YouTube博主实测当年病毒之王“熊猫烧香”，就这？

作者：王烨

来源：大数据文摘（ID：BigDataDigest）

2007年，有一款电脑病毒席卷大江南北，无论是个人还是企事业单位，电脑纷纷中招，网络一度瘫痪。

这款病毒的特点是被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样样。

因为这一特点，这款原名为“尼姆亚”的病毒被当时的网友称作“熊猫烧香”。

当时，大部分中国人刚接触到电脑和互联网，有人甚至不知道电脑病毒是什么。在这样的情况下，“熊猫烧香”在短短两个月内，就衍生除了90多个变种，个人用户感染熊猫烧香的高达几百万，许多政府和企业单位也难以幸免。

并且，当时市面上的杀毒软件对“熊猫烧香”都束手无策，据说，“熊猫烧香”的作者李俊在被捕后，还参与了杀毒软件的制作。

“熊猫烧香”强悍的杀伤力可以说是直接推动了中国网民对于计算机安全认知。尽管这个十几年前的病毒放在现在几乎没有什么破坏性了，但是作为一代互联网的记忆，“熊猫烧香”依旧有着不少的关注度。

在YouTube上，经常测试各种病毒的栏目“爱比较”就出过几款关于“熊猫烧香”的视频，如今已经有将近十万人观看。

在知乎上，关于“电脑病毒「熊猫烧香」当年有多凶残？”的话题被浏览超过了1000万次。

01 是当年的杀毒软件太弱还是“熊猫烧香”太强？

在“熊猫烧香”爆发一个多月后，国家计算机病毒应急处理中心就发出“熊猫烧香”的紧急预警，彼时几乎所有的杀毒软件对“熊猫烧香”都束手无策。

有的网民回忆，许多杀毒软件还没发挥用场，自己就先挂了。

作为一种蠕虫病毒，“熊猫烧香”病毒首先将系统中所有.exe可执行文件全部被改成熊猫的图案，这一步其实是将病毒与用户电脑.exe文件绑定在一起，杀毒软件无法正确的将病毒与.exe分开。

在遍历过程中，病毒还会删除扩展名为.gho的备份文件，更让人无奈的是“熊猫烧香”还会自动从指定服务器中下载更多病毒。

腾讯安全联合实验室表示，“熊猫烧香”的厉害之处在于其传播性很强，几乎把可以传播的途径基本都用上了，包括exe捆绑传播、U盘传播、感染asp传播、网站传播、弱口令传播、auto传播等。

那么“熊猫烧香”就真的厉害到无法应对吗？

“爱比较”在一个视频中进行了实测，博主通过手动查杀结合360自动查杀，成功将“熊猫烧香”从被感染电脑中清除。

视频地址：

https://www.youtube.com/watch?v=RjYoqQmy_8I

作者首先在一台WINXP电脑上运行了大小仅为27kb的“熊猫烧香”病毒，几分钟后，可以看到，QQ、迅雷等程序的目录下许多图标都已经被熊猫图案“占领”了。

同时，任务管理器和注册表也无法打开，一打开就立马自动关闭。

显然，“熊猫烧香”已经占领了这台WINXP电脑，接下来，博主试图通过CMD指令先找出电脑中的可疑进程。

博主发现一个叫spo0lsv.exe的进程伪装成系统进程spoolsv.exe，于是博主通过taskkill指令将可疑进程结束，然后通过查询进程目录找到进程所在的位置，并将其删除，可以看到，此时任务管理器已经可以正常打开了。

到这一步，电脑上正在运行的“熊猫烧香”病毒就已经被暂时遏制住了，但是“熊猫烧香”肯定在电脑各个地方都对自己进行了复制，因此下一步就是要将它们都找出来。

这一步需要打开文件夹的隐藏选项，显然，狡猾的“熊猫烧香”已经篡改了注册表，通过常规方式是不能显示系统的隐藏文件的，因此还需要修改注册表将隐藏文件显示。

然后，博主就进入C盘，发现有一个“熊猫烧香”的程序，还有一个自动运行的文件（只要打开磁盘就会自动运行），那接下来就是在磁盘、注册表中全面搜索这些文件和程序，然后将它们一一删除。

重启电脑后，博主发现伪装的病毒进程已经不见了，但在QQ、迅雷等程序的目录下还是有“熊猫烧香”病毒，这时候贸然打开这些程序，还是会感染病毒。

这时候作者选择用“360安全卫士11版”进行全面查杀，一共查出了290个可疑文件，一键删除后，电脑上所有“熊猫烧香”病毒就被查杀干净了。

总体来看，似乎这个“熊猫病毒”的查杀过程并不困难，那为什么当时那么多人被感染了却毫无办法呢？

原因大概有两个：一是当时大众的计算机技术水平整体偏低，别说进入后台运行CMD命令杀掉进程了，很多人连进程管理器都不了解；二是作者使用的“360安全卫士11版”是2016年才推出的版本，用来杀一个将近10年前的病毒肯定效果不错的。

02 病毒并未远去，只是更加隐蔽

这么看来，“熊猫烧香”的肆虐一方面是这个病毒本身非常强大也很狡猾，另一方面当时的大众防毒意识和水平确实也很低。

14年之后的今天，人们的计算机技术水平大幅提高了，杀毒软件也越来越强大了，那我们就安全了吗？

显然不是，病毒并没有消失，只是更加隐蔽了。

李俊当时开发“熊猫烧香”病毒，和几个同伙一起才盈利十几万元，他们自己也承认，搞出“熊猫烧香”并不是为了赚钱，而是为了“炫技”。

因此，“熊猫烧香”跟今天的病毒木马造成的危害完全不能相比，今天的病毒木马，大多是看不见的威胁（尽一切可能潜伏并获得经济利益），病毒感染规模远超熊猫烧香的比比皆是，非法收入更是动辄千万元级别。

比如2017年WannaCry的爆发，就再次给全球提了个醒，至少有99个国家的其他目标在同一时间遭到WanaCrypt0r 2.0的攻击（截至2018年，已有大约150个国家遭到攻击），一些国家的政府部门和企业还被勒索了比特币。

所以说，该打补丁的打补丁，该装杀毒软件的装杀毒软件，要牢记，来自网络的安全威胁一直都潜伏在我们周围。

延伸阅读《实用安全多方计算导论》