普度网络病毒预警：熊猫烧香，小心中招

释普度 - 2007-2-3 19:22:00

羊城晚报：熊猫烧香刚走电眼间谍又来

　　“熊猫烧香”病毒疫情刚刚得到控制，本周一个新的病毒又在互联网上出现，该病毒名为“电眼间谍(Trojan.Spy.Delf.bsf)”。与“熊猫烧香”病毒类似，被该病毒感染的文件图标会变成一个人像的头像。

　　本周关注病毒：电眼间谍(Trojan.Spy.Delf.bsf)

　　警惕程度★★★☆

　　它是一个能在WIN9X/NT/2000/XP/2003系统上运行的蠕虫病毒。该病毒采用人像的头像作为图标，诱使用户运行。该变种会感染用户计算机上的EXE可执行文件，被病毒感染的文件图标均变为人头像。同时，受感染的计算机还会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。该病毒可通过局域网进行传播，进而感染局域网内所有计算机系统，最终导致整个局域网瘫痪，无法正常使用。

　　专家建议：

　　1、安装专业的杀毒软件，升级到最新版本，并打开实时监控程序；2、安装个人防火墙软件，防止其从互联网上下载其它的病毒。3、没有安装杀毒软件的用户可以登录www.rising.com.cn/free/index.htm下载免费的杀毒软件进行杀毒。

　　查杀方法：

　　请广大用户及时升级手中的瑞星杀毒软件2007版或下载版到19.09版本。没有安装杀毒软件的朋友可以登录online.rising.com.cn使用瑞星在线杀毒清除病毒，同时可拨打反病毒急救电话010-82678800或登录help.rising.com.cn使用在线专家门诊免费寻求帮助。(杨广)

释普度 - 2007-2-3 19:19:00

围剿熊猫烧香：一场没有任何胜算的战争

　两个月前，Mopery开始了这场几乎没有任何胜算的战争。

　　他把他的对手称为“幽灵”，因为他无法获知这个人的背景，也不知道这个人最终要做什么。他唯一能确定的是，在这个寒冷的冬天，“幽灵”用他自己制作的如同北京的沙尘暴一样猛烈的病毒——“熊猫烧香”，不断冲击着中国的互联网用户。

　　他的战场位于瑞星卡卡反病毒论坛。

　　狙击武汉男孩

　　“幽灵是一个可怕的超级黑客，他对我们几乎了如指掌，经常进出卡卡社区反病毒论坛——他正躲在幕后不断地窥视着我们。”Mopery对记者说。

　　Mopery是一名反病毒高手，瑞星卡卡社区反病毒论坛的版主。通过研究，Mopery发现了病毒内的一些留言，留言中，幽灵自称Whboy——“武汉男孩”。

　　“‘ <FORM class=yqin action=http://www.iask.com/n method=post></FORM>熊猫烧香’非常难以预防，因为它使用了一种新的传播方式。”瑞星反病毒软件工程师史瑀说，与普通病毒不同的是，“熊猫烧香”可以利用网站来传播。“如果网站编辑们的电脑被感染了，通过他们，熊猫烧香的病毒就会挂在网站的所有网页上，凡是访问此网站的网友会全部中招。”

　　“借助局域网天女散花，借助门户网站星火燎原，借助U盘死灰复燃，这是它的主要传播途径。”史瑀说。

　　在“熊猫烧香”迅速向全国扩散的时候，农夫、艾玛等一批反病毒高手开始在mopery的联合下加入“杀猫”大军，每天分析该病毒的新变种，同时在卡卡社区反病毒论坛上，不断更新详细的病毒分析报告。

　　“杀猫”大军的举动吸引了武汉男孩的注意，他开始在病毒中留言。在1月初的熊猫病毒变种代码中，除了whboy字样外，又多了一行字：“感谢mopery对此木马的关注。”这让mopery啼笑皆非。

　　随后，武汉男孩开始在每一个更新的病毒内部列出“鸣谢单位”留言。在1月5日的病毒留言中，艾玛的名字上了感谢名单。1月15日，武汉男孩和反毒者taylor77打招呼：“taylor77，不知道找我啥事啊？”同时，武汉男孩得意洋洋的宣称：“我制作的病毒已经‘满城尽烧国宝香’。”

　　据不同消息说，“熊猫烧香”造访过天涯社区、pconline、硅谷动力等门户网站，在暴风影音等知名软件的下载链接中也曾出现过“熊猫烧香”的魅影。

　　来自金山毒霸客服中心的统计显示，截至目前，“熊猫烧香”病毒变种已达416个，受感染电脑用户达到数百万台。

　　Mopery告诉记者，通过他和农夫的追踪了解，武汉男孩就隐藏在卡卡社区59万会员中间，但这个范围却无法再进一步缩小。从留言的内容和程序代码来看，武汉男孩是一位有丰富病毒编写经验的熟手，经常浏览卡卡社区反病毒论坛，随时关注mopery等人更新的病毒分析。

　　“武汉男孩精通入侵技术，通过他上网的痕迹来追查很难实现。”mopery有些无奈。

　　1月22日，国家计算机病毒应急处理中心发出警报，在全国范围内通缉“熊猫烧香”的发布者。

　　“烧香”求财

　　“现在的制作计算机病毒的黑客们并不像上世纪90年代以炫耀技术为主，他们往往带有强烈的商业目的。”史瑀介绍，黑客们惯用的手法是将编写好的病毒通过邮件、恶意网站等传播出去，用户中毒后，便可以盗取其网络银行密码或游戏装备来赚钱。

　　如史瑀和mopery所判断，“熊猫烧香”背后的势力已经开始逐步现身。用户中“熊猫烧香”后，病毒会自动下载一些病毒木马, 这些木马病毒会盗取网游、网银密码等，目前网上已经发现了盗窃网游设备产销一条龙的产业链。

　　江民公司的反病毒工程师告诉记者，“熊猫烧香”的作者已经开始通过几家地下网站公开销售 <FORM class=yqin action=http://www.iask.com/n method=post></FORM>网络游戏的装备，“他们这些网站可以称为是盗号、买卖一条龙，熊猫烧香的背景远没有那么简单。”

　　记者随即点开了杀毒公司提供的网址，但发现已经“无法访问”。据悉，目前这些地下网站已经发现被人调查，纷纷关闭了网站，或换个名字重新注册。

　　腾讯客服中心人员表示，随着肆虐的“熊猫”，他们已经接到了大批用户QQ号被盗的反映，而被盗的号码正在网上被秘密拍卖；盛大、九城、金山等网络公司则表示，熊猫出现以来，众多网络游戏玩家的一些高级装备已经被大批量盗走。而这些装备正通过某种渠道被倒卖；网络银行用户也同样，一些中毒的用户在毫不知情的情况下钱被偷偷取光，

释普度 - 2007-2-3 19:20:00

特别报道：“熊猫烧香”考问网络安全

一排排憨态可掬、颔首敬香的“熊猫”成为人们噩梦般的记忆。本报记者刘军摄

　　这是一波电脑病毒蔓延的狂潮。在两个多月的时间里，数百万电脑用户被卷将进去，那只憨态可掬、颔首敬香的“熊猫”除而不尽，成为人们噩梦般的记忆。

　　反病毒工程师们将它命名为“尼姆亚”。它还有一个更通俗的名字———“熊猫烧香”。它迅速化身数百种，不断入侵个人电脑，感染门户网站，击溃企业数据系统……它的蔓延考问着网络的公共安全，同时引发了一场虚拟世界里“道”与“魔”的较量。反病毒工程师和民间反病毒人士纷纷投身其中。

　　1月19日，一个最新的“熊猫烧香”变种病毒出现。病毒作者宣称，这将是“熊猫烧香”最后一次更新。

　　这场历时两个多月的较量结束了吗？

　　“蜜罐”中发现病毒

　　2006年11月14日，中关村瑞星公司总部14楼。

　　一群反病毒工程师围着一台与网络隔绝的电脑。随着鼠标点动，数百个熊猫图标出现在屏幕上。这是工程师们当天捕获的病毒，命名为“尼姆亚”。

　　史瑀是瑞星公司研发部病毒组的反病毒工程师。他每天的工作就是，和数十名伙伴一起捕捉网上流传的病毒，然后将病毒“拆”开，研究其内部结构后，升级瑞星的病毒库。

　　当天下午，一名用户向他们提交了一份病毒样本。随后，他们又在病毒组的“蜜罐”内，发现了该病毒的踪影。

　　“蜜罐”是病毒组设立在互联网上的一些防卫性孱弱的服务器，工程师们故意在服务器上设置多种漏洞，诱使病毒侵入。“就像猎人做的沾满蜜糖的陷阱，专门吸引猎物上钩。”

　　从“蜜罐”里提取病毒后，史瑀和同事们将病毒移到公司14楼的一台与网络隔离的电脑上，这里是病毒的“解剖台”。

　　“运行病毒之后，系统所有的图标都变成了熊猫。”史瑀眼前的屏幕上，出现了一排排的熊猫图案，熊猫们手持三炷香，合十作揖。

　　经过分析，工程师们发现，在病毒卡通化的外表下，隐藏着巨大的传染潜力，它的传染模式和杀伤手段，与风行一时的“威金”病毒十分相像。瑞星公司随即发布病毒预警。

　　病毒蔓延涌向全国

　　“最开始的‘尼姆亚’不算厉害。”史瑀说，随着病毒作者的不断更新，它的破坏力和传染力也随之上升。

　　2006年11月底，“尼姆亚”只有不到十个变种，然而12月开始，病毒作者从数日一更新，变为一日数更新，它的变种数量成倍上升。这时候，“熊猫烧香”已经取代了“尼姆亚”这个名字。

　　12月中旬，“熊猫烧香”进入急速变种期，在几次大面积暴发之后，“熊猫烧香”成为众多电脑用户谈之色变的词汇。

　　圣诞节过后，“熊猫烧香”版本已达到近百个。

　　史瑀说，去年12月下旬，国内近千家大型企业感染“熊猫烧香”，向瑞星求助。“当病毒变种和感染人群超过一定数量时，病毒的传播就会以几何方式增长。”

　　12月26日，金山毒霸全球反病毒监测中心发布“熊猫烧香”正疯狂作案的病毒预警。

　　27日，江民科技发布关于“熊猫烧香”的紧急病毒警报。

　　2007年1月7日，国家计算机病毒应急处理中心紧急预警，“通过对互联网络的监测发现，一伪装成‘熊猫烧香’图案的蠕虫病毒传播，已有很多企业局域网遭受该蠕虫的感染。”

　　1月9日，“熊猫烧香”继续蔓延，开始向全国范围的电脑用户涌去。

　　这一天，“熊猫烧香”迎来了一次全国性的大规模暴发，它的的变种数量定格在306个。

　　各地用户纷纷中招

　　小江是黑龙江省一家网吧的网管。1月9日到1月10日的两天间，他所在的网吧内空空荡荡，并无顾客，打开网吧的40多台电脑，屏幕上布满了“熊猫烧香”图标，系统崩溃，无法运行。

　　“毒是9日早晨中的，一开始只是一台机器，我杀毒时候，局域网内其他机器陆续中招。”小江说。

　　同一天早晨，在北京一家IT公司工作的刘先生上班后发现，公司近30台电脑全部感染“熊猫烧香”，病毒破坏了电脑内的程序文件，并删除了电脑备份，公司正在研发中的半成品软件毁于一旦。

　　刘先生愤怒之下却又无奈。在年度总结报告中，他特意加上了一条：“以后重要程序必须备份，防范类似‘熊猫烧香’的流氓病毒。”

　　同一天晚上，北京的一家报社里，技术人员们东奔西跑，几十名编辑记者都在等待着他们清除电脑里的“熊猫烧香”。

　　1月10日，上海一家台资公司的员工张先生打开电脑，迎接他的是一排排拱手举香的熊猫。环顾

释普度 - 2007-2-3 19:21:00

每日经济新闻：软件超级巡警追缉熊猫烧香

何勇每日经济新闻

　　昨日，一度被人怀疑“传播熊猫烧香”的超级巡警软件所有者深圳市大成天下信息技术有限公司负责人吴鲁加向《每日经济新闻》提供相关证据，澄清真相。吴鲁加还表示，超级巡警愿意向政府相关部门提供技术支持，追缉“熊猫烧香”。

　　据吴鲁加介绍，其实早在2006年11月19日，超级巡警就已经接到网友上报的熊猫烧香变种，并且在当天快速完成了将该病毒加入特征库、提出病毒预警、发布专杀软件等一系列动作。在此后的一段时间内，包括艾玛、mopery、海色の月等各家反病毒公司高手都对该病毒极其关注并提供分析、查杀的方法，但猖狂的病毒作者，除了用病毒关闭瑞星、金山、江民、超级巡警等杀毒软件之外，居然还在病毒体内给大家留起了言：

　　2007年1月4日，“感谢mopery对此木马的关注”；

　　2007年1月19日，“超级巡警终于红了!哇哈哈!超级巡警出自xfocus的牛人killer.我滴偶像啊!”

　　“也正因为这种对话，让提供桌面安全的免费木马查杀软件超级巡警，一度被人怀疑‘传播 <FORM class=yqin action=http://www.iask.com/n method=post></FORM>熊猫烧香’。”昨日，吴鲁加表示，“超级巡警的开发团队将会积极配合政府相关部门对熊猫烧香 <FORM class=yqin action=http://www.iask.com/n method=post></FORM>病毒进行调查，提供必要的技术支持，抑制病毒的泛滥，也欢迎广大网民积极监督，提供线索，协助有关部门抓获真凶。”

释普度 - 2007-2-3 19:24:00

新病毒1年冒出23万个熊猫烧香成06年毒王

　本报讯 (记者孙海东) 黑客和病毒制造者从来没有像现在这样疯狂。据瑞星昨天发布的《2006年度中国大陆地区电脑病毒疫情和互联网安全报告》，由于黑客普遍利用程序给病毒加壳，相当于把病毒加密变形，实现“机械化生产病毒”，使得2006年出现的新病毒数量急剧增加，达到234211个，几乎等于以往所有病毒数量的总和。

　　这些新病毒，90%以上带有明显的利益特征，有窃取个人资料、各种账号密码等行为。其中，窃取用户账号密码等个人虚拟财产信息的病毒共167387个，占到总病毒数量的71.47%。这一年，我国还出现了首个勒索病毒“进程杀手变种”。

　　从感染电脑数量来说，以往肆虐的“灰鸽子”、“高波”等老毒王已经退位，年底暴发的“ <FORM class=yqin action=http://www.iask.com/n method=post></FORM>熊猫烧香”病毒后来居上，成为年度新毒王。

　　2006年以来，黑客团伙与杀毒软件对抗的趋势越来越明显，已经从刚开始的“偷偷摸摸”转变成明目张胆的技术对抗。如“橙色八月”恶性病毒的数十个变种，会使多款主流杀毒软件和个人防火墙无法打开，甚至导致杀毒时系统出现“蓝屏”、自动重启、死机等状况。

　　2006年十大病毒排行

1、熊猫烧香(Worm.Nimaya)

2、威金蠕虫(Worm.Viking)

3、代理木马下载器(Trojan.DL.Agent)

4、传奇终结者(Trojan.PSW.Lmir)

5、征途木马(Trojan.PSW.Zhengtu)

6、QQ通行证(Trojan.PSW.QQPass)

7、威尔佐夫(Worm.Mail.Warezov)

8、调用门Rootkit(Rootkit.CallGate)

9、灰鸽子后门(Backdoor.Gpigeon)

10、魔兽木马(Trojan.PSW.WoWar)