谁可能是下一个“熊猫烧香”？

• 关 键 词：
• microsoft
• ghost备份
• windows
• google
• 任务管理器

    ②“冰河”木马的病毒文件和进程
    与“熊猫烧香”一样，如果用户的计算机中感染了“冰河”木马，同样会在硬盘中释放出文件，并且加载到进程中。“冰河”木马生成的两个文件位于%System%system目录下，名字为Kernel32.exe和sysexplr.exe，其中Kernel32.exe在系统启动时自动加载运行，sysexplr.exe和TXT文件关联。即使用户删除了Kernel32.exe，但只要你打开TXT文件，sysexplr.exe就会被激活，它将再次生成Kernel32.exe。

图二 冰河木马控制端界面

    冰河木马在注册表中的加载位置：

    HKEY_LOCAL_ MACHINE\ software\microsoft\Windows\Current Version\Run
    HKEY_LOCAL_ MACHINE\software\microsoft\Windows\Current Version\Runservices

    通过以上的对比不难发现，“冰河”木马与“熊猫烧香”病毒一样，都会在硬盘上释放相关的文件，并且会把相应的程序加载到注册表中使其自行启动。在“熊猫烧香”和“冰河”木马加载的进程都有一定的隐蔽性，与系统的一些常用进程相似。除本质相同之外，“熊猫烧香”和“冰河”木马两者在破坏能力方面，也不相上下。

    2、对系统的破坏能力对比
    时下，“冰河”木马仍然以一款远程控制软件自居，用户感染了“冰河”木马，似乎不会对用户造成什么威胁。殊不知，“冰河”木马的破坏力，远远高于“熊猫烧香”病毒，只不过“冰河”木马的破坏力是人为控制的。

    ①“熊猫烧香”的破坏能力
    “熊猫烧香”病毒会删除系统中常用杀毒软件在注册表中的启动项或服务，终止杀毒软件的进程，几乎涉及目前所有杀毒软件；另外，病毒还可以终止部分安全辅助工具的进程，如IceSword，任务管理器taskmon。如果感染了“熊猫烧香”病毒的机器工作在局域网的环境中，病毒还会破坏Administrator的弱口令，并且用GameSetup.exe进行复制传播。

图三 被熊猫烧香感染的文件

    “熊猫烧香”病毒文件比较隐蔽，进入系统之后，会修改注册表的相关键值，使用户无法查看系统隐藏文件。对于安装了一键还原并在硬盘中设置了Ghost备份文件的用户，病毒会自动删除所有扩展名为gho的文件，令用户在感染病毒之后无法通过备份恢复。用户的计算机一旦感染了“熊猫烧香”，既便是专杀工具，也很难根除，尤其是工作在局域网中的计算机，彻底清除“熊猫烧香”更是难上加难。

    ②“冰河”木马的破坏能力
    相比之下，“冰河”木马的破坏能力似乎没有这么强大，事实上，一旦用户感染了“冰河”木马，且被控制，“冰河”的破坏力远比“熊猫”烧香要强数倍。

    用户的计算机感染了“冰河”木马之后，只是会在系统进程里增加了一个名字为“Kernel32.exe”的进程，而且不会影响用户的正常使用，但所有感染了“冰河“木马的机器已经受他人控制了。一旦入侵者开始控制感染了“冰河”木马的计算机，入侵者可以查看该计算机内的所有资料，QQ聊天记录，网游帐号，更重要的是，入侵者可以随意修改该计算机的注册表，以及机器名等信息。一些唯利是图的人，还利用“冰河”木马病毒，控制他人计算机的摄像头，非法偷窥他人。只要用户的计算机感染了“冰河”木马，入侵者可以对该计算机进行任何操作，包括格式化硬盘，由此不难看出，“冰河”木马的破坏力远比“熊猫烧香”强数倍。

图四 利用冰河控制他人机器

    显然，“熊猫烧香”病毒仅仅是破坏计算机系统的文件，而“冰河”木马不仅可以破坏计算机系统文件，还可以盗窃计算机用户的各种信息，相比之下，“冰河”木马的破坏力更为强大，对计算机用户造成的损失也更大。

    通过上述几项的对比可以发现，“熊猫烧香”病毒与“冰河”木马有着太多的相似之处，都具有非常强的破坏能力，唯一的区别就是“冰河”木马只有在人力之下才会产生破坏力。目前，“冰河”木马仍然以一款远程控制软件的身份出现在众人面前，可这并不代表“冰河”木马不会成为第二个“熊猫烧香”！

【深 度 阅 读】 相 关 文 章

• 木蚂蚁：谈谈中国站长的妞！！
• 不可阻挡的谷歌拼音
• eWeeK：10大全球IT最具影响力女性（图）
• 07年最令人失望的九大新兴技术