您的位置:首页 > 理论基础 > 计算机网络

令人抓狂的rundl132和熊猫烧香

2007-07-14 17:57 459 查看
令人抓狂的rundl132和熊猫烧香

所里的局域网遭到病毒和流氓软件攻击,我的本本也跟着倒霉。一个星期都在杀Rundl132(logo_1)和熊猫烧香,瑞星查不到,卡巴斯基杀毒过程死机,C盘格了3次,重装无数次,可是其他盘不能格,还是白搭!还要拯救Bonnie的本本,太他妈浪费我的时间了。

LOGO1.EXE(威金病毒)工作原理

由于“维金”病毒(又称“威金”病毒)为Windows平台下集成可执行文件感染、网络感染、下载网络木马或其它病毒的复合型病毒,病毒运行后将自身伪装成系统正常文件,以迷惑用户,通过修改注册表项使病毒开机时可以自动运行,同时病毒通过线程注入技术绕过防火墙的监视,连接到病毒作者指定的网站下载特定的木马或其它病毒,同时病毒运行后枚举内网的所有可用共享,并尝试通过弱口令方式连接感染目标计算机。
  运行过程过感染用户机器上的可执行文件,造成用户机器运行速度变慢,破坏用户机器的可执行文件,给用户安全性构成危害。

Trojan资料:

最近网上正在流窜这一类木马-游戏大盗,KV 报病毒名: Trojan/PSW.GamePass ,这类木马还有一个好听的别名:落雪木马,呵呵,在浪漫的名称背后隐藏的是一双冰冷狡诈的眼睛!如果你正在打网络游戏,并且中了这种木马话,那么你的 IC,IP,IQ卡,游戏帐号和密码,也就统统告诉它密码了!
游戏大盗 Trojan/PSW.GamePass ,落雪木马由VB 语言编写,一般加的是 nSPack 3.1 的壳,也就是通常所说的北斗壳(North Star),该木马文件图标一般是红色的,很像网络游戏的登陆器。
落雪木马可以盗取包括魔兽世界,传奇世界,征途,梦幻西游,边锋游戏在内的多款网络游戏的帐号和密码,对网络游戏玩家的游戏装备构成了极大的威胁。
病毒行为分析:
病毒运行后,将创建下列文件(以Windows XP 系统为例):
c://program files//common files//iexplore.pif, 47274字节
c://program files//internet explorer//iexplore.com, 47274字节
c://windows.com, 47274字节
c://windows//debug//debugprogram.exe, 47274字节
c://windows//exeroute.exe, 47274字节
c://windows//explorer.com, 47274字节
c://windows//finder.com, 47274字节
c://windows//winlogon.exe, 47274字节
c://windows//System32//command.pif, 47274字节
c://windows//System32//dxdiag.com, 47274字节
c://windows//System32//finder.com, 47274字节
c://windows//System32//msconfig.com, 47274字节
c://windows//System32//regedit.com, 47274字节
c://windows//System32//rundll32.com, 47274字节

在注册表中添加下列启动项:

[HKEY_LOCAL_MACHINE//SOFTWARE//Microsoft//Windows//CurrentVersion//Run]
/"Torjan Program/" = %WinDir%//winlogon.exe

[HKEY_LOCAL_MACHINE//SOFTWARE//Microsoft//Windows NT//CurrentVersion//Winlogon]

/"Shell/" = explorer.exe 1

这样,在Windows启动时,病毒就可以自动执行。

病毒通过修改下列注册表键值,改变IE默认主页等信息:

[HKEY_CURRENT_USER//SOFTWARE//Microsoft//Internet Explorer//Main]

/"Check_Associations/" = no

病毒通过修改下列注册表键值,修改文件关联:

[HKEY_CLASSES_ROOT//dunfile//shell//open//command]
/"/" = %systemroot%//system32//rundll32.com netshell.dll,invokedunfile %1

[HKEY_CLASSES_ROOT//file//shell//open//command]
/"/" = rundll32.com url.dll,fileprotocolhandler %l

[HKEY_CLASSES_ROOT//htmlfile//shell//open//command]
/"/" = /"c://program files//internet explorer//iexplore.com/" -nohome

这样,用户打开任何dun html文件,都会再次运行病毒程序。

大家可以看到,该木马会生成很多文件,并且文件的大小都是一样的,这可能就是落雪木马名称的由来吧!其实这些文件都是同一个文件,只是文件名称不同而已。生成的病毒文件模拟成正常的工具名称,只是扩展名该成了 .com,这是利用了Windows操作系统执行.com文件的优先级比EXE文件高的特性,当用户调用 Msconfig.exe的时候,一般习惯上输入 Msconfig,而这是执行的并不是微软的Msconfig.exe程序,而是病毒文件 Msconfig.com ,可见病毒作者的“良苦用心”。
落雪木马会创建一个名为winlogon.exe 的进程,这个进程的路径是c://windows//winlogon.exe,以此来迷惑用户。

落雪木马会创建以下键值实现开机自启动:
[HKEY_LOCAL_MACHINE//SOFTWARE//Microsoft//Windows//CurrentVersion//Run] /"Torjan Program/"=/"CWINNT//WINLOGON.EXE/"

落雪木马还有一个很特别的地方,就是这个木马不仅仅感染C盘,还会在D 盘中也留下木马文件

autorun.inf 文件是一个自动运行的脚本程序,里面内容如下,

 

[autorun]
OPEN=D://pagefile.pif

很明显,即便是用户中毒之后将C盘的病毒杀干净了,一旦双击D盘还会重新感染落雪木马,可见这个木马的作者利用了人门很多操作习惯上的漏洞。

/"Generic host process for win32 services遇到问题需要关闭/"

附江民”落雪“专杀工具
http://www.jiangmin.com/download/TrojanKiller.exe

关于rundl132
档案编号:CISRT2006015
病毒名称:Trojan.Win32.Delf.rf(AVP)
病毒别名:
病毒大小:31,208 字节 (xiaran.dat大小13,888字节,MD5;511ad1cbae299a3ccaeb2a903bdd9000)
加壳方式:PE_Patch, NSPack
样本MD5:17307830f71c63fac3d4ee790267761d
发现时间:2006.7.31
更新时间:2006.7.31
关联病毒:Worm.Win32.Viking.r
      Trojan-PSW.Win32.Lineage.acw
      Trojan-PSW.Win32.Delf.fz
      Trojan-PSW.Win32.Lineage.acw
传播方式:通过恶意网站、其它病毒下载/释放等途径传播

技术分析
==========

这是一个QQ尾巴,用来传播Worm.Win32.Viking.r的,本身由Worm.Win32.Viking.r下载:0Sy.exe。

0Sy.exe是一个WinRAR自解压图标的程序,运行后释放xiaran.dat到:
%ProgramFiles%//Common Files//Microsoft Shared//MSInfo//xiaran.dat

创建ShellExecuteHooks:

CODE:[Copy to clipboard][HKEY_CLASSES_ROOT//CLSID//{BA8C2B95-A7E9-464B-A0A5-FFE9B8A1C030}//InProcServer32]
@=/"%ProgramFiles%//Common Files//Microsoft Shared//MSInfo//xiaran.dat/"

[HKEY_LOCAL_MACHINE//SOFTWARE//Microsoft//Windows//CurrentVersion//Explorer//ShellExecuteHooks]
/"{BA8C2B95-A7E9-464B-A0A5-FFE9B8A1C030}/"=/"/"
更改默认IE主页:

CODE:[Copy to clipboard][HKEY_CURRENT_USER//Software//Microsoft//Internet Explorer//Main]
/"Start Page/"=/"http://u4.sky99.cn/"
每3秒恢复一次。

监视QQ聊天窗口,向好友发送QQ尾巴信息:

CODE:[Copy to clipboard]麻烦帮我朋友投个票啦!她正在竞选QQ小姐,参选Q-Zone空间上有她近照,点击为她增加人气,先谢谢喽……

http://q-zone.qq.c0m.%30%76%34%2E%6F%72%67/cgi-bin/Photo=No.947564
加密地址解释为:
http://q-zone.qq.c0m.0v4.org/cgi-bin/Photo-No.947564

清除步骤
==========

1. 在注册表里删除病毒建立的ShellExecuteHooks信息:

CODE:[Copy to clipboard][HKEY_CLASSES_ROOT//CLSID//{BA8C2B95-A7E9-464B-A0A5-FFE9B8A1C030}]

[HKEY_LOCAL_MACHINE//SOFTWARE//Microsoft//Windows//CurrentVersion//Explorer//ShellExecuteHooks]
/"{BA8C2B95-A7E9-464B-A0A5-FFE9B8A1C030}/"
2. 重新启动计算机

3. 删除文件:
%ProgramFiles%//Common Files//Microsoft Shared//MSInfo//xiaran.dat

4. 更改IE主页设置

-------------------------------------------------

Viking.r rundl132.exe viDll.dll 0v4.org sky99 解决方案
档案编号:CISRT2006014
病毒名称:Worm.Win32.Viking.r(AVP)
病毒别名:
病毒大小:31,215 字节
加壳方式:UPack
样本MD5:5777fc2962e8b608c92572d919d34bea
发现时间:2006.7.31
更新时间:2006.7.31
关联病毒:Trojan.Win32.Delf.rf
      Trojan-PSW.Win32.Lineage.acw
      Trojan-PSW.Win32.Delf.fz
      Trojan-PSW.Win32.Lineage.acw
传播方式:通过QQ、恶意网站甚至感染文件等多种途径传播

技术分析
==========

相关文件:
%Windows%//rundl132.exe
%当前目录%//viDll.dll

又是一个Viking,和之前的变种一样,通过QQ、恶意网站、感染文件多种方式进行传播,恶意网站上下载下来的文件名是hou4.exe,恶意代码将其保存为%temp%//g0ld.com,并运行。

hou4.exe运行后复制自身到%Windows%//rundl132.exe,释放viDll.dll到当前目录插入Explorer.exe和iexplore.exe进程。

创建自启动项:

CODE:[Copy to clipboard][HKEY_CURRENT_USER//Software//Microsoft//Windows NT//CurrentVersion//Windows]

/"load/"=/"%Windows%//rundl132.exe/"
设置注册表信息:

CODE:[Copy to clipboard][HKEY_LOCAL_MACHINE//SOFTWARE//Soft//DownloadWWW]
/"auto/"=/"1/"
并尝试访问网络下载其它木马程序:
http://www.q.q.39com.net/vipmm4/qq4.exe
http://www.m.h.39com.net/vipmm4/mh4.exe
http://www.z.t.39com.net/vipmm4/zt4.exe
http://www.r.h.39com.net/vipmm4/rxjh4.exe
http://www.w.w.39com.net/vipmm4/wow4.exe
这些大多都是盗取网游帐号的木马。

另外,在实际测试过程中未发现感染exe文件的行为。如果感染文件,感染方式应该和之前变种类似,不感染主要系统目录下的exe文件:
system
system32
windows
Documents and Settings
System Volume Information
Recycled
winnt
Program Files//
Program Files//Windows NT
Program Files//WindowsUpdate
Program Files//Windows Media Player
Program Files//Outlook Express
Program Files//Internet Explorer
Program Files//ComPlus Applications
Program Files//NetMeeting
Program Files//Common Files
Program Files//Messenger
Program Files//Microsoft Office
Program Files//InstallShield Installation Information
Program Files//MSN
Program Files//Microsoft Frontpage
Program Files//Movie Maker
Program Files//MSN Gaming Zone

在被感染过的目录里留下_desktop.ini文件,记录感染日期。

发送ICMP数据包“Hello,World”,尝试通过administrator管理员帐户空密码访问感染局域网内其它计算机:
//ipc$
//admin$

清除步骤
==========

1. 结束病毒进程%Windows%//rundl132.exe

2. 删除文件:
%Windows%//rundl132.exe
viDll.dll(可以用搜索查找,如果无法删除可以重启后再行删除)

3. 删除病毒建立的自启动项和还有其它注册表信息:

CODE:[Copy to clipboard][HKEY_CURRENT_USER//Software//Microsoft//Windows NT//CurrentVersion//Windows]
/"load/"=/"%Windows%//rundl132.exe/"

[HKEY_LOCAL_MACHINE//SOFTWARE//Soft//DownloadWWW]

简单的解决方法:

1。先看有那些应用程序被感染了(我的是迅雷,REALONE,压缩工具)
2。先在进程里面关掉rundl132.exe程序,然后用HijackThis.exe扫描,选中其中有rundl132.exe的选项选择FIX CHECKED。
3。然后打开IceSword.exe关闭里面的一个后门的程序
4。然后把C://WINDOWS//rundl132.exe文件删除(有可能为迅雷,REALONE,压缩工具的图表)
5。删除全部被感染了的应用程序
6。打开注册表寻找rundl132,然后把有C://WINDOWS//rundl132.exe的选项全部删除
7。重新启动
8。重复检查上面的1~~7要是没有的话把删除的相关的软件在重新安装下
9。重新启动检查上面的1~~7,要是没有问题的话问题就解决了

论坛资料:
W32.Looked.I(Norton定义)Logo1.exe 及runld132.exe清除方法

病毒别名: 处理时间:2006-05-26 威胁级别:★
中文名称: 病毒类型:蠕虫 影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行为:
这是一个通过共享传播的蠕虫病毒。该病毒运行后除了会在系统目录中释放多个木马病毒,还会在除系统盘以为的其他所有磁盘根目录下释放木马病毒和自运行脚本,只要进入该磁盘,病毒就会运行。同时病毒还会修改大量的文件关联,使得用户每次打开这些文件的时候病毒就得到了运行。该蠕虫病毒是通过网络共享传播的,它会将自己拷贝到局域网内所有的共享目录和其所有子目录中,诱骗其他用户运行。

1.将自己拷贝到C://WINNT//rundl132.exe

2.释放另一蠕虫病毒到C://Program Files//svhost32.exe(也是worm.Beann)

3.添加注册表启动项:

蠕虫的:
HKCU//Software//Microsoft//Windows NT//CurrentVersion//Windows
/"load/"=/"C://WINNT//rundl132.exe/"
HKCU//Software//Microsoft//Windows NT//CurrentVersion//Windows
/"load/"=/"C://PROGRA~1//svhost32.exe/"

木马的:
HKLM//SOFTWARE//MICROSOFT//WINDOWS//CURRENTVERSION//RUN
11337

/"TProgram/"=/"C://WINNT//smss.exe/"
HKLM//SOFTWARE//MICROSOFT//WINDOWS//CURRENTVERSION//RUN
/"ToP/"=/"C://WINNT//LSASS.exe/"

4.在当前目录下释放vDll.dll

5.释放一传奇木马病毒C://WINNT//System32//ztdll.dll(Win32.Troj.Lineage.zc)

6..释放Win32.Troj.PSWWoW木马病毒的多个副本:
C://WINNT//1.com
C://WINNT//1SY.EXE
C://WINNT//smss.exe
C://WINNT//finders.com
C://WINNT//EXP10RER.com
C://WINNT//exerouter.exe
C://WINNT//System32//rund1132.com
C://WINNT//System32//command.pif
C://WINNT//System32//MSCONFIG.COM
C://WINNT//System32//dxdiag.com
C://WINNT//System32//regedit.com
C://WINNT//Debug//DebugProgram.exe
C://progra~1//intern~1//inexplore.com
C://progra~1//common~1//inexplore.pif

7.释放Win32.Troj.PSWLmir.xi木马病毒的多个副本:
C://WINNT//2SY.EXE
C://WINNT//LSASS.exe
C://WINNT//EXERT.exe
C://WINNT//System32//MSCONFIG.COM
C://WINNT//System32//dxdiag.com
C://WINNT//System32//regedit.com
C://WINNT//Debug//DebugProgram.exe
C://progra~1//intern~1//INTEXPLORE.com
C://progra~1//common~1//INTEXPLORE.pif

8.在其他盘根目录下释放Win32.Troj.PSWWoW病毒副本:
(在此只写了D盘的)
D://command.com
并生成一个D://autorun.inf,其内容如下:
[autorun]
OPEN=D://command.com

此外还有一个.ini文件,该文件只纪录了当前的日期
D://_desktop.ini
2006/5/26

9.将蠕虫拷贝到局域网所有的共享目录和其所有子目录中

10.修改大量文件关联:
HKLM//SOFTWARE//Classes//htmlfile//shell//open//command
(Default)=/"/"C://Program Files//Internet Explorer//inexplore.com/" -nohome/"
HKCR//CLSID//{871C5380-42A0-1069-A2EA-08002B30309D}//shell//OpenHomePage//Command
(Default)=/"/"C://Program Files//Internet Explorer//inexplore.com/"/"
HKCR//ftp//shell//open//command
(Default)=/"/"C://Program Files//Internet Explorer//inexplore.com/" %1/"
HKCR//htmlfile//shell//open//command
(Default)=/"/"C://Program Files//Internet Explorer//inexplore.com/" -nohome/"
HKCR//htmlfile//shell//opennew//command
(Default)=/"/"C://Program Files//common~1//inexplore.pif/"/"
HKCR//http//shell//open//command
(Default)=/"/"C://Program Files//common~1//inexplore.pif/" -nohome/"
HKLM//SOFTWARE//Classes//http//shell//open//command
(Default)=/"/"C://Program Files//common~1//inexplore.pif/" -nohome/"
HKCR//Drive//shell//find//command
(Default)=/"%SystemRoot%//EXP10RER.com/"
HKLM//SOFTWARE//Classes//htmlfile//shell//open//comman
(Default)=/"/"C://Program Files//Internet Explorer//inexplore.com/" -nohome/"
HKCR//CLSID//{871C5380-42A0-1069-A2EA-08002B30309D}//shell//OpenHomePage//Command
(Default)=/"/"C://Program Files//Internet Explorer//inexplore.com/"/"
HKCR//ftp//shell//open//command
(Default)=/"/"C://Program Files//Internet Explorer//inexplore.com/" %1/"
HKCU//Software//Microsoft//Windows//CurrentVersion//Explorer//Shell Folders
Cookies=/"C://Documents and Settings//jjwen1//Cookies/"
HKCR//htmlfile//shell//open//command
(Default)=/"/"C://Program Files//Internet Explorer//inexplore.com/" -nohome/"
HKCR//htmlfile//shell//opennew//command
(Default)=/"/"C://Program Files//common~1//inexplore.pif/"/"
HKCR//http//shell//open//command
(Default)=/"/"C://Program Files//common~1//inexplore.pif/" -nohome/"
HKLM//SOFTWARE//Classes//http//shell//open//command
(Default)=/"/"C://Program Files//common~1//inexplore.pif/" -nohome/"
HKCR//WindowFiles//shell//open//command
(Default)=/"C://WINNT//EXERT.exe /"%1/" %*/"
HKCR//.exe
(Default)=/"WindowFiles/"

这个比较难清理。注意注册表中一定要修改。
主要在以下选项中。以windows XP为例子。
HKEY_CURRENT_USER//Software//Microsoft//Windows NT//CurrentVersion//Windows//load 中加载rundl132.exe文件,删除掉load值为空
HKEY_USERS//Software//Microsoft//Windows NT//CurrentVersion//Windows//load 中加载rundl132.exe,删除掉load值为空
注意这个和rundll32.exe只差一个字母,

对于lsass.exe的病毒注意按论坛中相关贴了方法清除。
Norton 30号以可以清除次病毒。不过感染的exe文件也会被隔离。造成许多应用程序无法使用。
————————————————————

关于“熊猫烧香”:
在两个多月的时间里,“熊猫烧香”病毒迅速化身数百种,不断入侵个人电脑,感染门户网站和近千家大型企业。病毒作者留名“武汉男孩”,他对病毒的更新使反毒人士不断加班通宵熬夜。目前,业内人士对“武汉男孩”的身份存在3种猜测。

京华时报1月26日报道 这是一波电脑病毒蔓延的狂潮。在两个多月的时间里,数百万电脑用户被卷将进去,那只憨态可掬、颔首敬香的“熊猫”除而不尽,成为人们噩梦般的记忆。

反病毒工程师们将它命名为“尼姆亚”。它还有一个更通俗的名字———“熊猫烧香”。它迅速化身数百种,不断入侵个人电脑,感染门户网站,击溃企业数据系统……它的蔓延考问着网络的公共安全,同时引发了一场虚拟世界里“道”与“魔”的较量。

反病毒工程师和民间反病毒人士纷纷投身其中。

1月19日,一个最新的“熊猫烧香”变种病毒出现。病毒作者宣称,这将是“熊猫烧香”最后一次更新。

这场历时两个多月的较量结束了吗?

“蜜罐”中发现病毒

2006年11月14日,中关村瑞星公司总部14楼。

一群反病毒工程师围着一台与网络隔绝的电脑。随着鼠标点动,数百个熊猫图标出现在屏幕上。这是工程师们当天捕获的病毒,命名为“尼姆亚”。

史?r是瑞星公司研发部病毒组的反病毒工程师。他每天的工作就是,和数十名伙伴一起捕捉网上流传的病毒,然后将病毒“拆”开,研究其内部结构后,升级瑞星的病毒库。

当天下午,一名用户向他们提交了一份病毒样本。随后,他们又在病毒组的“蜜罐”内,发现了该病毒的踪影。

“蜜罐”是病毒组设立在互联网上的一些防卫性孱弱的服务器,工程师们故意在服务器上设置多种漏洞,诱使病毒侵入。“就像猎人做的沾满蜜糖的陷阱,专门吸引猎物上钩。”

从“蜜罐”里提取病毒后,史?r和同事们将病毒移到公司14楼的一台与网络隔离的电脑上,这里是病毒的“解剖台”。

“运行病毒之后,系统所有的图标都变成了熊猫。”史?r眼前的屏幕上,出现了一排排的熊猫图案,熊猫们手持三炷香,合十作揖。

经过分析,工程师们发现,在病毒卡通化的外表下,隐藏着巨大的传染潜力,它的传染模式和杀伤手段,与风行一时的“威金”病毒十分相像。瑞星公司随即发布病毒预警。

病毒蔓延涌向全国

“最开始的‘尼姆亚’不算厉害。”史?r说,随着病毒作者的不断更新,它的破坏力和传染力也随之上升。

2006年11月底,“尼姆亚”只有不到十个变种,然而12月开始,病毒作者从数日一更新,变为一日数更新,它的变种数量成倍上升。这时候,“熊猫烧香”已经取代了“尼姆亚”这个名字。

12月中旬,“熊猫烧香”进入急速变种期,在几次大面积暴发之后,“熊猫烧香”成为众多电脑用户谈之色变的词汇。

圣诞节过后,“熊猫烧香”版本已达到近百个。

史?r说,去年12月下旬,国内近千家大型企业感染“熊猫烧香”,向瑞星求助。“当病毒变种和感染人群超过一定数量时,病毒的传播就会以几何方式增长。”

12月26日,金山毒霸全球反病毒监测中心发布“熊猫烧香”正疯狂作案的病毒预警。

27日,江民科技发布关于“熊猫烧香”的紧急病毒警报。

2007年1月7日,国家计算机病毒应急处理中心紧急预警,“通过对互联网络的监测发现,一伪装成‘熊猫烧香’图案的蠕虫病毒传播,已有很多企业局域网遭受该蠕虫的感染。”

1月9日,“熊猫烧香”继续蔓延,开始向全国范围的电脑用户涌去。

这一天,“熊猫烧香”迎来了一次全国性的大规模暴发,它的的变种数量定格在306个。

各地用户纷纷中招

小江是黑龙江省一家网吧的网管。

1月9日到1月10日的两天间,他所在的网吧内空空荡荡,并无顾客,打开网吧的40多台电脑,屏幕上布满了“熊猫烧香”图标,系统崩溃,无法运行。

“毒是9日早晨中的,一开始只是一台机器,我杀毒时候,局域网内其他机器陆续中招。”小江说。

同一天早晨,在北京一家IT公司工作的刘先生上班后发现,公司近30台电脑全部感染“熊猫烧香”,病毒破坏了电脑内的程序文件,并删除了电脑备份,公司正在研发中的半成品软件毁于一旦。

刘先生愤怒之下却又无奈。在年度总结报告中,他特意加上了一条:“以后重要程序必须备份,防范类似‘熊猫烧香’的流氓病毒。”

同一天晚上,北京的一家报社里,技术人员们东奔西跑,几十名编辑记者都在等待着他们清除电脑里的“熊猫烧香”。

1月10日,上海一家台资公司的员工张先生打开电脑,迎接他的是一排排拱手举香的熊猫。环顾四周,他发现同事们脸上有同样的惊诧表情。整整一天,公司业务陷于瘫痪。

……

根据瑞星公司提供的“熊猫烧香”病毒用户求助数据,仅1月9日一天,瑞星用户向公司求助的人数已达1016人次,11日达到1002人次。因为是选择性求助,并仅限于瑞星杀毒软件的正版用户,这个数据只是冰山一角。

据了解,1月9日感染的电脑用户达数十万。其中北京、上海等电脑用户较集中的城市成为“重灾区”。

“熊猫”并未就此止步,它继续四处“烧香”。随着变种的不断增多,病毒洪潮蔓延无休,并且愈演愈烈。

截至目前,“熊猫烧香”病毒变种已达416个,受感染电脑用户达到数百万台。

1月22日,国家计算机病毒应急处理中心再次发出警报,在全国范围内通缉“熊猫烧香”。

门户网站遭遇感染

1月24日,北京市政府信息工作办公室在官方网站上设立了“熊猫烧香”病毒专题,其中撰文称:“一种伪装成‘熊猫烧香’图案的病毒正在疯狂作案……目前已有多家企业局域网和网站遭受重创,多数网民也深受其害。”

“熊猫烧香”因何难退?

“‘熊猫烧香’和以往的病毒不同,它采用了一种新的传播手段。”史?r说,传统的蠕虫病毒是通过一台中毒电脑传至局域网内其他电脑,而“熊猫烧香”在整合了所有可利用的传播漏洞之外,还可以通过网站传播。

感染“熊猫烧香”的电脑,会在硬盘的所有网页文件上附加病毒。“如果被感染的是网站编辑和记者的电脑,那么通过中毒的网页,‘熊猫烧香’就可能附身在网站的所有网页上。”史?r说,访问这种中毒的网站时,网民就会感染“熊猫烧香”病毒。

从传统的点对点,到现在的点对面,“熊猫烧香”借助中毒网站的惊人访问量急速传播。

据反病毒工程师称,他们曾监控到,“熊猫烧香”感染过天涯社区、硅谷动力、pconline等门户网站,在暴风影音等知名软件的下载链接中也曾有“熊猫烧香”附身的痕迹。同时,“熊猫烧香”还可借助搜索引擎进行病毒传播。

“借助局域网天女散花,借助门户网站星火燎原,借助U盘死灰复燃。”史?r说,“熊猫烧香”的三项主要传播方式,成为病毒难以退去的主要原因。

反毒人士抗击病毒

史?r说,自去年圣诞节之后,瑞星公司病毒组就开始不断加班,每当“熊猫烧香”发布新变种,工程师们就立即采集样本,解剖病毒,并升级相应的专杀工具。

“这段时间里,通宵熬夜就有4次。”

“‘熊猫烧香’技术谈不上高超,主要依赖于作者不断疯狂地更新,它更新,我们就随之更新专杀工具。”史?r说,“熊猫烧香”善于利用新漏洞,比如1月8日的变种就利用了QQ一项最新的安全漏洞。

“熊猫烧香”诞生至今,病毒版本修改了400余次,史?r和同事们开发的专杀工具也升级了10余次。

除杀毒软件公司外,散布在网民中的“反毒高手”在抗击“熊猫烧香”中同样发挥了重要作用。

在卡卡网络社区的反病毒论坛上,云集着不少电脑高手,他们大都是业余编程爱好者,时常一起研究杀毒技术。“熊猫烧香”刚现身,就引起了他们的注意。

2006年10月底,在瑞星公司尚未捕获“熊猫烧香”病毒时,程序高手“农夫”就已经拿到了当时的“熊猫烧香”病毒样本,并编写了专杀工具。此后,每当“熊猫烧香”发布变种时,反病毒论坛的网友mopery和艾玛等人,就会写一份详细的变种分析报告,指出病毒的危险性和新特性。

“其实民间的杀毒高手很多。”史?r说,他自己以前就是一名民间高手,高中时代起就爱好研究病毒,大学毕业后被杀毒软件公司招募。所以,他现在经常会浏览一些著名技术论坛,如果民间高手有一些好的想法,病毒组也会借鉴。

史?r说,他手头掌握着一张“底牌”———“未知病毒查杀”。他说,这种杀毒办法可以判断病毒的“家族特征”,只要变种符合一系列特征,专杀工具就能有效查杀。

史?r介绍了这种新专杀工具的工作原理,但他要求记者报道时隐藏该项内容,“让病毒作者知道了就麻烦了,这是我们取胜的杀手锏。”

一场未结束的战争

1月19日,“熊猫烧香”发布了一个新的变种,病毒作者同时宣称,这将是“熊猫烧香”最后一次更新。

消息传来,在卡卡社区上,饱受“熊猫烧香”折磨的网民们一片雀跃。高兴之余,他们开始反思得失。

在反病毒论坛上,网友tom2000发表了一篇名为《熊猫启示录———风波过后的反思》帖子,文中称:“以后有多少新的病毒/木马会借鉴熊猫的经验呢?一切才刚刚开始!”

业内专家认为,中国的互联网处于起步初期,大部分网民缺乏最基本的网络安全防范知识,也缺少良好的上网习惯。安全意识的薄弱,给病毒大面积传播带来可乘之机。同时,随着计算机在各个行业的普及,病毒造成的损害也将越来越严重。

1月24日下午,反病毒工程师们又发现了一种新型病毒,这种病毒和“熊猫烧香”十分相似,工程师怀疑它是“熊猫烧香”作者创作的新版本病毒。

这种病毒会把受感染用户电脑上的所有图标换成一个男子的头像,在头像的眼睛位置是两个电灯泡。

反病毒工程师们担心的是,“灯泡男子”会不会成为“熊猫烧香”的接班人。

“这是一场看不见硝烟的战争,对我们而言,战争还在继续。”史?r说。

病毒作者留名“武汉男孩”

谁制造了“熊猫烧香”?他意欲何为?在“熊猫烧香”肆虐期间,关于作者身份的种种猜测流传于互联网上。

在某网站“熊猫烧香”贴吧中,数百名深受“熊猫”所害的网民发帖“通缉”病毒制造者,更有网民声称开出10万美元的悬赏花红。

昨天,反病毒工程师向记者透露,“熊猫烧香”的作者并非无迹可寻,在解剖病毒过程中,他们发现了留在病毒内的一些神秘留言。在这些留言里,“熊猫烧香”的作者自称whboy———“武汉男孩”。

“熊猫”体内暗藏留言

mopery是卡卡社区反病毒论坛的版主,也是一名反病毒高手。

2006年10月中旬,mopery接到网友求助。在帮忙解决电脑故障的过程中,他拿到了一个病毒样本,它就是“熊猫烧香”的原始版本。

将病毒“解剖”之后,在繁复的程序代码中,mopery看到了一段与程序无关的信息,其中有一行字母:“whboy”。

“whboy”这个名字,对于病毒研究者有着不一般的含义。2004年,whboy即发布了其创作的病毒“武汉男孩”,那是一种通过QQ传播的盗号木马,因为其变种的疯狂和传播的广泛,一年后,被江民反病毒中心列入2005年十大病毒之列。

此后,whboy还在一些病毒论坛和黑客论坛发帖,表示可以提供盗取QQ号服务,但不久后便销声匿迹,直至“熊猫”出现。

mopery对“熊猫烧香”进行了认真分析。他发现,这种病毒并不拥有最厉害的技术,却拥有最成熟的传播手段。

mopery对“熊猫烧香”产生了浓厚的兴趣,他联系了另一名民间反病毒高手农夫,在2006年10月25日推出了第一款专杀工具:尼姆亚蠕虫专杀。

“第一只熊猫没什么威力,厉害的是后面的变种。”mopery说,从发现第一版“熊猫烧香”后,一个月内,它的变种就达到了十几种。

在这些变种中,每隔一段时间,作者都有意在病毒中留下whboy字样。“他主要给我们这些分析病毒的人看,普通用户看不到代码。”

随着变种增多,反病毒人士在连续解剖病毒的同时,开始期待更多留言出现。

病毒内部列出“鸣谢单位”

2006年12月初,“熊猫烧香”变种加速,代码中除了whboy字样外,又多了一行汉字:“武汉男孩感染下载者。”随着变种的增多,代码内附带的信息也越来越多。

此时,mopery和艾玛已经加入抗击“熊猫烧香”的大军当中。他们分析熊猫的新变种,并在卡卡社区反病毒论坛上,贴出一份份详细的病毒分析报告。

他们的举动,吸引了病毒作者“武汉男孩”的注意力。在1月初一份病毒变种中,神秘留言再次更新。

“感谢mopery对此木马的关注。”留言中新添的这句话,让mopery啼笑皆非。随后,武汉男孩似乎迷恋上了这种病毒内部列出“鸣谢单位”的模式,在1月5日的病毒留言中,感谢名单上添加了艾玛的名字。1月9日,感谢名单中又多了杀毒高手“海色之月”的名字,文末还添加了一句“服了……艾玛…… ”

此后,武汉男孩开始频繁用这种方式与对手“交流”。

1月15日,武汉男孩还在留言中和反毒者taylor77打起了招呼:“taylor77,不知道找我啥事啊?”并且戏言:“我制作的病毒已经‘满城尽烧国宝香’。”

网络世界高手对决一个月

1月16日,武汉男孩发布了新的病毒变种,反毒者们习惯称之为“艾玛”版本。因为在这个病毒内部的留言中,写了22次艾玛的名字。

1月19日晚,“熊猫烧香”发布了最后一次更新。这个版本可称为传染手段最全面的版本。

在“熊猫烧香”的最后一个版本中,武汉男孩写下了临别赠语:“在此对各位中过此木马的网友和各位网管人员表示深深的歉意!对不起,你们辛苦了!mopery,很想和你们交流下!某某原因,我想还是算了!”

面对“熊猫烧香”停止更新的消息,反病毒工程师史?r显得很平静:“我们希望熊猫风波就此结束,但是武汉男孩有失言的先例。总之他只要更新,我们就奉陪到底。”

对于持续对决一个多月,却不知藏身何处的武汉男孩,mopery的赠言是:“我希望他能好好利用自己的技术来服务广大网民,而不是给网民带来痛苦。”

“武汉男孩”身份存仨版本

虽然武汉男孩表示不再更新“熊猫烧香”,但这场席卷全国的病毒狂潮却余波难平。

网民们纷纷猜测武汉男孩的真实身份。

经调查,目前在业内人士中,关于武汉男孩的身份有三种猜测。其一,武汉男孩是一名15岁的武汉少年,证据是网络上流传的他和反毒者农夫的QQ对话。其二,武汉男孩是桂林一家软件公司的副总裁,曾编写过流氓软件,消息来源是反病毒论坛。其三,武汉男孩是国内杀毒软件公司的员工,故意编写病毒,促销相应的杀毒产品。

为核证传言,记者分别采访了mopery和瑞星公司反病毒工程师史?r。

mopery称,经过他和农夫的核证,证实流传的QQ聊天片断的主人公,是另外一种病毒的作者,而非武汉男孩。至于公司副总的说法,属空穴来风。

作为杀毒软件公司的员工,史?r说,每次大型病毒流传后,总有各种对杀毒软件公司不利的传言,但杀毒软件界的程序员不会编写病毒、扰乱网络。他反问道:“流感病毒是医生制作的么?”

mopery和史?r都表示,从留言的内容和程序代码来看,武汉男孩是一位有丰富病毒编写经验的熟手,经常浏览卡卡社区反病毒论坛,随时关注mopery等人的病毒分析。卡卡社区有59万余名会员,武汉男孩一定身在其中,但这个范围却再难缩小。“武汉男孩本身精通网络技术和入侵技术,通过他上网的痕迹追查真身很难实现。”mopery说。

“熊猫烧香”带有商业目的

史?r说,他们经过分析认为,“熊猫烧香”带有强烈的商业目的,“用户感染病毒后,会从后台点击国外的网站,部分变种中含有盗号木马,病毒作者可借此牟利。”

“现在的病毒作者和上世纪90年代的不同,他们不再以炫耀技术为目的,而是带有明确商业目的,病毒和流氓软件界限越来越模糊了。”史?r说。

昨天下午,瑞星公司工作人员表示,已将病毒作者的相关证据和病毒特性提交给国家计算机病毒应急处理中心。国家计算机病毒应急处理中心工作人员称,关于这场“熊猫烧香”病毒风暴,受波及的电脑数字以及造成的经济损失等相关数据,目前正在统计,将于近日在其主页上公布。

关于是否向公安机关报案,这名工作人员表示,目前不便透露。

“我相信总有一天会见到武汉男孩真面目的。”mopery说。

内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 点击这里给我发消息
标签:  windows 杀毒软件 网络 c 网络游戏
相关文章推荐
新的分享
章节导航