主题：从熊猫烧香看杀软的不足兼扫盲

最近熊猫烧香（因病毒体内有WHBOY字样，也称武汉男生）肆虐，很多地方传来集体中毒的消息。不过那个熊猫设计的还是蛮可爱的。

[img]http://img2.pconline.com.cn/pconline/0701/13/942893_001_PConline.gif[/img] 熊猫烧香的几种主要手段：利用系统漏洞（和维金一样，所以有的杀软把它当作是维金的变种）、局域网内寻找弱密码机器自动攻击、查找并关闭各种知名杀软、控制电脑进行DDOS攻击等这几种手段都被其它病毒利用过，这几种手段还好处理一些。但它的原创手段也是最恐怖的手段就是传染asp、php、html等网页文件。它会在这些文件的最后添加连接到病毒主页的代码，一旦打开被感染的页面，访问者就会被自动下载并安装病毒文件。传说中有知名网站已经被该病毒感染，这加速了该病毒的传播。如果有公司采用了基于WEB的办公系统，服务器被感染的话，那么企业内部的机器被感染是轻而易举的事情了。这比单纯的局域网内用弱密码攻击要严重的多，即使服务器系统重装，但没有对网页中的代码进行清除，依然会被再次感染。而且它所嵌入的网页连接是多变的。本身杀软处理网页文件就比较困难，它不好判断是原来嵌入的内容还是被病毒嵌入的，如果嵌入代码是不变的还容易一些，但它是多变的，增加了杀软处理的难度。就俺的看法，从熊猫烧香之后，估计此类传播手段会被病毒、流氓软件所热爱。 为什么有杀软依然会被熊猫控制？很明显，现在俺们的杀软有着严重的不足。 现在杀软都是基于特征码对比的，简单的说，杀软公司从病毒中提出病毒的身高、体重、三围等等具有特征的资料，杀软在监控或查杀时遇到有特征资料都符合的程序体就认为是病毒，所以杀软所能查杀病毒数量基本取决于病毒库的大小和病毒特征码的提取质量。质量高的能提到指纹，基本就没有误报了。质量低的只能提到三围，那么只要三围合适的就都是病毒，误报率也就会相对较高（不指所谓行为查毒，那方法目前看来还是乌托邦，误报率太高，虽然现在杀软都有一定的行为判断能力，但离真正实用阶段还是梦想）。有的时候被某种杀软杀过再用另外的杀软检测依然有病毒，这不一定是先前的杀软不好，很可能是两者的特征码不一致。对于可能嵌入程序体的病毒，很多杀软只是做灭活处理，而不是完全清除，完全清除后会导致程序无法运行，所以会残留代码。如果这些残留代码在其它杀软里是特征码，那就会报为病毒了。所以现在的杀软只是基于已知病毒的查杀，而对于未知病毒只能有及其弱的能力。这也是现阶段无法改善的。 个人认为：杀软的好坏应该取决于杀毒能力的大小，而杀毒能力并不是指能查杀病毒的数量，那个只要扩展病毒库就可以了。我所说的杀毒能力是指杀软对病毒的处理。现在病毒为了防止自身被干掉，采用的手段多种多样，隐藏进程、注册为服务只能算做比较低级的手段，高级的一些采用Vxd虚拟驱动技术(CIH原创)、插入进程、进程守护等等手段。而杀软在处理这些问题所采取的手段才能体现出杀毒能力的大小。杀软在杀存在内存中的病毒时，首先要关闭进程，然后删除相应的文件。对于插入系统进程的病毒，因为系统进程是无法关闭的，也就无法删除病毒文件（病毒文件在使用中），所以现在的杀软很无奈，只有提示要重新启动。但对于插入普通进程，有的杀软居然都无法关闭进程，，对于有守护功能的病毒，有的杀软仅仅追溯该病毒进程说需要的链接库，却忽略守护进程，那样也是无法删除病毒文件，这种杀软的能力也就只能说一般（卡巴斯基好像经常有这种现象）。而有一个小软件UNLOCK都能做到进程对文件解锁，然后删除该文件，为什么部分杀软还做不到呢？在这方面应该说国产的杀软能力要强于国外的杀软。要知道带毒杀毒就是国内首先推出的（DOS年代，所有的杀软都要求用干净的系统盘启动才能杀毒。某一年AV95横空出世，率先可以带毒杀毒。后来KV跟上，才成为杀软的必备功能）。 实时监控：现在杀软的实时监控也基本是标准配置了，只不过有的强有的弱有的超级弱（如卡巴斯基，呵呵！）。实时监控并不是很神秘的东西，一种方式是定时扫描，每隔一段时间就扫描一下监控的部位，虽然间隔的时间可以设的足够小，但这种方式严格的讲并不是实时监控，万一在扫描间隔期间被病毒入侵然后发作还是无效的，但这种方式实现简单。很不幸的发现，有个别的杀软疑是用这种方式。另一种比较完善的方法就是截获消息，WIndows的运行是消息机制，你要打开文件夹，系统会发一个打开文件夹的消息，要运行某个程序，系统会发一个运行的消息，杀软只要截获了这个消息，在你打开文件夹的时候会先一步对文件夹进行扫描（缺点是打开大量文件的文件夹时速度变慢），运行某个程序的时候，也会先一步扫描，看有没有毒，没有那么放行有那么格杀勿论。所以有一个比较好的监控系统杀软的机器上你会发现有时候下载的程序会不翼而飞，或者在下载到一半的时候会被提示有毒。差一些的则只有在你打开下载的文件时才会提示有毒。并不是所有的系统消息都能被截获的。所以个人认为：实时监控的能力取决于截获系统消息能力的大小。 另一个关键问题，近年来多次出现病毒或木马关闭杀软的现象，这不能不说是杀软的一个失败。病毒也不过是通过系统关闭杀软的，为什么杀软无法截获这种异常关闭的请求呢？病毒进程加强了自身的防护，想方设法不被杀软干掉，而相比较之下杀软这方面还是比较弱智的。或者杀软还不能杀除未知病毒，但至少不要被病毒干掉嘛。

金山毒霸本月最新包括程序体的更新，加强了监测功能，更有效的防止熊猫烧香及变种的入侵（广告这样说的，不知道是不是真的，呵呵）

熊猫烧香

嘎嘎

可爱

昨晚去看一台中病毒的机器，机器的瑞星已经给屏蔽了，我的电脑都不能打开，一键恢复已经被破坏，在安全模式下都上不了网络，不知道是啥病毒，IE浏览器的文字说明被改成“，”，当时没有启动盘也没有杀毒软件，我束手无策！我根据熊猫的查看方法，打开WINRAR，看看C盘底下的.EXE文件有没有变小熊猫，很高兴，没看到那个小家伙！

今天让技术部帮我弄杀毒软件和启动软件来刻录，技术部一打开我的共享文件夹，晕呀，里面居然养了只小熊猫。我的同事刚把U盘接上她的电脑，熊猫和灰鸽子等五种病毒就出现在她的U盘里。她的那台机器早就出现了中毒的征兆，她早就处在忙乱杀毒中，而我那台估计是昨天我让她把一份文件保存过来的时候感染上病毒的，还没发作，已经用了删除处理。

然后病毒还在继续处理中……

对于我这个门外汗,熊猫烧香----我束手无策!

有没有哪个帖子介绍怎样预防中毒呀?我查查!

我用的是"卡巴斯机",上面好象没有关于漏洞修复之类的什么,是不是有潜在危机?

那个小家伙看起来还蛮虔诚的嘛.

版面上介绍关于熊猫烧香的预防与杀除，这样的帖子不少了，

我不想说什么对于你的电脑中毒，如果一定要我作出什么表示的话，我只想大笑三声：哈哈哈!然后走人，清扫我电脑里的熊猫乖乖们去

事实证明他们说的只是他们的一厢情愿而已。

刚才我的金山网镖突然断掉的一瞬间我就知道熊猫小可爱又来了。

熊猫病毒又出现了新的变种。一旦出现变种，网镖就脆弱得不堪一击，任由熊猫病毒攻城略地。

但各种专杀工具还是有效的，我刚才分别用瑞星、毒霸、江民、超级巡警四种专杀工具查杀了一番，现在居然连QQ都能上了。。。。

楼主没有中毒，没有与熊猫的实战体验，不能感受各种病毒变种的特色，实在是人生之一大憾事也。

你现在在线吗？我传几个熊猫病毒给你吧。。。

我这里有各种版本的存货。

嘿嘿，好呀。捉两只熊猫过来