熊猫烧香病毒黑手曝光 曾造05十大病毒
来源:搜狐IT 作者:佚名 出处:综艺读书 2007-07-22 反病毒工程师们将它命名为“尼姆亚”。它还有一个更通俗的名字———“熊猫烧香”。
|
|
|||
它迅速化身数百种,不断入侵个人电脑,感染门户网站,击溃企业数据系统……它的蔓延考问着网络的公共安全,同时引发了一场虚拟世界里“道”与“魔”的较量。反病毒工程师和民间反病毒人士纷纷投身其中。
1月19日,一个最新的“熊猫烧香”变种病毒出现。病毒作者宣称,这将是“熊猫烧香”最后一次更新。
这场历时两个多月的较量结束了吗?
“蜜罐”中发现病毒
2006年11月14日,中关村瑞星公司总部14楼。
一群反病毒工程师围着一台与网络隔绝的电脑。随着鼠标点动,数百个熊猫图标出现在屏幕上。这是工程师们当天捕获的病毒,命名为“尼姆亚”。
史瑀是瑞星公司研发部病毒组的反病毒工程师。他每天的工作就是,和数十名伙伴一起捕捉网上流传的病毒,然后将病毒“拆”开,研究其内部结构后,升级瑞星的病毒库。
当天下午,一名用户向他们提交了一份病毒样本。随后,他们又在病毒组的“蜜罐”内,发现了该病毒的踪影。
“蜜罐”是病毒组设立在互联网上的一些防卫性孱弱的服务器,工程师们故意在服务器上设置多种漏洞,诱使病毒侵入。“就像猎人做的沾满蜜糖的陷阱,专门吸引猎物上钩。”
从“蜜罐”里提取病毒后,史瑀和同事们将病毒移到公司14楼的一台与网络隔离的电脑上,这里是病毒的“解剖台”。
“运行病毒之后,系统所有的图标都变成了熊猫。”史瑀眼前的屏幕上,出现了一排排的熊猫图案,熊猫们手持三炷香,合十作揖。
经过分析,工程师们发现,在病毒卡通化的外表下,隐藏着巨大的传染潜力,它的传染模式和杀伤手段,与风行一时的“威金”病毒十分相像。瑞星公司随即发布病毒预警。
病毒蔓延涌向全国
“最开始的‘尼姆亚’不算厉害。”史瑀说,随着病毒作者的不断更新,它的破坏力和传染力也随之上升。
2006年11月底,“尼姆亚”只有不到十个变种,然而12月开始,病毒作者从数日一更新,变为一日数更新,它的变种数量成倍上升。这时候,“熊猫烧香”已经取代了“尼姆亚”这个名字。
12月中旬,“熊猫烧香”进入急速变种期,在几次大面积暴发之后,“熊猫烧香”成为众多电脑用户谈之色变的词汇。
圣诞节过后,“熊猫烧香”版本已达到近百个。
史瑀说,去年12月下旬,国内近千家大型企业感染“熊猫烧香”,向瑞星求助。“当病毒变种和感染人群超过一定数量时,病毒的传播就会以几何方式增长。”
12月26日,金山毒霸全球反病毒监测中心发布“熊猫烧香”正疯狂作案的病毒预警。
27日,江民科技发布关于“熊猫烧香”的紧急病毒警报。
2007年1月7日,国家计算机病毒应急处理中心紧急预警,“通过对互联网络的监测发现,一伪装成‘熊猫烧香’图案的蠕虫病毒传播,已有很多企业局域网遭受该蠕虫的感染。”
1月9日,“熊猫烧香”继续蔓延,开始向全国范围的电脑用户涌去。
这一天,“熊猫烧香”迎来了一次全国性的大规模暴发,它的的变种数量定格在306个。
各地用户纷纷中招
小江是黑龙江省一家网吧的网管。1月9日到1月10日的两天间,他所在的网吧内空空荡荡,并无顾客,打开网吧的40多台电脑,屏幕上布满了“熊猫烧香”图标,系统崩溃,无法运行。
“毒是9日早晨中的,一开始只是一台机器,我杀毒时候,局域网内其他机器陆续中招。”小江说。
同一天早晨,在北京一家IT公司工作的刘先生上班后发现,公司近30台电脑全部感染“熊猫烧香”,病毒破坏了电脑内的程序文件,并删除了电脑备份,公司正在研发中的半成品软件毁于一旦。
刘先生愤怒之下却又无奈。在年度总结报告中,他特意加上了一条:“以后重要程序必须备份,防范类似‘熊猫烧香’的流氓病毒。”
同一天晚上,北京的一家报社里,技术人员们东奔西跑,几十名编辑记者都在等待着他们清除电脑里的“熊猫烧香”。
1月10日,上海一家台资公司的员工张先生打开电脑,迎接他的是一排排拱手举香的熊猫。环顾四周,他发现同事们脸上有同样的惊诧表情。整整一天,公司业务陷于瘫痪。
……
根据瑞星公司提供的“熊猫烧香”病毒用户求助数据,仅1月9日一天,瑞星用户向公司求助的人数已达1016人次,11日达到1002人次。因为是选择性求助,并仅限于瑞星杀毒软件的正版用户,这个数据只是冰山一角。
据了解,1月9日感染的电脑用户达数十万。其中北京、上海等电脑用户较集中的城市成为“重灾区”。
“熊猫”并未就此止步,它继续四处“烧香”。随着变种的不断增多,病毒洪潮蔓延无休,并且愈演愈烈。
截至目前,“熊猫烧香”病毒变种已达416个,受感染电脑用户达到数百万台。
1月22日,国家计算机病毒应急处理中心再次发出警报,在全国范围内通缉“熊猫烧香”。
门户网站遭遇感染
1月24日,北京市政府信息工作办公室在官方网站上设立了“熊猫烧香”病毒专题,其中撰文称:“一种伪装成‘熊猫烧香’图案的病毒正在疯狂作案……目前已有多家企业局域网和网站遭受重创,多数网民也深受其害。”
“熊猫烧香”因何难退?
“‘熊猫烧香’和以往的病毒不同,它采用了一种新的传播手段。”史瑀说,传统的蠕虫病毒是通过一台中毒电脑传至局域网内其他电脑,而“熊猫烧香”在整合了所有可利用的传播漏洞之外,还可以通过网站传播。
感染“熊猫烧香”的电脑,会在硬盘的所有网页文件上附加病毒。“如果被感染的是网站编辑和记者的电脑,那么通过中毒的网页,‘熊猫烧香’就可能附身在网站的所有网页上。”史瑀说,访问这种中毒的网站时,网民就会感染“熊猫烧香”病毒。
从传统的点对点,到现在的点对面,“熊猫烧香”借助中毒网站的惊人访问量急速传播。
据反病毒工程师称,他们曾监控到,“熊猫烧香”感染过天涯社区、硅谷动力、pconline等门户网站,在暴风影音等知名软件的下载链接中也曾有“熊猫烧香”附身的痕迹。同时,“熊猫烧香”还可借助搜索引擎进行病毒传播。
“借助局域网天女散花,借助门户网站星火燎原,借助U盘死灰复燃。”史瑀说,“熊猫烧香”的三项主要传播方式,成为病毒难以退去的主要原因。
更多内容请看QQ病毒 安全频道 病毒/木马/恶意软件专题,或进入讨论组讨论。
·手机病毒揭密 (2571篇文章)
·病毒专栏 (2019篇文章)
·警惕“熊猫烧香”疯狂蔓延:熊猫烧 (148篇文章)
·安全频道 (9125篇文章)
·熊猫 (148篇文章)
·熊猫烧香新闻报道 (113篇文章)
·熊猫烧香相关文章 (48篇文章)
·病毒/木马/恶意软件 (2576篇文章)
·病毒/木马/蠕虫 (2531篇文章)
·IT精英们不断上演的十大傻事! (5264次浏览)
·中国第一程序员--求伯君 (4608次浏览)
·史上最强!PC时代的20位英雄 (4324次浏览)
·曝光:IT业界十大经典谎言 (960次浏览)
·熊猫烧香病毒黑手曝光 曾造05十大病毒 (849次浏览)
·一个浙江大学教授让人发冷汗的讲演! (819次浏览)
·十大老牌黑客之:沃兹尼克 (695次浏览)
·“熊猫烧香”案凸显我国IT人才选拔之弊 (674次浏览)
·快捷键被传致命漏洞 大量网友被忽悠 (47次浏览)
·IT精英们不断上演的十大傻事! (5264次浏览)
·中国第一程序员--求伯君 (4608次浏览)
·史上最强!PC时代的20位英雄 (4324次浏览)
·曝光:IT业界十大经典谎言 (960次浏览)
·熊猫烧香病毒黑手曝光 曾造05十大病毒 (849次浏览)
·一个浙江大学教授让人发冷汗的讲演! (819次浏览)
·十大老牌黑客之:沃兹尼克 (695次浏览)
·“熊猫烧香”案凸显我国IT人才选拔之弊 (674次浏览)
·微软员工:我们每天都在做什么? (242次浏览)
·IT精英们不断上演的十大傻事! (5264次浏览)
·中国第一程序员--求伯君 (4608次浏览)
·史上最强!PC时代的20位英雄 (4324次浏览)
·曝光:IT业界十大经典谎言 (960次浏览)
·熊猫烧香病毒黑手曝光 曾造05十大病毒 (849次浏览)
·一个浙江大学教授让人发冷汗的讲演! (819次浏览)
·十大老牌黑客之:沃兹尼克 (695次浏览)
·“熊猫烧香”案凸显我国IT人才选拔之弊 (674次浏览)
·世道变了! 由瑞星和卡巴斯基之争所想到的 (637次浏览)
·一个浙江大学教授让人发冷汗的讲演! 07-22
·回首二十年 中国计算机病毒发展史 07-21
·微软最走运、最倒霉的十个瞬间 07-21
·“熊猫烧香”案凸显我国IT人才选拔之弊 07-20
·十大老牌黑客之:沃兹尼克 07-20
·曝光:IT业界十大经典谎言 07-19
·中国第一程序员--求伯君 07-17
·史上最强!PC时代的20位英雄 07-17
·IT精英们不断上演的十大傻事! 07-16
