熊猫烧香病毒幕后黑手曝光

不是成都人 · 发表于 2007-1-27 15:39

这是一波电脑病毒蔓延的狂潮。在两个多月的时间里，数百万电脑用户被卷将进去，那只憨态可掬、颔首敬香的“熊猫”除而不尽，成为人们噩梦般的记忆。
　　反病毒工程师们将它命名为“尼姆亚”。它还有一个更通俗的名字———“熊猫烧香”。它迅速化身数百种，不断入侵个人电脑，感染门户网站，击溃企业数据系统……它的蔓延考问着网络的公共安全，同时引发了一场虚拟世界里“道”与“魔”的较量。反病毒工程师和民间反病毒人士纷纷投身其中。

　　1月19日，一个最新的“熊猫烧香”变种病毒出现。病毒作者宣称，这将是“熊猫烧香”最后一次更新。

　　“蜜罐”中发现病毒

　　2006年11月14日，中关村瑞星公司总部14楼。一群反病毒工程师围着一台与网络隔绝的电脑。随着鼠标点动，数百个熊猫图标出现在屏幕上。这是工程师们当天捕获的病毒，命名为“尼姆亚”。

　　史瑀是瑞星公司研发部病毒组的反病毒工程师。他每天的工作就是，和数十名伙伴一起捕捉网上流传的病毒，然后将病毒“拆”开，研究其内部结构后，升级瑞星的病毒库。当天下午，一名用户向他们提交了一份病毒样本。随后，他们又在病毒组的“蜜罐”内，发现了该病毒的踪影。

　　“蜜罐”是病毒组设立在互联网上的一些防卫性孱弱的服务器，工程师们故意在服务器上设置多种漏洞，诱使病毒侵入。“就像猎人做的沾满蜜糖的陷阱，专门吸引猎物上钩。”从“蜜罐”里提取病毒后，史瑀和同事们将病毒移到公司14楼的一台与网络隔离的电脑上，这里是病毒的“解剖台”。“运行病毒之后，系统所有的图标都变成了熊猫。”史瑀眼前的屏幕上，出现了一排排的熊猫图案，熊猫们手持三炷香，合十作揖。

　　经过分析，工程师们发现，在病毒卡通化的外表下，隐藏着巨大的传染潜力，它的传染模式和杀伤手段，与风行一时的“威金”病毒十分相像。瑞星公司随即发布病毒预警。

　　病毒蔓延涌向全国

　　“最开始的‘尼姆亚’不算厉害。”史瑀说，随着病毒作者的不断更新，它的破坏力和传染力也随之上升。2006年11月底，“尼姆亚”只有不到十个变种，然而12月开始，病毒作者从数日一更新，变为一日数更新，它的变种数量成倍上升。这时候，“熊猫烧香”已经取代了“尼姆亚”这个名字。12月中旬，“熊猫烧香”进入急速变种期，在几次大面积暴发之后，“熊猫烧香”成为众多电脑用户谈之色变的词汇。圣诞节过后，“熊猫烧香”版本已达到近百个。

　　史瑀说，去年12月下旬，国内近千家大型企业感染“熊猫烧香”，向瑞星求助。“当病毒变种和感染人群超过一定数量时，病毒的传播就会以几何方式增长。”1月9日，“熊猫烧香”继续蔓延，开始向全国范围的电脑用户涌去。这一天，“熊猫烧香”迎来了一次全国性的大规模暴发，它的的变种数量定格在306个。

　　各地用户纷纷中招

　　根据瑞星公司提供的“熊猫烧香”病毒用户求助数据，仅1月9日一天，瑞星用户向公司求助的人数已达1016人次，11日达到1002人次。因为是选择性求助，并仅限于瑞星杀毒软件的正版用户，这个数据只是冰山一角。

　　据了解，1月9日感染的电脑用户达数十万。其中北京、上海等电脑用户较集中的城市成为“重灾区”。

　　“熊猫”并未就此止步，它继续四处“烧香”。随着变种的不断增多，病毒洪潮蔓延无休，并且愈演愈烈。截至目前，“熊猫烧香”病毒变种已达416个，受感染电脑用户达到数百万台。

　　“熊猫烧香”因何难退

　　“‘熊猫烧香’和以往的病毒不同，它采用了一种新的传播手段。”史瑀说，传统的蠕虫病毒是通过一台中毒电脑传至局域网内其他电脑，而“熊猫烧香”在整合了所有可利用的传播漏洞之外，还可以通过网站传播。感染“熊猫烧香”的电脑，会在硬盘的所有网页文件上附加病毒。“如果被感染的是网站编辑和记者的电脑，那么通过中毒的网页，‘熊猫烧香’就可能附身在网站的所有网页上。”史瑀说，访问这种中毒的网站时，网民就会感染“熊猫烧香”病毒。从传统的点对点，到现在的点对面，“熊猫烧香”借助中毒网站的惊人访问量急速传播。

　　据反病毒工程师称，他们曾监控到，“熊猫烧香”感染过天涯社区、硅谷动力、pconline等门户网站，在暴风影音等知名软件的下载链接中也曾有“熊猫烧香”附身的痕迹。同时，“熊猫烧香”还可借助搜索引擎进行病毒传播。

　　“借助局域网天女散花，借助门户网站星火燎原，借助U盘死灰复燃。”史瑀说，“熊猫烧香”的三项主要传播方式，成为病毒难以退去的主要原因。

　　反毒人士抗击病毒

　　史瑀说，自去年圣诞节之后，瑞星公司病毒组就开始不断加班，每当“熊猫烧香”发布新变种，工程师们就立即采集样本，解剖病毒，并升级相应的专杀工具。“这段时间里，通宵熬夜就有4次。”“‘熊猫烧香’技术谈不上高超，主要依赖于作者不断疯狂地更新，它更新，我们就随之更新专杀工具。”史瑀说，“熊猫烧香”善于利用新漏洞，比如1月8日的变种就利用了QQ一项最新的安全漏洞。

　　“熊猫烧香”诞生至今，病毒版本修改了400余次，史瑀和同事们开发的专杀工具也升级了10余次。

　　除杀毒软件公司外，散布在网民中的“反毒高手”在抗击“熊猫烧香”中同样发挥了重要作用。

　　一场未结束的战争

　　1月19日，“熊猫烧香”发布了一个新的变种，病毒作者同时宣称，这将是“熊猫烧香”最后一次更新。

　　1月24日下午，反病毒工程师们又发现了一种新型病毒，这种病毒和“熊猫烧香”十分相似，工程师怀疑它是“熊猫烧香”作者创作的新版本病毒。这种病毒会把受感染用户电脑上的所有图标换成一个男子的头像，在头像的眼睛位置是两个电灯泡。反病毒工程师们担心的是，“灯泡男子”会不会成为“熊猫烧香”的接班人。

　　病毒内部列出“鸣谢单位”

　　2006年12月初，“熊猫烧香”变种加速，代码中除了whboy字样外，又多了一行汉字：“武汉男孩感染下载者。”随着变种的增多，代码内附带的信息也越来越多。随后，武汉男孩似乎迷恋上了这种病毒内部列出“鸣谢单位”的模式，在1月5日的病毒留言中，感谢名单上添加了艾玛的名字。1月9日，感谢名单中又多了杀毒高手“海色之月”的名字，文末还添加了一句“服了……艾玛…… ”

　　在“熊猫烧香”的最后一个版本中，武汉男孩写下了临别赠语：“在此对各位中过此木马的网友和各位网管人员表示深深的歉意！对不起，你们辛苦了！

　　面对“熊猫烧香”停止更新的消息，反病毒工程师史瑀显得很平静：“我们希望熊猫风波就此结束，但是武汉男孩有失言的先例。总之他只要更新，我们就奉陪到底。”

　　“熊猫烧香”带有商业目的

　　史瑀说，他们经过分析认为，“熊猫烧香”带有强烈的商业目的，“用户感染病毒后，会从后台点击国外的网站，部分变种中含有盗号木马，病毒作者可借此牟利。现在的病毒作者和上世纪90年代的不同，他们不再以炫耀技术为目的，而是带有明确商业目的，病毒和流氓软件界限越来越模糊了。”

　　昨天下午，瑞星公司工作人员表示，已将病毒作者的相关证据和病毒特性提交给国家计算机病毒应急处理中心。国家计算机病毒应急处理中心工作人员称，关于这场“熊猫烧香”病毒风暴，受波及的电脑数字以及造成的经济损失等相关数据，目前正在统计，将于近日在其主页上公布。

24米的阳光 · 发表于 2007-1-30 14:59

疯子。。。。。。。。

八公里 · 发表于 2007-1-30 15:28

但那娃也玩得过火了点.....要让人抓住就惨了...

sky131421 · 发表于 2007-1-30 15:34

变态了。

开水 · 发表于 2007-1-31 11:30

抓住了不会惨直接就进了国家安全中心

小雷 · 发表于 2007-1-31 19:57

我看到他要弄他一顿 ` ` `整到我17天换把次系统。。。。。

小雷 · 发表于 2007-1-31 19:58

我看到他要弄他 ` ` `整到我17天换把次系统。。。。。

不是成都人 · 发表于 2007-2-1 10:19

原帖由小雷于 2007-1-31 19:58 发表
我看到他要弄他 ` ` `整到我17天换把次系统。。。。。

呵呵,GHO文件都要被删除,简直变态~~

木鱼 · 发表于 2007-2-1 10:50

又变成“金猪”了

开水 · 发表于 2007-2-1 14:06

等到大家现在在动物园里面看见熊猫都想杀了

不是成都人 · 发表于 2007-2-1 16:42

现在看到007的头像都遭不住~~

伟哥 · 发表于 2007-2-1 16:49

厉害厉害..........

开心 · 发表于 2007-2-4 11:33

中毒是老火,但不的不说这也是人才,厉害

jajah · 发表于 2007-2-8 14:33

上次我就中了这个东东,还好我当时打开了完全影子模式,重启后就恢复如初了!
听说熊猫烧香还可自动搜索GHO文件进行删除,好恐怖哦.

jajah · 发表于 2007-2-8 14:33

上次我就中了这个东东,还好我当时打开了完全影子模式,重启后就恢复如初了!
听说熊猫烧香还可自动搜索GHO文件进行删除,好恐怖哦.

		自动登录	找回密码
密码			立即注册

[同城生活] 熊猫烧香病毒幕后黑手曝光

好玩哈

中华儿女

龙的传人

论坛卫士

风雨同舟

特殊贡献

活动精英

爱心天使

热心肠

“简阳论坛会员卡”持有者

“简阳论坛文化衫”拥有者

活力四射

热情洋溢

激情奔放

勤奋大师

08年前曾被评选为优秀版主

2009年优秀版主

10元计划

“勇者无畏”爱心献血勋章

2008年优秀版主

男生

家有宝贝

QQ达人

退役版主