熊猫烧香：中国计算机安全史上的“毒王”启示录

一只举着三根香的熊猫，在2007年寒冬烧遍了整个中国互联网。

如果你在2006年底至2007年初打开电脑，发现所有程序图标都变成了一只熊猫举着三根香的模样，那么恭喜你，你的电脑已经感染了当时中国最著名的计算机病毒——熊猫烧香。这款由李俊编写的蠕虫病毒，以其独特的图标替换能力和强大的破坏力，在短短几个月内感染了上百万台计算机，成为国内计算机安全史上一个标志性事件。

病毒概述：为什么叫“熊猫烧香”？

熊猫烧香（Worm.WhBoy.h）是一种传染性极强的蠕虫病毒，因其感染后会将所有.exe可执行文件图标变为一只熊猫举着三根香而得名。它主要针对Windows操作系统，包括Win9x到Windows 2003系列。

该病毒不仅会感染系统内的exe、com、pif、src、html、asp等文件，还会终止大量反病毒软件进程，并删除扩展名为gho的文件（系统备份工具GHOST的备份文件），使用户无法恢复系统。

历史背景：从编写到落网

2006年10月16日，25岁的湖北武汉人李俊编写了熊猫烧香病毒。最初只是出于技术炫耀，但随后演变为一条非法产业链。

病毒发展时间线：

• 2006年11月：病毒初步完成并开始传播

• 2006年12月：病毒大规模爆发，变种数量达90多个

• 2007年1月7日：国家计算机病毒应急处理中心发布紧急预警

• 2007年2月3日：李俊被抓获，随后其同伙相继落网

• 2007年9月24日：李俊等四人被判处一年至四年不等有期徒刑

李俊并非单独行动，他与其他七人合作，通过出售病毒和利用病毒盗取游戏账号等方式非法获利。

技术架构：病毒如何工作和传播？

熊猫烧香病毒的技术架构相当复杂，展示了当时恶意软件的高度成熟。

传播模块

病毒主要通过三种途径传播：

1. 局域网共享传播：病毒会扫描局域网，使用内置密码字典尝试破解共享密码

2. U盘/移动硬盘传播：在各分区创建autorun.inf和setup.exe文件，利用自动播放功能感染

3. 网站挂马传播：在网页文件尾部添加病毒代码，当网站编辑人员中毒后，上传网页时会感染整个网站

自我保护机制

病毒采用多种手段保护自身：

• 终止安全软件进程：每隔1秒检测并关闭包含杀毒软件关键词的窗口

• 修改注册表：添加自启动项，删除安全软件的注册表键值

• 隐藏文件：修改系统设置，使用户无法查看隐藏文件

• 系统服务操作：删除或禁用关键安全服务

破坏模块

病毒的破坏性主要体现在：

1. 文件感染：将病毒代码植入正常程序，改变图标

2. 数据破坏：删除GHOST备份文件，使系统难以恢复

3. 资源占用：导致系统频繁蓝屏、重启

4. 后门功能：下载其他恶意软件，形成僵尸网络

影响范围：百万电脑瘫痪的教训

熊猫烧香病毒的影响远超普通病毒，造成了多方面危害：

对个人用户：

• 程序无法正常运行，系统稳定性大幅下降

• 游戏账号、QQ账号等敏感信息被盗

• 数据丢失，特别是GHOST备份文件被删除难以恢复系统

对企业和机构：

• 局域网大面积感染，导致网络瘫痪

• 金融、税务、能源等重要部门业务中断

• 网站被植入恶意代码，访问者电脑被感染

据不完全统计，仅2006年12月至2007年1月期间，个人用户感染者已高达几百万，企业用户感染数持续上升，多家著名网站遭到攻击。

查杀与清除：如何终结“熊猫烧香”

熊猫烧香病毒的查杀需要综合方案：

专用工具查杀

各大安全公司迅速推出了专杀工具，包括：

• 瑞星、金山、江民等国内安全厂商的专杀工具

• 超级巡警等辅助查杀软件

手动清除步骤

1. 结束病毒进程：使用第三方进程管理器结束spoclsv.exe等病毒进程

2. 删除病毒文件：定位并删除System32目录下的病毒文件

3. 修复注册表：删除病毒添加的自启动项

4. 显示隐藏文件：修改注册表键值，恢复系统隐藏文件显示

值得注意的是，李俊本人在被捕后，在警方监管下编写了“熊猫烧香”病毒专杀程序，并于2007年2月14日在网上发布。

防范措施：预防重于治疗

针对熊猫烧香类病毒的防范，专家建议采取以下措施：

1. 强化密码安全：避免使用简单口令或空口令，采用字母数字特殊字符组合

2. 关闭自动播放：通过组策略关闭所有驱动器的自动播放功能

3. 显示文件扩展名：修改文件夹选项，避免无意中双击病毒程序

4. 及时更新系统：安装最新安全补丁，特别是IE浏览器和办公软件补丁

5. 安装安全软件：使用杀毒软件和防火墙，并保持病毒库更新

启示与反思

熊猫烧香事件不仅是中国计算机安全史上的一个重要案例，也给我们留下了深刻启示：

1. 网络安全意识的重要性：许多用户因缺乏基本安全知识而感染病毒

2. 法律法规的完善：此案推动了我国网络犯罪立法的完善

3. 技术道德教育：技术人员应具备基本的职业道德和社会责任感

4. 应急响应机制：企业和机构需要建立完善的网络安全应急响应机制

李俊出狱后曾尝试步入正轨，但最终在2014年因开设赌场罪再次被判刑，这提醒我们：技术能力需要与社会责任感和法律意识相匹配。

如今，虽然熊猫烧香病毒已成为历史，但它的变种和新型网络威胁仍在不断出现。唯有提高安全意识、采取有效防护措施，才能在数字时代安全航行。