“熊猫烧香”新噩梦的开始

“熊猫烧香”带来的或许是国内病毒防杀领域又一个新噩梦的开始。

在最近几个月中，一只熊猫、手捧三炷香的形象让许多电脑用户深受其害，许多杀毒软件厂商也为之手忙脚乱。虽然目前“熊猫烧香”的病毒制造者已经落网，网上的专用查杀工具也随处可见，但已经出现的700多种病毒变种以及可能继续出现的变种让整个信息安全产业都不敢掉以轻心。

肆虐的“熊猫烧香”成为继CIH之后危害中国最严重的病毒，它也被国内数家权威病毒检测机构列为2006年的十大病毒之首。不过值得业界关注的，并不是“熊猫烧香”的危害有多大，而是它意味着国内的病毒开始向集文件型病毒、蠕虫病毒、病毒下载器于一身的复合型病毒发展，且病毒产业的利益链条开始形成。

这或许是国内病毒防杀领域又一个新噩梦的开始。

防杀难度加大

“熊猫烧香”病毒是一种用DELPHI工具编写的蠕虫病毒，能够在Windows 9X/NT/2000/XP等系统上运行。用户感染病毒之后，可执行文件的文件图标全部被改成“一只熊猫手捧三炷香”的新图标，同时受感染的计算机还会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。这一病毒能中止大量的反病毒软件和防火墙软件进程，并可以通过网页浏览、局域网共享及Ｕ盘等多种途径快速传播。另外，一些网站编辑人员的电脑如果被该病毒感染，上传网页到网站后，就会导致用户浏览这些网站时也被病毒感染。

“熊猫烧香”以威力大、危害广、传播速度快等特点让人为之色变。“这不仅仅是一个蠕虫病毒，它已经集文件型病毒、蠕虫病毒、病毒下载器于一身，是传播能力非常强的复合型病毒。”天融信产品经理杜宾认为。

回顾2006年的重大电脑病毒事件，复合型病毒的地位已经开始在互联网凸显。除“熊猫烧香”外，2006年6月肆虐互联网的 “威金”病毒也是一种复合型病毒，它不仅能感染可执行文件，也会查找局域网中所有的共享计算机并试图感染，还会在后台下载并运行木马程序。不过，“熊猫烧香”的威力显然比“威金”更大。

除了综合了各种病毒的特性外，此次“熊猫烧香”让人发怵的另一个原因是变种过多。短短三个多月的时间里，700多种病毒变种的出现，的确让人应接不暇。由于“熊猫烧香”病毒制造者采用出售病毒源代码以获利，据介绍曾出售给120多人，一些不法分子已经利用这些源代码演变出更多的“熊猫烧香”新变种。

虽然这种在网上出售病毒工具的做法在国内还并不太多，但类似的情况在国外信息安全领域并不少见。例如，你可以在网上买到DIY的恶意软件和钓鱼式攻击工具集。更可怕的是，其中一个名为Web Attacker的软件还提供维护协议，只需额外费用就能提供维护服务。这对于信息安全厂商来说，安全防护的压力也就更大了。

“情况不会变得更好，甚至很可能会变得更糟。”一位CIO在谈及用户自身的信息安全处境时这样表示。

利益链条初步形成

“天下熙熙皆为利来，天下攘攘皆为利往！”这句话在病毒行业同样适用。不过，通过病毒来赢利的事情虽然时常见诸报端，但“熊猫烧香”与之不同的是，病毒产业的利益链条已经初步形成。

目前，病毒制造者李俊以及王磊、张顺、叶培新、王哲、雷磊等涉嫌贩卖传播病毒的骨干分子已经缉拿归案。在此次“熊猫烧香”肆虐中，李俊在极短的时间内就获利10余万元，但这仅仅是病毒产业链的发端。

那么，是谁分了“熊猫烧香”的香火钱呢？在整个产业链中，制造、贩卖、交易、传播、使用等环节环环相扣，最终祸害网络用户，牟取经济利益。据警方披露，少数地方甚至形成了计算机病毒产业群。

那么，从警方披露的资料中，我们不妨来分析它们是怎么赚钱的，可以说产业链中的每一环节都有不同的牟利方式。

病毒制造者有两种方式，一是“卖病毒”，按购买者的要求在病毒程序中填上“指定网址”后把病毒出售；二是“卖肉机”，因中毒而被病毒制造者控制的计算机被称为“肉机”，“肉机”的资料信息随时可被窃取。

病毒购买者的牟利方式主要是“卖流量”，由于病毒程序中预设了“指定网址”，而这个“指定网址”设置了木马程序，中毒的计算机只要一上网，就会被强制性地牵到这个“指定网址”上，自动下载木马程序，将这台计算机的相关信息资料传给购买者，这些信息资料被称为“信”，病毒购买者往往会将某一“指定网址”的“获信权”出售，根据访问流量收取费用。

接下来的环节是“拆信人”，他们将获取的资料信息通过网上交易平台出售给普通网民。“拆信人”往往不需要专业电脑技术，只需要花时间在网上交易。据警方透露，目前在海南省儋州市、浙江省丽水市等地方，已出现成群结伙的“拆信人”，有的团伙达50多人。

山东省威海市的王磊是“熊猫烧香”病毒的主要购买和传播者之一。他贩卖“熊猫烧香”病毒不足一个月，赚的钱就已购买了一辆吉普车。被抓获后，王磊曾长叹：“这是个比房地产来钱还快的暴利产业！”

事实上，这种产业链的形成远比病毒攻击本身更糟糕。现在，攻击者已经开始聚集在一些网络市场上，在那里，他们就密码以及其他收集到的信息进行交易。一位黑客爱好者表示：“在那里，那些人所做的就是想方设法得到你的钱、信用卡号码，以及其他可以用来卖钱的私人信息。”

谁来提供有效防护？

有调查显示，2006年用户遭受网络攻击的数量有所下降。但这并不意味着网络更安全了，因为严重攻击的数量在急剧上升。无疑，“熊猫烧香”是其中影响较大的一种攻击。

面对越来越复杂的病毒和唯利是图的攻击者，谁能为我们的网络提供有效的安全防护？

“熊猫烧香”拥有多样性的传播方式：被挂马网站的传播、局域网内的传播、移动存储设备的传播。对于这类针对应用层的混合型威胁，蔓延的速度是十分惊人的。那么，我们传统的安全防御措施能否成功对抗这类威胁？

据杜宾分析，一般而言，路由器、防火墙只做第3、4层的防御，即IP地址、端口的过滤，对于内网用户访问外网80端口一般是放行的。当用户随意浏览到被挂马网站时，这类病毒就会很容易进入了内网，使PC终端中毒并在局域网内传播。

而对于入侵检测（IDS）& 入侵阻拦（IPS）来说，由于大部分的入侵检测系统是依靠特征码进行的，因此入侵检测在特征码的更新上落后于新病毒变种，只能起到亡羊补牢的作用。加上其造价昂贵，一般只用于保护服务器，即外网（非信任域）－>DMZ/内网（信任域）方向的防护，一般不用于内网（信任域）－>外网（非信任域）方向的保护。同时，若没有入侵阻拦（IPS）或防火墙联动的帮忙，即使IDS检测到了病毒，也不能阻止其泛滥，这又加重了企业的负担。因此有专家认为，IDS作为防御“熊猫烧香”这类突发性、传染性病毒的工具还不十分合适。

另外，VPN或SSL VPN只是在第2、3、4层上建立了一个加密隧道，并没有检测应用层的内容，“熊猫烧香”病毒仍可以顺着建立好的VPN隧道进入对方网络。

除了上述防御措施之外，用户普遍采用的病毒防御措施是防病毒软件和防病毒网关。虽然两者都必须根据已知的病毒特征码进行过滤，在新病毒出现和防病毒软件、网关得到该病毒的特征码之间有一个时间差，且在此次“熊猫烧香”肆虐中表现也并不算好，但这两种防御措施却是用户能采用的较好的防御措施了。

在此次病毒事件中，由于整个病毒产业链初步形成，攻击团队得以长时间、快速地发布新的变种病毒，导致各防病毒软件及专杀攻击跟不上更新的脚步。而且，企业用户一旦大规模感染，使用防病毒软件杀毒对于网管人员来说无疑意味着巨大的工作量。相比而言，由于被挂马网站的传播在“熊猫烧香”传播方式中处于第一顺序，防病毒网关具有一定的“地理”优势。一般情况下，防病毒网关安装在内部网和外部网、公网之间，或者安装在企业内部网络和外部合作伙伴的网络之间。防毒网关工作深入到应用层，可以实时快速地监测流经网关任意方向的数据流，如果发现了病毒就拦截并且清除。

由于存在时间差，防病毒网关也无法确保网络的安全。专家建议，可以采用防病毒网关和防病毒软件构成立体防御，尽量把病毒拦截在网络之外，一旦有“漏网之鱼”，可以通过防病毒软件进行查杀。

显然，这也只是无奈之举。只要我们一天不能真正查杀未知病毒，在病毒危害愈演愈烈的今天，真正的安全依然只能是“尽人事，听天命”而已。

推荐访问:熊猫 烧香 噩梦