“熊貓燒香”塵埃落定后的反思

中嘉華誠網(wǎng)絡安全技術有限公司 梁思喆姜旭

專家檔案：梁思喆，現(xiàn)就任北京中嘉華誠網(wǎng)絡安全技術有限公司副總經(jīng)理。在工作期間，參與主持了中嘉華誠GKR系列產(chǎn)品在國內的行銷推廣計劃，并主持實施新產(chǎn)品GDR的聯(lián)絡及市場運作工作，在網(wǎng)絡安全領域具有豐富的經(jīng)驗。

此文為中嘉華誠的專家為本刊撰寫，站在專業(yè)人士的角度上，分析此次“熊貓燒香”事件和目前我國信息網(wǎng)絡安全，為不可多得的專業(yè)評論稿。

2006年12月中旬，隨著一只憨態(tài)可掬、頷首敬香的“熊貓”在網(wǎng)絡中的出現(xiàn)，一排排“熊貓”霸占了我們的電腦，短短兩個月的時間，它迅速化身數(shù)百種變種病毒，瘋狂入侵個人電腦，感染門戶網(wǎng)站，擊潰企業(yè)數(shù)據(jù)系統(tǒng)……蔓延的速度之快、造成的破壞力之大都是繼CIH病毒之后難得一見的。

它就是新型病毒——“熊貓燒香”。

2006年12月中旬，“熊貓燒香”急速變種，在經(jīng)過幾次大面積暴發(fā)之后，眾多電腦用戶談“熊貓”色變。

圣誕節(jié)過后，“熊貓燒香”版本已達到近百個，而后，病毒的傳播開始以幾何方式瘋狂增長……

2006年12月26日，金山毒霸全球反病毒監(jiān)測中心發(fā)布“熊貓燒香”正瘋狂作案的病毒預警。

2006年12月27日，江民科技發(fā)布關于“熊貓燒香”的緊急病毒警報。

2007年1月7日，國家計算機病毒應急處理中心緊急預警，“通過對互聯(lián)網(wǎng)絡的監(jiān)測發(fā)現(xiàn)，一偽裝成‘熊貓燒香’圖案的蠕蟲病毒傳播，已有很多企業(yè)局域網(wǎng)遭受該蠕蟲的感染。”

2007年1月9日，“熊貓燒香”繼續(xù)蔓延，開始向全國范圍的電腦用戶涌去。這一天，“熊貓燒香”迎來了一次全國性的大規(guī)模暴發(fā)，它的的變種數(shù)量定格在306個。

各地用戶紛紛中招……

一只小小“熊貓”何會在短短數(shù)月的時間引起如此之大的網(wǎng)絡安全恐慌？國內外眾多知名殺毒軟件企業(yè)為何無動于衷，任由“熊貓”肆虐網(wǎng)絡？經(jīng)過對“熊貓燒香”病毒分析相信大家會知道其中的原因。

“熊貓燒香”病毒是一個感染型的蠕蟲病毒“尼姆亞”的變種，經(jīng)過改進它能迅速感染系統(tǒng)中擴展名為exe、com、pif、src、html、asp等文件，它還能中止大量的反病毒軟件進程并且會刪除擴展名為gho的文件，使用戶的系統(tǒng)備份文件丟失。被感染的用戶系統(tǒng)中所有.exe可執(zhí)行文件全部被改成熊貓舉著三根香的模樣。同時，受感染的計算機還會出現(xiàn)藍屏、頻繁重啟以及系統(tǒng)硬盤中數(shù)據(jù)文件被破壞等現(xiàn)象。該病毒會在中毒電腦中所有的網(wǎng)頁文件尾部添加病毒代碼。一些網(wǎng)站編輯人員的電腦如果被該病毒感染，上傳網(wǎng)頁到網(wǎng)站后，就會導致用戶瀏覽這些網(wǎng)站時也被病毒感染。

“熊貓燒香”是如何入侵操作系統(tǒng)的？

1.復制自身到系統(tǒng)目錄下： %System%＼drivers＼spoclsv.exe（“%System%”代表Windows所在目錄，比如：C:＼Windows）

2.注冊表中創(chuàng)建啟動項：HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Run] “svcshare”=“%System%＼drivers＼spoclsv.exe”

3.修改“顯示所有文件和文件夾”設置（使系統(tǒng)無法顯示隱藏文件來隱藏自己）

[HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Explorer＼Advanced＼Folder＼Hidden＼SHOWALL]

“CheckedValue”=dword:00000000

4.在各分區(qū)根目錄生成病毒副本：這樣病毒可以借助磁盤的“自動播放”功能，在用戶每次雙擊硬盤時即可自動啟動運行。

X:＼setup.exe

X:＼autorun.inf

autorun.inf內容：

[AutoRun]

OPEN=setup.exe

shellexecute=setup.exe

shell＼Auto＼command=setup.exe）

5.每隔一段時間點擊病毒作者指定的網(wǎng)頁，并用命令行檢查系統(tǒng)中是否存在共享，如果共享存在病毒自動運行net share命令關閉admin$共享

cmd.exe ／c net share X$ ／del ／y

cmd.exe ／c net share admin$ ／del ／y

6.熊貓燒香病毒嘗試關閉安全軟件相關窗口：

例如：瑞星、江民、注冊表編輯器、卡巴斯基反病毒、使用的鍵盤映射的方法關閉安全軟件IceSword等安全軟件窗口。

7.嘗試結束安全軟件相關進程：

例如：KVXP.kxp、kvMonXP.kxp、KVCenter.kxp等進程。

8.禁用安全軟件相關服務：

例如：KVWSC 、KVSrvXP 、kavsvc等相關服務。

9.每隔6秒刪除安全軟件在注冊表中的啟動鍵值：

HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Run

10.遍歷目錄修改htm／html／asp／php／jsp／aspx等網(wǎng)頁文件，在這些文件尾部追加信息：

用戶一但打開了該文件，IE就會不斷的在后臺點擊寫入的網(wǎng)址，達到增加點擊量的目的。

11.在訪問過的目錄下生成Desktop_.ini文件，內容為當前日期。

12.此外，病毒還會嘗試刪除GHO文件。該文件是一系統(tǒng)備份工具GHOST的備份文件，使用戶的系統(tǒng)備份文件丟失。

13.病毒還嘗試使用弱密碼將副本以GameSetup.exe的文件名復制到局域網(wǎng)內其它計算機中。

經(jīng)過一系列的多點入侵，操作系統(tǒng)已經(jīng)完全被“熊貓”侵占，并且“熊貓”還在做著入侵其他電腦的準備，到目前為止，真正可以殺滅“熊貓燒香”病毒的軟件還沒有出現(xiàn)（病毒作者現(xiàn)正編寫殺毒程序，但尚未經(jīng)過安全部認證），目前殺毒軟件采用病毒特征代碼法的檢測工具，面對不斷出現(xiàn)的新病毒，必須不斷更新版本，否則檢測工具便會老化，逐漸失去實用價值。病毒特征代碼法對從未見過的新病毒，自然無法知道其特征代碼，因而無法去檢測這些新病毒。而且由于此次“熊貓燒香”病毒是通過多種方式同時感染，因此一旦感染病毒后，很難在短時間清除。

通過此次“熊貓燒香”病毒爆發(fā)，可以看出目前我國信息安全在諸多方面面臨嚴峻形勢：

信息與網(wǎng)絡的安全防護能力差

以前我們的信息安全防護主要是“頭痛醫(yī)頭，腳痛醫(yī)腳”， 哪里出現(xiàn)了安全問題，再去設置安全防護系統(tǒng)，雖說“亡羊補牢，為時未晚”但一次又一次的“亡羊”應該給我們敲響警鐘，信息與網(wǎng)絡的安全防護不能永遠滯后于安全事件，我們應該提前防范，并在專家的指導下進行有預見性有針對性的防范。目前一些主動防御的安全產(chǎn)品和安全技術已經(jīng)成熟，完全可以保證我們的網(wǎng)絡和信息系統(tǒng)“防患于未然”。

對引進技術和設備缺乏安全檢

國外的技術，國外的產(chǎn)品，給我們的印象是，高科技，高品質，良好的服務，但是在一些關鍵設備和產(chǎn)品上國外產(chǎn)品往往和外國政府部門一起合作，留下“后門”不為人知的安全漏洞，隨著國際局勢的日趨復雜，一旦情況有變，這些“后門”就會發(fā)揮他們的作用，源源不斷的把我們的信息，情報，泄露出去。這絕非是危言聳聽，經(jīng)過中科院相關部門的測試，某國外品牌的手機即使在關機狀態(tài)，依然有微弱的電子信號在不斷發(fā)送消息。某國外品牌的知名電腦操作系統(tǒng)已被證實和該國安全部門合作，在其操作系統(tǒng)內留下了“緊急通道”。我們在使用這些國外產(chǎn)品的時候，往往更多的注重其功能性，往往忽略了這些安全產(chǎn)品本身的安全性，所以國家相關部門曾經(jīng)指出，在關鍵部門以及一些特殊領域里，應盡量使用國產(chǎn)產(chǎn)品，以保障安全性和可靠性。

基礎信息產(chǎn)業(yè)嚴重依賴國外

這次“熊貓燒香”病毒泛濫之時，碰巧趕上海底網(wǎng)絡通訊電纜斷裂，很多我們國內的電腦用戶，使用的是國外的防病毒軟件產(chǎn)品。在病毒泛濫的時候，由于與國外服務器的通訊連接異常，防病毒軟件不能進行正常的升級，最后只能眼睜睜的看著自己網(wǎng)絡里的計算機，一臺臺的被“熊貓”占領。

信息犯罪有快速蔓延之勢

隨著科技的進步，根據(jù)CCID的調查顯示，進幾年的信息犯罪有快速蔓延的趨勢，安全事件年年增加，但是和前幾年相比，近年來的黑客攻擊事件有了一定的變化。他們不在毫無目的的攻擊以顯示自己的水平，想反，有組織有對象的破壞性攻擊事件增多，熊貓燒香作為一個強傳染性電腦病毒，其實他的核心技術并不復雜，該病毒作者在第一版熊貓燒香病毒發(fā)布后一直在關注反病毒界的動作，他曾在卡卡反病毒論壇里仔細研究別人對熊貓燒香病毒的防范原理和方法，然后更改自己的病毒，更新病毒版本，繞過檢查，避開防御。據(jù)作者自己說，最多的一天，病毒更新了20余次，加上病毒的自我變化，最終定格為306個變種，讓防病毒專家和廠商手忙腳亂，防不勝防。

還有一個例子。

12月4日，微客網(wǎng)被IDG評為“中國最具創(chuàng)新網(wǎng)站”，但微客網(wǎng)創(chuàng)始人、總裁康錄發(fā)的興奮還未能持續(xù)24小時，12月5日，微客網(wǎng)開始遭遇黑客攻擊，“開始是登錄速度變慢，最后是完全無法登錄”，隨后該公司的業(yè)務陷入停頓狀態(tài)，而在接下來的二十多天里，微客網(wǎng)開始四處流浪，尋求托管網(wǎng)站。據(jù)了解，當時，微客網(wǎng)的服務器托管于北京電信通公司，其機房位于北京國貿(mào)附近的惠普大廈。

接下來的幾天，微客網(wǎng)遭受黑客攻擊的問題并沒有得到解決。12月8號，瞬間攻擊流量超過了3G(北京電信通機房全部帶寬為4G)。這不僅造成了微客網(wǎng)服務器的中斷，北京電信通的其他服務器同時受到了攻擊，整個機房陷入間歇性癱瘓狀態(tài)。

當天，通過服務器代理商，微客網(wǎng)將其服務器交由光環(huán)新網(wǎng)托管。光環(huán)新網(wǎng)的機房位于北京東直門。很快，微客網(wǎng)再次受到攻擊，同時，隨著攻擊流量暴漲，機房內的其他服務器也受到攻擊。

隨后，微客網(wǎng)的服務器又選擇了鐵通的機房。鐵通機房的整體帶寬為2G，然后類似情況再次發(fā)生。微客網(wǎng)于是接著逃離。但結局總是一樣——網(wǎng)站很快被黑客攻擊，并且很快殃及機房內的其他服務器。

對于網(wǎng)站四處逃亡，卻無法逃脫黑客攻擊的原因，CNCERT/CC有關負責人張旭對記者表示，\"服務器更換托管機房后，盡管網(wǎng)站IP隨之發(fā)生變化，但黑客登陸之后就會查出新的IP地址，然后對新的IP進行流量攻擊，新的機房跟著遭殃。

12月18日，康錄發(fā)通過代理商找到了亞洲最大的機房——網(wǎng)通旗下的北京宜莊機房，要求托管服務器。后者以“你的網(wǎng)站正在被攻擊”為由，拒絕了康錄發(fā)的托管請求。

如果說，“熊貓燒香”是在不斷的躲避，那么這個網(wǎng)站卻象是在被黑客所“追殺”，到最后居然沒有一個機房敢收留它。類似這樣的攻擊事件在2006年還有很多，這些安全事件本應該引起我們足夠的重視，可惜，實際情況卻并非如此。

社會的信息安全意識淡薄

現(xiàn)在，我們大多數(shù)人對信息安全還沒有一個完整的概念，很多人不知道信息安全到底指的是什么，還有一些人，認為信息安全就是防火墻防病毒等簡單的防護手段。實際上，信息安全應該是一個完整的獨立的，保障我們信息和網(wǎng)絡系統(tǒng)能夠正常穩(wěn)定運行的保障系統(tǒng)，它應該涵蓋從物理層，系統(tǒng)層，網(wǎng)絡層，應用層到管理層的方方面面，絕不是簡單的安全產(chǎn)品的堆砌。在我們安裝了防火墻，防病毒軟件之后，我們就安全了嗎？

在2006年的夏天，北京某大學網(wǎng)站被黑客攻擊，由于正在放暑假，學校里的相關教師都不在校內，直到3天后，網(wǎng)站頁面才被修復。攻擊者是一名來自廣東的17歲少年，在記者采訪的時候他這樣對記者說：“我只是想讓他們知道，他們的防御到底有多么脆弱”。

類似的事情不勝枚舉，從根本上說，是全社會的信息安全意識淡薄，沒有把信息安全當做是一件必須要做，必須要做好的事情?？梢哉f，什么時候大家都能像愛惜自己錢包一樣的愛護自己的信息系統(tǒng)，那么我們的信息安全意識就算達標了。