在2006年末安全领域的奥斯卡颁奖典礼上,各大安全厂商不约而同地将非常好的主角颁给了熊猫烧香;2007年伊始,一个不再新鲜的木马——灰鸽子卷土重来,大有重夺非常好的主角宝座之势。紧接“灰鸽子比熊猫烧香厉害十倍”的说法之后,再次传出网银被盗事件,这一切都给灰鸽子带上了神秘的面纱。今天,就让熊猫烧香和灰鸽子进行全方位PK,看看灰鸽子是否真的比熊猫烧香危害更大。
本次PK所采用的两种病毒的样本均来自安全厂商,PK项目分为:典型表现、病毒行为以及传播方式。病毒世界谁更胜一筹,结果马上揭晓。
javascript:if(this.width>screen.width-500)this.width=screen.width-500;" border=0>
威金熊猫烧香查杀专题
灰鸽子及变种查杀专题
首先进行PK的项目是典型表现。
中文:熊猫烧香病毒(又称武汉男生)
英文:Worm.WhBoy(目前发现的变种数已超过400个)
熊猫烧香典型表现:
感染病毒后会发现较多的.EXE文件图标变成正在烧香的熊猫,这也是“熊猫烧香”名称的来源。不过现在发现的部分变种已经不再使用这个广为人知的图标了。有部分变种可以直接通过互联网更新版本,部分变种可以感染htm、html、asp、php、jsp、aspx等网页格式文件。一段web服务器被感染,将意味着所有浏览这些网页的计算机可能会自动下载并感染上熊猫烧香病毒。
该系列变种会释放以下几个典型文件:
分区根目录下:setup.exe、autorun.inf、%System%\Fuckjacks.exe、%System%\Drivers\spoclsv.exe。
局域网环境下:GameSetup.exe。
灰鸽子典型表现:
中文:灰鸽子木马(拥有变种超过6万种)
英文:win32.hack.huigezi
灰鸽子成名比熊猫烧香早了近五年,可谓是熊猫烧香的“老前辈”。早在2001年,灰鸽子就荣获“高危木马”的盛名,经过其作者坚持不懈的努力,直至今年,灰鸽子的变种早就超过了六万。几乎所有人都知道熊猫烧香,就是因为这个病毒有个非常可爱且明显的图标。而灰鸽子木马病毒入侵系统后,只有非常有经验的电脑用户才可能发现异常,普通用户根本毫不知情,就好比有个会隐形术的贼在家中长驻。
根据笔者从某安全厂商技术人员处得到的资料,灰鸽子可以安全在任意位置,由安装者自己决定。灰鸽子木马的文件名可以由攻击者任意定制,它还可以注入正常程序的进程隐藏自己, Windows的任务管理器看不到病毒存在,需要借助第三方工具软件查看。
第一回合总结:
熊猫烧香破坏了电脑中不同格式的文件,并且使得大量进程中止,给用户的使用带来了极大不便。初步来看,灰鸽子并没有对电脑的使用造成影响,此项PK,熊猫烧香胜出。
病毒行为大PK:
熊猫烧香的行为表现:
删除常用杀毒软件在注册表中的启动项或服务,终止杀毒软件的进程,几乎涉及目前所有杀毒软件;终止部分安全辅助工具的进程,如IceSword,任务管理器taskmon;终止维金的相关进程Logo1_.exe、Logo_1.exe、Rundl123.exe;弱口令破解局域网其他电脑的Administror帐号,并用GameSetup.exe进行复制传播;修改注册表键值,导致不能查看隐藏文件和系统文件;除C盘如下目录外,病毒会尝试破坏其它分区下的部分.exe、.com、.gho、.pif、.scr文件;病毒会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件,使用户的系统备份文件丢失。
灰鸽子木马行为表现:
电脑感染灰鸽子病毒后会被远程攻击者完全控制,攻击者拥有和管理员一样的权限。远程黑客可以轻易的复制、删除、上传、下载保存在你电脑上的文件,机密文件在你毫不知情的情况下被窃取。它甚至还可以记录每一个点击键盘的操作,QQ号、网络游戏帐号、网上银行帐号,就是这样被远程攻击者轻松获得。更有甚者,远程攻击者可以直接控制摄像头,连你自己都不知道,原来你在远程还有一双眼睛。并且,远程攻击者在窃取资料后,还可以远程将病毒卸载,达到销毁证据的目的。
2006年,北京电视台的《生活面对面》曾报道网银账户内1万余元被分15次盗走,警方在事主的嫌犯的电脑里发现的正是这个可以盗号的灰鸽子。
想必关注安全领域的网友对“肉鸡”这个词不会陌生。电脑被人植入木马,这台主机,就被称为“肉鸡”,远程攻击者可以对这台“肉鸡”电脑为所欲为。攻击者可控制大量“肉鸡”,进行非法获利,比如在“肉鸡”上植入点击广告的软件;利用肉鸡配置代理服务器,以此做为跳板对其它电脑发起入侵。一旦最终受害者追查时,肉鸡电脑将会成为替罪羊;此外,安装者还可以用大量肉鸡组建僵尸网络,随时可以被用于一些特殊目的,比如发起DDoS攻击等。前不久,国内著名的安全厂商金山毒霸因为大力打击灰鸽子就曾经遭受过大规模灰鸽子攻击的报复。
第二回合总结:
相比下载最新杀毒软件、专杀工具或者重装电脑就能解决的熊猫烧香问题,灰鸽子留下的隐患更深且更难以解决。此项PK,灰鸽子以绝对优势胜出。
传播方式大PK:
熊猫烧香的传播方式:
利用网站传播是熊猫烧香的一大特色,U盘、局域网、网页等等,你能想到的一切传播方式它都能做到。
灰鸽子传播方式:
灰鸽子本身并不能复制,这与熊猫烧香略有不同,灰鸽子四大传播方式是:
网页传播:病毒制作者将灰鸽子病毒植入网页中,用户浏览即感染;
邮件传播:灰鸽子被捆绑在邮件附件中进行传播;
IM聊天工具传播:通过即时聊天工具传播携带灰鸽子的网页链接或文件;
非法软件传播:病毒制作者将灰鸽子病毒捆绑进各种非法软件,用户下载解压安装即感染。
第三回合总结:
利用漏洞传播和利用捆绑传播各有其妙处,在此项上,两者打成平手。
总结:
尽管从三项PK结果来看,整体上熊猫烧香与灰鸽子平分秋色,但是只要我们仔细琢磨灰鸽子的行为以及带来的后果会发现,其实灰鸽子木马至少在危害上是高出熊猫烧香大段距离。尽管两者都给用户带来了不同程度的伤害,但是我们还是很欣慰地看到,无论是浇灭熊猫手中的香还是砍下灰鸽子飞翔的翅膀,安全厂商都在进行长期的努力,争取为网友带来更加纯净的网络空间。
本次PK所采用的两种病毒的样本均来自安全厂商,PK项目分为:典型表现、病毒行为以及传播方式。病毒世界谁更胜一筹,结果马上揭晓。
javascript:if(this.width>screen.width-500)this.width=screen.width-500;" border=0> 威金熊猫烧香查杀专题
灰鸽子及变种查杀专题
首先进行PK的项目是典型表现。
中文:熊猫烧香病毒(又称武汉男生)
英文:Worm.WhBoy(目前发现的变种数已超过400个)
熊猫烧香典型表现:
感染病毒后会发现较多的.EXE文件图标变成正在烧香的熊猫,这也是“熊猫烧香”名称的来源。不过现在发现的部分变种已经不再使用这个广为人知的图标了。有部分变种可以直接通过互联网更新版本,部分变种可以感染htm、html、asp、php、jsp、aspx等网页格式文件。一段web服务器被感染,将意味着所有浏览这些网页的计算机可能会自动下载并感染上熊猫烧香病毒。
该系列变种会释放以下几个典型文件:
分区根目录下:setup.exe、autorun.inf、%System%\Fuckjacks.exe、%System%\Drivers\spoclsv.exe。
局域网环境下:GameSetup.exe。
灰鸽子典型表现:
中文:灰鸽子木马(拥有变种超过6万种)
英文:win32.hack.huigezi
灰鸽子成名比熊猫烧香早了近五年,可谓是熊猫烧香的“老前辈”。早在2001年,灰鸽子就荣获“高危木马”的盛名,经过其作者坚持不懈的努力,直至今年,灰鸽子的变种早就超过了六万。几乎所有人都知道熊猫烧香,就是因为这个病毒有个非常可爱且明显的图标。而灰鸽子木马病毒入侵系统后,只有非常有经验的电脑用户才可能发现异常,普通用户根本毫不知情,就好比有个会隐形术的贼在家中长驻。
根据笔者从某安全厂商技术人员处得到的资料,灰鸽子可以安全在任意位置,由安装者自己决定。灰鸽子木马的文件名可以由攻击者任意定制,它还可以注入正常程序的进程隐藏自己, Windows的任务管理器看不到病毒存在,需要借助第三方工具软件查看。
第一回合总结:
熊猫烧香破坏了电脑中不同格式的文件,并且使得大量进程中止,给用户的使用带来了极大不便。初步来看,灰鸽子并没有对电脑的使用造成影响,此项PK,熊猫烧香胜出。
病毒行为大PK:
熊猫烧香的行为表现:
删除常用杀毒软件在注册表中的启动项或服务,终止杀毒软件的进程,几乎涉及目前所有杀毒软件;终止部分安全辅助工具的进程,如IceSword,任务管理器taskmon;终止维金的相关进程Logo1_.exe、Logo_1.exe、Rundl123.exe;弱口令破解局域网其他电脑的Administror帐号,并用GameSetup.exe进行复制传播;修改注册表键值,导致不能查看隐藏文件和系统文件;除C盘如下目录外,病毒会尝试破坏其它分区下的部分.exe、.com、.gho、.pif、.scr文件;病毒会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件,使用户的系统备份文件丢失。
灰鸽子木马行为表现:
电脑感染灰鸽子病毒后会被远程攻击者完全控制,攻击者拥有和管理员一样的权限。远程黑客可以轻易的复制、删除、上传、下载保存在你电脑上的文件,机密文件在你毫不知情的情况下被窃取。它甚至还可以记录每一个点击键盘的操作,QQ号、网络游戏帐号、网上银行帐号,就是这样被远程攻击者轻松获得。更有甚者,远程攻击者可以直接控制摄像头,连你自己都不知道,原来你在远程还有一双眼睛。并且,远程攻击者在窃取资料后,还可以远程将病毒卸载,达到销毁证据的目的。
2006年,北京电视台的《生活面对面》曾报道网银账户内1万余元被分15次盗走,警方在事主的嫌犯的电脑里发现的正是这个可以盗号的灰鸽子。
想必关注安全领域的网友对“肉鸡”这个词不会陌生。电脑被人植入木马,这台主机,就被称为“肉鸡”,远程攻击者可以对这台“肉鸡”电脑为所欲为。攻击者可控制大量“肉鸡”,进行非法获利,比如在“肉鸡”上植入点击广告的软件;利用肉鸡配置代理服务器,以此做为跳板对其它电脑发起入侵。一旦最终受害者追查时,肉鸡电脑将会成为替罪羊;此外,安装者还可以用大量肉鸡组建僵尸网络,随时可以被用于一些特殊目的,比如发起DDoS攻击等。前不久,国内著名的安全厂商金山毒霸因为大力打击灰鸽子就曾经遭受过大规模灰鸽子攻击的报复。
第二回合总结:
相比下载最新杀毒软件、专杀工具或者重装电脑就能解决的熊猫烧香问题,灰鸽子留下的隐患更深且更难以解决。此项PK,灰鸽子以绝对优势胜出。
传播方式大PK:
熊猫烧香的传播方式:
利用网站传播是熊猫烧香的一大特色,U盘、局域网、网页等等,你能想到的一切传播方式它都能做到。
灰鸽子传播方式:
灰鸽子本身并不能复制,这与熊猫烧香略有不同,灰鸽子四大传播方式是:
网页传播:病毒制作者将灰鸽子病毒植入网页中,用户浏览即感染;
邮件传播:灰鸽子被捆绑在邮件附件中进行传播;
IM聊天工具传播:通过即时聊天工具传播携带灰鸽子的网页链接或文件;
非法软件传播:病毒制作者将灰鸽子病毒捆绑进各种非法软件,用户下载解压安装即感染。
第三回合总结:
利用漏洞传播和利用捆绑传播各有其妙处,在此项上,两者打成平手。
总结:
尽管从三项PK结果来看,整体上熊猫烧香与灰鸽子平分秋色,但是只要我们仔细琢磨灰鸽子的行为以及带来的后果会发现,其实灰鸽子木马至少在危害上是高出熊猫烧香大段距离。尽管两者都给用户带来了不同程度的伤害,但是我们还是很欣慰地看到,无论是浇灭熊猫手中的香还是砍下灰鸽子飞翔的翅膀,安全厂商都在进行长期的努力,争取为网友带来更加纯净的网络空间。
