据报道,2006年影响我国最严重的计算机病毒是年底出现的“熊猫烧香”。那一段时间,网络上几大网站都在报道这个病毒所造成的危害。我国几个大的软件公司纷纷推出各自的专杀,并积极进行宣传。
根据报道,该病毒可以感染可执行文件,被感染的文件会变成一只憨厚可爱的熊猫正在烧香拜佛的图标。病毒会删除硬盘上的克隆影像文件(.gho文件)。病毒还会感染网页文件。如果这些网页再被放到网站上,则访问这些网页的用户也会跟着被感染。
我的职业是教授计算机病毒的防范。因此,在我发现这些报道之后,就尝试拿到病毒样本,研究该病毒是否应用了什么新的技术进行传播,检验我所教授的防范措施是否已经完全失效。网上很容易就搜索到了这个病毒的几个样本。据说,“熊猫烧香”的变种达到一百多种,我目前只是拿到了十多个,不知道这些是否具有代表性。根据我对这些病毒的黑盒分析,我认为这个病毒技术并没有什么创新,我所教授的防范措施对这些病毒也仍然有效。以下是我对该病毒的一些分析和评论。
实验一:
实验准备:事先准备一台专门的测试机器,安装了Windows 2000 sp4中文专业版。系统安装在C:盘,同时有一个D:盘。为了检验病毒对网页、克隆影像的影响,在D:硬盘上面预先放置了一部分html静态网页,以及一些可执行文件,还有几个扩展名为 .gho的文件(他们并非真实克隆影像文件)。C:,D:这两个分区均采用FAT格式,系统采用管理员账户administrator登录。
实验过程:使用U盘拷贝病毒样本文件。文件名为 gamesetup.exe。插入测试机器中。等待一段时间后,检查D:上的可执行文件,发现部分可执行文件的图标已经被更改。检查html网页文件,均在末尾添加了额外的代码。同时,所有扩展名为 .gho的文件已经消失。如果将文件夹选项更改为可以显示系统文件和隐藏文件,则在C:\,C:\这两个文件夹均可发现 gamesetup.exe和 autorun.inf 文件。
结论:在这种情况下,病毒成功地进行了感染。
实验准备:事先准备一台专门的测试机器,安装了Windows 2000 sp4中文专业版。系统安装在C:盘,同时有一个D:盘。为了检验病毒对网页、克隆影像的影响,在D:硬盘上面预先放置了一部分html静态网页,以及一些可执行文件,还有几个扩展名为 .gho的文件(他们并非真实克隆影像文件)。C:,D:这两个分区均采用FAT格式,系统采用管理员账户administrator登录。
实验过程:使用U盘拷贝病毒样本文件。文件名为 gamesetup.exe。插入测试机器中。等待一段时间后,检查D:上的可执行文件,发现部分可执行文件的图标已经被更改。检查html网页文件,均在末尾添加了额外的代码。同时,所有扩展名为 .gho的文件已经消失。如果将文件夹选项更改为可以显示系统文件和隐藏文件,则在C:\,C:\这两个文件夹均可发现 gamesetup.exe和 autorun.inf 文件。
结论:在这种情况下,病毒成功地进行了感染。
实验二:
实验准备:基本同试验一,但是C:、D:分区格式转换为NTFS分区。
实验过程:同上。经检查,病毒同样成功进行了感染。
实验准备:基本同试验一,但是C:、D:分区格式转换为NTFS分区。
实验过程:同上。经检查,病毒同样成功进行了感染。
实验三:
实验准备:基本同实验一。但C:,D:分区均转换为NTFS。同时,建立一个用户 user1。该用户仅属于 users组,而不是administrators组。机器事先实用账户 user1 登录系统。设置 user1对D:拥有读权限。并在D:\下建立文件夹 user1。设置 user1用户对 d:\user1拥有“完全控制”权限。在 user1文件夹中也拷贝了可执行文件、html网页文件、.gho文件。
实验过程:同上。经检查,在C:\,D:\均没有发现多出的文件。同时,D:上所有文件均未被更改。说明病毒在这种情况下没有成功感染。即使将病毒直接拷贝到 d:\user1 文件夹中,双击运行,也没有发现系统有变化。
实验准备:基本同实验一。但C:,D:分区均转换为NTFS。同时,建立一个用户 user1。该用户仅属于 users组,而不是administrators组。机器事先实用账户 user1 登录系统。设置 user1对D:拥有读权限。并在D:\下建立文件夹 user1。设置 user1用户对 d:\user1拥有“完全控制”权限。在 user1文件夹中也拷贝了可执行文件、html网页文件、.gho文件。
实验过程:同上。经检查,在C:\,D:\均没有发现多出的文件。同时,D:上所有文件均未被更改。说明病毒在这种情况下没有成功感染。即使将病毒直接拷贝到 d:\user1 文件夹中,双击运行,也没有发现系统有变化。
通过上面的实验,说明即使是现在安全漏洞相对较多的Windows 2000 sp4(相比较于Windows XP SP2和Windows 2003 SP1),只要使用 NTFS文件系统,并使用不具有管理员权限的账号登录系统,“熊猫烧香”病毒就无法利用U盘进行传播。
进一步的一系列实验,证明在实验三的条件下,使用 user1账号进行登录系统,访问受病毒感染的网页,该台机器也没有感染病毒。
这个问题说明,受到该病毒感染的机器,很可能是类似于上面实验一或者试验二的设置形式。根据我在教学中的经验,确实很大一部分学生他们的机器就是这样设置的。我相信,在全国当中,由于受到一些旧有的看法的影响,很多用户喜欢把系统分区格式化为FAT分区,包括很多计算机销售商里面的专业技术人员(这些人的看法是,FAT分区可以在系统崩溃的时候,拷贝出原来的数据。这个问题在以前确实也是个不大不小的问题,但是现在随着Windows PE一类系统的出现,已经不再是个问题)。很多学生、用户为了方便,就直接使用系统的管理员账号登录系统。商家在出售机器的时候,为了方便,也是直接让用户使用管理员账户登录,甚至根本不设置密码。
但是,这样的经典设置方法,在安全里面,却是一个极大的忌讳。Windows里面的管理员----administrator,就是你系统里面的上帝。人人都喜欢当上帝的感觉,但是上帝却不是那么好当的。上帝的鼠标双击启动一个程序的时候,就相当于把上帝的尚方宝剑给了这个程序。如果这个程序是正常的,当然会顺利完成我们的任务。但是,如果这个程序是个不良分子(病毒或者***),或者虽然是本性善良,却容易迷失方向(就象存在漏洞的软件),被别人利用,那么杀伤力也是很大的。FAT文件系统相当于一座无法上锁的旅店,没有任何武功的小人物也能轻易进入你的领地;而NTFS文件系统就是可以上锁的旅店,一举一动受你控制。
因此,使用FAT文件系统,习惯使用管理员账号上网和工作,是我国“目前”病毒防范中存在的最大误区。我国当前几大杀毒软件厂商在进行宣传的时候,基本上都没有把这两个Windows中的防范重点包含在内。而陷入这些防范误区的用户范围极大,包括普通用户,大学生,计算机系统销售商,甚至相当多的专业软件开发者。事实上,如果广大用户能够切实注意这两条防范重点,不光“熊猫烧香”病毒可以得到有效控制,就连当前广大网民反映极大的“灰鸽子”***、各种流氓软件都可以得到有效控制。
当然,我把这两条防范重点列出来,并非表示其他的防范措施不重要。仅仅是表示这两点是很重要,而我们很多用户又没有给与足够重视。其它的防范措施也很重要,不过大部分都已经在众多安全厂商的努力宣传中,引起了用户应有的重视。
1、建立严格的备份策略。现在的网络世界没有技术能够保证百分之百的安全,备份是保护你的数据的首要措施。从报道中看,有些公司在中了“熊猫烧香”病毒,公司数据遭受重大损失之后,才加入定时进行数据备份的制度。从我的观点看,这个技术主管事实已经失职了。
2、安全补丁非常重要,一定要尽快安装安全补丁。所有的软件厂商都无法保证软件没有安全漏洞。但是有些厂商却在努力地消除漏洞。如果只有他们努力,而你不配合,效果就没有了。
3、杀毒软件仍然是很重要的。但是,绝不要完全相信杀毒软件。不要过分相信杀毒软件的宣传。升级病毒库是重要的。而且,即使你升级到了最新的病毒库,也不是百分百的能够查出病毒。很多人可以在短时间之内对一个现有病毒进行修改,功能没有任何改变(当然也仍然是病毒),但是几乎所有的杀毒软件都不再报告它是病毒了。
4、防火墙也是重要的。不一定要使用最先进的防火墙。很便宜的防火墙,只要应用的当,也可以发挥很大的作用。
转载于:https://blog.51cto.com/xiong/22278
757
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
