谈“熊猫”色变

一、 谶曰

大东：自2017年5月12日起，全球近百国家齐齐爆发电脑勒索病毒事件，而且这一名为WannaCry的电脑勒索病毒还在全球不断蔓延中。

WannaCry病毒爆发后24小时的全球监测图「图片|网易新闻」

小白：可以看出来全球各大洲已全部落难，在发达地区更是尤为密集……

大东：最为可恶的是，这一病毒和以往单纯盗号盗资料的病毒完全不同，直接黑了你电脑，然后把电脑中的文件全加密，然后明目张胆地开口要钱，给钱就恢复文件，不给钱就删资料！

小白： 这简直就是在抢钱啊！

大东：而且只接受比特币付费。

小白：支付宝不行么？微信也可以啊！留个二维码好不好？真是不给人活路啊！

大东：谈起电脑病毒来，上一次在国内引起大众恐慌的还是一款名叫“熊猫烧香”的电脑病毒，相信老网虫们应该都会记得这个在2006-2007年期间让全中国网民闻之色变的名字。

小白：那快给我讲讲吧。

二、 熊猫烧香病毒事件

熊猫烧香「图片|网易新闻」

大东：没错，就是这只可爱的拿着三根香的小熊猫，曾一度让国内无数网民崩溃！

小白：而且那个年代杀毒软件还收费吧？

大东：只要这只小熊猫出现在了你的屏幕上，你的电脑基本就算玩完了。蓝屏、频繁重启、数据被删、彻底死机……

小白：这个“熊猫烧香”是不是出自某个神秘组织，或者某位黑客大神之手呢？

大东：不是，都不是。他的制作者，不过是一个仅仅只有中专学历的水泥厂工人罢了。

小白：中专学历？水泥厂工人？这简直和高科技大神的人设完全不符好嘛！

大东：熊猫烧香其实是一种蠕虫病毒的变种，而且是经过多次变种而来的。

小白：是不是因为中毒电脑的可执行文件会出现“熊猫烧香”图案，所以也被称为 “熊猫烧香”病毒？

大东：是的，但原病毒只会对EXE图标进行替换，并不会对系统本身进行破坏。而大多数病毒是中等病毒变种，用户电脑中毒后可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。

小白：……

大东：同时，该病毒的某些变种可以通过局域网进行传播，进而感染局域网内所有计算机系统，最终导致企业局域网瘫痪，无法正常使用，它能感染系统中exe，com，pif，src，html，asp等文件，还能终止大量的反病毒软件进程并且会删除扩展名为gho的备份文件。

小白：是不是被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样啊？

大东：没错，而且病毒会删除扩展名为gho的文件，使用户无法使用ghost软件恢复操作系统。

小白：这个病毒真的是太可怕了！

电脑受到熊猫烧香病毒的感染「图片|百度知道」

大东：该病毒会在中毒电脑中所有的网页文件尾部添加病毒代码。一些网站编辑人员的电脑如果被该病毒感染，上传网页到网站后，就会导致用户浏览这些网站时也被病毒感染。

小白： 那是不是让很多人和企业都感染了“熊猫烧香”病毒啊？

大东： 中毒企业和政府机构超过千家，其中不乏金融、税务、能源等关系到国计民生的重要单位。

三、 熊猫烧香原理

大东：怎么说呢？当时的电脑杀毒软件都拿它没办法，整个互联网处于一种无序状态，想办个结婚证，不行，电脑开不了机，想去个网吧，不行，电脑里有熊猫，于是，当时网吧成批的电脑往维修点送，你可以想象当时的场景……

小白： 那熊猫烧香怎么会有这么大的危害啊？

大东：事实上，熊猫烧香能造成那么大危害的原因，从来不是病毒多高端，而是杀毒软件太低端。

小白： 那当时杀毒软件都是啥原理啊？

大东：当时杀毒软件判断病毒用的是，最简单粗暴的病毒库，这种判断方法只能判断病毒库中已有的病毒，而对新出现的病毒的判断能力为零。与此同时，在杀毒软件眼中，无论是100%新制作的病毒，还是在老病毒的基础上改几行代码编出来的病毒，都是新病毒。

大东：熊猫烧香就是新病毒中的后者。于是就在熊猫烧香之后，普通网民们惊叹电脑病毒威力之大时，杀毒软件制造商们开始默默完善杀毒软件算法了……

小白： 那是不是可以说有了熊猫病毒才有了中国互联网网民的安全意识啊？

大东：可以这么说，在2007年底，熊猫变种病毒开始发作时，瑞星就顺势推出瑞星杀毒软件2007版，奇虎360也开始注意了杀毒软件的市场，2008年推出了自己的杀毒软件360杀毒。

大东：熊猫烧香是一种经过多次变种的“蠕虫病毒”，拥有感染传播功能，2007年1月初肆虐网络，它主要通过下载的档案传染，受到感染的机器文件因为被误携带间接对其它计算机程序、系统造成严重破坏。

电脑受到熊猫烧香病毒的感染「图片|百度知道」

小白： 当时的感染范围相当广泛了。

大东：而且熊猫病毒还有变种病毒。

小白： 啊？

大东：“武汉男生”，俗称“熊猫烧香”， 2006年12月又化身为“金猪报喜” ，这是一个感染型的蠕虫病毒，它能感染系统中exe，com，pif，src，html，asp等文件，它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件，该文件是一系统备份工具GHOST的备份文件，使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成可爱金猪的模样。

小白： 这跟熊猫烧香的原理差不多啊！

大东：对于这个给人们带来黑色记忆的病毒，其成因只是因为作者为了炫耀自己而产生，其借助U盘的传播方式也引领新的反病毒课题，但这一切都没有其LOGO熊猫给人的印象深刻，熊猫拿着三根香虔诚地祈祷什么？这给很多人以遐想。

四、 防范熊猫烧香

小白： 现在是不是下载各杀毒软件公司提供的专杀工具，即可对“熊猫烧香”病毒进行查杀了啊？

大东：是的，但是如果能做到防范于未然岂不是更好？

小白：那快告诉我方法吧！

大东：检查本机administrator组成员口令，一定要放弃简单口令甚至空口令，安全的口令是字母数字特殊字符的组合，自己记得住，别让病毒猜到就行。

小白： 你这说的也太高深莫测了，通俗点呢？

大东：右键单击我的电脑，选择管理，浏览到本地用户和组，在右边的窗格中，选择具备管理员权限的用户名，单击右键，选择设置密码，输入新密码就行。

小白：还有吗？

大东：时刻保持操作系统获得最新的安全更新，不要随意访问来源不明的网站，启用Windows防火墙保护本地计算机。同时，局域网用户尽量避免创建可写的共享目录，已经创建共享目录的应立即停止共享。

小白：对于未感染的用户，不要登录不良网站，及时下载最新补丁，来避免病毒利用漏洞袭击用户的电脑，同时上网时应采用“杀毒软件+防火墙”的立体防御体系。