磁碟机病毒与熊猫烧香病毒哪个更厉害?
谁比谁更毒?磁碟机 VS 熊猫烧香 “磁碟机”病毒近日在互联网引起轩然大波,由于病毒严重侵害了众多企业和个人用户电脑系统,引起了全国电脑用户的一致声讨。随着国内老牌反病毒厂商江民科技率先举起“全国追杀磁碟机”的旗帜,越来越多的杀毒厂商加入到了剿杀“磁碟机”的行列,打响了又一场反病毒大战。 去年的“熊猫烧香”病毒大战人们记忆犹新,因为病毒在电脑里面生成了很多举着三柱香的熊猫图案,一度引起全国电脑用户的议论和恐慌。然而,“磁碟机”病毒似乎并没有“熊猫烧香”那么火爆,但是许多反病毒专家都一致认为“磁碟机”危害十倍于“熊猫烧香”,这是为什么呢? 江民科技反病毒专家何公道近日对“磁碟机”和“熊猫烧香”病毒进行了对比分析,从中可以看出“磁碟机”病毒为什么会被推为“毒王”了。 一、传播途径 “熊猫烧香”病毒有多种传播方式。通过U盘和感染网页文件挂马传播,通过局域网传播,通过攻破一些大型网站,采用在正常网页上挂马的方式传播。 “磁碟机”病毒利用“ARP病毒”在局域网中进行自我传播,病毒通过访问一个恶意网址,下载并自动运行二十多个病毒,通过其中的ARP病毒,“磁碟机”可以瞬间传遍整个网络内电脑。“磁碟机”也可以通过U盘和网页挂马传播,但目前尚没有发现病毒作者通过攻破大型网站的方式挂马传播的案例,这也是目前“磁碟机”在传播范围上尚不及“熊猫烧香”的原因,但如果一旦病毒作者通过这种方式大面积传播,后果将不堪设想。 二、反攻杀毒软件能力 “熊猫烧香”和“磁碟机”病毒都有反攻杀毒软件的能力,但不同的是,“熊猫烧香”只是通过发送关闭消息的方式关闭杀毒软件,而“磁碟机”则通过生成一个内核权限的驱动程序来破坏杀毒软件的监控,使杀毒软件的监控功能失效,然后再关闭杀毒软件并阻止杀毒软件升级,并屏蔽主流的杀毒软件网页。这一点上,“磁碟机”远远超过了“熊猫烧香”病毒,导致一些主动防御功能不强的杀毒软件纷纷被关闭,目前,“磁碟机”能够关闭除江民杀毒软件KV2008最新版本之外的大部分主流杀毒软件,这也是为什么众多企业在遇到“磁碟机”病毒时,整个局域网内几乎无一台电脑幸免病毒之灾的原因。 三、自我保护和隐藏能力 “熊猫烧香”采用的是进程保护,病毒首先生成一个系统服务程序来保护其进程不被关闭,只要清除了病毒生成的系统服务,就可以轻松关闭其进程。而“磁碟机”在自我保护和隐藏技术上几乎无所不用其极,通过十余种技术来达到自我保护的目的。例如:利用进程守护技术,发现病毒文件被删除或被关闭,会马上生成重新运行。病毒程序以系统级权限运行,DLL组件会插入到系统中几乎所有的进程中加载运行(包括系统级权限的进程)。利用了关机回写技术,在关闭计算机时把病毒主程序体保存到[启动]文件夹中,实现开机自启动。系统启动后再将[启动]文件夹中病毒主体删除掉,实现既可隐蔽启动,又不被用户发现的目的。使用反HIPS技术绕过部分主动防御程序“HIPS”的监控。利用光纤接入的服务器高速升级病毒体,迅速更新避免杀毒软件查杀。 五、病毒变种和自我更新速度 “熊猫烧香”由于技术上较“磁碟机”简单,加上源代码可能外泄,因此病毒变种较多,而”磁碟机”由于病毒程序复杂,加上目前可以确定其源代码尚未泄露到互联网上,因此一周只出现两到三个变种,最多的时候达到了一天出现两个变种的速度,虽然相较于“熊猫烧香”在变种数量上稍逊一筹,但“磁碟机”的在线升级更新速度之快令人咋舌。江民反病毒专家怀疑“磁碟机”病毒使用了光纤接入的升级服务器,能够实现在下载量很大的情况下,病毒体也可以瞬间自动完成更新。 六、病毒的破坏性 在破坏性上,“熊猫烧香”和“磁碟机”都能够感染电脑内的可执行文件和网页文件,导致系统运行缓慢,不同的是,“磁碟机”在感染文件过程中对感染文件进行了加密存放,使得清除病毒难度更大。两者都可以链接到恶意网页下载木马病毒,但在下载的木马病毒数量上,“磁碟机”远超过“熊猫烧香”,“磁碟机”能够下载二十余种木马病毒,“熊猫烧香”只能下载一个或几个木马。而“磁碟机”借助ARP病毒给企业局域网用户带来了巨大的灾难性事故,由于“磁碟机”可以借助ARP方式瞬间感染所有局域网内电脑,因此许多单位的工作因此中断,造成了不可估量的损失。 七、 病毒的表现形式 在表现形式上,“熊猫烧香”的表现十分明显,感染可执行文件生成“熊猫烧香”的图案,十分易于判断。而“磁碟机”的感染则十分低调隐蔽。他千方百计隐藏自身的行踪,普通用户从表面看很难发现有中毒的痕迹,很多用户中毒后尚不自知,除了感觉系统似乎变慢外无其它明显异常症状。而“磁碟机”病毒也正是在这种刻意低调的伪装下,伺机窃取用户的隐私敏感信息,包括游戏帐号和网上银行、网上证券交易等帐号密码,这比“熊猫烧香”明目张胆的打劫更可怕。
“什么是灰鸽子木马?和熊猫烧香病毒有什么不同?”
熊猫烧香其实是一种蠕虫病毒的变种,而且是经过多次变种而来的。尼姆亚变种w(worm.nimaya.w),由于中毒电脑的可执行文件会出现“熊猫烧香”图案,所以也被称为“熊猫烧香”病毒。用户电脑中毒后可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。同时,该病毒的某些变种可以通过局域网进行传播,进而感染局域网内所有计算机系统,最终导致企业局域网瘫痪,无法正常使用,它能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件,该文件是一系统备份工具ghost的备份文件,使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。
与“熊猫烧香”病毒的“张扬”不同,“灰鸽子”更像一个隐形的贼,潜伏在用户“家”中,监视用户的一举一动,甚至用户与msn、qq好友聊天的每一句话都难逃“鸽”眼。
专家称,如果说“熊猫烧香”的危害还停留在对电脑自身的破坏,而“灰鸽子”已经发展到对“人”的控制,而被控者的人却毫不知情。金山总裁雷军说,从某种意义上讲,“灰鸽子”的危害超出‘熊猫烧香’10倍。
熊猫烧香VS超级火焰 这两个病毒哪个更嚣张哪个更狂傲
从破坏效果来说,还是熊猫烧香牛点,因为是本土病毒,出现的时候把安全软件商大哥措手不及,一下子灭掉了~
超级火焰是境外传过来的,还没进入国内就已经被安全软件商知悉,并灭掉,所以我们也看不到效果。
熊猫烧香是什么病毒?当年对计算机产生了多大的危害?
熊猫烧香是由李俊制作并肆虐网络的一款电脑病毒,是变种的蠕虫病毒。2006年12月开始,变种数达90多个,个人用户感染熊猫烧香的高达几百万,企业用户感染数也在迅猛增加,造成了严重的个人损失与企业损失。
在“熊猫烧香”盛行的年代,是因为人们都不装杀毒软件,还是杀毒软件杀不了它?
“熊猫烧香”,是由李俊制作并肆虐网络的一款电脑病毒,熊猫烧香跟灰鸽子不同,是一款拥有自动传播、自动感染硬盘能力和强大的破坏能力的病毒,它不但能感染系统中exe,com,pif,src,html,asp等文件,它还能终止大量的反病毒软件进程并且会删除扩展名为gho的文件(该类文件是一系统备份工具“GHOST”的备份文件,删除后会使用户的系统备份文件丢失)。
被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。2006年10月16日由25岁的湖北武汉新洲区人李俊编写,2007年1月初肆虐网络,它主要通过下载的文件传染。2007年2月12日,湖北省公安厅宣布,李俊以及其同伙共8人已经落网,这是中国警方破获的首例计算机病毒大案。2014年,张顺、李俊被法院以开设赌场罪分别判处有期徒刑五年和三年,并分别处罚金20万元和8万元。
中文名
熊猫烧香
外文名
Worm.WhBoy.cw
程序类别
蠕虫病毒
感染系统
Win9x/NT/2000/ME/XP/2003/Vista
制作人
李俊
快速
导航
运行过程特点原理传播方法影响危害应对方案
发展沿革
2006年12月,一种被称为“尼姆亚”新型病毒在互联网上大规模爆发。
2006年12月份—2007年1月30日,变种数已达90多个,个人用户感染熊猫烧香的已经高达几百万,企业用户感染数还在继续上升[1]。
2007年1月7日,国家计算机病毒应急处理中心发出“熊猫烧香”的紧急预警。
2007年1月9日,湖北仙桃市公安局接报,该市“江汉热线”不幸感染“熊猫烧香”病毒而致网络瘫痪。
2007年1月31日下午,各路专家齐聚省公安厅,对“1·22”案进行“会诊”,同时成立联合工作专班。
2007年2月3日,回出租屋取东西准备潜逃的李俊被当场抓获。随后将其同伙雷磊抓获归案。[2]
2007年9月24日,“熊猫烧香”计算机病毒制造者及主要传播者李俊等4人,被湖北省仙桃市人民法院以破坏计算机信息系统罪判处李俊有期徒刑四年、王磊有期徒刑二年六个月、张顺有期徒刑二年、雷磊有期徒刑一年,并判决李俊、王磊、张顺的违法所得予以追缴,上缴国库;被告人李俊有立功表现,依法可以从轻处罚。[2]
2012年1月29日,金山毒霸反病毒中心称:“熊猫烧香”化身“金猪报喜”,危害指数再度升级。[3]
2013年6月,据浙江省丽水市人民政府官方微博“丽水发布”提供的消息称,“熊猫烧香”病毒制造者张顺、李俊因设立“金元宝棋牌”网络赌场,非法敛财数百万元,已经被丽水市莲都区检察院批准逮捕。
运行过程
磁盘感染
熊猫烧香病毒对系统中所有除了盘符为A,B的磁盘类型为DRⅣE_REMOTE,DRⅣE_FⅨED的磁盘进行文件遍历感染
熊猫烧香
注:不感染文件大小超过10MB以上的
(病毒将不感染如下目录的文件):
Microsoft Frontpage
Movie Maker
MSN Gamin Zone
Common Files
Windows NT
Recycled
System Volume Information
Documents and Settings
……
(病毒将不感染文件名如下的文件):
setup.exe
病毒将使用两类感染方式应对不同后缀的文件名进行感染
1)二进制可执行文件(后缀名为:EXE,SCR,PIF,COM): 将感染目标文件和病毒溶合成一个文件(被感染文件贴在病毒文件尾部)完成感染.
2)脚本类(后缀名为:htm,html,asp,php,jsp,aspx): 在这些脚本文件尾加上如下链接(下边的页面存在安全漏洞):
iframe src=/iframe
在感染时会删除这些磁盘上的后缀名为.GHO的Ghost备份文件
生成文件
病毒建立一个计时器,以6秒为周期在磁盘的根目录下生成setup.exe(病毒本身)autorun.inf,并利用AutoRun Open关联使病毒在用户点击被感染
熊猫烧香在计算机世界病毒排名第几?
记得当年流行熊猫烧香的时候,真是十分的恐怖,我估计他在全世界病都应该排名第二吧,第一的就是那著名的宏病毒啊,愿意烧主板
什么是灰鸽子木马?和熊猫烧香病毒有什么不同?
灰鸽子”是一款集多种控制方法于一体隐蔽性极强的木马病毒,一旦用户电脑不幸感染了灰鸽子,黑客或不法份子便可以在电脑进行绝大多数操作,可以监控我们的一举一动,要窃取我们的帐号、网银、文件轻而易举。
“熊猫烧香”,这是一个感染型的蠕虫病毒,它能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件,使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。
破坏系统。