谈“熊猫”色变丨专栏
2019/11/16 8:00:00 中科院之声

     一、 谶曰

     大东:自2017年5月12日起,全球近百国家齐齐爆发电脑勒索病毒事件,而且这一名为WannaCry的电脑勒索病毒还在全球不断蔓延中。

    

     WannaCry病毒爆发后24小时的全球监测图「图片|网易新闻」

     小白:可以看出来全球各大洲已全部落难,在发达地区更是尤为密集……

     大东:最为可恶的是,这一病毒和以往单纯盗号盗资料的病毒完全不同,直接黑了你电脑,然后把电脑中的文件全加密,然后明目张胆地开口要钱,给钱就恢复文件,不给钱就删资料!

     小白: 这简直就是在抢钱啊!

     大东:而且只接受比特币付费。

     小白:支付宝不行么?微信也可以啊!留个二维码好不好?真是不给人活路啊!

     大东:谈起电脑病毒来,上一次在国内引起大众恐慌的还是一款名叫“熊猫烧香”的电脑病毒,相信老网虫们应该都会记得这个在2006-2007年期间让全中国网民闻之色变的名字。

     小白:那快给我讲讲吧。

     二、 熊猫烧香病毒事件

    

     熊猫烧香「图片|网易新闻」

     大东:没错,就是这只可爱的拿着三根香的小熊猫,曾一度让国内无数网民崩溃!

     小白:而且那个年代杀毒软件还收费吧?

     大东:只要这只小熊猫出现在了你的屏幕上,你的电脑基本就算玩完了。蓝屏、频繁重启、数据被删、彻底死机……

     小白:这个“熊猫烧香”是不是出自某个神秘组织,或者某位黑客大神之手呢?

     大东:不是,都不是。他的制作者,不过是一个仅仅只有中专学历的水泥厂工人罢了。

     小白:中专学历?水泥厂工人?这简直和高科技大神的人设完全不符好嘛!

     大东:熊猫烧香其实是一种蠕虫病毒的变种,而且是经过多次变种而来的。

     小白:是不是因为中毒电脑的可执行文件会出现“熊猫烧香”图案,所以也被称为 “熊猫烧香”病毒?

     大东:是的,但原病毒只会对EXE图标进行替换,并不会对系统本身进行破坏。而大多数病毒是中等病毒变种,用户电脑中毒后可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。

     小白:……

     大东:同时,该病毒的某些变种可以通过局域网进行传播,进而感染局域网内所有计算机系统,最终导致企业局域网瘫痪,无法正常使用,它能感染系统中exe,com,pif,src,html,asp等文件,还能终止大量的反病毒软件进程并且会删除扩展名为gho的备份文件。

     小白:是不是被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样啊?

     大东:没错,而且病毒会删除扩展名为gho的文件,使用户无法使用ghost软件恢复操作系统。

     小白:这个病毒真的是太可怕了!

    

     电脑受到熊猫烧香病毒的感染「图片|百度知道」

     大东:该病毒会在中毒电脑中所有的网页文件尾部添加病毒代码。一些网站编辑人员的电脑如果被该病毒感染,上传网页到网站后,就会导致用户浏览这些网站时也被病毒感染。

     小白: 那是不是让很多人和企业都感染了“熊猫烧香”病毒啊?

     大东: 中毒企业和政府机构超过千家,其中不乏金融、税务、能源等关系到国计民生的重要单位。

     三、 熊猫烧香原理

     大东:怎么说呢?当时的电脑杀毒软件都拿它没办法,整个互联网处于一种无序状态,想办个结婚证,不行,电脑开不了机,想去个网吧,不行,电脑里有熊猫,于是,当时网吧成批的电脑往维修点送,你可以想象当时的场景……

     小白: 那熊猫烧香怎么会有这么大的危害啊?

     大东:事实上,熊猫烧香能造成那么大危害的原因,从来不是病毒多高端,而是杀毒软件太低端。

     小白: 那当时杀毒软件都是啥原理啊?

     大东:当时杀毒软件判断病毒用的是,最简单粗暴的病毒库,这种判断方法只能判断病毒库中已有的病毒,而对新出现的病毒的判断能力为零。与此同时,在杀毒软件眼中,无论是100%新制作的病毒,还是在老病毒的基础上改几行代码编出来的病毒,都是新病毒。

     大东:熊猫烧香就是新病毒中的后者。于是就在熊猫烧香之后,普通网民们惊叹电脑病毒威力之大时,杀毒软件制造商们开始默默完善杀毒软件算法了……

     小白: 那是不是可以说有了熊猫病毒才有了中国互联网网民的安全意识啊?

     大东:可以这么说,在2007年底,熊猫变种病毒开始发作时,瑞星就顺势推出瑞星杀毒软件2007版,奇虎360也开始注意了杀毒软件的市场,2008年推出了自己的杀毒软件360杀毒。

     大东:熊猫烧香是一种经过多次变种的“蠕虫病毒”,拥有感染传播功能,2007年1月初肆虐网络,它主要通过下载的档案传染,受到感染的机器文件因为被误携带间接对其它计算机程序、系统造成严重破坏。

    

     电脑受到熊猫烧香病毒的感染「图片|百度知道」

     小白: 当时的感染范围相当广泛了。

     大东:而且熊猫病毒还有变种病毒。

     小白: 啊?

     大东:“武汉男生”,俗称“熊猫烧香”, 2006年12月又化身为“金猪报喜” ,这是一个感染型的蠕虫病毒,它能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件,使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成可爱金猪的模样。

     小白: 这跟熊猫烧香的原理差不多啊!

     大东:对于这个给人们带来黑色记忆的病毒,其成因只是因为作者为了炫耀自己而产生,其借助U盘的传播方式也引领新的反病毒课题,但这一切都没有其LOGO熊猫给人的印象深刻,熊猫拿着三根香虔诚地祈祷什么?这给很多人以遐想。

     四、 防范熊猫烧香

     小白: 现在是不是下载各杀毒软件公司提供的专杀工具,即可对“熊猫烧香”病毒进行查杀了啊?

     大东:是的,但是如果能做到防范于未然岂不是更好?

     小白:那快告诉我方法吧!

     大东:检查本机administrator组成员口令,一定要放弃简单口令甚至空口令,安全的口令是字母数字特殊字符的组合,自己记得住,别让病毒猜到就行。

     小白: 你这说的也太高深莫测了,通俗点呢?

     大东:右键单击我的电脑,选择管理,浏览到本地用户和组,在右边的窗格中,选择具备管理员权限的用户名,单击右键,选择设置密码,输入新密码就行。

     小白:还有吗?

     大东:时刻保持操作系统获得最新的安全更新,不要随意访问来源不明的网站,启用Windows防火墙保护本地计算机。同时,局域网用户尽量避免创建可写的共享目录,已经创建共享目录的应立即停止共享。

     小白:对于未感染的用户,不要登录不良网站,及时下载最新补丁,来避免病毒利用漏洞袭击用户的电脑,同时上网时应采用“杀毒软件+防火墙”的立体防御体系。

     来源:中国科学院计算技术研究所

     温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」

    

    

    

    

    http://weixin.100md.com
返回 中科院之声 返回首页 返回百拇医药