2006年末安全領域的奧斯卡頒獎典禮上,各大安全廠商不約而同地將最佳主角頒給了熊貓燒香;2007年伊始,一個不再新鮮的木馬——灰鴿子捲土重來,大有重奪最佳主角寶座之勢。緊接“灰鴿子比熊貓燒香厲害十倍”的說法之後,再次傳出網銀被盜事件,這一切都給灰鴿子帶上了神秘的面紗。今天,就讓熊貓燒香和灰鴿子進行全方位PK,看看灰鴿子是否真的比熊貓燒香危害更大。

 

  本次PK所採用的兩種病毒的樣本均來自安全廠商,PK專案分為:典型表現、病毒行為以及傳播方式。病毒世界誰更勝一籌,結果馬上揭曉。

 

  首先進行PK的項目是典型表現。

  中文:熊貓燒香病毒(又稱武漢男生)

  英文:Worm.WhBoy(目前發現的變種數已超過400個)

  熊貓燒香典型表現:

  感染病毒後會發現較多的.EXE檔圖示變成正在燒香的熊貓,這也是“熊貓燒香”名稱的來源。不過現在發現的部分變種已經不再使用這個廣為人知的圖示了。有部分變種可以直接通過互聯網更新版本,部分變種可以感染htmhtmlaspphpjspaspx等網頁格式檔。一段web伺服器被感染,將意味著所有流覽這些網頁的電腦可能會自動下載並感染上熊貓燒香病毒。

 

  該系列變種會釋放以下幾個典型檔:

  分區根目錄下:setup.exeautorun.inf%System%\Fuckjacks.exe%System%\Drivers\spoclsv.exe

  局域網環境下:GameSetup.exe

  灰鴿子典型表現:

  中文:灰鴿子木馬(擁有變種超過6萬種)

  英文:win32.hack.huigezi

 

  灰鴿子成名比熊貓燒香早了近五年,可謂是熊貓燒香的“老前輩”。早在2001年,灰鴿子就榮獲“高危木馬”的盛名,經過其作者堅持不懈的努力,直至今年,灰鴿子的變種早就超過了六萬。幾乎所有人都知道熊貓燒香,就是因為這個病毒有個非常可愛且明顯的圖示。而灰鴿子木馬病毒入侵系統後,只有非常有經驗的電腦用戶才可能發現異常,普通用戶根本毫不知情,就好比有個會隱形術的賊在家中長駐。

 

  根據筆者從某安全廠商技術人員處得到的資料,灰鴿子可以安全在任意位置,由安裝者自己決定。灰鴿子木馬的檔案名可以由攻擊者任意定制,它還可以注入正常程式的進程隱藏自己, Windows的任務管理器看不到病毒存在,需要借助第三方工具軟體查看。

 

  第一回合總結:

 

  熊貓燒香破壞了電腦中不同格式的檔,並且使得大量進程中止,給用戶的使用帶來了極大不便。初步來看,灰鴿子並沒有對電腦的使用造成影響,此項PK,熊貓燒香勝出。

 

病毒行為大PK

  熊貓燒香的行為表現:

 

  刪除常用殺毒軟體在註冊表中的啟動項或服務,終止殺毒軟體的進程,幾乎涉及目前所有殺毒軟體;終止部分安全輔助工具的進程,如IceSword,任務管理器taskmon;終止維金的相關進程Logo1_.exeLogo_1.exeRundl123.exe;弱口令破解局域網其他電腦的Administror帳號,並用GameSetup.exe進行複製傳播;修改註冊表鍵值,導致不能查看隱藏檔和系統檔;除C盤如下目錄外,病毒會嘗試破壞其他分區下的部分.exe.com.gho.pif.scr文件;病毒會刪除副檔名為gho的檔,該檔是一系統備份工具GHOST的備份檔案,使用戶的系統備份檔案丟失。

 

  灰鴿子木馬行為表現:

 

  電腦感染灰鴿子病毒後會被遠端攻擊者完全控制,攻擊者擁有和管理員一樣的許可權。遠端駭客可以輕易的複製、刪除、上傳、下載保存在你電腦上的檔,機密檔在你毫不知情的情況下被竊取。它甚至還可以記錄每一個點擊鍵盤的操作,QQ號、網路遊戲帳號、網上銀行帳號,就是這樣被遠端攻擊者輕鬆獲得。更有甚者,遠端攻擊者可以直接控制攝像頭,連你自己都不知道,原來你在遠端還有一雙眼睛。並且,遠端攻擊者在竊取資料後,還可以遠端將病毒卸載,達到銷毀證據的目的。

 

  2006年,北京電視臺的《生活面對面》曾報導網銀帳戶內1萬餘元被分15次盜走,警方在事主的嫌犯的電腦裏發現的正是這個可以盜號的灰鴿子。

 

  想必關注安全領域的網友對“肉雞”這個詞不會陌生。電腦被人植入木馬,這台主機,就被稱為“肉雞”,遠端攻擊者可以對這台“肉雞”電腦為所欲為。攻擊者可控制大量“肉雞”,進行非法獲利,比如在“肉雞”上植入點擊廣告的軟體;利用肉雞配置代理伺服器,以此做為跳板對其他電腦發起入侵。一旦最終受害者追查時,肉雞電腦將會成為替罪羊;此外,安裝者還可以用大量肉雞組建僵屍網路,隨時可以被用於一些特殊目的,比如發起DDoS攻擊等。前不久,國內著名的安全廠商金山毒霸因為大力打擊灰鴿子就曾經遭受過大規模灰鴿子攻擊的報復。

 

  第二回合總結:

  相比下載最新殺毒軟體、專殺工具或者重裝電腦就能解決的熊貓燒香問題,灰鴿子留下的隱患更深且更難以解決。
此項PK,灰鴿子以絕對優勢勝出。

 

傳播方式大PK

  熊貓燒香的傳播方式:

  利用網站傳播是熊貓燒香的一大特色,U盤、局域網、網頁等等,你能想到的一切傳播方式它都能做到。

 

  灰鴿子傳播方式: 灰鴿子本身並不能複製,這與熊貓燒香略有不同,灰鴿子四大傳播方式是:

  網頁傳播:病毒製作者將灰鴿子病毒植入網頁中,用戶流覽即感染;

  郵件傳播:灰鴿子被捆綁在郵件附件中進行傳播;

  IM聊天工具傳播:通過即時聊天工具傳播攜帶灰鴿子的網頁鏈結或檔;

  非法軟體傳播:病毒製作者將灰鴿子病毒捆綁進各種非法軟體,用戶下載解壓安裝即感染。

 

  第三回合總結:

  利用漏洞傳播和利用捆綁傳播各有其妙處,在此項上,兩者打成平手。

 

  總結:

 

  儘管從三項PK結果來看,整體上熊貓燒香與灰鴿子平分秋色,但是只要我們仔細琢磨灰鴿子的行為以及帶來的後果會發現,其實灰鴿子木馬至少在危害上是高出熊貓燒香大段距離。儘管兩者都給用戶帶來了不同程度的傷害,但是我們還是很欣慰地看到,無論是澆滅熊貓手中的香還是砍下灰鴿子飛翔的翅膀,安全廠商都在進行長期的努力,爭取為網友帶來更加純淨的網路空間。

arrow
arrow
    全站熱搜
    創作者介紹
    創作者 ivan0914 的頭像
    ivan0914

    I'n Blog 之萬象真藏

    ivan0914 發表在 痞客邦 留言(0) 人氣()

    E-mail轉寄