图：“熊猫烧香”是一个由Delphi工具编写的蠕虫感染后的文件图标会变成“熊猫烧香”图案

这是一波电脑病毒蔓延的狂潮。在两个多月的时间里，数百万电脑用户被卷将进去，那只憨态可掬、颔首敬香的“熊猫”除而不尽，它迅速化身数百种，不断入侵个人电脑，感染门户网站，击溃企业数据系统……它的蔓延考问着网络的公共安全，同时引发了一场虚拟世界里“道”与“魔”的较量。

“蜜罐”中发现病毒

2006年11月14日，中关村瑞星公司总部14楼。

一群反病毒工程师围着一台与网络隔绝的电脑。随着鼠标点动，数百个熊猫图标出现在屏幕上。这是工程师们当天捕获的病毒，命名为“尼姆亚”。

史蠫是瑞星公司研发部病毒组的反病毒工程师。他每天的工作就是，和数十名伙伴一起捕捉网上流传的病毒，然后将病毒“拆”开，研究其内部结构后，升级瑞星的病毒库。

当天下午，一名用户向他们提交了一份病毒样本。随后，他们又在病毒组的“蜜罐”内，发现了该病毒的踪影。

“蜜罐”是病毒组设立在互联网上的一些防卫性孱弱的服务器，工程师们故意在服务器上设置多种漏洞，诱使病毒侵入。“就像猎人做的沾满蜜糖的陷阱，专门吸引猎物上钩。”

从“蜜罐”里提取病毒后，史蠫和同事们将病毒移到公司14楼的一台与网络隔离的电脑上，这里是病毒的“解剖台”。

“运行病毒之后，系统所有的图标都变成了熊猫。”史蠫眼前的屏幕上，出现了一排排的熊猫图案，熊猫们手持三炷香，合十作揖。

经过分析，工程师们发现，在病毒卡通化的外表下，隐藏着巨大的传染潜力，它的传染模式和杀伤手段，与风行一时的“威金”病毒十分相像。瑞星公司随即发布病毒预警。

病毒蔓延涌向全国

“最开始的‘尼姆亚’不算厉害。”史蠫说，随着病毒作者的不断更新，它的破坏力和传染力也随之上升。

2006年11月底，“尼姆亚”只有不到十个变种，然而12月开始，病毒作者从数日一更新，变为一日数更新，它的变种数成倍上升。这时候，“熊猫烧香”已经取代了“尼姆亚”这个名字。

12月中旬，“熊猫烧香”进入急速变种期，在几次大面积爆发之后，“熊猫烧香”成为众多电脑用户谈之色变的词汇。

圣诞节过后，“熊猫烧香”版本已达到近百个。

史蠫说，去年12月下旬，国内近千家大型企业感染“熊猫烧香”，向瑞星求助。“当病毒变种和感染人群超过一定数量时，病毒的传播就会以几何方式增长。”12月26日，金山毒霸全球反病毒监测中心发布“熊猫烧香”正疯狂作案的病毒预警。

27日，江民科技发布关于“熊猫烧香”的紧急病毒警报。

2007年1月7日，国家计算机病毒应急处理中心紧急预警，“通过对互联网络的监测发现，一伪装成‘熊猫烧香’图案的蠕虫病毒传播，已有很多企业局域网遭受该蠕虫的感染。”

1月9日，“熊猫烧香”继续蔓延，开始向全国范围的电脑用户涌去。

这一天，“熊猫烧香”迎来了一次全国性的大规模爆发，它的变种数量定格在306个。

之后，各地用户纷纷中招：系统崩溃，网络瘫痪……据了解，1月9日感染的电脑用户达数十万。其中北京、上海等电脑用户较集中的城市成为“重灾区”。

截至目前，“熊猫烧香”病毒变种已达416个，受感染电脑用户达到数百万台。越来越多的门户网站遭遇感染。

1月22日，国家计算机病毒应急处理中心再次发出警报，在全国范围内通缉“熊猫烧香”。

反毒人士抗击病毒

熊猫烧香”因何难退？

“‘熊猫烧香’和以往的病毒不同，它采用了一种新的传播手段。”史蠫说，传统的蠕虫病毒是通过一台中毒电脑传至局域网内其他电脑，而“熊猫烧香”在整合了所有可利用的传播漏洞之外，还可以通过网站传播。

“借助局域网天女散花，借助门户网站星火燎原，借助U盘死灰复燃。”史蠫说，“熊猫烧香”的三项主要传播方式，成为病毒难以退去的主要原因。

“熊猫烧香”诞生至今，病毒版本修改了400余次，史蠫和同事们开发的专杀工具也升级了10余次。

除杀毒软件公司外，散布在网民中的“反毒高手”在抗击“熊猫烧香”中同样发挥了重要作用。

在卡卡网络社区的反病毒论坛上，云集着不少电脑高手，他们大都是业余编程爱好者，时常一起研究杀毒技术。“熊猫烧香”刚现身，就引起了他们的注意。

2006年10月底，在瑞星公司尚未捕获“熊猫烧香”病毒时，程序高手“农夫”就已经拿到了当时的“熊猫烧香”病毒样本，并编写了专杀工具。此后，每当“熊猫烧香”发布变种时，反病毒论坛的网友mopery和艾玛等人，就会写一份详细的变种分析报告，指出病毒的危险性和新特性。

“其实民间的杀毒高手很多。”史蠫说，他自己以前就是一名民间高手，高中时代起就爱好研究病毒，大学毕业后被杀毒软件公司招募。所以，他现在经常会浏览一些著名技术论坛，如果民间高手有一些好的想法，病毒组也会借鉴。

一场未结束的战争

业内专家认为，中国的互联网处于起步初期，大部分网民缺乏最基本的网络安全防范知识，也缺少良好的上网习惯。安全意识的薄弱，给病毒大面积传播带来可乘之机。同时，随着计算机在各个行业的普及，病毒造成的损害也将越来越严重。

1月24日下午，反病毒工程师们又发现了一种新型病毒，这种病毒和“熊猫烧香”十分相似，工程师怀疑它是“熊猫烧香”作者创作的新版本病毒。这种病毒会把受感染用户电脑上的所有图标换成一个男子的头像，在头像的眼睛位置是两个电灯泡。

反病毒工程师们担心的是，“灯泡男子”会不会成为“熊猫烧香”的接班人。“这是一场看不见硝烟的战争，对我们而言，战争还在继续。”史蠫说。(据《京华时报》）

演变

变身“金猪”继续作恶

据新华社2月11日电一个“熊猫烧香”病毒的最新变种会在互联网上大量出现，这个病毒名为“尼姆亚变种CB(Worm.Nimaya.cb)”，其危害与“熊猫烧香”病毒类似，只是被病毒感染的文件图标由“熊猫烧香”变成了一只“金猪”。

瑞星反病毒反木马一周播报(2007.02.12-02.18)将其列为本周关注病毒，警惕程度为。

“尼姆亚变种CB”是一个能在WIN9X／NT／2000／XP／2003系统上运行的蠕虫病毒。这个病毒采用“金猪”头像作为图标，诱使计算机用户运行。该变种会感染计算机上的EXE可执行文件，被病毒感染的文件图标均变为“金猪”。同时，受感染的计算机还会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。这一病毒还会在中毒电脑中所有的网页文件尾部添加病毒代码。一些网站编辑人员的电脑如果被该病毒感染，上传网页到网站后，就会导致用户浏览这些网站时也被病毒感染。

档案

“熊猫烧香”病毒

追杀目标：Worm.WhBoy.h

中文名：“熊猫烧香”病毒

长度：可变

病毒类型：蠕虫

危害等级：

影响平台：Win9X/ME/NT/2000/XP/2003

“熊猫烧香”病毒

是一个能在电脑操作系统上运行的蠕虫病毒。采用“熊猫烧香”头像作为图标。它的变种会感染EXE可执行文件，被病毒感染的文件图标均变为“熊猫烧香”。该病毒会在中毒电脑中所有的网页文件尾部添加病毒代码。

典型表现：“熊猫烧香”是一个由Delphi工具编写的蠕虫，终止大量的反病毒软件和防火墙软件进程。病毒会删除扩展名为gho的文件，使用户无法使用ghost软件恢复操作系统。“熊猫烧香”感染系统的.exe、.com、.pif、.src、.html、.asp文件，添加病毒网址，导致用户一打开这些网页文件，IE就会自动连接到指定的病毒网址中下载病毒。在硬盘各个分区下生成文件autorun.inf和setup.exe，可以通过U盘和移动硬盘等方式进行传播，并且利用Windows系统的自动播放功能来运行，搜索硬盘中的.exe可执行文件并感染，感染后的文件图标变成“熊猫烧香”图案。“熊猫烧香”还可以通过共享文件夹、系统弱口令等多种方式进行传播。