【IT168 专稿】“熊猫烧香”在网民心中的阴影还未散去，“灰鸽子”悄然袭来，一时间，网络安全成为了备受关注的话题。历经一番周折，“熊猫烧香”的作者被抓获，令企业和网民苦不堪言的“熊猫烧香”也寿终正寝。如今，提起病毒，网民们无不从心里发怵，尤其是最近一年多来，病毒发作频率越来越频繁，破坏力也越来越大。“熊猫烧香”虽然走了，可众多网民仍在担心下一个“熊猫烧香”可能会不请自来。

    众所周知，“熊猫烧香”是经过了多次变种而来的，这意味着“熊猫烧香”病毒已经有相当长的历史。在病毒多如牛毛的今天，谁将会是下一个“熊猫烧香”呢？在诸多破坏力比较强大的病毒中，无论是发作特征，还是工作原理，以及破坏能力，“冰河”与“熊猫烧香”有着诸多的相似之处，由此，我们在下面实际探讨一下“冰河”与“熊猫烧香”的类似之处到底在哪里。

    “冰河”与“熊猫烧香”真的像吗？
    从表面来看，“冰河”是一种木马软件，方便网管人员远程控制其他机器，而“熊猫烧香”是一款破坏力非常强大且可以四处传播的恶性病毒，从这一点来看，“冰河”与“熊猫烧香”没有任何的相似之处。不过，从工作原来上看，“冰河”与“熊猫烧香”两者之间有诸多的相似之处。

历史上的特洛伊木马和冰河有及其相似之处

令人胆战心惊的熊猫

    1、释放文件占用进程对比
    无论是“冰河”木马还是“熊猫烧香”病毒，两者均会在硬盘上释放出文件，并且将这些文件自动加载到系统进程中。

    ①“熊猫烧香”的病毒文件和进程
    感染了“熊猫烧香”病毒之后，硬盘根目录及系统目录下会释放出以下几种典型的文件：setup.exe、autorun.inf、%System%\Fuckjacks.exe、%System%\Drivers\spoclsv.exe。工作在局域网的机器如果感染了“熊猫烧香”病毒，硬盘中还可以看到一个名字为“GameSetup.exe”的文件，这是“熊猫烧香”病毒的传播文件。另外，“熊猫烧香”病毒还会在注册表中加载相关的键值，致使病毒一开机就自动运行。

图一 熊猫烧香病毒示例

    熊猫烧香病毒在注册表中的加载位置：
[HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Run]"FuckJacks"="%System%＼FuckJacks.exe

[HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersionRun]
"svohost"="%System%＼FuckJacks.exe

    ②“冰河”木马的病毒文件和进程
    与“熊猫烧香”一样，如果用户的计算机中感染了“冰河”木马，同样会在硬盘中释放出文件，并且加载到进程中。“冰河”木马生成的两个文件位于%System%system目录下，名字为Kernel32.exe和sysexplr.exe，其中Kernel32.exe在系统启动时自动加载运行，sysexplr.exe和TXT文件关联。即使用户删除了Kernel32.exe，但只要你打开TXT文件，sysexplr.exe就会被激活，它将再次生成Kernel32.exe。

图二 冰河木马控制端界面

    冰河木马在注册表中的加载位置：

    HKEY_LOCAL_ MACHINE\ software\microsoft\Windows\Current Version\Run
    HKEY_LOCAL_ MACHINE\software\microsoft\Windows\Current Version\Runservices

    通过以上的对比不难发现，“冰河”木马与“熊猫烧香”病毒一样，都会在硬盘上释放相关的文件，并且会把相应的程序加载到注册表中使其自行启动。在“熊猫烧香”和“冰河”木马加载的进程都有一定的隐蔽性，与系统的一些常用进程相似。除本质相同之外，“熊猫烧香”和“冰河”木马两者在破坏能力方面，也不相上下。

    2、对系统的破坏能力对比
    时下，“冰河”木马仍然以一款远程控制软件自居，用户感染了“冰河”木马，似乎不会对用户造成什么威胁。殊不知，“冰河”木马的破坏力，远远高于“熊猫烧香”病毒，只不过“冰河”木马的破坏力是人为控制的。

    ①“熊猫烧香”的破坏能力
    “熊猫烧香”病毒会删除系统中常用杀毒软件在注册表中的启动项或服务，终止杀毒软件的进程，几乎涉及目前所有杀毒软件；另外，病毒还可以终止部分安全辅助工具的进程，如IceSword，任务管理器taskmon。如果感染了“熊猫烧香”病毒的机器工作在局域网的环境中，病毒还会破坏Administrator的弱口令，并且用GameSetup.exe进行复制传播。

图三 被熊猫烧香感染的文件

    “熊猫烧香”病毒文件比较隐蔽，进入系统之后，会修改注册表的相关键值，使用户无法查看系统隐藏文件。对于安装了一键还原并在硬盘中设置了Ghost备份文件的用户，病毒会自动删除所有扩展名为gho的文件，令用户在感染病毒之后无法通过备份恢复。用户的计算机一旦感染了“熊猫烧香”，既便是专杀工具，也很难根除，尤其是工作在局域网中的计算机，彻底清除“熊猫烧香”更是难上加难。

    ②“冰河”木马的破坏能力
    相比之下，“冰河”木马的破坏能力似乎没有这么强大，事实上，一旦用户感染了“冰河”木马，且被控制，“冰河”的破坏力远比“熊猫”烧香要强数倍。

    用户的计算机感染了“冰河”木马之后，只是会在系统进程里增加了一个名字为“Kernel32.exe”的进程，而且不会影响用户的正常使用，但所有感染了“冰河“木马的机器已经受他人控制了。一旦入侵者开始控制感染了“冰河”木马的计算机，入侵者可以查看该计算机内的所有资料，QQ聊天记录，网游帐号，更重要的是，入侵者可以随意修改该计算机的注册表，以及机器名等信息。一些唯利是图的人，还利用“冰河”木马病毒，控制他人计算机的摄像头，非法偷窥他人。只要用户的计算机感染了“冰河”木马，入侵者可以对该计算机进行任何操作，包括格式化硬盘，由此不难看出，“冰河”木马的破坏力远比“熊猫烧香”强数倍。

图四 利用冰河控制他人机器

    显然，“熊猫烧香”病毒仅仅是破坏计算机系统的文件，而“冰河”木马不仅可以破坏计算机系统文件，还可以盗窃计算机用户的各种信息，相比之下，“冰河”木马的破坏力更为强大，对计算机用户造成的损失也更大。

    通过上述几项的对比可以发现，“熊猫烧香”病毒与“冰河”木马有着太多的相似之处，都具有非常强的破坏能力，唯一的区别就是“冰河”木马只有在人力之下才会产生破坏力。目前，“冰河”木马仍然以一款远程控制软件的身份出现在众人面前，可这并不代表“冰河”木马不会成为第二个“熊猫烧香”！

    “冰河”成为第二个“熊猫烧香”的理由
    不可否认，“冰河”在众人面前仍然是一个非常“本份”的角色，而且有一个掩饰得挺好的身份——远程控制软件。客观地说，“冰河”木马前进一步便是十恶不赦的病毒。从“熊猫烧香”的泛滥也可以看出，只要条件许可，“冰河”木马同样会成为第二个“熊猫烧香”，其破坏力可能会超过“熊猫烧香”的破坏力。

    病毒之所以会如此泛滥，一个非常重要的原因就是因为用户对病毒疏于防范，这给病毒的传播制造了一个非常好的机会。除此之外，杀毒软件厂商的响应速度，法律对“黑客”行为监管力度的缺失，也是病毒泛滥的另一原因。

    1、用户疏忽：病毒泛滥的机会
    从“震荡波”、“冲击波”以及“熊猫烧香”病毒的泛滥不难看出，病毒虽然可怕，更可怕的是用户疏于防范，“熊猫烧香”病毒的泛滥，更是一个明证。据瑞星反病毒专家介绍，“熊猫烧香”其实是“尼姆亚”病毒的新变种，最早出现在2006年的11月。由于它一直在不停地进行变种，而且该病毒会在中毒电脑中所有的网页文件尾部添加病毒代码，因此，一旦一些网站编辑人员的电脑被该病毒感染，网站编辑在上传网页到网站后，就会导致所有浏览该网页的计算机用户也被感染上该病毒。试想，如果网站编辑在更新网站时，发现了“熊猫烧香”的病毒代码，并将其删除，一些网站还会成为“熊猫烧香”的传播途径吗？

    不仅仅是“熊猫烧香”，其他病毒的传播，同样是因为用户安全意识薄弱。诚然，不少用户的计算机中安装了功能先进的杀毒软件，可用户并不清楚，杀毒软件并非功能较多，并非所有的病毒都能查杀。

图五 诺顿杀毒软件病毒库升级界面

    更重要的是，在诸多病毒的洗礼之下，用户的安全意识仍然没有得到提高。从技术角度讲，无论是操作系统，还是应用软件，都会有漏洞，这些漏洞恰恰是病毒传播的一个“通道”。为了保障用户计算机的安全，用户必须定期更新系统补丁，封堵病毒传播的漏洞。正是由于用户在计算机使用过程中的疏忽，才给病毒的传播提供了一个较好的机会。不客观地说，“熊猫烧香”病毒的大肆泛滥，用户的疏忽是一大诱因。

    尽管经历了诸多病毒的侵蚀，可用户仍然没有足够的安全意识防范病毒，这也为“冰河”木马成为第二个“熊猫烧香”制造了一个先天的温床。

    2、安全行业潜规则：病毒泛滥的诱因
    一直以来，杀毒软件是计算机用户心中的保护神。一个公认的事实就是，病毒出来之后，杀毒软件才具备杀毒能力，久而久之，这就成了安全行业的潜规则。病毒出来才能杀，这一行业潜规则，成为了病毒泛滥的另一诱因。

    在相当长的时间里，用户的安全意识一直非常薄弱，很多用户想当然的把阻止病毒入侵的重任交给了杀毒软件。可是，用户并不清楚，只有新病毒出现之后，安全软件厂商才会推出针对该病毒的查杀方案，并对杀毒软件的病毒库进行更新。在杀毒软件更新了病毒库，杀毒软件才具备查杀新病毒的能力，这已经成为了杀毒的一个“特色”。正是这一“特色”现象的存在，很多安装了杀毒软件的用户才会接连遭受到病毒的侵蚀。未来，安全软件领域的这个潜规则不进行变通，病毒还会再次泛滥。诚然，目前很多杀毒软件都具备了查杀“熊猫烧香”病毒的能力，然而，在诸多杀毒软件的严密监管下，“熊猫烧香”病毒仍然“顽强”的生存着。

图六 被杀毒软件隔离的病毒

    对于杀毒软件厂商而言，安全行业潜规则的这一先天缺陷为其带来了丰厚的利润，这无形之中揭示了一个事实，安全行业规则的这一先天缺陷不会在短时间得到改善。在安全行业潜规则先天缺陷没有改善的情况下，杀毒软件对于用户来说仍然是一个摆设，不具备预防新病毒的能力。

    对于用户来说，“冰河”木马本来就是一款危险程度比较高的软件，用户安全意识的匮乏，安全软件厂商潜规则的先天缺失得不到改善，这些都为“冰河”木马变成第二个“熊猫烧香”制造了有利条件。

    3、黑客监管缺失：病毒猖獗的根源
    对于病毒，不少计算机用户会有这样的感受，一个破坏力非常强的病毒被消灭了，一个新病毒又粉墨登场，不少网民用“野火烧不尽，春风吹又生”来形容病毒的生存规则。如今，在功能各异的杀毒软件的保护下，病毒依旧猖獗，这也引发了一个问题，到底是什么原因致使病毒如此猖獗呢？

    探究根源，病毒的猖獗，与“木马”有着不可分割的关系。在很多用只知道病毒的危害，并不知道“木马”的“威力”。其实，很多猖獗且破坏力强大的病毒，通常是由木马演变而成，近期泛滥的“灰鸽子”，其前身便是一种木马软件，如今却成为一款破坏力非常强的病毒。在法律层面上，释放、传播病毒属于违法行为，而传播“木马”的行为，法律却没有明显的界定。正是因为法规法律对“木马”监管的缺失，才致使病毒如何猖獗。

图七 无所不在的黑客攻击

    随意在Google或百度等搜索引擎中输入“木马”关键字，可以得出上千万的搜索结果，其中不乏一些木马下载、木马技术网站。一些网站甚至公开销售“盗QQ号”，“盗网游帐号”的木马软件，并以此赢利。如今，虚拟财产交易异常红火，《传奇》中的一把屠龙刀，市值数千元人民币，正是如此丰厚的利润，才吸引诸多用户乐意去购买具备盗号功能的木马。时至今日，虚拟财产的监管仍未立法，对于“木马”等黑客行为的监管也没有出台，利益面前，很多木马摇身一变成为了病毒，不仅可以盗号，而且可以盗窃用户网上银行的资金。

    用户安全意识的缺乏，安全软件行业潜规则的先天缺失，以及国内法律对黑客行为监管的不力，这些不利因素都成为了“冰河”成为第二个“熊猫烧香”的理由。一旦有外力驱使，“冰河”木马就会发生质变。

    严格来说，“冰河”虽然目前仍然是一款木马软件，一款可以窃取用户银行帐号及密码，以及上网帐号和密码等信息的木马软件。一旦“冰河”木马为歹人所用，利益的颠倒之下，“冰河”木马也将演绎成为病毒，到时，“冰河”将成为下一个“熊猫烧香”。