"熊猫烧香"钻了补丁漏洞，及时升级即可防范

    反病毒技术权威表示，被杀毒厂商评为“２００６十大计算机病毒之首”的“熊猫烧香”，其实技术水平很低，只有因为很多网民没有及时给自己的系统升级打补丁，才“成全”其名气。

    截至昨日，尽管涉嫌“熊猫烧香”病毒制作及传播的李俊等８名犯罪嫌疑人于上月初在湖北落网，但其他握有病毒源代码的涉案人员仍在缉捕之中，而该病毒的新变种更是层出不穷。

    据记者了解，８名落网人员在传播病毒的同时，还实施了盗取用户游戏账号、ＱＱ账号的犯罪行为。

    目前，业内广泛关注的并不是如何惩处涉案元凶，而是为何一个被众反病毒家评为没啥技术含量的蠕虫病毒，却能在如此短的时间内疯狂泛滥？　　

    【业内透露】

    利用用户弊病实施攻击

    据媒体报道，早在２００３年，李俊就编写过“武汉男孩”病毒，２００４年中专毕业后，他曾多次到北京、广州找ＩＴ方面的工作，但均未果。２００５年又相继编写了“武汉男孩２００５”病毒及“ＱＱ尾巴”病毒。这些使他从炫耀技术的黑客，到扬名圈内的盗号高手，再到席卷全国的“熊猫教父”，因而有人称其为“网络方面的天才”。

    但是，瑞星公司反病毒技术负责人史王禹告诉记者，他认为李俊不像一些网友所说的那样有才华及创意，其行为只是为了达到目的不择手段而已。并强调说，绝不会将这样人品有问题的人招入麾下。同时，他认为“熊猫烧香”实际上没啥技术含量。

    史王禹表示：“之所以说该病毒技术含量并不高，是因其主要采用的是病毒感染方式，只是简单的捆绑ＥＸＥ，这种手段大约是在２０００年比较流行。当时Ｂｉｎｄｅｒ，就是文件捆绑器较为流行，它主要用于把木马捆绑在正常软件上，然后被感染用户运行这些正常软件时就自动运行木马。木马和原始文件就像油和水一样是可以分离的。运行这个文件的时候木马会被释放出来，但被释放的木马不会去感染其他文件。而作为蠕虫病毒（Ｗｏｒｍ）的‘熊猫烧香’和它的区别只是释放出的部分会去感染其他文件，自动捆绑在其他文件上。但是这种技术是感染型里最简单的，目前很多感染型病毒会将原始文件加密，在运行时再解密或像ＣＩＨ一样，把自身插入到原始文件的空白处，能保持原始文件大小不变。同时，它也没有用到驱动＼Ｒｏｏｔｋｉｔｓ等技术。”

    对于其泛滥的根源，史王禹认为，该病毒只是利用了许多ＷＩＮＤＯＷＳ ２０００、ＷＩＮＤＯＷＳＸＰ等用户不为程序漏洞打补丁、升级的弊病，针对一个去年微软公布的ＷＩＮＤＯＷＳ漏洞实施攻击。

    【见招拆招】

    防范“毒王”有四招

    “熊猫烧香”病毒不但可以对用户系统进行破坏，导致大量应用软件无法使用，而且还可删除扩展名为ｇｈｏ的所有文件，造成用户的系统备份文件丢失，从而无法进行系统恢复；同时该病毒还能终止大量反病毒软件进程，大大降低用户系统的安全性。记者通过采访某国际知名杀毒厂商技术总监郭先生了解到，通过如下四招即可安全防范该“毒王”。

    第一招，及时为操作系统升级打补丁。该病毒的泛滥“得益于”国内网民电脑安全使用常识普遍缺乏，许多人从不对ＷＩＮＤＯＷＳ操作系统进行漏洞安全升级即打补丁。这样一来，即使装有再好的防病毒软件也可能难防技术等级较低的“熊猫烧香”的攻击。事实上，非正版ＷＩＮＤＯＷＳ不出意外都是可以正常进行升级打补丁的。对于电脑用户来说，操作系统的定期升级是最为根本的安全防护措施。

    第二招，启用ｗｉｎｄｏｗｓ防火墙保护所使用的计算机。许多安装了杀毒软件的用户，常常仅开启杀毒软件的防火墙来保护计算机，实际上ｗｉｎｄｏｗｓ防火墙的启用也是必不可少的。

    第三招，修改电脑ａｄｍｉｎｉｓｔｒａｔｏｒ组成员口令，将原先简单口令或空口令，设为由字母、数字及特殊字符组合的安全口令。

    第四招，不上非法的网站，如：色情、暴力的网站。同时，一定要选择正规的共享软件网站下载软件。　　

    【记者观察】

    “熊猫烧香”走了，病毒何时了？

    ２００７年２月９日，李俊在仙桃市第一看守所内编写“熊猫烧香”的专杀工具时，写下了这样一段话：“熊猫走了，是结束吗？不是的，网络永远没有安全的时候，或许在不久，会有很多更厉害的病毒出来！所以我在这里提醒大家，提高网络安全意识，并不是你应该注意的，而是你必须懂得和去做的一些事情！”

    在谈及此段留言时，一位业内人士沉下嗓音说道：“熊猫烧香还没有烧醒芸芸众生呀！即便我们通过媒体日日呼吁人们要及时下载操作系统补丁，可眼下仍有九成以上的电脑使用者对此不理不睬。请允许我再强调一次，作为普通的电脑使用者，一定要牢记及时下载并更新操作系统，不要上一些不明网及不良站，那里是病毒和木马等恶意程序滋生的温床！”

    据了解，眼下“熊猫烧香”变种不断、余威尚未退去，互联网又遭到了新一轮的侵袭。来自某计算机反病毒厂商的最新监测报告显示，就在上月，以广告程序为代表的恶意程序开始泛滥互联网，感染比例由１月份的１５％猛升至４０％。因此，即便是熊猫烧香走了，人们与病毒和木马之战也不会结束……　　

    病毒档案

    学名：Ｗｏｒｍ．ＷｈＢｏｙ．ｈ

    绰号：熊猫烧香

    病毒类型：蠕虫 波及系统：Ｗｉｎ ９Ｘ／ＭＥ／ＮＴ／２０００／ＸＰ等

    技术等级：★★

    危害等级：★★★★

    ●典型症状：

    “熊猫烧香”是一个由Ｄｅｌｐｈｉ工具编写的蠕虫病毒。其入侵电脑操作系统后可终止大量的反病毒软件和防火墙软件进程，会删除扩展名为ｇｈｏ的文件，用户将无法使用ｇｈｏｓｔ（系统镜像）软件恢复操作系统。

    其可感染系统的．ｅｘｅ、．ｃｏｍ、．ｐｉｆ、．ｓｒｃ、．ｈｔｍｌ、．ａｓｐ文件，添加病毒网址，导致用户一打开这些网页文件，ＩＥ就会自动连接到指定的病毒网址中下载病毒。并会在硬盘各分区下生成ａｕｔｏｒｕｎ．ｉｎｆ和ｓｅｔｕｐ．ｅｘｅ文件，可通过Ｕ盘和移动硬盘等方式进行传播，还会利用Ｗｉｎｄｏｗｓ系统的自动播放功能来运行，搜索硬盘中的．ｅｘｅ可执行文件并进行感染，感染后系统的文件图标会变成一只熊猫手捧３炷香的图案。此外，它还可以通过共享文件夹、系统弱口令等方式进行传播。

中国品牌总网

1