返回列表 发帖

手机防毒刻不容缓 正确应对可保无忧

2007/2/6/9:12



——剖析手机病毒始末

    前些日子,一只手握三支香的“可爱熊猫”让广大计算机用户吃尽了苦头。截至到2007年1月25日,这个以手拿三支香的熊猫图标为代表的“熊猫烧香”病毒已攻击千余企业网站,其中不乏金融、税务、能源等关系到国计民生的重要单位,而受到攻击的个人用户更不下千万,其危害程度不亚于CIH、震荡波、冲击波等老牌电脑病毒。

     “熊猫烧香”只是用Delphi语言工具编写一种蠕虫病毒的变种,只不过经过多次变种,威力大增。它通过感染用户电脑上的.exe文件用户电脑中毒,中毒后可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。同时,该病毒可以通过局域网进行传播,进而感染局域网内所有计算机系统,最终导致企业局域网瘫痪。那么,作为与WINDOWS桌面操作系统一脉相承的WINDOWSMOBILE智能手机会不会也被感染了?会不会像电脑用户一样数据被毁,无法正常使用了?

    熊猫烧香拿手机没辙

    那么手机是否会被感染熊猫烧香病毒了?我们的回答是:可能也不可能。为什么会是这样的回答了?我们说可能,指的是智能手机的存储卡如果与感染了熊猫烧香的PC设备进行数据交换,比如你把存储卡插在读卡器上连接到已感染熊猫烧香的PC机上,“熊猫烧香”病毒就会感染到存储卡上的.exe程序,说明智能手机受到病毒的威胁不是空穴来风。但是,熊猫烧香并不能在智能手机上运行,这就是我们所说的不可能。

    熊猫烧香对于智能手机而言仅限于“感染”,或者形容它只是一具僵尸,并不能产生任何的破坏作用。对于这个结论,我们采访了几名精于WINDOWSMOBILE平台编程的专家,其中还有几名是拥有微软MVP头衔的“高手”,他们的理由如下:

    第一,熊猫烧香是一个win32病毒,而不是wince病毒,运行在不同的系统环境上,所以智能手机根本不能运行?X86的PE程序。所以,在wince平台上熊猫烧香不可能发作。

    第二,WINDOWSMOBILE智能手机的CPU和PC机的CPU普遍不同,PC机上x86的指令集编译的程序根本不能够在采用ARM架构的CPU上运行,生成的机器码也不同,所以病毒体不可能被执行。

    第三,如果用读卡器连接台式机,熊猫烧香会感染卡中的程序。因为win32和wince的exe格式相同,“熊猫烧香”会以为这些.exe文件是win32可执行文件从而感染之。但是,这些程序因为平台不同无法运行,所以并不会在智能手机上形成病毒传播,也就是说,这些程序中的病毒形如僵尸,没有破坏能力。

    第四、WINDOWSMOBILE智能手机本身自带的核心程序是在rom中以xip方式执行的。Xip运行方式最大的特点是不载入内存,直接用rom中的地址来运行。因为rom不可写,所以不会被修改,就算熊猫烧香想感染也不可能。也不会造成系统崩溃之类的破坏。最坏最坏的打算就是硬启动一下机器,只要你平时做好了备份,这点损失根本不算是损失,何况这种可能性几乎没有。没有这样的巨大破坏,那这个病毒还用那么嚣张吗?

     “烧香烧到手机”传言的起源

    对于熊猫烧香能够影响手机说法始于何处,我们已经无从考证。但是我们从网上找到了一个熊猫烧香的手机主题。这个适用于智能手机的主题文件安装后,确实能在手机上显示感染熊猫烧香病毒后的图标,但实际上并不影响手机的正常使用和功能。
^.^

选择的路..跪着也要走下去..

TOP

接-----

看来,这只是好事者借“熊猫烧香”之名而搞出的一个恶作剧,但是以讹传讹,到最后就变成了“烧香烧到手机”的传言了。

    熊猫烧香不是手机病毒代言人

    手机病毒的原理其实和计算机病毒一样,它以手机为感染对象,以手机网络和计算机网络为平台,通过病毒短信、蓝牙等形式,对手机进行攻击,从而造成手机异常的一种新型病毒。手机病毒并不是骇人听闻的谣言,它是随着计算机应用与网络的普及所产生的必然产物,但目前出现的种类还不是很多,因此有很多人还不了解手机病毒,还不知道手机病毒是什么样子,会做什么样的破坏。

    就算是没有了“熊猫烧香”的威胁,手机病毒仍是智能手机所面对的头号敌人。早在2000年6月,西班牙发生了一件让人匪夷所思的事情,许多人无故收到一些骂人的垃圾短信,而这些短信全部来自当地一家叫做Telefonica移动运营商,正当用户们感到一头雾水的时候,其它垃圾短信及广告信息又接踵而至,经有关部门查证,得出一个出人意料的结论——此为手机病毒所为,并把其命名为VBS.Timofonica,VBS.Timofonica同时也获得了全球第一个手机病毒的“美誉”。

    其实VBS.Timofonica并不能准确地称为“病毒”,它不符合基本的病毒转播模型,不具备病毒最基本的特地。简单的说,至少它不具备传染性,VBS.Timofonica自身不会进行传播及复制,它只不过是一种攻击程序。

    第一个真正意义上的病毒叫EPOC.Cabir.A(又名卡波尔),该病毒通过蓝牙技术在一定范围内的蓝牙设备间传播,专门感染智能手机系统。“卡波尔”病毒是针对Symbian系统的“proofofconcept类蠕虫病毒,虽然影响不大破坏力不强,但是作为第一款具有病毒特征的手机病毒,其划时代的意义远远大于实际价值。   

    目前在SYMBIAN平台上的手机病毒数量最多,大约占了整个数量的七成,但这不能说明像WINDOWSMOBILE这类智能手机操作系统就是一方净土。例如WinCE4.Dust就是第一款以ARM芯片和WM2003为攻击目标的WinCE病毒。它工作原理是感染PPC根目录上所有以*.EXE命名的软件,但危害并不大,受感染的文件依然可以正常的运行。
^.^

选择的路..跪着也要走下去..

TOP

原帖由 箹錠 于 2007-2-6 13:40 发表



如果是熊猫烧香就不是那么轻松过关的了!!


那熊猫不是很恐怖....
  .@极爱自己@.

TOP

不是很恐怖....

            是非常恐怖!!



你看:你的泪光,柔弱中带伤,
满屏的熊猫香,删除过往,
熊猫猖狂,点上三根香,是谁在电脑前冰冷的绝望
猫慢慢拜,暗黄色的香,
我瘫坐椅子上,精神错乱,
路在何方,谁为我思量,冷风吹乱憔悴模样。
熊猫拜,三根香,你的笑容已泛黄,
重装又重装,我心里在发慌。
江民杀,瑞星除,你的影子剪不断,
徒留我在机旁神伤。
爱机已死两忙忙,不思量,自难忘。
熊猫烧香,无处话凄凉。
纵使相逢应不识,恨满面,屏如霜。
夜来恶梦忽还乡,小熊猫,正烧香。
相顾无言,唯有泪千行。
料得重装爱机日,熊猫来,还烧香
^.^

选择的路..跪着也要走下去..

TOP

奇虎360安全卫士推出熊猫烧香专杀工具

2007年02月06日 20:02   :34


360安全中心发布:为了帮助解决360安全卫士用户被“熊猫烧香”频频骚扰的问题,奇虎公司特别开辟“熊猫烧香”专杀工具平台,所有360安全卫士的用户都能够在此平台上获得金山、瑞星、江民等公司提供“熊猫烧香“专杀工具,有效的对电脑进行安全防护。

  360安全中心表示,未来将加强与国内外各大安全厂商的
合作,致力于为广大网民提供全方位的电脑安全防护平台。

  与此同时,奇虎公司还宣布发起“悬赏缉凶”活动。任何网民,只要能够提供包括my123在内的恶意软件制作者的重要线索,都有机会得到奇虎公司提供的总额高达100万元的奖金。

  360安全中心称,希望“悬赏缉凶”活动能够调动广大网民的主动性,积极检举、揭发恶意软件的制作者,从而达到从源头上扼制恶意软件泛滥的目的。这项“悬赏缉凶”活动将长期的开展下去,2007年爆发的任何一款重大恶意软件,用户均可以提供线索,如果被公安机关采纳并破案,奇虎将给予重奖。

  对于能够提供my123等恶意软件制作者重要线索、证实“360安全卫士后门”确实存在的任何个人和公司,均可以发邮件service@360safe.com提供线索。

  另据最新数据显示,360安全卫士的累计安装量超过1500万,日查杀恶意软件数百万次。为了更好的服务网民,在此我们呼吁广大网民保持警惕及时向360安全中心的技术人员举报电脑中不正常现象。

  我们还建议广大网民建立良好的软件安装习惯,安装下载软件时尽量到官方网站和正规下载站下载;及时给系统打安全补丁;定期使用360安全卫士为您的电脑体检。

  如果用户发现机器已经被恶意软件控制,无法正常访问360安全卫士网站,请直接用ip地址方式下载最新版进行查杀:http://220.181.34.241/setup.exe。
^.^

选择的路..跪着也要走下去..

TOP

最新流行的熊猫病毒查杀方法介绍

建议您用卡巴6.0到安全模式下全盘杀毒     一. 关闭病毒进程   Ctrl + Alt + Del 任务管理器,在进程中查找 sxs 或 SVOHOST(不是SVCHOST,相差一个字母),有的话就将它结束掉(我的电脑里出现的是SVCHOST)注意别搞错了。   二、
显示出被隐藏的系统文件
  运行——regedit   HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL,将CheckedValue键值修改为1   这里要注意,病毒会把本来有效的DWORD值CheckedValue删除掉,新建了一个无效的字符串值CheckedValue,并且把键值改为0!我们将这个改为1是毫无作用的。(有部分病毒变种会直接把这个CheckedValue给删掉,只需和下面一样,自己再重新建一个就可以了)   方法:删除此CheckedValue键值,单击右键 新建——Dword值——命名为CheckedValue,然后修改它的键值为1,这样就可以选择“显示所有隐藏文件”和“显示系统文件”。   在文件夹——工具——文件夹选项中将系统文件和隐藏文件设置为显示   三、删除病毒   在分区盘上单击鼠标右键——打开,看到每个盘跟目录下有 autorun.inf 和 sxs.exe 两个文件,将其删除。   四、删除病毒的自动运行项   打开注册表运行——regedit   HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run   下找到 SoundMam 键值,可能有两个,删除其中的键值为 C:\\WINDOWS\system32\SVOHOST.exe 的   最后到 C:\\WINDOWS\system32\ 目录下删除 SVOHOST.exe 或 sxs.exe   重启电脑后,发现杀毒软件可以打开,分区盘双击可以打开了。
^.^

选择的路..跪着也要走下去..

TOP



如果哪天我傢電腦給他黑了。

我就好好學習。

然後再找出那男的。

我黑他電腦!

TOP

为你支招 预防“熊猫烧香”系列病毒

最近,一个叫“熊猫烧香”的病毒把电脑用户折腾得苦不堪言,在人们心目中,“熊猫”这个国宝似乎不再可爱,而成了人人喊打的过街老鼠。 “熊猫烧香”蠕虫不但可以对用户系统进行破坏,导致大量应用软件无法使用,而且还可删除扩展名为gho的所有文件,造成用户的系统备份文件丢失,从而无法进行系统恢复;同时该病
毒还能终止大量反病毒软件进程,大大降低用户系统的安全性。

  这几天“熊猫烧香”的变种更是表象异常活跃,近半数的网民深受其害。用户除了可以从http://tool.duba.net/zhuansha/253.shtml下载金山毒霸的“熊猫烧香”专杀来对付该病毒外,金山毒霸技术专家还总结的以下预防措施,帮你远离“熊猫烧香”病毒的骚扰。

  【专家总结】

  1、立即检查本机administrator组成员口令,一定放弃简单口令甚至空口令,安全的口令是字母数字特殊字符的组合,自己记得住,别让病毒猜到就行。

  修改方法:右键单击我的电脑,选择管理,浏览到本地用户和组,在右边的窗中,选择具备管理员权限的用户名,单击右键,选择设置密码,输入新密码就行。

  2、利用组策略,关闭所有驱动器的自动播放功能。

  步骤:单击开始,运行,输入gpedit.msc,打开组策略编辑器,浏览到计算机配置,管理模板,系统,在右边的窗格中选择关闭自动播放,该配置缺省是未配置,在下拉框中选择所有驱动器,再选取已启用,确定后关闭。最后,在开始,运行中输入gpupdate,确定后,该策略就生效了。
^.^

选择的路..跪着也要走下去..

TOP

原帖由 §Angel§ 于 2007-2-6 23:05 发表


如果哪天我傢電腦給他黑了。

我就好好學習。

然後再找出那男的。

我黑他電腦!



嘎嘎!又被你注意到我发新信息啦??

              我们河源应该相对比较安全吧!!!
^.^

选择的路..跪着也要走下去..

TOP

原帖由 箹錠 于 2007-2-6 23:07 发表



嘎嘎!又被你注意到我发新信息啦??

              我们河源应该相对比较安全吧!!!



嘿嘿,
對阿~

我上面的那條信息千萬別給他看到...

亨.以後我要嫁給電腦高手。

管它熊貓還是狗熊.燒香還是拜佛。

啥病毒都不怕。

嘿嘿。

TOP

返回列表