YouTube博主實測病毒之王「熊貓燒香」，當年是它太強還是防毒軟體太弱？

大資料文摘出品

作者：王燁

2007年，有一款電腦病毒席捲大江南北，無論是個人還是企事業單位，電腦紛紛中招，網路一度癱瘓。

這款病毒的特點是被感染的使用者系統中所有.exe可執行檔案全部被改成熊貓舉著三根香的模樣樣。

因為這一特點，這款原名為「尼姆亞」的病毒被當時的網友稱作「熊貓燒香」。

當時，大部分中國人剛接觸到電腦和網際網路，有人甚至不知道電腦病毒是什麼。在這樣的情況下，「熊貓燒香」在短短兩個月內，就衍生除了90多個變種，個人使用者感染熊貓燒香的高達幾百萬，許多政府和企業單位也難以倖免。

並且，當時市面上的防毒軟體對「熊貓燒香」都束手無策，據說，「熊貓燒香」的作者李俊在被捕後，還參與了防毒軟體的製作。

「熊貓燒香」強悍的殺傷力可以說是直接推動了中國網民對於電腦保安認知。儘管這個十幾年前的病毒放在現在幾乎沒有什麼破壞性了，但是作為一代網際網路的記憶，「熊貓燒香」依舊有著不少的關注度。

在YouTube上，經常測試各種病毒的欄目「愛比較」就出過幾款關於「熊貓燒香」的視訊，如今已經有將近十萬人觀看。

在知乎上，關於「電腦病毒「熊貓燒香」當年有多凶殘？」的話題被瀏覽超過了1000萬次。

在「熊貓燒香」爆發一個多月後，國家計算機病毒應急處理中心就發出「熊貓燒香」的緊急預警，彼時幾乎所有的防毒軟體對「熊貓燒香」都束手無策。

有的網民回憶，許多防毒軟體還沒發揮用場，自己就先掛了。

作為一種蠕蟲病毒，「熊貓燒香」病毒首先將系統中所有.exe可執行檔案全部被改成熊貓的圖案，這一步其實是將病毒與使用者電腦.exe檔案繫結在一起，防毒軟體無法正確的將病毒與.exe分開。

在遍歷過程中，病毒還會刪除副檔名為.gho的備份檔案，更讓人無奈的是「熊貓燒香」還會自動從指定伺服器中下載更多病毒。

騰訊安全聯合實驗室表示，「熊貓燒香」的厲害之處在於其傳播性很強，幾乎把可以傳播的途徑基本都用上了，包括exe捆綁傳播、U盤傳播、感染asp傳播、網站傳播、弱口令傳播、auto傳播等。

那麼「熊貓燒香」就真的厲害到無法應對嗎？

「愛比較」在一個視訊中進行了實測，博主通過手動查殺結合360自動查殺，成功將「熊貓燒香」從被感染電腦中清除。

視訊地址：

作者首先在一臺WINXP電腦上運行了大小僅為27kb的「熊貓燒香」病毒，幾分鐘後，可以看到，QQ、迅雷等程式的目錄下許多圖示都已經被熊貓圖案「佔領」了。

同時，工作管理員和登錄檔也無法開啟，一開啟就立馬自動關閉。

顯然，「熊貓燒香」已經佔領了這臺WINXP電腦，接下來，博主試圖通過CMD指令先找出電腦中的可疑程序。

博主發現一個叫spo0lsv.exe的程序偽裝成系統程序spoolsv.exe，於是博主通過taskkill指令將可疑程序結束，然後通過查詢程序目錄找到程序所在的位置，並將其刪除，可以看到，此時工作管理員已經可以正常打開了。

到這一步，電腦上正在運行的「熊貓燒香」病毒就已經被暫時遏制住了，但是「熊貓燒香」肯定在電腦各個地方都對自己進行了複製，因此下一步就是要將它們都找出來。

這一步需要開啟資料夾的隱藏選項，顯然，狡猾的「熊貓燒香」已經篡改了登錄檔，通過常規方式是不能顯示系統的隱藏檔案的，因此還需要修改登錄檔將隱藏檔案顯示。

然後，博主就進入C盤，發現有一個「熊貓燒香」的程式，還有一個自動運行的檔案（只要開啟磁碟就會自動運行），那接下來就是在磁碟、登錄檔中全面搜尋這些檔案和程式，然後將它們一一刪除。

重啟電腦後，博主發現偽裝的病毒程序已經不見了，但在QQ、迅雷等程式的目錄下還是有「熊貓燒香」病毒，這時候貿然開啟這些程式，還是會感染病毒。

這時候作者選擇用「360安全衛士11版」進行全面查殺，一共查出了290個可疑檔案，一鍵刪除後，電腦上所有「熊貓燒香」病毒就被查殺乾淨了。

總體來看，似乎這個「熊貓病毒」的查殺過程並不困難，那為什麼當時那麼多人被感染了卻毫無辦法呢？

原因大概有兩個：一是當時大眾的計算機技術水平整體偏低，別說進入後臺運行CMD命令殺掉程序了，很多人連程序管理器都不瞭解；二是作者使用的「360安全衛士11版」是2016年才推出的版本，用來殺一個將近10年前的病毒肯定效果不錯的。

這麼看來，「熊貓燒香」的肆虐一方面是這個病毒本身非常強大也很狡猾，另一方面當時的大眾防毒意識和水平確實也很低。

14年之後的今天，人們的計算機技術水平大幅提高了，防毒軟體也越來越強大了，那我們就安全了嗎？

顯然不是，病毒並沒有消失，只是更加隱蔽了。

李俊當時開發「熊貓燒香」病毒，和幾個同夥一起才盈利十幾萬元，他們自己也承認，搞出「熊貓燒香」並不是為了賺錢，而是為了「炫技」。

因此，「熊貓燒香」跟今天的病毒木馬造成的危害完全不能相比，今天的病毒木馬，大多是看不見的威脅（盡一切可能潛伏並獲得經濟利益），病毒感染規模遠超熊貓燒香的比比皆是，非法收入更是動輒千萬元級別。

比如2017年WannaCry的爆發，就再次給全球提了個醒，至少有99個國家的其他目標在同一時間遭到WanaCrypt0r 2.0的攻擊（截至2018年，已有大約150個國家遭到攻擊），一些國家的政府部門和企業還被勒索了位元幣。

所以說，該打補丁的打補丁，該裝防毒軟體的裝防毒軟體，要牢記，來自網路的安全威脅一直都潛伏在我們周圍。