的不斷重啟，而現在的”熊貓燒香“卻是不斷刪除和更改系統文件，並且由於變種速度極快，讓人防不勝防。”一位反病毒工程師說。

　　據他介紹，導致“熊貓燒香”病毒快速傳播的原因主要有三個：一是大量的企業用戶使用國外殺毒軟件，而國外殺毒軟件對於此類國產病毒響應速度較慢。二是一部分網站編輯或網站管理人員本身機器感染了病毒，由於病毒能夠修改HTML文件，當他們把受感染文件上傳到服務器後，訪問者點擊此類受感染網頁即中毒。

　　三是病毒綜合利用了多種漏洞和傳播途徑，如利用微軟MS06-014漏洞感染HTML文件，通過QQ最新漏洞傳播，通過網絡文件共享、默認共享、系統弱口令、U盤及移動硬盤等多種途徑傳播。局域網中一臺機器感染，可以瞬間傳遍整個網絡。

　　這就是說，即使公司的數百臺電腦都被斷開了網絡連接，但只要有一臺電腦進行了光盤、移動硬盤或U盤等方式的數據輸入，理論上都存在被感染病毒的可能。

　　據反病毒專家介紹，此次出現的“熊貓燒香”病毒及其變種一般只是大規模爆發感染用戶電腦，病毒作者的意圖似乎只是想證明自己的能力。不過，據了解，在本周剛剛截獲的最新變種病毒中，已經出現了盜竊網絡游戲賬號的行為。“黑客”似乎有意變身“網絡大盜”。

　　■傳播方式

　　植入網站借IE漏洞潛入用戶電腦

　　接連兩周，“熊貓燒香”的各個變種病毒在網上大肆傳播，將所有感染的.exe文件圖標換成“小熊貓”圖案，還會修改部分文件，嚴重危害電腦用戶的數據安全。

　　在安裝了防火牆的企業局域網上，一旦用戶訪問IT門戶或專業網站，這些網站上被種植的病毒就會利用IE瀏覽器的漏洞潛入用戶電腦。根據監測，被“熊貓燒香”種植病毒的網站均在全球排名前300名之列，因此殺毒廠商估計目前已有上百萬人受害。

　　這是一個由Delphi工具編寫的蠕蟲病毒，能夠終止大量的反病毒軟件和防火牆軟件進程，病毒會刪除擴展名為gho的文件，使用戶無法使用ghost軟件恢復操作系統。“熊貓燒香”感染系統的*.exe、*.com、*.pif、*.src、*.html、*.asp文件，添加病毒網址，導致用戶一打開這些網頁文件，IE就會自動連接到指定的病毒網址中下載病毒。在硬盤各個分區下生成文件autorun.inf和setup.exe.病毒還可以通過U盤和移動硬盤等方式進行傳播，並且利用Windows系統的自動播放功能來運行。

　　“熊貓燒香”還可以修改注冊表啟動項，以使自身隨操作系統同步運行。搜索硬盤中的*.EXE可執行文件並感染文件。該病毒還可以通過共享文件夾、系統弱口令等多種方式進行傳播。

　　■緝毒行動

　　殺毒廠商爭相提供免費下載服務

　　每到病毒大規模爆發之際都是反病毒公司施展拳腳之時。在去年12月底該病毒初顯威力之時，江民、瑞星、金山等國內公司爭先恐後推出了專殺工具，並且紛紛宣稱免費提供給網民，幾家公司的網絡下載版也都提供了時間不等的免費使用功能。

　　但對於服務器設在國外的卡巴斯基、賽門鐵克等公司，卻由於光纜斷裂無法及時昇級而延誤了“戰機”，更新昇級病毒庫的速度明顯不及國內反病毒廠商。

　　1月10日，江民開展了“新年無毒”大行動，實施三大舉措：面向全國免費發放100萬個月卡序列號；在江民網站免費提供一個月的江民殺毒軟件下載；同時為部分城市企業用戶提供免費上門殺毒等服務。

　　瑞星繼續推行兩個月的免費下載政策，並為那些使用國外殺毒軟件而暫時無法昇級的用戶提供保障。

　　金山公司將該病毒等級列為“四星級重大”，並推出了一套整體解決方案。

　　同時金山毒霸還在第一時間內新增了對感染型流行病毒“熊貓燒香”的免疫能力。在服務期內的毒霸用戶，將會通過金山毒霸的主動實時昇級功能，自動昇級到最新版本，實現對“熊貓燒香”的免疫。

　　■病毒追凶

　　武漢15歲少年制造瘋狂“熊貓”？

　　反病毒工程師在多個病毒代碼解析時發現了“WHBOY”字樣，因此懷疑該病毒與去年變種冠軍“武漢男生”同出一源。

　　“武漢男生”自從2004年被截獲後出現了上千變種，被江民反病毒中心列入2005年十大病毒之列，兩種病毒變種之頻繁以及傳播手法幾乎如出一轍。

　　目前這種病毒還只在國內范圍感染，由此也可斷定病毒作者出自國內。

　　來自百度帖吧等熱烈討論“熊貓燒香”的論壇中的信息顯示，病毒作者有可能是武漢當地一位15歲的天纔少年，他在得意地用自己的計算機技術對抗中外眾多反病毒廠商。

　　而反病毒公司的監測也證實了這一點。江民公司策劃部經理曹凌翔告訴記者：“前不久，作者在一個變種源代碼中留言，表示將不再更新病毒，而從作者對一些安全論壇的熟悉程度來看，病毒作者在一些安全論壇也留下不少蹤跡。”曹凌翔所指的痕跡是論壇中的一些言論。“在此對各位中過此木馬的網友和各位網管人員表示深深的歉意！對不起，你們辛苦了！

　　很想和你們交流一下！某某原因，我想還是算了……“但從後來”熊貓燒香“再次出現大量變種的狀況來看，病毒作者不是自食其言就是另有他人。

　　■自衛支招

　　六招防范“熊貓”騷擾

　　反病毒專家提醒用戶，已安裝殺毒軟件的用戶建議立刻昇級到最新病毒庫，對電腦進行全盤查殺。

　　未安裝殺毒軟件的用戶建議下載安裝網上免費提供的熊貓燒香專殺工具，可以有效清除病毒和修復被感染文件。

　　與此同時，用戶應該盡量做到：1、局域網用戶盡量避免創建可寫的共享目錄，已經創建共享目錄的應立即停止共享。

　　2、如無必要，Windows 2000/XP用戶應盡量關閉IPC共享，並給具有管理員權限的賬號設置可靠的密碼。

　　3、及時安裝微軟的安全更新，不要隨意訪問來源不明的網站。特別是微軟的MS06-014這一漏洞，應立即打好該漏洞補丁。

　　補丁下載地址：http://www.microsoft.com/china/technet/security/bulletin/ms06-014.mspx

　　4、由於“熊貓燒香”病毒變種特別快，因此如果一些網上的專殺工具更新不及時的話，也未必能夠及時清除一些新的變種病毒。這時候最好是使用一些未知病毒檢測工具。

　　把“檢測”結果中可疑概率很高(通常在60%以上)的文件刪除。這種方法對付一些新的病毒變種十分有效。但要注意不要把正常文件刪掉。

　　5、QQ用戶請下載安裝最新版本的QQ軟件。目前已發現多起惡意網站利用QQ漏洞傳播該病毒的現象。

　　6、開啟殺毒軟件的網頁監控功能，使用U盤等移動設備交換文件時，要開啟殺毒軟件的實時監控，或先用殺毒軟件掃描，並關閉自動播放功能。

　　關閉自動播放功能方法如下：在“開始”菜單的“運行”框中運行“gpedit. msc”命令，在“組策略”找到“計算機配置”和“用戶配置”下的“管理模板”功能，打開其中的“系統”菜單中的“關閉自動播放”的設置，在其屬性裡面選擇“已啟用”，接著選擇“所有驅動器”，最後確定保存即可。