「熊貓燒香」考問網路安全

　　

　　一排排憨態可掬、頷首敬香的「熊貓」成為人們噩夢般的記憶。京華時報記者 劉軍 攝

　　這是一波電腦病毒蔓延的狂潮。在兩個多月的時間裡，數百萬電腦用戶被卷將進去，那隻憨態可掬、頷首敬香的「熊貓」除而不盡，成為人們噩夢般的記憶。

　　反病毒工程師們將它命名為「尼姆亞」。它還有一個更通俗的名字———「熊貓燒香」。它迅速化身數百種，不斷入侵個人電腦，感染門戶網站，擊潰企業數據系統……它的蔓延考問著網路的公共安全，同時引發了一場虛擬世界里「道」與「魔」的較量。反病毒工程師和民間反病毒人士紛紛投身其中。

　　1月19日，一個最新的「熊貓燒香」變種病毒出現。病毒作者宣稱，這將是「熊貓燒香」最後一次更新。

　　這場歷時兩個多月的較量結束了嗎？

　　「蜜罐」中發現病毒

　　2006年11月14日，中關村瑞星公司總部14樓。

　　一群反病毒工程師圍著一台與網路隔絕的電腦。隨著滑鼠點動，數百個熊貓圖標出現在屏幕上。這是工程師們當天捕獲的病毒，命名為「尼姆亞」。

　　史瑀是瑞星公司研發部病毒組的反病毒工程師。他每天的工作就是，和數十名夥伴一起捕捉網上流傳的病毒，然後將病毒「拆」開，研究其內部結構后，升級瑞星的病毒庫。

　　當天下午，一名用戶向他們提交了一份病毒樣本。隨後，他們又在病毒組的「蜜罐」內，發現了該病毒的蹤影。

　　「蜜罐」是病毒組設立在網際網路上的一些防衛性孱弱的伺服器，工程師們故意在伺服器上設置多種漏洞，誘使病毒侵入。「就像獵人做的沾滿蜜糖的陷阱，專門吸引獵物上鉤。」

　　從「蜜罐」里提取病毒后，史瑀和同事們將病毒移到公司14樓的一台與網路隔離的電腦上，這裡是病毒的「解剖台」。

　　「運行病毒之後，系統所有的圖標都變成了熊貓。」史瑀眼前的屏幕上，出現了一排排的熊貓圖案，熊貓們手持三炷香，合十作揖。

　　經過分析，工程師們發現，在病毒卡通化的外表下，隱藏著巨大的傳染潛力，它的傳染模式和殺傷手段，與風行一時的「威金」病毒十分相像。瑞星公司隨即發布病毒預警。

　　病毒蔓延湧向全國

　　「最開始的『尼姆亞』不算厲害。」史瑀說，隨著病毒作者的不斷更新，它的破壞力和傳染力也隨之上升。

　　2006年11月底，「尼姆亞」只有不到十個變種，然而12月開始，病毒作者從數日一更新，變為一日數更新，它的變種數量成倍上升。這時候，「熊貓燒香」已經取代了「尼姆亞」這個名字。

　　12月中旬，「熊貓燒香」進入急速變種期，在幾次大面積暴發之後，「熊貓燒香」成為眾多電腦用戶談之色變的辭彙。

　　聖誕節過後，「熊貓燒香」版本已達到近百個。

　　史瑀說，去年12月下旬，國內近千家大型企業感染「熊貓燒香」，向瑞星求助。「當病毒變種和感染人群超過一定數量時，病毒的傳播就會以幾何方式增長。」

　　12月26日，金山毒霸全球反病毒監測中心發布「熊貓燒香」正瘋狂作案的病毒預警。

　　27日，江民科技發布關於「熊貓燒香」的緊急病毒警報。

　　2007年1月7日，國家計算機病毒應急處理中心緊急預警，「通過對網際網路路的監測發現，一偽裝成『熊貓燒香』圖案的蠕蟲病毒傳播，已有很多企業區域網遭受該蠕蟲的感染。」

　　1月9日，「熊貓燒香」繼續蔓延，開始向全國範圍的電腦用戶涌去。

　　這一天，「熊貓燒香」迎來了一次全國性的大規模暴發，它的的變種數量定格在306個。

　　各地用戶紛紛中招

　　小江是黑龍江省一家網吧的網管。1月9日到1月10日的兩天間，他所在的網吧內空空蕩蕩，並無顧客，打開網吧的40多台電腦，屏幕上布滿了「熊貓燒香」圖標，系統崩潰，無法運行。

　　「毒是9日早晨中的，一開始只是一台機器，我殺毒時候，區域網內其他機器陸續中招。」小江說。

　　同一天早晨，在北京一家IT公司工作的劉先生上班后發現，公司近30台電腦全部感染「熊貓燒香」，病毒破壞了電腦內的程序文件，並刪除了電腦備份，公司正在研發中的半成品軟體毀於一旦。

　　劉先生憤怒之下卻又無奈。在年度總結報告中，他特意加上了一條：「以後重要程序必須備份，防範類似『熊貓燒香』的流氓病毒。」

　　同一天晚上，北京的一家報社裡，技術人員們東奔西跑，幾十名編輯記者都在等待著他們清除電腦里的「熊貓燒香」。

　　1月10日，上海一家台資公司的員工張先生打開電腦，迎接他的是一排排拱手舉香的熊貓。環顧四周，他發現同事們臉上有同樣的驚詫表情。整整一天，公司業務陷於癱瘓。

　　……

　　根據瑞星公司提供的「熊貓燒香」病毒用戶求助數據，僅1月9日一天，瑞星用戶向公司求助的人數已達1016人次，11日達到1002人次。因為是選擇性求助，並僅限於瑞星殺毒軟體的正版用戶，這個數據只是冰山一角。

　　據了解，1月9日感染的電腦用戶達數十萬。其中北京、上海等電腦用戶較集中的城市成為「重災區」。

　　「熊貓」並未就此止步，它繼續四處「燒香」。隨著變種的不斷增多，病毒洪潮蔓延無休，並且愈演愈烈。

　　截至目前，「熊貓燒香」病毒變種已達416個，受感染電腦用戶達到數百萬台。

　　1月22日，國家計算機病毒應急處理中心再次發出警報，在全國範圍內通緝「熊貓燒香」。

　　 門戶網站遭遇感染

　　1月24日，北京市政府信息工作辦公室在官方網站上設立了「熊貓燒香」病毒專題，其中撰文稱：「一種偽裝成『熊貓燒香』圖案的病毒正在瘋狂作案……目前已有多家企業區域網和網站遭受重創，多數網民也深受其害。」

　　「熊貓燒香」因何難退？

　　「『熊貓燒香』和以往的病毒不同，它採用了一種新的傳播手段。」史瑀說，傳統的蠕蟲病毒是通過一台中毒電腦傳至區域網內其他電腦，而「熊貓燒香」在整合了所有可利用的傳播漏洞之外，還可以通過網站傳播。

　　感染「熊貓燒香」的電腦，會在硬碟的所有網頁文件上附加病毒。「如果被感染的是網站編輯和記者的電腦，那麼通過中毒的網頁，『熊貓燒香』就可能附身在網站的所有網頁上。」史瑀說，訪問這種中毒的網站時，網民就會感染「熊貓燒香」病毒。

　　從傳統的點對點，到現在的點對面，「熊貓燒香」藉助中毒網站的驚人訪問量急速傳播。

　　據反病毒工程師稱，他們曾監控到，「熊貓燒香」感染過天涯社區、矽谷動力、pconline等門戶網站，在暴風影音等知名軟體的下載鏈接中也曾有「熊貓燒香」附身的痕迹。同時，「熊貓燒香」還可藉助搜索引擎進行病毒傳播。

　　「藉助區域網天女散花，藉助門戶網站星火燎原，藉助U盤死灰復燃。」史瑀說，「熊貓燒香」的三項主要傳播方式，成為病毒難以退去的主要原因。

　　反毒人士抗擊病毒

　　史瑀說，自去年聖誕節之後，瑞星公司病毒組就開始不斷加班，每當「熊貓燒香」發布新變種，工程師們就立即採集樣本，解剖病毒，並升級相應的專殺工具。「這段時間裡，通宵熬夜就有4次。」

　　「『熊貓燒香』技術談不上高超，主要依賴於作者不斷瘋狂地更新，它更新，我們就隨之更新專殺工具。」史瑀說，「熊貓燒香」善於利用新漏洞，比如1月8日的變種就利用了QQ一項最新的安全漏洞。

　　「熊貓燒香」誕生至今，病毒版本修改了400餘次，史瑀和同事們開發的專殺工具也升級了10餘次。

　　除殺毒軟體公司外，散布在網民中的「反毒高手」在抗擊「熊貓燒香」中同樣發揮了重要作用。

　　在卡卡網路社區的反病毒論壇上，雲集著不少電腦高手，他們大都是業餘編程愛好者，時常一起研究殺毒技術。「熊貓燒香」剛現身，就引起了他們的注意。

　　2006年10月底，在瑞星公司尚未捕獲「熊貓燒香」病毒時，程序高手「農夫」就已經拿到了當時的「熊貓燒香」病毒樣本，並編寫了專殺工具。此後，每當「熊貓燒香」發布變種時，反病毒論壇的網友mopery和艾瑪等人，就會寫一份詳細的變種分析報告，指出病毒的危險性和新特性。

　　「其實民間的殺毒高手很多。」史瑀說，他自己以前就是一名民間高手，高中時代起就愛好研究病毒，大學畢業后被殺毒軟體公司招募。所以，他現在經常會瀏覽一些著名技術論壇，如果民間高手有一些好的想法，病毒組也會借鑒。

　　史瑀說，他手頭掌握著一張「底牌」———「未知病毒查殺」。他說，這種殺毒辦法可以判斷病毒的「家族特徵」，只要變種符合一系列特徵，專殺工具就能有效查殺。

　　史瑀介紹了這種新專殺工具的工作原理，但他要求記者報道時隱藏該項內容，「讓病毒作者知道了就麻煩了，這是我們取勝的殺手鐧。」

　　一場未結束的戰爭

　　1月19日，「熊貓燒香」發布了一個新的變種，病毒作者同時宣稱，這將是「熊貓燒香」最後一次更新。

　　消息傳來，在卡卡社區上，飽受「熊貓燒香」折磨的網民們一片雀躍。高興之餘，他們開始反思得失。

　　在反病毒論壇上，網友tom2000發表了一篇名為《熊貓啟示錄———風波過後的反思》帖子，文中稱：「以後有多少新的病毒/木馬會借鑒熊貓的經驗呢？一切才剛剛開始！」

　　業內專家認為，中國的網際網路處於起步初期，大部分網民缺乏最基本的網路安全防範知識，也缺少良好的上網習慣。安全意識的薄弱，給病毒大面積傳播帶來可乘之機。同時，隨著計算機在各個行業的普及，病毒造成的損害也將越來越嚴重。

　　1月24日下午，反病毒工程師們又發現了一種新型病毒，這種病毒和「熊貓燒香」十分相似，工程師懷疑它是「熊貓燒香」作者創作的新版本病毒。

　　這種病毒會把受感染用戶電腦上的所有圖標換成一個男子的頭像，在頭像的眼睛位置是兩個電燈泡。

　　反病毒工程師們擔心的是，「燈泡男子」會不會成為「熊貓燒香」的接班人。

　　「這是一場看不見硝煙的戰爭，對我們而言，戰爭還在繼續。」史瑀說。

　　（京華時報記者 王鵬）

要有網路安全意識,打開好補丁,做好安全設置,

偶用freebsd6，所以就沒被燒到。慶幸

原帖由 hihongwei 於 2007-1-28 17:55 發表
偶用freebsd6，所以就沒被燒到。慶幸

佩服！