北方网消息(记者赵国栋):自去年11月以来,“熊猫烧香”蠕虫病毒开始在互联网上疯狂肆虐,引起社会各界高度关注。《2006年度中国大陆地区电脑病毒疫情和互联网安全报告》称其为“毒王”。反病毒专家发现,病毒作者在病毒中加入代码“WHBOY”(武汉男孩),纷纷猜测病毒作者可能来自武汉。湖北省公安厅12日宣布,根据统一部署,湖北网监在浙江、山东、广西、天津、广东、四川、江西、云南、新疆、河南等地公安机关的配合下,一举侦破了制作传播“熊猫烧香”病毒案,抓获李俊(男,25岁,武汉新洲区人)、雷磊(男,25岁,武汉新洲区人)等8名犯罪嫌疑人。这是我国破获的国内首例制作计算机病毒的大案。
病毒名称:Worm_Viking
中文名称:熊猫烧香
病毒类型:复合型
其它命名:Win32.Troj.Mirwhboy(金山) 、Worm.Nimaya.bc(瑞星)、Worm/Viking.qo(江民)
具体技术特征如下:这是一个由 Delphi 工具编写的蠕虫病毒,由于用户被感染之后可执行文件图标全部被改成熊猫烧香的样子,因此叫熊猫烧香病毒。它能感染系统中exe, com, pif, src, html, asp 等文件,它还能中止大量的反病毒软件和防火墙软件进程。
北方网记者就熊猫烧香病毒事件采访了国家计算机病毒应急处理中心的张健主任,获悉,国家计算机病毒应急处理中心去年11月通过对互联网的监测发现了“熊猫烧香”病毒,近期该病毒出现多个变种,病毒可以通过局域网共享以及U盘等多种途径传播,传播速度快,危害范围广,已有大量个人用户及企业局域网用户遭受感染。目前湖北警方正在对犯罪嫌疑人进行初步的审理,国家计算机病毒应急处理中心按照公安机关的部署和要求对相关的证据进行鉴定、分析、提取新的线索,详细的情况还需要和湖北警察进一步的联系和确认。
计算机病毒和网络攻击监测预警体系初见成效
张健说:“这起案件破获我们感觉是这些年在公安部的领导下我们建立的病毒防控预警体系的实践经验和成果,按照部里的要求,这些年我们一直致力于整个国家病毒预警体系的建设,实际上分为两大部分,一个是我们国家计算机病毒应急处理中心把我们所有的这些防病毒的厂家有效的组织起来,形成国家病毒应急小组,发现新的病毒之后厂家会上报给我们,包括病毒样本和报告,我们中心首先发现,发现病毒的我们会通过这个渠道统计给所有防病毒的厂家,这样就会加快我们对病毒的快速反映和处置能力。”
“在整个案件里我们已经发现了系统的作用,他们通过日常的监测就发现了熊猫烧香从去年11月就出现了这个病毒,通过我们对病毒的监测分析,一方面是要拿出应急的处置方案包括病毒软件的升级,让用户免受损失,同时我们对技术的角度详细分析,发现了一些和制造者有关的线索,根据这些线索进一步的监测,逐步的把嫌疑人圈定在一定的范围内。这个情况我们上报给公安部的案件办理机构,这样就实施了后期的抓获。另外一个系统现在也初步建成了,就是建立国家病毒预警监控体系。这个体系去年列入到公安部的项目里,在国内主要的网络结点上编设自己的类似传感器一样,我们可以了解病毒在网络上的一些实际数据,我们也通过它可以发现很多病毒的可能传播的途径。”
网络预警系统中心框图
计算机病毒监控预警系统框图
国家计算机病毒应急处理中心通过在网络核心节点部署网络预警系统,对网络主要骨干节点上的信息流进行监测,发现网络中的计算机病毒和网络安全事件,确定病毒传播和网络攻击的种类、数量和来源,为用户掌握信息网络安全状况,提高安全水平,打击网络违法犯罪活动、制定信息安全政策提供基础数据和决策依据。
预警体系可以通过网上来发现“熊猫烧香”
张健还说:“主要是对已知的病毒,我们对未知的病毒虽然也有一定的监控能力,但是还要提高,但是熊猫烧香有哪些点受到感染了,通过网络在传播,熊猫烧香有一个特点,它入侵一些网站之后或者是在自己的网站上,可以把自己的病毒和木马放在上面,我们的预警体系都可以通过网上来发现,哪些是被挂马的网站或者哪些用户被感染。这些体系的互动和反病毒厂家,还有是公安部的预警体系,对这次案件的前期的监测包括线索的发现以及对嫌疑人的定位都发挥了很重要的作用。公安部一直在构建着网络的综合防控体系,这个体系是应急中心牵头组织起全社会的力量,包括反病毒专家和众多的网民,因为我们有很多的网络用户在感染的同时也要上报一些情况,我们形成多层次的整体的防控体系。这个体系在这次对病毒的处置和打击方面都发挥了很重要的作用。这也是这些年公安部在这方面要求整个体系建设中做的工作,而且这个体系现在也能够看到发挥作用,对于今后遏制和防范、打击利用病毒和木马技术进行网络犯罪活动能够有效的震慑和防范。”
计算机病毒和网络攻击监测预警系统推广应用情况
该系统已在多种网络环境中安装使用,并作为国内重要会议和活动的网络安全保障设备广泛使用。在2005年初,首先在天津南开有线网络安装使用,该网络是典型的千兆小区网络,通过安装使用该系统,发现网络中很多的病毒和攻击源头,及时采取有效措施,帮助用户清除病毒和加强网络安全防范,减少了网络侵害事件,提高了小区网络的安全性。在其后,天津教育网也安装使用了该系统,并收到了良好的效果。
2006年,国家计算机病毒应急处理中心建立的网络安全服务中心,将该系统作为前端监测设备,为国内企事业单位的网络提供安全在线监测服务和应急响应服务。国家计算机病毒应急处理中心希望与人民银行等国家重点信息网络应用部门开展安全预警服务的合作,为各部门建立预警中心,并可提供远程的7X24小反病毒专家在线监测服务和技术支持与应急服务,服务内容包括:
1、对政府部门和企业用户的病毒状况进行评估。
2、帮助用户其建立反病毒的整体解决方案,并协助其部署和实施。
3、提供7x24小时反病毒专家在线监测服务,包括计算机病毒大规模爆发、杀毒软件病毒定义码过期、网络大规模瘫痪等。
4、提供快速的病毒事件应急响应和处理机制,并且为用户提供解决方案和专杀工具。
5、通过呼叫中心为用户提供反病毒咨询服务。
6、提供有偿的现场反病毒技术支持服务。
7、进行模拟病毒攻击演习,发现网络和使用人员的安全防范漏洞。
谨防熊猫烧香病毒的变种“余患”
根据李俊的交代,他于2006年10月16日编写了“熊猫烧香”。这是一种超强病毒,感染病毒的电脑会在硬盘的所有网页文件上附加病毒。如果被感染的是网站编辑电脑,通过中毒网页病毒就可能附身在网站所有网页上,访问中毒网站时网民就会感染病毒。“熊猫烧香”感染过天涯社区等门户网站。
李俊以自己出售和由他人代卖的方式,将该病毒销售给120余人,非法获利10万余元。经病毒购买者进一步传播,该病毒的各种变种在网上大面积传播,据估算,被“熊猫烧香”病毒控制的“网络僵尸”数以百万计。
据专家介绍,源代码的泄漏很有可能被更多的不法分子所利用,尤其在春节病毒爆发猖獗的时期,“熊猫烧香”的变种很有可能再度大规模爆发。国家计算机应急处理中心的张主任也说到,熊猫烧香病毒的变种会在很长一段时间内依然存在。专家建议电脑用户,一定要提高警惕,谨防“熊猫烧香”的变种大面积爆发。
专家建议用户参照下列提示做好防范
1、局域网用户尽量避免创建可写的共享目录,已经创建共享目录的应立即停止共享。
2、如无必要,Windows 2000/XP用户应尽量关闭IPC$共享,并给具有管理员权限的账号设置强健的密码。
3、及时安装微软的安全更新,不要随意访问来源不明的网站。特别是微软的MS06-014漏洞,应立即打好该漏洞补丁。
5、QQ用户请下载安装最新版本的QQ软件,已发现多起恶意网站利用QQ漏洞传播“熊猫蠕虫”病毒的现象。
6、使用U盘等移动设备交换文件时,要开启杀毒软件的实时监控,或先用杀毒软件扫描,并关闭自动播放功能。
“熊猫烧香”病毒案再次敲响了网络安全的警钟。面对猖獗蔓延的计算机病毒,从公安机关到普通用户,从制度建设到技术手段,绝不能掉以轻心,迫切需要进一步提高预防和打击能力。
| 
