中嘉華誠(chéng)網(wǎng)絡(luò)安全技術(shù)有限公司 梁思喆姜旭

專家檔案：梁思喆，現(xiàn)就任北京中嘉華誠(chéng)網(wǎng)絡(luò)安全技術(shù)有限公司副總經(jīng)理。在工作期間，參與主持了中嘉華誠(chéng)GKR系列產(chǎn)品在國(guó)內(nèi)的行銷推廣計(jì)劃，并主持實(shí)施新產(chǎn)品GDR的聯(lián)絡(luò)及市場(chǎng)運(yùn)作工作，在網(wǎng)絡(luò)安全領(lǐng)域具有豐富的經(jīng)驗(yàn)。

此文為中嘉華誠(chéng)的專家為本刊撰寫，站在專業(yè)人士的角度上，分析此次“熊貓燒香”事件和目前我國(guó)信息網(wǎng)絡(luò)安全，為不可多得的專業(yè)評(píng)論稿。

2006年12月中旬，隨著一只憨態(tài)可掬、頷首敬香的“熊貓”在網(wǎng)絡(luò)中的出現(xiàn)，一排排“熊貓”霸占了我們的電腦，短短兩個(gè)月的時(shí)間，它迅速化身數(shù)百種變種病毒，瘋狂入侵個(gè)人電腦，感染門戶網(wǎng)站，擊潰企業(yè)數(shù)據(jù)系統(tǒng)……蔓延的速度之快、造成的破壞力之大都是繼CIH病毒之后難得一見的。

它就是新型病毒——“熊貓燒香”。

2006年12月中旬，“熊貓燒香”急速變種，在經(jīng)過幾次大面積暴發(fā)之后，眾多電腦用戶談“熊貓”色變。

圣誕節(jié)過后，“熊貓燒香”版本已達(dá)到近百個(gè)，而后，病毒的傳播開始以幾何方式瘋狂增長(zhǎng)……

2006年12月26日，金山毒霸全球反病毒監(jiān)測(cè)中心發(fā)布“熊貓燒香”正瘋狂作案的病毒預(yù)警。

2006年12月27日，江民科技發(fā)布關(guān)于“熊貓燒香”的緊急病毒警報(bào)。

2007年1月7日，國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心緊急預(yù)警，“通過對(duì)互聯(lián)網(wǎng)絡(luò)的監(jiān)測(cè)發(fā)現(xiàn)，一偽裝成‘熊貓燒香’圖案的蠕蟲病毒傳播，已有很多企業(yè)局域網(wǎng)遭受該蠕蟲的感染?！?/p>

2007年1月9日，“熊貓燒香”繼續(xù)蔓延，開始向全國(guó)范圍的電腦用戶涌去。這一天，“熊貓燒香”迎來了一次全國(guó)性的大規(guī)模暴發(fā)，它的的變種數(shù)量定格在306個(gè)。

各地用戶紛紛中招……

一只小小“熊貓”何會(huì)在短短數(shù)月的時(shí)間引起如此之大的網(wǎng)絡(luò)安全恐慌？國(guó)內(nèi)外眾多知名殺毒軟件企業(yè)為何無動(dòng)于衷，任由“熊貓”肆虐網(wǎng)絡(luò)？經(jīng)過對(duì)“熊貓燒香”病毒分析相信大家會(huì)知道其中的原因。

“熊貓燒香”病毒是一個(gè)感染型的蠕蟲病毒“尼姆亞”的變種，經(jīng)過改進(jìn)它能迅速感染系統(tǒng)中擴(kuò)展名為exe、com、pif、src、html、asp等文件，它還能中止大量的反病毒軟件進(jìn)程并且會(huì)刪除擴(kuò)展名為gho的文件，使用戶的系統(tǒng)備份文件丟失。被感染的用戶系統(tǒng)中所有.exe可執(zhí)行文件全部被改成熊貓舉著三根香的模樣。同時(shí)，受感染的計(jì)算機(jī)還會(huì)出現(xiàn)藍(lán)屏、頻繁重啟以及系統(tǒng)硬盤中數(shù)據(jù)文件被破壞等現(xiàn)象。該病毒會(huì)在中毒電腦中所有的網(wǎng)頁文件尾部添加病毒代碼。一些網(wǎng)站編輯人員的電腦如果被該病毒感染，上傳網(wǎng)頁到網(wǎng)站后，就會(huì)導(dǎo)致用戶瀏覽這些網(wǎng)站時(shí)也被病毒感染。

“熊貓燒香”是如何入侵操作系統(tǒng)的？

1.復(fù)制自身到系統(tǒng)目錄下： %System%＼drivers＼spoclsv.exe（“%System%”代表Windows所在目錄，比如：C:＼Windows）

2.注冊(cè)表中創(chuàng)建啟動(dòng)項(xiàng)：HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Run] “svcshare”=“%System%＼drivers＼spoclsv.exe”

3.修改“顯示所有文件和文件夾”設(shè)置（使系統(tǒng)無法顯示隱藏文件來隱藏自己）

[HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Explorer＼Advanced＼Folder＼Hidden＼SHOWALL]

“CheckedValue”=dword:00000000

4.在各分區(qū)根目錄生成病毒副本：這樣病毒可以借助磁盤的“自動(dòng)播放”功能，在用戶每次雙擊硬盤時(shí)即可自動(dòng)啟動(dòng)運(yùn)行。

X:＼setup.exe

X:＼autorun.inf

autorun.inf內(nèi)容：

[AutoRun]

OPEN=setup.exe

shellexecute=setup.exe

shell＼Auto＼command=setup.exe）

5.每隔一段時(shí)間點(diǎn)擊病毒作者指定的網(wǎng)頁，并用命令行檢查系統(tǒng)中是否存在共享，如果共享存在病毒自動(dòng)運(yùn)行net share命令關(guān)閉admin$共享

cmd.exe ／c net share X$ ／del ／y

cmd.exe ／c net share admin$ ／del ／y

6.熊貓燒香病毒嘗試關(guān)閉安全軟件相關(guān)窗口：

例如：瑞星、江民、注冊(cè)表編輯器、卡巴斯基反病毒、使用的鍵盤映射的方法關(guān)閉安全軟件IceSword等安全軟件窗口。

7.嘗試結(jié)束安全軟件相關(guān)進(jìn)程：

例如：KVXP.kxp、kvMonXP.kxp、KVCenter.kxp等進(jìn)程。

8.禁用安全軟件相關(guān)服務(wù)：

例如：KVWSC 、KVSrvXP 、kavsvc等相關(guān)服務(wù)。

9.每隔6秒刪除安全軟件在注冊(cè)表中的啟動(dòng)鍵值：

HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Run

10.遍歷目錄修改htm／html／asp／php／jsp／aspx等網(wǎng)頁文件，在這些文件尾部追加信息：

用戶一但打開了該文件，IE就會(huì)不斷的在后臺(tái)點(diǎn)擊寫入的網(wǎng)址，達(dá)到增加點(diǎn)擊量的目的。

11.在訪問過的目錄下生成Desktop_.ini文件，內(nèi)容為當(dāng)前日期。

12.此外，病毒還會(huì)嘗試刪除GHO文件。該文件是一系統(tǒng)備份工具GHOST的備份文件，使用戶的系統(tǒng)備份文件丟失。

13.病毒還嘗試使用弱密碼將副本以GameSetup.exe的文件名復(fù)制到局域網(wǎng)內(nèi)其它計(jì)算機(jī)中。

經(jīng)過一系列的多點(diǎn)入侵，操作系統(tǒng)已經(jīng)完全被“熊貓”侵占，并且“熊貓”還在做著入侵其他電腦的準(zhǔn)備，到目前為止，真正可以殺滅“熊貓燒香”病毒的軟件還沒有出現(xiàn)（病毒作者現(xiàn)正編寫殺毒程序，但尚未經(jīng)過安全部認(rèn)證），目前殺毒軟件采用病毒特征代碼法的檢測(cè)工具，面對(duì)不斷出現(xiàn)的新病毒，必須不斷更新版本，否則檢測(cè)工具便會(huì)老化，逐漸失去實(shí)用價(jià)值。病毒特征代碼法對(duì)從未見過的新病毒，自然無法知道其特征代碼，因而無法去檢測(cè)這些新病毒。而且由于此次“熊貓燒香”病毒是通過多種方式同時(shí)感染，因此一旦感染病毒后，很難在短時(shí)間清除。

通過此次“熊貓燒香”病毒爆發(fā)，可以看出目前我國(guó)信息安全在諸多方面面臨嚴(yán)峻形勢(shì)：

信息與網(wǎng)絡(luò)的安全防護(hù)能力差

以前我們的信息安全防護(hù)主要是“頭痛醫(yī)頭，腳痛醫(yī)腳”， 哪里出現(xiàn)了安全問題，再去設(shè)置安全防護(hù)系統(tǒng)，雖說“亡羊補(bǔ)牢，為時(shí)未晚”但一次又一次的“亡羊”應(yīng)該給我們敲響警鐘，信息與網(wǎng)絡(luò)的安全防護(hù)不能永遠(yuǎn)滯后于安全事件，我們應(yīng)該提前防范，并在專家的指導(dǎo)下進(jìn)行有預(yù)見性有針對(duì)性的防范。目前一些主動(dòng)防御的安全產(chǎn)品和安全技術(shù)已經(jīng)成熟，完全可以保證我們的網(wǎng)絡(luò)和信息系統(tǒng)“防患于未然”。

對(duì)引進(jìn)技術(shù)和設(shè)備缺乏安全檢

國(guó)外的技術(shù)，國(guó)外的產(chǎn)品，給我們的印象是，高科技，高品質(zhì)，良好的服務(wù)，但是在一些關(guān)鍵設(shè)備和產(chǎn)品上國(guó)外產(chǎn)品往往和外國(guó)政府部門一起合作，留下“后門”不為人知的安全漏洞，隨著國(guó)際局勢(shì)的日趨復(fù)雜，一旦情況有變，這些“后門”就會(huì)發(fā)揮他們的作用，源源不斷的把我們的信息，情報(bào)，泄露出去。這絕非是危言聳聽，經(jīng)過中科院相關(guān)部門的測(cè)試，某國(guó)外品牌的手機(jī)即使在關(guān)機(jī)狀態(tài)，依然有微弱的電子信號(hào)在不斷發(fā)送消息。某國(guó)外品牌的知名電腦操作系統(tǒng)已被證實(shí)和該國(guó)安全部門合作，在其操作系統(tǒng)內(nèi)留下了“緊急通道”。我們?cè)谑褂眠@些國(guó)外產(chǎn)品的時(shí)候，往往更多的注重其功能性，往往忽略了這些安全產(chǎn)品本身的安全性，所以國(guó)家相關(guān)部門曾經(jīng)指出，在關(guān)鍵部門以及一些特殊領(lǐng)域里，應(yīng)盡量使用國(guó)產(chǎn)產(chǎn)品，以保障安全性和可靠性。

基礎(chǔ)信息產(chǎn)業(yè)嚴(yán)重依賴國(guó)外

這次“熊貓燒香”病毒泛濫之時(shí)，碰巧趕上海底網(wǎng)絡(luò)通訊電纜斷裂，很多我們國(guó)內(nèi)的電腦用戶，使用的是國(guó)外的防病毒軟件產(chǎn)品。在病毒泛濫的時(shí)候，由于與國(guó)外服務(wù)器的通訊連接異常，防病毒軟件不能進(jìn)行正常的升級(jí)，最后只能眼睜睜的看著自己網(wǎng)絡(luò)里的計(jì)算機(jī)，一臺(tái)臺(tái)的被“熊貓”占領(lǐng)。

信息犯罪有快速蔓延之勢(shì)

隨著科技的進(jìn)步，根據(jù)CCID的調(diào)查顯示，進(jìn)幾年的信息犯罪有快速蔓延的趨勢(shì)，安全事件年年增加，但是和前幾年相比，近年來的黑客攻擊事件有了一定的變化。他們不在毫無目的的攻擊以顯示自己的水平，想反，有組織有對(duì)象的破壞性攻擊事件增多，熊貓燒香作為一個(gè)強(qiáng)傳染性電腦病毒，其實(shí)他的核心技術(shù)并不復(fù)雜，該病毒作者在第一版熊貓燒香病毒發(fā)布后一直在關(guān)注反病毒界的動(dòng)作，他曾在卡卡反病毒論壇里仔細(xì)研究別人對(duì)熊貓燒香病毒的防范原理和方法，然后更改自己的病毒，更新病毒版本，繞過檢查，避開防御。據(jù)作者自己說，最多的一天，病毒更新了20余次，加上病毒的自我變化，最終定格為306個(gè)變種，讓防病毒專家和廠商手忙腳亂，防不勝防。

還有一個(gè)例子。

12月4日，微客網(wǎng)被IDG評(píng)為“中國(guó)最具創(chuàng)新網(wǎng)站”，但微客網(wǎng)創(chuàng)始人、總裁康錄發(fā)的興奮還未能持續(xù)24小時(shí)，12月5日，微客網(wǎng)開始遭遇黑客攻擊，“開始是登錄速度變慢，最后是完全無法登錄”，隨后該公司的業(yè)務(wù)陷入停頓狀態(tài)，而在接下來的二十多天里，微客網(wǎng)開始四處流浪，尋求托管網(wǎng)站。據(jù)了解，當(dāng)時(shí)，微客網(wǎng)的服務(wù)器托管于北京電信通公司，其機(jī)房位于北京國(guó)貿(mào)附近的惠普大廈。

接下來的幾天，微客網(wǎng)遭受黑客攻擊的問題并沒有得到解決。12月8號(hào)，瞬間攻擊流量超過了3G(北京電信通機(jī)房全部帶寬為4G)。這不僅造成了微客網(wǎng)服務(wù)器的中斷，北京電信通的其他服務(wù)器同時(shí)受到了攻擊，整個(gè)機(jī)房陷入間歇性癱瘓狀態(tài)。

當(dāng)天，通過服務(wù)器代理商，微客網(wǎng)將其服務(wù)器交由光環(huán)新網(wǎng)托管。光環(huán)新網(wǎng)的機(jī)房位于北京東直門。很快，微客網(wǎng)再次受到攻擊，同時(shí)，隨著攻擊流量暴漲，機(jī)房?jī)?nèi)的其他服務(wù)器也受到攻擊。

隨后，微客網(wǎng)的服務(wù)器又選擇了鐵通的機(jī)房。鐵通機(jī)房的整體帶寬為2G，然后類似情況再次發(fā)生。微客網(wǎng)于是接著逃離。但結(jié)局總是一樣——網(wǎng)站很快被黑客攻擊，并且很快殃及機(jī)房?jī)?nèi)的其他服務(wù)器。

對(duì)于網(wǎng)站四處逃亡，卻無法逃脫黑客攻擊的原因，CNCERT/CC有關(guān)負(fù)責(zé)人張旭對(duì)記者表示，\"服務(wù)器更換托管機(jī)房后，盡管網(wǎng)站IP隨之發(fā)生變化，但黑客登陸之后就會(huì)查出新的IP地址，然后對(duì)新的IP進(jìn)行流量攻擊，新的機(jī)房跟著遭殃。

12月18日，康錄發(fā)通過代理商找到了亞洲最大的機(jī)房——網(wǎng)通旗下的北京宜莊機(jī)房，要求托管服務(wù)器。后者以“你的網(wǎng)站正在被攻擊”為由，拒絕了康錄發(fā)的托管請(qǐng)求。

如果說，“熊貓燒香”是在不斷的躲避，那么這個(gè)網(wǎng)站卻象是在被黑客所“追殺”，到最后居然沒有一個(gè)機(jī)房敢收留它。類似這樣的攻擊事件在2006年還有很多，這些安全事件本應(yīng)該引起我們足夠的重視，可惜，實(shí)際情況卻并非如此。

社會(huì)的信息安全意識(shí)淡薄

現(xiàn)在，我們大多數(shù)人對(duì)信息安全還沒有一個(gè)完整的概念，很多人不知道信息安全到底指的是什么，還有一些人，認(rèn)為信息安全就是防火墻防病毒等簡(jiǎn)單的防護(hù)手段。實(shí)際上，信息安全應(yīng)該是一個(gè)完整的獨(dú)立的，保障我們信息和網(wǎng)絡(luò)系統(tǒng)能夠正常穩(wěn)定運(yùn)行的保障系統(tǒng)，它應(yīng)該涵蓋從物理層，系統(tǒng)層，網(wǎng)絡(luò)層，應(yīng)用層到管理層的方方面面，絕不是簡(jiǎn)單的安全產(chǎn)品的堆砌。在我們安裝了防火墻，防病毒軟件之后，我們就安全了嗎？

在2006年的夏天，北京某大學(xué)網(wǎng)站被黑客攻擊，由于正在放暑假，學(xué)校里的相關(guān)教師都不在校內(nèi)，直到3天后，網(wǎng)站頁面才被修復(fù)。攻擊者是一名來自廣東的17歲少年，在記者采訪的時(shí)候他這樣對(duì)記者說：“我只是想讓他們知道，他們的防御到底有多么脆弱”。

類似的事情不勝枚舉，從根本上說，是全社會(huì)的信息安全意識(shí)淡薄，沒有把信息安全當(dāng)做是一件必須要做，必須要做好的事情?？梢哉f，什么時(shí)候大家都能像愛惜自己錢包一樣的愛護(hù)自己的信息系統(tǒng)，那么我們的信息安全意識(shí)就算達(dá)標(biāo)了。