继CIH之后危害中国最严重病毒之一熊猫烧香
《3C周刊》上期出版了在台湾地震后,微软Windows系统安全补丁更新缓慢,导致“熊猫烧香”病毒泛滥的报道之后,许多读者纷纷向记者反映,其实“熊猫烧香”病毒的危害远不止于此。本期我们接下来再详细探究“熊猫烧香”病毒的来龙去脉和背后的不解之谜。
作者究竟是不是“武汉男孩”?
在“熊猫烧香”病毒流行之初,某防毒软件厂商就在病毒代码内找到一个与功能无关的词语:“wh鄄boy”。这是作者的签名,是“武汉男孩”的中英文混合缩写。whboy曾经是病毒界一个响当当的人物,早在2004年就创造了一种通过QQ传播的盗号木马病毒,因为该病毒变种的疯狂和传播的广泛,一年后,被防毒软件厂商列入2005年十大病毒之一。
此后,whboy还在一些地下的病毒论坛和黑客论坛发帖,表示可以提供盗取QQ号服务,但不久后便销声匿迹,直至“熊猫烧香”病毒的出现才重现江湖。
到了2006年12月初,“熊猫烧香”病毒的变种开始增多,代码中除了“whboy”字样外,又多了一行汉字:“武汉男孩感染下载者”。随着变种的增多,代码内附带的信息也越来越多。1月15日,whboy还在网上留言调戏受害者:“我制作的病毒已经‘满城尽烧国宝香’。”因此,人们不仅断定“熊猫烧香”病毒就是武汉男孩所为,并且有防毒软件厂商声称该作者利用病毒“年收入可赚一座别墅”。
在深入分析了“熊猫烧香”病毒代码后,反病毒专家发现病毒会感染网页文件,会在网页中加入一段代码,把网页转向这个网址(www.****.com/worm.htm)。经记者追踪,该网站注册信息显示注册人来自武汉,这更让人相信熊猫烧香”病毒始作俑者就是“武汉男孩”的说法。
“熊猫烧香”病毒究竟想干什么?
在12月至1月19日的一个月时间里,“熊猫烧香”作者多次发布更新版的变种病毒,每一次都针对以前设计的不完善进行修改,最后一个版本可以说是把能想到的感染破坏手段都应用上了。他为什么要如此辛劳地研制病毒程序呢?防毒软件专家经过分析认为,“熊猫烧香”带有强烈的商业目的,“用户感染病毒后,会从后台点击国外的网站,部分变种中含有盗号木马,病毒作者可借此牟利”。
日前,有关方面已将病毒作者的相关证据和病毒特性提交给国家计算机病毒应急处理中心。国家计算机病毒应急处理中心工作人员称,关于这场“熊猫烧香”病毒风暴,受波及的电脑数量以及造成的经济损失等相关数据目前正在统计中,将于近日公布。据业内人士估计,这可能是继CIH之后,对中国电脑用户影响最严重的病毒,而且传播手段之狠,破坏之严重是大家始料不及的。
另有一些业内人士认为,“熊猫烧香”病毒最初的设计目的主要是针对日文操作系统进行严重破坏,而在其他语言Windows上主要是传染,但由于设计不当导致在中文Windows下也破坏严重。该病毒是由Delphi5语言所编写的,并且一份据称是“熊猫烧香”病毒的源代码正在互联网上散播,任何人只要利用Google或者Baidu等搜索工具都可以轻易获得。这似乎也能解释为什么“熊猫烧香”病毒在最近两周内变种数量激增的原因,因为很多编程爱好者都可以藉此制造出病毒变种。
有防毒软件工程师认为,这份源代码并非最初的“熊猫烧香”病毒源代码,但是对于想制造病毒的人来说,也有相当的技术参考价值。不管怎么说,“熊猫烧香”病毒已经在许多单位的局域网(LAN)中泛滥,而记者粗略调查了一下,电脑用户中招的概率超过20%。而各防毒软件公司,如瑞星、金山等,提供的免费专杀工具解决了大部分人的问题,但仍有相当部分用户最终不得不以重新安装Windows系统来解决。
中招者说
小茶(某著名公关公司职员):
我笔记本电脑中有7000多个文件都感染了这个病毒,现在一看到熊猫的形象就勾起勾起了我的苦难的回忆。当时实在清不干净,只好把整个Windows都重装了。
赵爽(某著名咨询公司职员):
我都中了!现在看见熊猫就害怕。当时好多文件都打不开了,耽误了很多工作,进度大受影响。最后是请网管来彻底剿灭的。对于怎么中的来源,到现在都还不清楚,最让我头痛的是:以前一些关键的报告,还有一些资料不知道为什么打不开了?!这个病毒在我们单位很流行,周围好多人中了呢。
IvyXu(某外资猎头公司经理):
我的硬盘数据因为这个熊猫烧香死掉了!完全丢失所有的资料。对工作的影响度:绝对!现在公司的IT管理员把硬盘拿去专业的修复中心,看看有没有办法可以救命不。唉……
网友赋诗
60.160.3.*:床前明月光,熊猫在烧香。专杀杀不尽,两眼泪汪汪。
爱媛の橘子:身心俱疲终不悔,为猫烧得人憔悴。
浪断风云:烧香时难灭亦难,杀软无力电脑残。
0银翼的天使0:上邪,此猫欲烧吾香,山无棱,天地合,此猫杀不绝。老猫伏枥,志在千机;病毒暮年,烧香不已。满机熊猫关不住,三支高香出墙来。熊猫离家带香回,毒性无改势未衰。卡巴相见不相识,笑问猫从何处来?
北庭筠:熊猫铲尽根除日,家祭毋忘告乃机。
