谁可能是下一个“熊猫烧香”？

来源：IT168 作者：贾敬华 出处：综艺读书 2007-05-12 

关 键 词：注册表  远程控制软件  硬盘  应用软件  熊猫烧香  

下一页 1 2 3 

    “熊猫烧香”在网民心中的阴影还未散去，“灰鸽子”悄然袭来，一时间，网络安全成为了备受关注的话题。历经一番周折，“熊猫烧香”的作者被抓获，令企业和网民苦不堪言的“熊猫烧香”也寿终正寝。如今，提起病毒，网民们无不从心里发怵，尤其是最近一年多来，病毒发作频率越来越频繁，破坏力也越来越大。“熊猫烧香”虽然走了，可众多网民仍在担心下一个“熊猫烧香”可能会不请自来。

    众所周知，“熊猫烧香”是经过了多次变种而来的，这意味着“熊猫烧香”病毒已经有相当长的历史。在病毒多如牛毛的今天，谁将会是下一个“熊猫烧香”呢？在诸多破坏力比较强大的病毒中，无论是发作特征，还是工作原理，以及破坏能力，“冰河”与“熊猫烧香”有着诸多的相似之处，由此，我们在下面实际探讨一下“冰河”与“熊猫烧香”的类似之处到底在哪里。

    “冰河”与“熊猫烧香”真的像吗？
    从表面来看，“冰河”是一种木马软件，方便网管人员远程控制其他机器，而“熊猫烧香”是一款破坏力非常强大且可以四处传播的恶性病毒，从这一点来看，“冰河”与“熊猫烧香”没有任何的相似之处。不过，从工作原来上看，“冰河”与“熊猫烧香”两者之间有诸多的相似之处。

历史上的特洛伊木马和冰河有及其相似之处

令人胆战心惊的熊猫

    1、释放文件占用进程对比
    无论是“冰河”木马还是“熊猫烧香”病毒，两者均会在硬盘上释放出文件，并且将这些文件自动加载到系统进程中。

    ①“熊猫烧香”的病毒文件和进程
    感染了“熊猫烧香”病毒之后，硬盘根目录及系统目录下会释放出以下几种典型的文件：setup.exe、autorun.inf、%System%\Fuckjacks.exe、%System%\Drivers\spoclsv.exe。工作在局域网的机器如果感染了“熊猫烧香”病毒，硬盘中还可以看到一个名字为“GameSetup.exe”的文件，这是“熊猫烧香”病毒的传播文件。另外，“熊猫烧香”病毒还会在注册表中加载相关的键值，致使病毒一开机就自动运行。

图一 熊猫烧香病毒示例

    熊猫烧香病毒在注册表中的加载位置：
[HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Run]"FuckJacks"="%System%＼FuckJacks.exe

[HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersionRun]
"svohost"="%System%＼FuckJacks.exe

 

更多内容请看熊猫烧香新闻报道专题，或进入讨论组讨论。

下一页 1 2 3 

【收藏此文】【大 中 小】【打印】【关闭】

较早的文章：人人喊打 索尼杀羊宣传游戏

较新的文章：牛牛和妞妞