“熊貓燒香”塵埃落定后的反思

中嘉華誠網絡安全技術有限公司 梁思喆姜旭

專家檔案：梁思喆，現就任北京中嘉華誠網絡安全技術有限公司副總經理。在工作期間，參與主持了中嘉華誠GKR系列產品在國內的行銷推廣計劃，并主持實施新產品GDR的聯絡及市場運作工作，在網絡安全領域具有豐富的經驗。

此文為中嘉華誠的專家為本刊撰寫，站在專業人士的角度上，分析此次“熊貓燒香”事件和目前我國信息網絡安全，為不可多得的專業評論稿。

2006年12月中旬，隨著一只憨態可掬、頷首敬香的“熊貓”在網絡中的出現，一排排“熊貓”霸占了我們的電腦，短短兩個月的時間，它迅速化身數百種變種病毒，瘋狂入侵個人電腦，感染門戶網站，擊潰企業數據系統……蔓延的速度之快、造成的破壞力之大都是繼CIH病毒之后難得一見的。

它就是新型病毒——“熊貓燒香”。

2006年12月中旬，“熊貓燒香”急速變種，在經過幾次大面積暴發之后，眾多電腦用戶談“熊貓”色變。

圣誕節過后，“熊貓燒香”版本已達到近百個，而后，病毒的傳播開始以幾何方式瘋狂增長……

2006年12月26日，金山毒霸全球反病毒監測中心發布“熊貓燒香”正瘋狂作案的病毒預警。

2006年12月27日，江民科技發布關于“熊貓燒香”的緊急病毒警報。

2007年1月7日，國家計算機病毒應急處理中心緊急預警，“通過對互聯網絡的監測發現，一偽裝成‘熊貓燒香’圖案的蠕蟲病毒傳播，已有很多企業局域網遭受該蠕蟲的感染。”

2007年1月9日，“熊貓燒香”繼續蔓延，開始向全國范圍的電腦用戶涌去。這一天，“熊貓燒香”迎來了一次全國性的大規模暴發，它的的變種數量定格在306個。

各地用戶紛紛中招……

一只小小“熊貓”何會在短短數月的時間引起如此之大的網絡安全恐慌？國內外眾多知名殺毒軟件企業為何無動于衷，任由“熊貓”肆虐網絡？經過對“熊貓燒香”病毒分析相信大家會知道其中的原因。

“熊貓燒香”病毒是一個感染型的蠕蟲病毒“尼姆亞”的變種，經過改進它能迅速感染系統中擴展名為exe、com、pif、src、html、asp等文件，它還能中止大量的反病毒軟件進程并且會刪除擴展名為gho的文件，使用戶的系統備份文件丟失。被感染的用戶系統中所有.exe可執行文件全部被改成熊貓舉著三根香的模樣。同時，受感染的計算機還會出現藍屏、頻繁重啟以及系統硬盤中數據文件被破壞等現象。該病毒會在中毒電腦中所有的網頁文件尾部添加病毒代碼。一些網站編輯人員的電腦如果被該病毒感染，上傳網頁到網站后，就會導致用戶瀏覽這些網站時也被病毒感染。

“熊貓燒香”是如何入侵操作系統的？

1.復制自身到系統目錄下： %System%＼drivers＼spoclsv.exe（“%System%”代表Windows所在目錄，比如：C:＼Windows）

2.注冊表中創建啟動項：HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Run] “svcshare”=“%System%＼drivers＼spoclsv.exe”

3.修改“顯示所有文件和文件夾”設置（使系統無法顯示隱藏文件來隱藏自己）

[HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Explorer＼Advanced＼Folder＼Hidden＼SHOWALL]

“CheckedValue”=dword:00000000

4.在各分區根目錄生成病毒副本：這樣病毒可以借助磁盤的“自動播放”功能，在用戶每次雙擊硬盤時即可自動啟動運行。

X:＼setup.exe

X:＼autorun.inf

autorun.inf內容：

[AutoRun]

OPEN=setup.exe

shellexecute=setup.exe

shell＼Auto＼command=setup.exe）

5.每隔一段時間點擊病毒作者指定的網頁，并用命令行檢查系統中是否存在共享，如果共享存在病毒自動運行net share命令關閉admin$共享

cmd.exe ／c net share X$ ／del ／y

cmd.exe ／c net share admin$ ／del ／y

6.熊貓燒香病毒嘗試關閉安全軟件相關窗口：

例如：瑞星、江民、注冊表編輯器、卡巴斯基反病毒、使用的鍵盤映射的方法關閉安全軟件IceSword等安全軟件窗口。

7.嘗試結束安全軟件相關進程：

例如：KVXP.kxp、kvMonXP.kxp、KVCenter.kxp等進程。

8.禁用安全軟件相關服務：

例如：KVWSC 、KVSrvXP 、kavsvc等相關服務。

9.每隔6秒刪除安全軟件在注冊表中的啟動鍵值：

HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Run

10.遍歷目錄修改htm／html／asp／php／jsp／aspx等網頁文件，在這些文件尾部追加信息：

用戶一但打開了該文件，IE就會不斷的在后臺點擊寫入的網址，達到增加點擊量的目的。

11.在訪問過的目錄下生成Desktop_.ini文件，內容為當前日期。

12.此外，病毒還會嘗試刪除GHO文件。該文件是一系統備份工具GHOST的備份文件，使用戶的系統備份文件丟失。

13.病毒還嘗試使用弱密碼將副本以GameSetup.exe的文件名復制到局域網內其它計算機中。

經過一系列的多點入侵，操作系統已經完全被“熊貓”侵占，并且“熊貓”還在做著入侵其他電腦的準備，到目前為止，真正可以殺滅“熊貓燒香”病毒的軟件還沒有出現（病毒作者現正編寫殺毒程序，但尚未經過安全部認證），目前殺毒軟件采用病毒特征代碼法的檢測工具，面對不斷出現的新病毒，必須不斷更新版本，否則檢測工具便會老化，逐漸失去實用價值。病毒特征代碼法對從未見過的新病毒，自然無法知道其特征代碼，因而無法去檢測這些新病毒。而且由于此次“熊貓燒香”病毒是通過多種方式同時感染，因此一旦感染病毒后，很難在短時間清除。

通過此次“熊貓燒香”病毒爆發，可以看出目前我國信息安全在諸多方面面臨嚴峻形勢：

信息與網絡的安全防護能力差

以前我們的信息安全防護主要是“頭痛醫頭，腳痛醫腳”， 哪里出現了安全問題，再去設置安全防護系統，雖說“亡羊補牢，為時未晚”但一次又一次的“亡羊”應該給我們敲響警鐘，信息與網絡的安全防護不能永遠滯后于安全事件，我們應該提前防范，并在專家的指導下進行有預見性有針對性的防范。目前一些主動防御的安全產品和安全技術已經成熟，完全可以保證我們的網絡和信息系統“防患于未然”。

對引進技術和設備缺乏安全檢

國外的技術，國外的產品，給我們的印象是，高科技，高品質，良好的服務，但是在一些關鍵設備和產品上國外產品往往和外國政府部門一起合作，留下“后門”不為人知的安全漏洞，隨著國際局勢的日趨復雜，一旦情況有變，這些“后門”就會發揮他們的作用，源源不斷的把我們的信息，情報，泄露出去。這絕非是危言聳聽，經過中科院相關部門的測試，某國外品牌的手機即使在關機狀態，依然有微弱的電子信號在不斷發送消息。某國外品牌的知名電腦操作系統已被證實和該國安全部門合作，在其操作系統內留下了“緊急通道”。我們在使用這些國外產品的時候，往往更多的注重其功能性，往往忽略了這些安全產品本身的安全性，所以國家相關部門曾經指出，在關鍵部門以及一些特殊領域里，應盡量使用國產產品，以保障安全性和可靠性。

基礎信息產業嚴重依賴國外

這次“熊貓燒香”病毒泛濫之時，碰巧趕上海底網絡通訊電纜斷裂，很多我們國內的電腦用戶，使用的是國外的防病毒軟件產品。在病毒泛濫的時候，由于與國外服務器的通訊連接異常，防病毒軟件不能進行正常的升級，最后只能眼睜睜的看著自己網絡里的計算機，一臺臺的被“熊貓”占領。

信息犯罪有快速蔓延之勢

隨著科技的進步，根據CCID的調查顯示，進幾年的信息犯罪有快速蔓延的趨勢，安全事件年年增加，但是和前幾年相比，近年來的黑客攻擊事件有了一定的變化。他們不在毫無目的的攻擊以顯示自己的水平，想反，有組織有對象的破壞性攻擊事件增多，熊貓燒香作為一個強傳染性電腦病毒，其實他的核心技術并不復雜，該病毒作者在第一版熊貓燒香病毒發布后一直在關注反病毒界的動作，他曾在卡卡反病毒論壇里仔細研究別人對熊貓燒香病毒的防范原理和方法，然后更改自己的病毒，更新病毒版本，繞過檢查，避開防御。據作者自己說，最多的一天，病毒更新了20余次，加上病毒的自我變化，最終定格為306個變種，讓防病毒專家和廠商手忙腳亂，防不勝防。

還有一個例子。

12月4日，微客網被IDG評為“中國最具創新網站”，但微客網創始人、總裁康錄發的興奮還未能持續24小時，12月5日，微客網開始遭遇黑客攻擊，“開始是登錄速度變慢，最后是完全無法登錄”，隨后該公司的業務陷入停頓狀態，而在接下來的二十多天里，微客網開始四處流浪，尋求托管網站。據了解，當時，微客網的服務器托管于北京電信通公司，其機房位于北京國貿附近的惠普大廈。

接下來的幾天，微客網遭受黑客攻擊的問題并沒有得到解決。12月8號，瞬間攻擊流量超過了3G(北京電信通機房全部帶寬為4G)。這不僅造成了微客網服務器的中斷，北京電信通的其他服務器同時受到了攻擊，整個機房陷入間歇性癱瘓狀態。

當天，通過服務器代理商，微客網將其服務器交由光環新網托管。光環新網的機房位于北京東直門。很快，微客網再次受到攻擊，同時，隨著攻擊流量暴漲，機房內的其他服務器也受到攻擊。

隨后，微客網的服務器又選擇了鐵通的機房。鐵通機房的整體帶寬為2G，然后類似情況再次發生。微客網于是接著逃離。但結局總是一樣——網站很快被黑客攻擊，并且很快殃及機房內的其他服務器。

對于網站四處逃亡，卻無法逃脫黑客攻擊的原因，CNCERT/CC有關負責人張旭對記者表示，\"服務器更換托管機房后，盡管網站IP隨之發生變化，但黑客登陸之后就會查出新的IP地址，然后對新的IP進行流量攻擊，新的機房跟著遭殃。

12月18日，康錄發通過代理商找到了亞洲最大的機房——網通旗下的北京宜莊機房，要求托管服務器。后者以“你的網站正在被攻擊”為由，拒絕了康錄發的托管請求。

如果說，“熊貓燒香”是在不斷的躲避，那么這個網站卻象是在被黑客所“追殺”，到最后居然沒有一個機房敢收留它。類似這樣的攻擊事件在2006年還有很多，這些安全事件本應該引起我們足夠的重視，可惜，實際情況卻并非如此。

社會的信息安全意識淡薄

現在，我們大多數人對信息安全還沒有一個完整的概念，很多人不知道信息安全到底指的是什么，還有一些人，認為信息安全就是防火墻防病毒等簡單的防護手段。實際上，信息安全應該是一個完整的獨立的，保障我們信息和網絡系統能夠正常穩定運行的保障系統，它應該涵蓋從物理層，系統層，網絡層，應用層到管理層的方方面面，絕不是簡單的安全產品的堆砌。在我們安裝了防火墻，防病毒軟件之后，我們就安全了嗎？

在2006年的夏天，北京某大學網站被黑客攻擊，由于正在放暑假，學校里的相關教師都不在校內，直到3天后，網站頁面才被修復。攻擊者是一名來自廣東的17歲少年，在記者采訪的時候他這樣對記者說：“我只是想讓他們知道，他們的防御到底有多么脆弱”。

類似的事情不勝枚舉，從根本上說，是全社會的信息安全意識淡薄，沒有把信息安全當做是一件必須要做，必須要做好的事情。可以說，什么時候大家都能像愛惜自己錢包一樣的愛護自己的信息系統，那么我們的信息安全意識就算達標了。