“印迹—庆祝建国60周年中国反网络病毒回顾展”实录

为迎接新中国成立60周年，向社会和公众展示中国反网络病毒工作的发展历程，由国家计算机网络应急技术处理协调中心（简称国家互联网应急中心，CNCERT/CC）发起，联合中国反网络病毒联盟成员单位和CNCERT/CC网络安全应急服务支撑支持单位共同开展“印迹——庆祝建国60周年中国反网络病毒回顾展”活动。此次活动旨在对反网络病毒领域的重大事件、工作成果等进行全面回顾，展现反网络病毒行业的风采，提高全社会的网络安全意识，同时倡议广大网民从自身做起，积极参与反网络病毒工作，共同应对网络安全风险，共筑和谐网络。

随着本届年会的召开，作为国家级网络安全应急服务支撑单位的安天也荣幸的参加一系列的活动，作为参会成员，笔者在年会和回顾展中见到了国家安全界的领军人物和兄弟厂商代表，聆听了关于去年的信息安全回顾和未来的展望。


一进门就是活动主题的海报，安天的名字位列其中，荣幸啊。

应该说，很多反网络病毒联盟的兄弟厂商都为了国内的信息安全事业做出了重大的贡献，而cncert的成立也让我们这些有志于反病毒行业的从业者找到了合作和共享的平台，比如，奥运安保工作、对抗红色代码、冲击波、震荡波等极具危险的病毒传播监控等，所有的联盟单位在做出骄人业绩的同时，不仅为反网络病毒事业持续发展献计献策，还做出了应有的贡献。我们希望在提高全社会的网络安全意识和反网络病毒技术水平同事，和用户一起共同抵制网络病毒，净化网络环境，维护互联网的和谐与安全！


回顾展的背景介绍。


反网络病毒联盟和自律公约的签订，安天作为联盟成员和其他兄弟厂商一起签约。

一些安全知识和背景的介绍（1）
一些安全知识和背景的介绍（2）
一些安全知识和背景的介绍（3）

马上就要看到精彩图片了，下面是一些国内安全事件的大事记，不知道您能不能猜到安天参与了那些重大事件呢？让我们来看看。




红色代码：其传播所使用的技术可以充分体现网络时代网络安全与病毒的巧妙结合，将网络蠕虫、计算机病毒、木马程序合为一体，开创了网络病毒传播的新路，可称之为划时代的病毒。如果稍加改造，将是非常致命的病毒，可以完全取得所攻破计算机的所有权限为所欲为，可以盗走机密数据，严重威胁网络安全。01年7月中该病毒在美国等地大规模蔓延，引起了恐慌，国外通讯社连续报道该病毒的破坏情况；8月初，该病毒做了一些修改，针对中文操作系统加强了攻击能力，导致在国内大规模蔓延，特别是北京等信息化程度较高的地区，受灾情况相当严重，公安部发布紧急通告，要求对该病毒严加防范。


尼姆达：2001年9月18日在全球蔓延，是一个传播性非常强的黑客病毒。它以邮件传播、主动攻击服务器、即时通讯工具传播、FTP协议传播、网页浏览传播为 主要的传播手段。它能够通过多种传播渠道进行传染，传染性极强。对于个人用户的PC机，“尼姆达”可以通过邮件、网上即时通讯工具和“FTP程序”同时进 行传染；对于服务器，“尼姆达”则采用和“红色代码”病毒相似的途径，即攻击微软服务器程序的漏洞进行传播。由于该病毒在自身传染的过程中占用大量的网络 带宽和计算机的内部资源，因此许多企业的网络现在受到很大的影响，有的甚至已经瘫痪，就个人使用的PC机来说，速度也会有明显的下降。

SQL SLAMMER蠕虫： (2003年) 该病毒利用SQL SERVER 2000的解析端口1434的缓冲区溢出漏洞对其服务进行攻击。2003年1月25日爆发，全球共有50万台服务器被攻击，但造成的经济损失较小。SQL Slammer也被称为“蓝宝石”(Sapphire)，2003年1月25日首次出现。它是一个非同寻常的蠕虫病毒，给互联网的流量造成了显而易见的负面影响。有意思的是，它的目标并非终端计算机用户，而是服务器。它是一个单包的、长度为376字节的蠕虫病毒，它随机产生IP地址，并向这些IP地址发送自身。如果某个IP地址恰好是一台运行着未打补丁的微软SQL服务器桌面引擎(SQL Server Desktop Engine)软件的计算机，它也会迅速开始向随机IP地址的主机开火，发射病毒。正是运用这种效果显著的传播方式，SQL Slammer在十分钟之内感染了7.5万台计算机。庞大的数据流量令全球的路由器不堪重负，如此循环往复，更高的请求被发往更多的路由器，导致它们一个个被关闭。


口令蠕虫：从03年3月8日开始，一种新型的破坏力很强的网络蠕虫病毒——“口令蠕虫”病毒突然袭击我国互联网。目前国内已经有个别骨干互联网出现明显拥塞，个别局域网近于瘫痪，数以万计的国内服务器被感染并自动与境外服务器进行联接。中国计算机网络应急处理协调中心负责人9日对新华社记者表示，“口令蠕虫”通过一个名为Dvldr32.exe的可执行程序，实施发包进行网络感染操作，主要对象是网络服务器和视窗2000、XP等个人终端用户。



展览揭开了当年年P-A平台最早发现口令蠕虫的隐秘历史，而P-A正是安天VDS病毒监控系统的雏形（P是哈工大PACT518教研室的缩写，A是安天的缩写）。呵呵，这可是首次揭秘，当年安天为剿灭口令蠕虫做出了很大的贡献呀。


震荡波：该病毒为I-Worm/Sasser.a的第三方改造版本。与该病毒以前的版本相同，也是通过微软的最新LSASS漏洞进行传播，用户应及时下载微软的补丁程序来预防该病毒的侵害。如果在纯DOS环境下执行病毒文件，会显示出谴责美国大兵的英文语句。其利用了微软的MS04-011漏洞。


黛蛇蠕虫：病毒自身为一个自解压的蠕虫，运行后会尝试扫描含有多个漏洞的主机，此病毒采用ROOTKIT技术隐藏部分文件，使得用户难以察觉。病毒溢出目标主机后，便会控制目标主机连接到一个动态的ftp服务器下载并运行一个新病毒等相关文件，新病毒将监控用户键盘，接受远程控制。该病毒对用户的威胁较大！


熊猫烧香：病毒会删除扩展名为gho的文件，使用户无法使用ghost软件恢复操作系统。“熊猫烧香”感染系统的.exe .com. f.src .html.asp文件，添加病毒网址，导致用户一打开这些网页文件，IE就会自动连接到指定的病毒网址中下载病毒。在硬盘各个分区下生成文件autorun.inf和setup.exe，可以通过U盘和移动硬盘等方式进行传播，并且利用Windows系统的自动播放功能来运行，搜索硬盘中的.exe可执行文件并感染，感染后的文件图标变成“熊猫烧香”图案。“熊猫烧香”还可以通过共享文件夹、系统弱口令等多种方式进行传播。该病毒会在中毒电脑中所有的网页文件尾部添加病毒代码。一些网站编辑人员的电脑如果被该病毒感染，上传网页到网站后，就会导致用户浏览这些网站时也被病毒感染。据悉，多家著名网站已经遭到此类攻击，而相继被植入病毒。由于这些网站的浏览量非常大，致使“熊猫烧香”病毒的感染范围非常广，中毒企业和政府机构已经超过千家，其中不乏金融、税务、能源等关系到国计民生的重要单位。

机器狗：机器狗本身会释放出一个pcihdd.sys到drivers目录，pcihdd.sys是一个底层硬盘驱动，提高自己的优先级接替还原卡或冰点的硬盘驱动，然后访问指定的网址，这些网址只要连接就会自动下载大量的病毒与恶意插件。然后修改接管启动管理器，最可怕的是，会通过内部网络传播，一台中招，能引发整个网络的电脑全部自动重启。

奥运安保工作：

飞客蠕虫：Conficker，也被称作Downup，Downadup或Kido，Conficker蠕虫最早于2008年11月20日被发现的以微软的windows操作系统为攻击目标的计算机蠕虫病毒。迄今已出现了A、B、C、E四个版本，目前全球已有超过1500万台电脑受到感染。Conficker主要利用Windows操作系统MS08-067漏洞来传播，同时也能借助任何有USB接口的硬件设备来感染。

这个蠕虫利用的是一个已知的被用于windows2000，windowsxp，windowsvista，windowsserver2003和windowsserver 2008操作系统的服务器服务漏洞。Linux和macintosh操作系统不会受到这个病毒的影响。“conficker”这个名字是一个德语的双关语，意思是“操作计算机设置的程序”发音就像是英语中的“configure”。“configuration”通常被简称为“config”。conficker的命名来源于configuration的前五个字母，同时添加了以ficker为结尾，ficker是一个粗俗的词，是德语fichen的名词形式，在德语中的意思就是英语中的“f**k”。



安天主机保护系统



魔波病毒的远程查杀方案，安天CERT当年为此付出了几日超负荷运转的代价。

安天VDS系统监控到某ICP节点受到的冲击波杀手数据包压力当时成为了cncert的重要判定疫情的参考依据

呵呵  了解了

本届图片展，安天所占的幅面也还是很大的。呵呵。

安天防线制作思路很不错  为计算机的第二道防线做出贡献

也是要不断完善 的

对安天有了更深的了解

安天人的行为准则，一直是“行者不言”。
很老派的中国知识分子风格，只埋头学术，而不善于用声望来换些什么。
安天文化，就是工程师文化，学术、民主的作风印在所有的安天人心中。