“熊猫”疯狂“烧香”

　　元旦过后的一天早晨，在一家贸易公司工作的王先生上班后打开电脑，熟悉的Windows图标都不见了，迎接他的是一排排拱手举着三根燃烧着的香的熊猫。王先生大惊失色，意识到电脑中病毒了。随后他发现，同事们的电脑全都中招了——这个病毒已经感染和破坏了公司内所有电脑内的程序文件，并删除了电脑备份。

　　这就是最近两个多月以来最“著名”的“熊猫烧香”病毒，它正利用互联网进行疯狂作案。来自金山毒霸客服中心的统计显示，截至目前，“熊猫烧香”病毒变种已达416个，受感染电脑用户达到数百万台。

　　为了对付这个病毒，国内反病毒公司的工程师们已经忙活了两个月。

　　“‘熊猫烧香’非常难以预防，因为它使用了一种新的传播方式。”瑞星反病毒专家介绍，与普通病毒不同的是，“熊猫烧香”可以利用网站来传播，“如果网站编辑们的电脑被感染了，通过他们，‘熊猫烧香’病毒就会挂在网站的所有网页上，凡是访问此网站的网友会全部中招。同时，这个病毒还会借助局域网和U盘传播。”

　　据反病毒专家介绍，“熊猫烧香”专门造访知名网站和论坛，被它扫荡过的有天涯社区、PConline、硅谷动力等门户网站，在暴风影音等知名软件的下载链接中也曾出现过“熊猫烧香”的魅影。现在，“熊猫烧香”的变种还在不断出现，危害依然严重。

　　断网给病毒留出空间

　　反病毒专家们认为，去年年底台湾南部海域

地震所导致的互联网断网事件是造成病毒泛滥的原因之一，“熊猫烧香”正是那个时候出现的。

　　据瑞星公司副总裁毛一丁介绍，自光缆断裂到今年1月22日，瑞星全球反病毒监测网已经截获20205个新病毒，也就是说瑞星杀毒软件平均每天要升级近千个新病毒样本。由于海底光缆修复受阻，目前使用国外杀毒软件的用户升级仍然有很大困难。在海底光缆断裂导致使用国外杀毒软件的用户暂时无法升级时，国内反病毒厂商积极地伸出援手，瑞星、江民、金山等纷纷推出了免费升级的服务。

　　不过，病毒的制造者似乎很聪明，利用这个时机，在这段时间特别活跃，针对企业网络的攻势很强烈，甚至出现了企业用户的求助超过个人用户求助的状况。

　　网友出价10万美元悬赏

　　据江民等反病毒公司人员介绍，“熊猫烧香”病毒从去年12月份大规模暴发至今，已经使上百万网友受害。该公司每天都接到大量的求助电话。据悉，受此病毒危害最为严重的是一些网吧业主，近千台电脑集体瘫痪，直接损失30多万元。

　　在反病毒公司接连发布病毒紧急警报后，国家计算机病毒应急处理中心也发布了病毒预警，“可惜两次病毒警报并没有引起人们的足够重视。”江民反病毒专家何公道表示。

　　随后，有不少网友表示要团结起来捉拿病毒作者，更有甚者公开发出通缉令并悬赏10万美元。该举动在我国互联网和反病毒历史上都是首次，引起了各方关注。

　　病毒作者触犯法律

　　江民公司反病毒中心的统计资料显示，在他们截获的病毒中，已经发现“熊猫烧香”的作者通过几家地下网站公开销售

网络游戏的装备，“他们这些网站可以称为是盗号、买卖一条龙，现在看来‘熊猫烧香’的背景远没有那么简单。”江民反病毒工程师称。

　　据了解，“熊猫烧香”本身就是一种下载程序，会在指定的网站下载后门、木马、各种盗号程序。目前已经转入盗销一条龙的几家网站已经有所警觉，几家网站都已经采取了应对措施。

　　自2005年以来，计算机病毒作者常常以获取经济利益为目标，之前出现的网银大盗、

证券大盗、游戏大盗、QQ大盗等都是如此，而这些都已经触犯了我国的刑法。2006年5月“证券大盗”木马病毒作者一审被判无期徒刑。

　　目前，国家计算机病毒应急处理中心已经发出警报，在全国范围内通缉“熊猫烧香”的发布者。 而之前，几家杀毒公司都已经向公安机关报案。

　　“流氓软件”罪责难逃

　　在这场“熊猫”风暴中，“流氓软件”罪责难逃。“‘流氓软件’和病毒之间的界限已变得越来越模糊。为了达到更好的传播效果并减少成本，不少中小厂商直接使用病毒进行‘流氓推广’。”近日，反病毒专家直指“流氓软件”是这次“熊猫烧香”幕后黑手。如果事实真的如此，“熊猫烧香”的蔓延就不再是单纯的病毒事件。而“流氓软件”之所以推波助澜，其真正的用心不难猜测。

　　据江民公司反病毒工程师称，已经发现了近期疯狂肆虐的“熊猫烧香”幕后势力的痕迹，“可以看出‘熊猫烧香’病毒类似‘流氓软件’的侵害行径，目的都是为了获取一定的经济利益。”

　　根据瑞星截获的“熊猫烧香”样本进行分析，有不少变种运行后会去网上下载盗取“江湖”、“大话西游”、“魔兽”等网络游戏账号的木马。用户的计算机一旦被感染这些木马，游戏的账号、装备等就会被黑客窃取。黑客通过在网上倒卖网游账号、装备等获利。而到目前为止，如网游账号、装备等网络虚拟财产，国家还没有立法保护。

　　“大量‘流氓软件’开始使用电脑病毒来隐藏自身、进行快速传播并对抗用户的清除等，这些行为严重危害到用户的信息安全和利益。”瑞星反病毒工程师称，“今后，势必有大量的病毒会模仿‘熊猫烧香’的特征进行编写。”

　　据瑞星的统计数据表明，2006年6月开始，用户计算机由于“流氓软件”问题导致崩溃的求助数量已经超过了病毒。专家介绍，这一时期的“流氓软件”有两大特点：一是编写病毒化，这类病毒式“流氓软件”学会了隐身术。二是传播病毒化，它们继续把“流氓软件”的流氓本色发扬光大。因此，“流氓软件”和病毒之间的界限变得很模糊。

　　随着“流氓软件”不断朝着病毒的方向发展，要想彻底杀灭“流氓软件”就必须采用反病毒技术。这是出自反病毒厂商的意愿，但由于病毒式“流氓软件”的存在，从而让计算机用户依赖于杀毒软件。从这个角度来看，反病毒厂商也是受益者。不过，广大网民不愿为“流氓软件”所侵害，也不想为杀毒软件所牵制。

　　“在没有法律法规出台前，不排除‘熊猫烧香’是‘流氓软件’所为。”中国反流氓软件联盟有关人士表示，“只要有利益驱使，‘流氓软件’就会变化形式，以更不容易察觉的病毒方式毫无忌惮地牟取利益。”作为事实存在的“熊猫烧香”病毒难以排除“流氓软件”的嫌疑，也为根治互联网的“流氓”顽疾提供了参考，毕竟这是源自于同一现象。

　　“武汉男孩”制造了病毒？

　　究竟是谁在背后操纵着“熊猫烧香”呢？ 一个“武汉男孩”成为怀疑对象。

　　据了解，在“熊猫烧香”病毒暴发之初，有国内反病毒厂商就在病毒代码内找到一个词语“whboy”。这是作者的签名，是“武汉男孩”的中英文混合缩写。有报道称，whboy曾经是病毒界一个响当当的人物，早在2004年就创造了一种通过QQ传播的盗号木马病毒，因为该病毒变种的疯狂和传播的广泛，一年后，被防毒软件厂商列入2005年十大病毒之一。此后，whboy还在一些地下的病毒论坛和黑客论坛发帖，表示可以提供盗取QQ号服务，但不久后便销声匿迹，直至“熊猫烧香”病毒的出现才重现江湖。

　　到了2006年12月初，“熊猫烧香”病毒的变种开始增多，代码中除了“whboy”字样外，又多了一行汉字：“武汉男孩感染下载者”。随着变种的增多，代码内附带的信息也越来越多。此后，whboy还在网上留言挑衅：“我制作的病毒已经‘满城尽烧国宝香’。”因此，反病毒专家们断定“熊猫烧香”病毒的作者就是“武汉男孩”。

　　在深入分析了“熊猫烧香”病毒代码后，反病毒专家发现病毒会感染网页文件，会在网页中加入一段代码，把网页转向这个网址(www.krvkr.com/worm.htm)，而该网站注册信息显示注册人正是来自武汉，这更让人相信“熊猫烧香”病毒的始作俑者就是“武汉男孩”的说法。

　　网络通缉令

　　“熊猫烧香”病毒特征

　　“熊猫烧香”是一种蠕虫病毒的变种，而且是经过多次变种而来的，原名为尼姆亚变种W(Worm.Nimaya.w)。由于中毒电脑的可执行文件会变成一只可爱的熊猫，双手合十拿着三根香，两眼微闭，一脸虔诚的图案，所以也被称为“熊猫烧香”病毒。用户电脑一旦中毒，可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。同时，该病毒的某些变种可以通过局域网进行传播，进而感染局域网内所有计算机系统，最终导致企业局域网瘫痪，无法正常使用。

　　罪行

　　该病毒会自动关闭众多杀毒软件和安全工具；循环遍历磁盘目录，对关键系统文件跳过，感染所有EXE、SCR、PIF、COM文件，并更改图标为烧香熊猫；感染所有.htm/.html/.asp/.php/.jsp/.aspx文件，添加木马恶意代码；自动删除*.gho文件。目前已导致超过百万网民的电脑中毒瘫痪。

　　岁末年初，我国互联网用户却被一种计算机病毒困扰着，它正是被各大反病毒公司评为最新“毒王”的“熊猫烧香”。两个月前，这个以盗窃游戏账号、拒绝服务攻击、破坏系统为目标的病毒开始在互联网上肆虐。据业内人士估计，这可能是继1999年4月26日CIH病毒之后，对中国电脑用户影响最为严重的病毒，其传播手段之狠，破坏之严重是大家始料不及的。而且，由于其部分变种中含有盗号木马，被感染者会有经济损失，而病毒作者则可以借此牟利，这已触犯了我国刑法，因此多家反病毒公司已向公安机关报案。