打开

YouTube博主实测病毒之王“熊猫烧香”,当年是它太强还是杀毒软件太弱?

subtitle
大数据文摘 2021-06-23 14:24
打开网易新闻 查看更多图片
大数据文摘出品

作者:王烨

2007年,有一款电脑病毒席卷大江南北,无论是个人还是企事业单位,电脑纷纷中招,网络一度瘫痪。

这款病毒的特点是被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。

因为这一特点,这款原名为“尼姆亚”的病毒被当时的网友称作“熊猫烧香”

当时,大部分中国人刚刚接触到电脑和互联网,有人甚至不知道电脑病毒是什么。在这样的情况下,“熊猫烧香”在短短两个月内,就衍生出了90多个变种,个人用户感染熊猫烧香的高达几百万,许多政府和企业单位也难以幸免。

并且,当时市面上的杀毒软件对“熊猫烧香”都束手无策,据说,“熊猫烧香”的作者李俊在被捕后,还参与了杀毒软件的制作。

“熊猫烧香”强悍的杀伤力可以说是直接推动了中国网民对于计算机安全认知。尽管这个十几年前的病毒放在现在几乎没有什么破坏性了,但是作为一代互联网的记忆,“熊猫烧香”依旧有着不少的关注度。

在YouTube上,经常测试各种病毒的栏目“爱比较”就出过几款关于“熊猫烧香”的视频,如今已经有将近十万人观看。

在知乎上,关于“电脑病毒「熊猫烧香」当年有多凶残?”的话题被浏览超过了1000万次。

是当年的杀毒软件太弱还是“熊猫烧香”太强?

在“熊猫烧香”爆发一个多月后,国家计算机病毒应急处理中心就发出“熊猫烧香”的紧急预警,彼时几乎所有的杀毒软件对“熊猫烧香”都束手无策。

有的网民回忆,许多杀毒软件还没发挥用场,自己就先挂了。

作为一种蠕虫病毒,“熊猫烧香”病毒首先将系统中所有.exe可执行文件全部被改成熊猫的图案,这一步其实是将病毒与用户电脑.exe文件绑定在一起,杀毒软件无法正确的将病毒与.exe分开。

在遍历过程中,病毒还会删除扩展名为.gho的备份文件,更让人无奈的是“熊猫烧香”还会自动从指定服务器中下载更多病毒。

腾讯安全联合实验室表示,“熊猫烧香”的厉害之处在于其传播性很强,几乎把可以传播的途径基本都用上了,包括exe捆绑传播、U盘传播、感染asp传播、网站传播、弱口令传播、auto传播等。

那么“熊猫烧香”就真的厉害到无法应对吗?

“爱比较”在一个视频中进行了实测,博主通过手动查杀结合360自动查杀,成功将“熊猫烧香”从被感染电脑中清除。

视频地址:

https://www.youtube.com/watch?v=RjYoqQmy_8I

作者首先在一台WINXP电脑上运行了大小仅为27kb的“熊猫烧香”病毒,几分钟后,可以看到,QQ、迅雷等程序的目录下许多图标都已经被熊猫图案“占领”了。

同时,任务管理器和注册表也无法打开,一打开就立马自动关闭。

显然,“熊猫烧香”已经占领了这台WINXP电脑,接下来,博主试图通过CMD指令先找出电脑中的可疑进程。

博主发现一个叫spo0lsv.exe的进程伪装成系统进程spoolsv.exe,于是博主通过taskkill指令将可疑进程结束,然后通过查询进程目录找到进程所在的位置,并将其删除,可以看到,此时任务管理器已经可以正常打开了。

到这一步,电脑上正在运行的“熊猫烧香”病毒就已经被暂时遏制住了,但是“熊猫烧香”肯定在电脑各个地方都对自己进行了复制,因此下一步就是要将它们都找出来。

这一步需要打开文件夹的隐藏选项,显然,狡猾的“熊猫烧香”已经篡改了注册表,通过常规方式是不能显示系统的隐藏文件的,因此还需要修改注册表将隐藏文件显示。

然后,博主就进入C盘,发现有一个“熊猫烧香”的程序,还有一个自动运行的文件(只要打开磁盘就会自动运行),那接下来就是在磁盘、注册表中全面搜索这些文件和程序,然后将它们一一删除。

重启电脑后,博主发现伪装的病毒进程已经不见了,但在QQ、迅雷等程序的目录下还是有“熊猫烧香”病毒,这时候贸然打开这些程序,还是会感染病毒。

这时候作者选择用“360安全卫士11版”进行全面查杀,一共查出了290个可疑文件,一键删除后,电脑上所有“熊猫烧香”病毒就被查杀干净了。

总体来看,似乎这个“熊猫病毒”的查杀过程并不困难,那为什么当时那么多人被感染了却毫无办法呢?

原因大概有两个:一是当时大众的计算机技术水平整体偏低,别说进入后台运行CMD命令杀掉进程了,很多人连进程管理器都不了解;二是作者使用的“360安全卫士11版”是2016年才推出的版本,用来杀一个将近10年前的病毒肯定效果不错的。

病毒并未远去,只是更加隐蔽

这么看来,“熊猫烧香”的肆虐一方面是这个病毒本身非常强大也很狡猾,另一方面当时的大众防毒意识和水平确实也很低。

14年之后的今天,人们的计算机技术水平大幅提高了,杀毒软件也越来越强大了,那我们就安全了吗?

显然不是,病毒并没有消失,只是更加隐蔽了。

李俊当时开发“熊猫烧香”病毒,和几个同伙一起才盈利十几万元,他们自己也承认,搞出“熊猫烧香”并不是为了赚钱,而是为了“炫技”。

因此,“熊猫烧香”跟今天的病毒木马造成的危害完全不能相比,今天的病毒木马,大多是看不见的威胁(尽一切可能潜伏并获得经济利益),病毒感染规模远超熊猫烧香的比比皆是,非法收入更是动辄千万元级别。

比如2017年WannaCry的爆发,就再次给全球提了个醒,至少有99个国家的其他目标在同一时间遭到WanaCrypt0r 2.0的攻击(截至2018年,已有大约150个国家遭到攻击),一些国家的政府部门和企业还被勒索了比特币。

所以说,该打补丁的打补丁,该装杀毒软件的装杀毒软件,要牢记,来自网络的安全威胁一直都潜伏在我们周围。

特别声明:本文为网易自媒体平台“网易号”作者上传并发布,仅代表该作者观点。网易仅提供信息发布平台。
339赞
大家都在看打开应用 查看全部
网易热搜每30分钟更新
打开应用 查看全部
打开