•熊猫烧香是一种经过多次变种的蠕虫病毒变种,2006年10月16日由25岁的中国湖北武汉新洲区人李俊编写,2007年1月初肆虐网络,它主要通过下载的档案传染。•熊猫烧香是经过多次变种而来的,由于中毒电脑的可执行文件会出现“熊猫烧香”图案,所以也被称为“熊猫烧香”病毒。但原病毒只会对EXE图标进行替换,并不会对系统本身进行破坏。而大多数是中等病毒变种,用户电脑中毒后可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。同时,该病毒的某些变种可以通过局域网进行传播,进而感染局域网内所有计算机系统,最终导致企业局域网瘫痪,无法正常使用,它能感染系统中exe,com,pif,src,html,asp等文件,它还能终止大量的反病毒软件进程并且会删除扩展名为gho的备份文件。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。•计算机病毒(ComputerVirus)是编制者在计算机程序中插入的破坏计算机功能或者数据的代码,能影响计算机使用,能自我复制的一组计算机指令或者程序代码。•计算机病毒具有传播性、隐蔽性、感染性、潜伏性、可激发性、表现性或破坏性。计算机病毒的生命周期:开发期→传染期→潜伏期→发作期→发现期→消化期→消亡期。•计算机病毒是一个程序,一段可执行码。就像生物病毒一样,具有自我繁殖、互相传染以及激活再生等生物病毒特征。计算机病毒有独特的复制能力,它们能够快速蔓延,又常常难以根除。它们能把自身附着在各种类型的文件上,当文件被复制或从一个用户传送到另一个用户时,它们就随同文件一起蔓延开来。计算机病毒的起源•跟计算机一样,计算机病毒的起源也是美国,早在六十年代初期,著名的AT&TBELLAB有一群年轻的研究人员,常常做完工作后,就留在实验室里兴致勃勃地玩一种他们自己独创的计算机游戏,一种叫做DARWIN的游戏,它是由每个人编制一段程序,然后输入计算机运行,相互展开攻击,设法毁灭别人的程序,这种程序就是计算机病毒的雏形,当时人们并没有意识到这一点,计算机病毒只是出现在科幻小说里作为故弄玄虚的作料,没有人相信在现实生活中会出现这种东西。计算机病毒的起源•真正的计算机病毒,通常认为是在70年代,首先产生与BELLAB,当时是因为工作失误无意中制造了计算机病毒,从那之后,一些软件开发人员和恶作剧者处于各种各样的目的,陆续制造了很多计算机病毒。•计算机学术界真正认识到计算机的存在是在1983年。DRFREDKYLE在计算机安全学术讨论会上提出计算机病毒的概念后(见上期),随后进行实验演示。当天首先在UNIX的VAX11/750上实验第一个病毒,一周后(11月20日)演示了另外五个实验。在五次实验中,病毒使计算机瘫痪所需时间平均为30分钟,证明病毒的攻击可以在短时间完成,并得以发展和快速传播,从实验室证实了病毒的可存在性。特征123456繁殖性破坏性隐蔽性可触发性传染性潜伏性繁殖性•计算机病毒可以像生物病毒一样进行繁殖,当正常程序运行时,它也进行运行自身复制,是否具有繁殖、感染的特征是判断某段程序为计算机病毒的首要条件。破坏性•计算机中毒后,可能会导致正常的程序无法运行,把计算机内的文件删除或受到不同程度的损坏。破坏引导扇区及BIOS,硬件环境破坏。传染性•计算机病毒传染性是指计算机病毒通过修改别的程序将自身的复制品或其变体传染到其它无毒的对象上,这些对象可以是一个程序也可以是系统中的某一个部件。潜伏性•计算机病毒潜伏性是指计算机病毒可以依附于其它媒体寄生的能力,侵入后的病毒潜伏到条件成熟才发作,会使电脑变慢。隐蔽性•计算机病毒具有很强的隐蔽性,可以通过病毒软件检查出来少数,隐蔽性计算机病毒时隐时现、变化无常,这类病毒处理起来非常困难。可触发性编制计算机病毒的人,一般都为病毒程序设定了一些触发条件,例如,系统时钟的某个时间或日期、系统运行了某些程序等。一旦条件满足,计算机病毒就会“发作”,使系统遭到破坏。免杀技术•免杀是指:对病毒的处理,使之躲过杀毒软件查杀的一种技术。通常病毒刚从病毒作者手中传播出去前,本身就是免杀的,甚至可以说“病毒比杀毒软件还新,所以杀毒软件根本无法识别它是病毒”,但由于传播后部分用户中毒向杀毒软件公司举报的原因,就会引起安全公司的注意并将之特征码收录到自己的病毒库当中,病毒就会被杀毒软件所识别。•病毒作者可以通过对病毒进行再次保护如使用汇编加花指令或者给文档加壳就可以轻易躲过杀毒软件的病毒特征码库而免于被杀毒软件查杀。免杀技术•美国的NortonAntivirus、McAfee、PC-cillin,俄罗斯的KasperskyAnti-Virus,斯洛伐克的NOD32等产品在国际上口碑较好,但杀毒、查壳能力都有限,目前病毒库总数量也都仅在数十万个左右。•自我更新性是近年来病毒的又一新特征。病毒可以借助于网络进行变种更新,得到最新的免杀版本的病毒并继续在用户感染的计算机上运行,比如熊猫烧香病毒的作者就创建了“病毒升级服务器”,在最勤时一天要对病毒升级8次,比有些杀毒软件病毒库的更新速度还快,所以就造成了杀毒软件无法识别病毒。免杀技术•除了自身免杀自我更新之外,很多病毒还具有了对抗它的“天敌”杀毒软件和防火墙产品反病毒软件的全新特征,只要病毒运行后,病毒会自动破坏中毒者计算机上安装的杀毒软件和防火墙产品,如病毒自身驱动级Rootkit保护强制检测并退出杀毒软件进程,可以过主流杀毒软件“主动防御”和穿透软、硬件还原的机器狗,自动修改系统时间导致一些杀毒软件厂商的正版认证作废以致杀毒软件作废,从而病毒生存能力更加强大。•免杀技术的泛滥使得同一种原型病毒理论上可以派生出近乎无穷无尽的变种,给依赖于特征码技术检测的杀毒软件带来很大困扰。近年来,国际反病毒行业普遍开展了各种前瞻性技术研究,试图扭转过分依赖特征码所产生的不利局面。目前比较有代表性产品的是基于虚拟机技术的启发式扫描软件,代表厂商NOD32,Dr.Web,和基于行为分析技术的主动防御软件,代表厂商中国的微点主动防御软件等。如何预防计算机病毒•病毒的传染无非是两种方式:一是网络,二是软盘与光盘。如今由于电子邮件的盛行,通过互联网传递的病毒要远远高于后者。为此,我们要特别注意在网上的行为。•1、不要轻易下载小网站的软件与程序。•2、不要光顾那些很诱惑人的小网站,因为这些网站很有可能就是网络陷阱。•3、不要随便打开某些来路不明的E-mail与附件程序。•4、安装正版杀毒软件公司提供的防火墙,并注意时时打开着。•5、不要在线启动、阅读某些文件,否则您很有可能成为网络病毒的传播者。•6、经常给自己发封E-mail,看看是否会收到第二封未属标题及附带程序的邮件。•对于软盘,光盘传染的病毒,我想预防的方法就是不要随便打开程序或安装软件。可以先复制到硬盘上,接着用杀毒软件检查一遍,再执行安装或打开命令。THANKS