國家病毒預警體系初見成效 謹防熊貓燒香餘患

　　北方網消息(記者趙國棟)：自去年11月以來，『熊貓燒香』蠕蟲病毒開始在互聯網上瘋狂肆虐，引起社會各界高度關注。《2006年度中國大陸地區電腦病毒疫情和互聯網安全報告》稱其為『毒王』。反病毒專家發現，病毒作者在病毒中加入代碼『WHBOY』(武漢男孩)，紛紛猜測病毒作者可能來自武漢。湖北省公安廳12日宣布，根據統一部署，湖北網監在浙江、山東、廣西、天津、廣東、四川、江西、雲南、新疆、河南等地公安機關的配合下，一舉偵破了制作傳播『熊貓燒香』病毒案，抓獲李俊(男，25歲，武漢新洲區人)、雷磊(男，25歲，武漢新洲區人)等8名犯罪嫌疑人。這是我國破獲的國內首例制作計算機病毒的大案。

　　病毒名稱：Worm_Viking
　　中文名稱：熊貓燒香
　　病毒類型：復合型
　　其它命名：Win32.Troj.Mirwhboy(金山) 、Worm.Nimaya.bc（瑞星）、Worm/Viking.qo（江民）

　　具體技術特征如下：這是一個由 Delphi 工具編寫的蠕蟲病毒，由於用戶被感染之後可執行文件圖標全部被改成熊貓燒香的樣子，因此叫熊貓燒香病毒。它能感染系統中exe, com, pif, src, html, asp 等文件，它還能中止大量的反病毒軟件和防火牆軟件進程。

　　北方網記者就熊貓燒香病毒事件采訪了國家計算機病毒應急處理中心的張健主任，獲悉，國家計算機病毒應急處理中心去年11月通過對互聯網的監測發現了『熊貓燒香』病毒，近期該病毒出現多個變種，病毒可以通過局域網共享以及U盤等多種途徑傳播，傳播速度快，危害范圍廣，已有大量個人用戶及企業局域網用戶遭受感染。目前湖北警方正在對犯罪嫌疑人進行初步的審理，國家計算機病毒應急處理中心按照公安機關的部署和要求對相關的證據進行鑒定、分析、提取新的線索，詳細的情況還需要和湖北警察進一步的聯系和確認。

　　計算機病毒和網絡攻擊監測預警體系初見成效

　　張健說：『這起案件破獲我們感覺是這些年在公安部的領導下我們建立的病毒防控預警體系的實踐經驗和成果，按照部裡的要求，這些年我們一直致力於整個國家病毒預警體系的建設，實際上分為兩大部分，一個是我們國家計算機病毒應急處理中心把我們所有的這些防病毒的廠家有效的組織起來，形成國家病毒應急小組，發現新的病毒之後廠家會上報給我們，包括病毒樣本和報告，我們中心首先發現，發現病毒的我們會通過這個渠道統計給所有防病毒的廠家，這樣就會加快我們對病毒的快速反映和處置能力。』

　　『在整個案件裡我們已經發現了系統的作用，他們通過日常的監測就發現了熊貓燒香從去年11月就出現了這個病毒，通過我們對病毒的監測分析，一方面是要拿出應急的處置方案包括病毒軟件的昇級，讓用戶免受損失，同時我們對技術的角度詳細分析，發現了一些和制造者有關的線索，根據這些線索進一步的監測，逐步的把嫌疑人圈定在一定的范圍內。這個情況我們上報給公安部的案件辦理機構，這樣就實施了後期的抓獲。另外一個系統現在也初步建成了，就是建立國家病毒預警監控體系。這個體系去年列入到公安部的項目裡，在國內主要的網絡結點上編設自己的類似傳感器一樣，我們可以了解病毒在網絡上的一些實際數據，我們也通過它可以發現很多病毒的可能傳播的途徑。』

　　國家計算機病毒應急處理中心通過在網絡核心節點部署網絡預警系統，對網絡主要骨乾節點上的信息流進行監測，發現網絡中的計算機病毒和網絡安全事件，確定病毒傳播和網絡攻擊的種類、數量和來源，為用戶掌握信息網絡安全狀況，提高安全水平，打擊網絡違法犯罪活動、制定信息安全政策提供基礎數據和決策依據。

　　張健還說：『主要是對已知的病毒，我們對未知的病毒雖然也有一定的監控能力，但是還要提高，但是熊貓燒香有哪些點受到感染了，通過網絡在傳播，熊貓燒香有一個特點，它入侵一些網站之後或者是在自己的網站上，可以把自己的病毒和木馬放在上面，我們的預警體系都可以通過網上來發現，哪些是被掛馬的網站或者哪些用戶被感染。這些體系的互動和反病毒廠家，還有是公安部的預警體系，對這次案件的前期的監測包括線索的發現以及對嫌疑人的定位都發揮了很重要的作用。公安部一直在構建著網絡的綜合防控體系，這個體系是應急中心牽頭組織起全社會的力量，包括反病毒專家和眾多的網民，因為我們有很多的網絡用戶在感染的同時也要上報一些情況，我們形成多層次的整體的防控體系。這個體系在這次對病毒的處置和打擊方面都發揮了很重要的作用。這也是這些年公安部在這方面要求整個體系建設中做的工作，而且這個體系現在也能夠看到發揮作用，對於今後遏制和防范、打擊利用病毒和木馬技術進行網絡犯罪活動能夠有效的震懾和防范。』

　　計算機病毒和網絡攻擊監測預警系統推廣應用情況

　　該系統已在多種網絡環境中安裝使用，並作為國內重要會議和活動的網絡安全保障設備廣泛使用。在2005年初，首先在天津南開有線網絡安裝使用，該網絡是典型的千兆小區網絡，通過安裝使用該系統，發現網絡中很多的病毒和攻擊源頭，及時采取有效措施，幫助用戶清除病毒和加強網絡安全防范，減少了網絡侵害事件，提高了小區網絡的安全性。在其後，天津教育網也安裝使用了該系統，並收到了良好的效果。

　　2006年，國家計算機病毒應急處理中心建立的網絡安全服務中心，將該系統作為前端監測設備，為國內企事業單位的網絡提供安全在線監測服務和應急響應服務。國家計算機病毒應急處理中心希望與人民銀行等國家重點信息網絡應用部門開展安全預警服務的合作，為各部門建立預警中心，並可提供遠程的7X24小反病毒專家在線監測服務和技術支持與應急服務，服務內容包括：

　　1、對政府部門和企業用戶的病毒狀況進行評估。

　　2、幫助用戶其建立反病毒的整體解決方案，並協助其部署和實施。

　　3、提供7x24小時反病毒專家在線監測服務，包括計算機病毒大規模爆發、殺毒軟件病毒定義碼過期、網絡大規模癱瘓等。

　　4、提供快速的病毒事件應急響應和處理機制，並且為用戶提供解決方案和專殺工具。

　　5、通過呼叫中心為用戶提供反病毒諮詢服務。

　　6、提供有償的現場反病毒技術支持服務。

　　7、進行模擬病毒攻擊演習，發現網絡和使用人員的安全防范漏洞。

　　謹防熊貓燒香病毒的變種『餘患』

　　根據李俊的交代，他於2006年10月16日編寫了『熊貓燒香』。這是一種超強病毒，感染病毒的電腦會在硬盤的所有網頁文件上附加病毒。如果被感染的是網站編輯電腦，通過中毒網頁病毒就可能附身在網站所有網頁上，訪問中毒網站時網民就會感染病毒。『熊貓燒香』感染過天涯社區等門戶網站。

　　李俊以自己出售和由他人代賣的方式，將該病毒銷售給120餘人，非法獲利10萬餘元。經病毒購買者進一步傳播，該病毒的各種變種在網上大面積傳播，據估算，被『熊貓燒香』病毒控制的『網絡僵屍』數以百萬計。

　　據專家介紹，源代碼的泄漏很有可能被更多的不法分子所利用，尤其在春節病毒爆發猖獗的時期，『熊貓燒香』的變種很有可能再度大規模爆發。國家計算機應急處理中心的張主任也說到，熊貓燒香病毒的變種會在很長一段時間內依然存在。專家建議電腦用戶，一定要提高警惕，謹防『熊貓燒香』的變種大面積爆發。

　　專家建議用戶參照下列提示做好防范

　　1、局域網用戶盡量避免創建可寫的共享目錄，已經創建共享目錄的應立即停止共享。

　　2、如無必要，Windows 2000/XP用戶應盡量關閉IPC$共享，並給具有管理員權限的賬號設置強健的密碼。

　　3、及時安裝微軟的安全更新，不要隨意訪問來源不明的網站。特別是微軟的MS06-014漏洞，應立即打好該漏洞補丁。

　　5、QQ用戶請下載安裝最新版本的QQ軟件，已發現多起惡意網站利用QQ漏洞傳播『熊貓蠕蟲』病毒的現象。

　　6、使用U盤等移動設備交換文件時，要開啟殺毒軟件的實時監控，或先用殺毒軟件掃描，並關閉自動播放功能。

　　『熊貓燒香』病毒案再次敲響了網絡安全的警鍾。面對猖獗蔓延的計算機病毒，從公安機關到普通用戶，從制度建設到技術手段，絕不能掉以輕心，迫切需要進一步提高預防和打擊能力。