超级病毒肆虐互联网 “熊猫烧香”全追查[图]

超级病毒岁末年初肆虐互联网，百万网民千家企业受害

　　■病毒档案

　　缉毒目标：Worm.WhBoy.h

　　中文名：“熊猫烧香”

　　病毒长度：可变

　　病毒类型：蠕虫

　　危害等级：★★★★

　　影响平台：Win9X/ME/NT/2000/XP/2003

　　2006年的圣诞节刚过，人们正沉浸在新年的气氛中，没有人会想到打开电脑后会撞上一个可怕的病毒。12月26日下午，正准备下班的江民、瑞星等杀毒厂商的工作人员陆续接到各地网民的求助电话。接下来的几天，求助者越来越多，从个人用户到企业用户，甚至有网吧业主哭诉数百台机器全部瘫痪。他们意识到，又一种可以与年度毒王相提并论的新病毒出现了。这个近期疯狂肆虐互联网，令上百万网民、上千家企业深受其害的病毒就是“熊猫烧香”。

　　超级病毒一月产生600余变种

　　“我的电脑瘫痪了，系统变得十分缓慢，什么都干不了。”“所有EXE文件的图标都变成了一只小熊猫在烧香。”一个又一个求助电话叙述的电脑中毒症状几乎全部相似。江民、瑞星、金山等国内杀毒厂商，甚至连卡巴斯基、趋势、赛门铁克等国外公司也纷纷加班分析病毒样本，并在第一时间推出专杀工具。但是，“熊猫烧香”的厉害程度显然超出反病毒工程师们的想象。在短短一周内，“熊猫烧香”出现超过50个变种。根据瑞星反病毒监测网统计的数据，截止到目前的一个月时间内，已经有600多个变种。“也就是说，即使杀毒软件升级得再及时，也会有新的变种出来逃过杀毒软件的阻拦。而且电脑一旦中毒，清除起来就很麻烦。”一位反病毒工程师说。

　　“中毒”网友10万美元缉凶

　　据反病毒专家何公道介绍，来势汹汹的“熊猫烧香”病毒经诊断与之前的“威金”蠕虫病毒有着很大关系，而后者已被江民等公司列为2006年十大病毒之首，也就是俗称的“毒王”。对于这次跨年度的病毒发作，何公道认为其正是利用了人们在圣诞节和元旦前后放假期间的松懈而趁机作乱，等到用户发现的时候已经来不及查杀。

　　据了解，国内已有上千家企业级用户受到“熊猫烧香”的影响。一位数百台电脑集体瘫痪的网吧业主对记者说，无奈停业已造成数十万元损失，“想杀人的心都有”。在一些论坛上，不少受害网友强烈要求捉拿病毒作者。在百度“熊猫烧香”帖吧，“中毒”的网友愤怒地发帖，声明愿出10万美元通缉“熊猫烧香”作者。此举还是互联网反病毒历史上的第一次。

　　传播危害程度超过“冲击波”

　　“几年前造成大面积影响的‘冲击波’病毒，也只是造成了系统的不断重启，而现在的”熊猫烧香“却是不断删除和更改系统文件，并且由于变种速度极快，让人防不胜防。”一位反病毒工程师说。

　　据他介绍，导致“熊猫烧香”病毒快速传播的原因主要有三个：一是大量的企业用户使用国外杀毒软件，而国外杀毒软件对于此类国产病毒响应速度较慢。二是一部分网站编辑或网站管理人员本身机器感染了病毒，由于病毒能够修改HTML文件，当他们把受感染文件上传到服务器后，访问者点击此类受感染网页即中毒。

　　三是病毒综合利用了多种漏洞和传播途径，如利用微软MS06-014漏洞感染HTML文件，通过QQ最新漏洞传播，通过网络文件共享、默认共享、系统弱口令、U盘及移动硬盘等多种途径传播。局域网中一台机器感染，可以瞬间传遍整个网络。

　　这就是说，即使公司的数百台电脑都被断开了网络连接，但只要有一台电脑进行了光盘、移动硬盘或U盘等方式的数据输入，理论上都存在被感染病毒的可能。

　　据反病毒专家介绍，此次出现的“熊猫烧香”病毒及其变种一般只是大规模爆发感染用户电脑，病毒作者的意图似乎只是想证明自己的能力。不过，据了解，在本周刚刚截获的最新变种病毒中，已经出现了盗窃网络游戏账号的行为。“黑客”似乎有意变身“网络大盗”。

　　■传播方式

　　植入网站借IE漏洞潜入用户电脑

　　接连两周，“熊猫烧香”的各个变种病毒在网上大肆传播，将所有感染的.exe文件图标换成“小熊猫”图案，还会修改部分文件，严重危害电脑用户的数据安全。

　　在安装了防火墙的企业局域网上，一旦用户访问IT门户或专业网站，这些网站上被种植的病毒就会利用IE浏览器的漏洞潜入用户电脑。根据监测，被“熊猫烧香”种植病毒的网站均在全球排名前300名之列，因此杀毒厂商估计目前已有上百万人受害。

　　这是一个由Delphi工具编写的蠕虫病毒，能够终止大量的反病毒软件和防火墙软件进程，病毒会删除扩展名为gho的文件，使用户无法使用ghost软件恢复操作系统。“熊猫烧香”感染系统的*.exe、*.com、*.pif、*.src、*.html、*.asp文件，添加病毒网址，导致用户一打开这些网页文件，IE就会自动连接到指定的病毒网址中下载病毒。在硬盘各个分区下生成文件autorun.inf和setup.exe.病毒还可以通过U盘和移动硬盘等方式进行传播，并且利用Windows系统的自动播放功能来运行。

　　“熊猫烧香”还可以修改注册表启动项，以使自身随操作系统同步运行。搜索硬盘中的*.EXE可执行文件并感染文件。该病毒还可以通过共享文件夹、系统弱口令等多种方式进行传播。

　　■缉毒行动

　　杀毒厂商争相提供免费下载服务

　　每到病毒大规模爆发之际都是反病毒公司施展拳脚之时。在去年12月底该病毒初显威力之时，江民、瑞星、金山等国内公司争先恐后推出了专杀工具，并且纷纷宣称免费提供给网民，几家公司的网络下载版也都提供了时间不等的免费使用功能。

　　但对于服务器设在国外的卡巴斯基、赛门铁克等公司，却由于光缆断裂无法及时升级而延误了“战机”，更新升级病毒库的速度明显不及国内反病毒厂商。

　　1月10日，江民开展了“新年无毒”大行动，实施三大举措：面向全国免费发放100万个月卡序列号；在江民网站免费提供一个月的江民杀毒软件下载；同时为部分城市企业用户提供免费上门杀毒等服务。

　　瑞星继续推行两个月的免费下载政策，并为那些使用国外杀毒软件而暂时无法升级的用户提供保障。

　　金山公司将该病毒等级列为“四星级重大”，并推出了一套整体解决方案。

　　同时金山毒霸还在第一时间内新增了对感染型流行病毒“熊猫烧香”的免疫能力。在服务期内的毒霸用户，将会通过金山毒霸的主动实时升级功能，自动升级到最新版本，实现对“熊猫烧香”的免疫。

　　■病毒追凶

　　武汉15岁少年制造疯狂“熊猫”？

　　反病毒工程师在多个病毒代码解析时发现了“WHBOY”字样，因此怀疑该病毒与去年变种冠军“武汉男生”同出一源。

　　“武汉男生”自从2004年被截获后出现了上千变种，被江民反病毒中心列入2005年十大病毒之列，两种病毒变种之频繁以及传播手法几乎如出一辙。

　　目前这种病毒还只在国内范围感染，由此也可断定病毒作者出自国内。

　　来自百度帖吧等热烈讨论“熊猫烧香”的论坛中的信息显示，病毒作者有可能是武汉当地一位15岁的天才少年，他在得意地用自己的计算机技术对抗中外众多反病毒厂商。

　　而反病毒公司的监测也证实了这一点。江民公司策划部经理曹凌翔告诉记者：“前不久，作者在一个变种源代码中留言，表示将不再更新病毒，而从作者对一些安全论坛的熟悉程度来看，病毒作者在一些安全论坛也留下不少踪迹。”曹凌翔所指的痕迹是论坛中的一些言论。“在此对各位中过此木马的网友和各位网管人员表示深深的歉意！对不起，你们辛苦了！

　　很想和你们交流一下！某某原因，我想还是算了……“但从后来”熊猫烧香“再次出现大量变种的状况来看，病毒作者不是自食其言就是另有他人。

　　■自卫支招

　　六招防范“熊猫”骚扰

　　反病毒专家提醒用户，已安装杀毒软件的用户建议立刻升级到最新病毒库，对电脑进行全盘查杀。

　　未安装杀毒软件的用户建议下载安装网上免费提供的熊猫烧香专杀工具，可以有效清除病毒和修复被感染文件。

　　与此同时，用户应该尽量做到：1、局域网用户尽量避免创建可写的共享目录，已经创建共享目录的应立即停止共享。

　　2、如无必要，Windows 2000/XP用户应尽量关闭IPC共享，并给具有管理员权限的账号设置可靠的密码。

　　3、及时安装微软的安全更新，不要随意访问来源不明的网站。特别是微软的MS06-014这一漏洞，应立即打好该漏洞补丁。

　　补丁下载地址：http://www.microsoft.com/china/technet/security/bulletin/ms06-014.mspx

　　4、由于“熊猫烧香”病毒变种特别快，因此如果一些网上的专杀工具更新不及时的话，也未必能够及时清除一些新的变种病毒。这时候最好是使用一些未知病毒检测工具。

　　把“检测”结果中可疑概率很高(通常在60%以上)的文件删除。这种方法对付一些新的病毒变种十分有效。但要注意不要把正常文件删掉。

　　5、QQ用户请下载安装最新版本的QQ软件。目前已发现多起恶意网站利用QQ漏洞传播该病毒的现象。

　　6、开启杀毒软件的网页监控功能，使用U盘等移动设备交换文件时，要开启杀毒软件的实时监控，或先用杀毒软件扫描，并关闭自动播放功能。

　　关闭自动播放功能方法如下：在“开始”菜单的“运行”框中运行“gpedit. msc”命令，在“组策略”找到“计算机配置”和“用户配置”下的“管理模板”功能，打开其中的“系统”菜单中的“关闭自动播放”的设置，在其属性里面选择“已启用”，接着选择“所有驱动器”，最后确定保存即可。