春节前,制造“熊猫烧香”病毒的始作俑者已经落网。据介绍,“熊猫烧香”被称为去年网络病毒的“毒王”,在它诞生之后的四个月里,数以千计的企业受害,数以百万计的个人用户“中招”,至于具体的经济损失更无从统计。
媒体报道说,据湖北省公安厅公布的信息,制作传播“熊猫烧香”病毒案已被湖北公安部门网监人员“一举侦破”。据称,这是“我国破获的国内首例制作计算机病毒的大案”。
炮制病毒者很后悔,也很吃惊,因为他此前不认为这是犯罪,更没有想到事情会如此严重。消息见报之后,甚至引来一些崇拜者羡慕的话语。在各类新闻评论、跟帖及回复中,不少人将李某称为“网络奇才”、“黑客英雄”、“武汉大侠”,对造成用户那么巨大的损失,不但不谴责,反而顶礼膜拜。这被称为“黑客崇拜症”。
据介绍,制造网络病毒朝牟利方向发展,已成一种“趋势”,而且,受人追捧,受人崇拜。这与把强盗当英雄已经没有多大区别。只是,强盗是赤裸裸抢劫行为,没有多少技术含量,而且形象也比较狰狞;制造病毒以牟利,看起来比较文气,而且需要能力,需要技巧,非一般人所能干的。但其居心不良以及霸人钱财的本质则是一样的。对此不但少有人进行谴责,甚至有人主张对这样的“高手”给予特别任用,以“发挥其聪明才智”。看来,是非的颠倒,道德的沦丧,在某些群体中达到何等程度。
……
新华社武汉2月12日电(记者方政军)湖北省公安厅12日宣布,根据统一部署,湖北网监在浙江、山东、广西、天津、广东、四川、江西、云南、新疆、河南等地公安机关的配合下,一举侦破了制作传播“熊猫烧香”病毒案,抓获李俊(男,25岁,武汉新洲区人)、雷磊(男,25岁,武汉新洲区人)等8名犯罪嫌疑人。这是我国破获的国内首例制作计算机病毒的大案。
……
据了解,这一变种不同于以往的各种变种形式,而是增加了自我下载“熊猫烧香”病毒的功能,是一种升级版变种。这种病毒运行后,在被感染的计算机上释放“熊猫烧香”蠕虫病毒,利用Windows系统的自动播放功能来运行。
此外,这种病毒还会搜索并且感染硬盘中的*.exe可执行文件,感染后的文件图标变成“熊猫烧香”的图标。
……
“30日,我打开电脑的时候,发现C盘目录下的可执行文件全部变为金色的小猪,起初我还觉得很可爱,但紧接着发现办公软件都不好用了,而且杀毒软件也被终止了。”用户张小姐非常无奈的表示。
“刚刚把熊猫查杀干净,今天一开电脑,又发现了N只小金猪,真是郁闷!”用户黄先生气愤地表示。
反病毒专家戴光剑指出,伴随着各大杀毒厂商对“熊猫烧香”病毒的集中绞杀,该病毒正在不断“繁衍”新的变种,密谋更加隐蔽的传播方式。据不完全统计,仅12月份至今,变种数已达90多个,个人用户感染熊猫烧香的已经高达几百万,企业用户感染数还在继续上升。
此外学生寒假开始,上网人群短期内集中上升,病毒的传播速度也空前加快,所以用户在进行上网的过程中要更加警惕病毒的入侵。据了解,前几天在网络上出现了“熊猫烧香”作者声称不再有变种出现,而“金猪”的出现再次粉碎了人们的美梦,再次将人们拉回到熊猫烧香的梦魇之中。
……
反病毒工程师们将它命名为“尼姆亚”. 它还有一个更通俗的名字——“熊猫烧香”. 它迅速化身数百种, 不断入侵个人电脑, 感染门户网站, 击溃企业数据系统……它的蔓延考问着网络的公共安全, 同时引发了一场虚拟世界里“道”与“魔”的较量. 反病毒工程师和民间反病毒人士纷纷投身其中.
1月19日,一个最新的“熊猫烧香”变种病毒出现。病毒作者宣称,这将是“熊猫烧香”最后一次更新。
这场历时两个多月的较量结束了吗?
“蜜罐”中发现病毒
2006年11月14日,中关村瑞星公司总部14楼。
一群反病毒工程师围着一台与网络隔绝的电脑。随着鼠标点动,数百个熊猫图标出现在屏幕上。这是工程师们当天捕获的病毒,命名为“尼姆亚”。
史瑀是瑞星公司研发部病毒组的反病毒工程师。
……
惊险查杀过程
1.熊猫烧香病毒:图片就是个熊猫在烧香感觉蛮可爱的!当时并没有很在意!第二天再次打开电脑的时候!几乎电脑所有的EXE文件都成了熊猫烧香图片!这时才有所感觉!
部分EXE文件已经无法正常使用!新加一个AUTORUN.INF的文件!
当初不明白这个文件的作用!在网上查了一些资料表明。才知道。只要用户打开盘符。就会运行这个病毒!用杀毒软件杀毒!没有效果!看来现在的杀毒软件越来越不行了~..
2.想用组合键打开任务管理器!无法打开~失败....想看看注册表有没什么情况。依然失败!奇怪的是:电脑运行正常。也都不卡!难道不是病毒.是系统出了问题?从网上下了第三方工具查看进程!果然看到两个可疑进程!***Jacks.exe貌似是最可疑的不敢贸然终止!赶快问问白度大叔!
3.大叔告诉我。是熊猫病毒的进程!一切正如我意!懒的装系统了!
……
据金山毒霸反病毒专家介绍,“熊猫烧香”蠕虫不但可以对用户系统进行破坏,导致大量应用软件无法使用,而且还可删除扩展名为gho的所有文件,造成用户的系统备份文件丢失,从而无法进行系统恢复;同时该病毒还能终止大量反病毒软件进程,大大降低用户系统的安全性。
“今天早晨一打开电脑,我就晕了,进入系统后,许多应用程序无法使用,重装软件后,不久又不能使用,更奇怪的是发现电脑中所有的.exe可执行文件全部变成小熊猫举着三根香的模样,而且系统运行异常缓慢,非常郁闷。”用户张先生气愤地说。
据此,金山毒霸反病毒专家分析指出,近段时间,“熊猫烧香”(Worm.WhBoy.h) 蠕虫正处于急速变种期,仅11月份至今,变种数量已达10几个,变种速度之快,影响范围之广,与06年横行于局域网的“维金”不相上下。
……
据悉,近段时间熊猫烧香病毒正处于一个急速变种期,仅12月份至今,变种数量已达30余种,安全厂商曾多次提醒广大用户,并且金山毒霸全球反病毒监测中心也及时推出了熊猫烧香的专杀工具,但仍然有大量企业以及个人用户感染该病毒。
“一个小小的熊猫竟然有如此大的破坏性,让人匪夷所思。”某外企网管张先生感叹到。
“我的电脑前几天感染了熊猫烧香,最后格盘,重装系统,结果才正常没几天,再次中招,郁闷!”某网络公司熊小姐气愤地说。
“我前几天登陆北京欢乐谷的网站,刚刚打开网页,毒霸就报有熊猫烧香病毒,看来熊猫烧香真是很厉害,无处不在!”某国际咨询公司王先生庆幸地说。
据金山毒霸反病毒专家指出,12月26日,台湾地震,导致光缆中断,大量国外杀毒软件无法正常升级,而很多外企用户使用的就是国外杀毒软件,无法升级就意味着用户将时刻面临新病毒的威胁,这也是熊猫烧香病毒如此猖獗的一个重要原因。
……
1.立即检查本机administrator组成员口令,一定放弃简单口令甚至空口令,安全的口令是字母数字特殊字符的组合,自己记得住,别让病毒猜到就行。修改方法,右键单击我的电脑,选择管理,浏览到本地用户和组,在右边的窗格中,选择具备管理员权限的用户名,单击右键,选择设置密码,输入新密码就行。
2.利用组策略,关闭所有驱动器的自动播放功能。
步骤:单击开始,运行,输入gpedit.msc,打开组策略编辑器,浏览到计算机配置,管理模板,系统,在右边的窗格中选择关闭自动播放,该配置缺省是未配置,在下拉框中选择所有驱动器,再选取已启用,确定后关闭。最后,在开始,运行中输入gpupdate,确定后,该策略就生效了。
3.修改文件夹选项,以查看不明文件的真实属性,避免无意双击骗子程序中毒。
步骤:打开资源管理器(按windows徽标键+E),点工具菜单下文件夹选项,再点查看,在高级设置中,选择查看所有文件,取消隐藏受保护的操作系统文件,取消隐藏文件扩展名。
……
