SiS001! Board - [第一会所关闭注册]

标题: [交流] “熊猫烧香”究竟在祈祷什么？ [打印本页]

作者: attacker 时间: 2007-1-24 18:41 标题: “熊猫烧香”究竟在祈祷什么？

文章来源于：eNet
　　“熊猫烧香”真乃我国信息安全界的一大“国宝”，从另一个角度来说,它至少让大家明白了中国网民的网络安全和反病毒的基础知识和意识有待提高,也让各大病毒厂商从自己吹捧的各项专利技术和各种“国际领先水平”的头衔中彻底醒悟了过来。
“熊猫烧香”病毒红了，在它三根香的虔诚祈祷下，不到数月便红遍了整个中国，上了CCTV，也让自己的大名摆在了瑞星，江民，金山以及各大信息安全论坛和各类电脑技术交流网站的“头版头条”，就连我们的国宝大熊猫也未曾在IT界有过这等“殊荣”，显示出一派“满城尽烧熊猫香”的壮观场景。

如果抛开法律和道德层面，单从技术角度来分析的话。“熊猫烧香”真乃我国信息安全界的一大“国宝”，从另一个角度来说,它至少让大家明白了中国网民的网络安全和反病毒的基础知识和意识有待提高,也让各大病毒厂商从自己吹捧的各项专利技术和各种“国际领先水平”的头衔中彻底醒悟了过来。拥有众多的反病毒专利技术和“国际领先水平”的杀毒软件在可爱的“熊猫”面前是如此地不堪一击，往往总是在病毒出尽了风头，危害了数十万用户之后，“专杀工具”才终于姗姗来迟。有人说是“非典”成就了如今一整套的完善卫生预警体系。那么我们可不可以类似地说，正是因为“熊猫烧香”、“威金”，“魔波”等一系列病毒，才使得脆弱的网络变得更加的坚固，才使得人们的防范意识和防范常识更加的深入人心。况且“熊猫烧香”在目前看来，并不是为了经济利益，与各种金钱至上所驱使的流氓软件，诈骗的QQ尾巴相比，或许它烧香只是为了祈祷人们更好的防范网络的安全。

“熊猫烧香”本身

“熊猫烧香”是一个传染型的DownLoad，使用Delphi编写，从技术上来说它并没有什么创新之处，却借鉴很多经典病毒，木马甚至是流氓软件的技术优点。综合成了一个拥有可爱的图标却让人闻之色变的病毒。任何一个技术单一拿出来杀毒软件都能应付，但是综合到一起这只“熊猫”却反过来让众多杀毒软件成了它“烧香”时的拜忌品。它的运行原理并不复杂，无非是“复制文件到系统目录和根目录”，”添加注册表启动项“，“利用微软自动播放功能运行”，“针对计算机本身攻击弱口令”，“利用IE浏览器漏洞在网页文件中添加脚本代码”等等一些并不算“最新先进”的技术。但就是这些“不算最新”的技术却在全国上下揭起了一股“烧香”热潮。由此说明，我们有大部分网民缺乏最基本的网络安全防范知识，也缺少良好的上网习惯。如果用户能及早打好系统补丁，为系统管理帐户设置复杂无规律的密码，关掉一些不需用到却存在安全隐患（如139，445等）的端口，，同时关闭非“系统必须”的“自动播放”功能。对.gho 的系统备份文件设置为“只读”，那么“熊猫烧香”也不至于流传这么广，这么快，也不至于很多企事业单位整个局域网电脑都集体“烧香”

再来看看我们的各大杀毒软件厂商

在这个“金钱至上”的年代，“熊猫烧香”成了众杀毒软件的卖点，或者说成了它促销的一个工具，自身的反病毒技术没有突破性的进步，却大肆鼓吹用户升级病毒库去购买正版，鼓吹企业购买企业版网络级杀毒软件。结果是：“熊猫烧香”流行了，用户受损失了，而杀毒软件厂商却笑了：“今年的利润指标可以提前完成了……”防病毒厂商受经济利益所驱使的升级鼓吹，在这只可爱的熊猫图标面前终于漏出了本来的面目。

最后来谈谈“熊猫烧香”的主人-病毒的作者

单从技术角度而言，可称得上是一个真正的顶级黑客，对网络，系统，程序设计等知识的综合运用已达到炉火纯青。与此相对比的是，很多无知的人整天开着别人开发出来的扫描工具，一阵乱扫，偶尔扫到了一二个漏洞，控制了一二台肉鸡或破坏了某网站上的一二个网页，就在论坛上高调的宣扬自己的“战果”，动不动就以黑客自居。更有甚者，为了宣扬自己在“网络江湖”中的威望，弄出一大堆的“黑客排行榜”或“顶级黑客一览表”来，然后把自己也位列其中……我想这类人在“熊猫烧香”的技术含量面前应该感到汗颜和反思。

后记：据说“熊猫烧香”的作者决定以后不再对它进行更新了。至于“熊猫”虔诚地“烧香”所代表真正含义，或许只有它的作者知道，或许是在祈祷，或许……如果还有或许的话…

作者: 小龙王 时间: 2007-1-25 00:49

这篇文章有意思
但是中了之后我不再杀毒软件了，形同虚设

作者: canory 时间: 2007-1-25 03:39

病毒永远走在杀毒软件前，系统补丁永远都是出错了才发布的。这本来就是计算机系统的客观事实。。。
放病毒还是25％靠补丁，杀毒软件＋75％靠个人使用电脑习惯吧。。。
“关掉一些不需用到却存在安全隐患（如139，445等）的端口，，同时关闭非“系统必须”的“自动播放”功能。对.gho 的系统备份文件设置为“只读”，那么“熊猫烧香”也不至于流传这么广，这么快”
既然是病毒，除非是物理的只读，例如软盘U盘的写保护，否则，关了的端口病毒可以打开，关了的自动播放病毒可以打开，只读了的gho文件病毒可以去掉只读（只读与非只读就是文件头的一个字段而已）。。。

我的做法都是把备份的gho文件刻录到光盘上面，因为这样病毒要不就不能更改光盘，要不就破坏光盘（可以省下功夫把带病毒的镜像恢复过来，破坏了，也就用不了）。有了计算机，病毒就杀不完的了。。。大家还是别太在意了，哈哈

[ 本帖最后由 canory 于 2007-1-24 02:41 PM 编辑 ]

作者: woaisis 时间: 2007-1-25 09:54

有矛盾的地方,一处说此病毒从技术上讲"没有什么创新之处",下面一处又说作者"单从技术角度而言，可称得上是一个真正的顶级黑客"
不觉得这样的"黑客"有多伟大,感觉是是些网罗上的小丑,可能很多所谓的技术还是花钱从别的地方买来的,这病毒对系统的破坏是损人不利己的,中毒的人都不能再继续运行系统,都选择了重新安装,从这一点来看作者并没有想从中得到什么[机器都重新装了,还能得到什么]纯粹就是搞破坏,自己偷着爽,小人得志的样子.

作者: liweimin 时间: 2007-1-25 14:00

楼主说的极是，我个人也觉得这个病毒做得很有创意，不过还好我没有中。

作者: tclltcll 时间: 2007-1-26 11:51

楼主说得很精辟，佩服，可是到底烧香的含义不知道。

作者: 安子 时间: 2007-1-27 01:08

奶奶的!不说我还不来气!偶就是因为前天发现电脑里无缘无故的多了许多国宝才两天没上来!杀都杀不掉,只好重装系统,花费大量人力物力收藏的一些东西全都掉光了,倒!:s_6:

欢迎光临 SiS001! Board - [第一会所关闭注册] (https://vod.xfly01.com/bbs3/)