本文来自微信公众号“大数据文摘”(ID:BigDataDigest),作者:王烨,36氪经授权发布。
2007年,有一款电脑病毒席卷大江南北,无论是个人还是企事业单位,电脑纷纷中招,网络一度瘫痪。
这款病毒的特点是被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样样。
因为这一特点,这款原名为“尼姆亚”的病毒被当时的网友称作“熊猫烧香”。
当时,大部分中国人刚接触到电脑和互联网,有人甚至不知道电脑病毒是什么。在这样的情况下,“熊猫烧香”在短短两个月内,就衍生除了90多个变种,个人用户感染熊猫烧香的高达几百万,许多政府和企业单位也难以幸免。
并且,当时市面上的杀毒软件对“熊猫烧香”都束手无策,据说,“熊猫烧香”的作者李俊在被捕后,还参与了杀毒软件的制作。
“熊猫烧香”强悍的杀伤力可以说是直接推动了中国网民对于计算机安全认知。尽管这个十几年前的病毒放在现在几乎没有什么破坏性了,但是作为一代互联网的记忆,“熊猫烧香”依旧有着不少的关注度。
在YouTube上,经常测试各种病毒的栏目“爱比较”就出过几款关于“熊猫烧香”的视频,如今已经有将近十万人观看。
在知乎上,关于“电脑病毒「熊猫烧香」当年有多凶残?”的话题被浏览超过了1000万次。
在“熊猫烧香”爆发一个多月后,国家计算机病毒应急处理中心就发出“熊猫烧香”的紧急预警,彼时几乎所有的杀毒软件对“熊猫烧香”都束手无策。
有的网民回忆,许多杀毒软件还没发挥用场,自己就先挂了。
作为一种蠕虫病毒,“熊猫烧香”病毒首先将系统中所有.exe可执行文件全部被改成熊猫的图案,这一步其实是将病毒与用户电脑.exe文件绑定在一起,杀毒软件无法正确的将病毒与.exe分开。
在遍历过程中,病毒还会删除扩展名为.gho的备份文件,更让人无奈的是“熊猫烧香”还会自动从指定服务器中下载更多病毒。
腾讯安全联合实验室表示,“熊猫烧香”的厉害之处在于其传播性很强,几乎把可以传播的途径基本都用上了,包括exe捆绑传播、U盘传播、感染asp传播、网站传播、弱口令传播、auto传播等。
那么“熊猫烧香”就真的厉害到无法应对吗?
“爱比较”在一个视频中进行了实测,博主通过手动查杀结合360自动查杀,成功将“熊猫烧香”从被感染电脑中清除。
视频地址:
https://www.youtube.com/watch?v=RjYoqQmy_8I
作者首先在一台WIN7电脑上运行了大小仅为27kb的“熊猫烧香”病毒,几分钟后,可以看到,QQ、迅雷等程序的目录下许多图标都已经被熊猫图案“占领”了。
同时,任务管理器和注册表也无法打开,一打开就立马自动关闭。
显然,“熊猫烧香”已经占领了这台WIN7电脑,接下来,博主试图通过CMD指令先找出电脑中的可疑进程。
博主发现一个叫spo0lsv.exe的进程伪装成系统进程spoolsv.exe,于是博主通过taskkill指令将可疑进程结束,然后通过查询进程目录找到进程所在的位置,并将其删除,可以看到,此时任务管理器已经可以正常打开了。
到这一步,电脑上正在运行的“熊猫烧香”病毒就已经被暂时遏制住了,但是“熊猫烧香”肯定在电脑各个地方都对自己进行了复制,因此下一步就是要将它们都找出来。
这一步需要打开文件夹的隐藏选项,显然,狡猾的“熊猫烧香”已经篡改了注册表,通过常规方式是不能显示系统的隐藏文件的,因此还需要修改注册表将隐藏文件显示。
然后,博主就进入C盘,发现有一个“熊猫烧香”的程序,还有一个自动运行的文件(只要打开磁盘就会自动运行),那接下来就是在磁盘、注册表中全面搜索这些文件和程序,然后将它们一一删除。
重启电脑后,博主发现伪装的病毒进程已经不见了,但在QQ、迅雷等程序的目录下还是有“熊猫烧香”病毒,这时候贸然打开这些程序,还是会感染病毒。
这时候作者选择用“360安全卫士11版”进行全面查杀,一共查出了290个可疑文件,一键删除后,电脑上所有“熊猫烧香”病毒就被查杀干净了。
总体来看,似乎这个“熊猫病毒”的查杀过程并不困难,那为什么当时那么多人被感染了却毫无办法呢?
原因大概有两个:一是当时大众的计算机技术水平整体偏低,别说进入后台运行CMD命令杀掉进程了,很多人连进程管理器都不了解;二是作者使用的“360安全卫士11版”是2016年才推出的版本,用来杀一个将近10年前的病毒肯定效果不错的。
这么看来,“熊猫烧香”的肆虐一方面是这个病毒本身非常强大也很狡猾,另一方面当时的大众防毒意识和水平确实也很低。
14年之后的今天,人们的计算机技术水平大幅提高了,杀毒软件也越来越强大了,那我们就安全了吗?
显然不是,病毒并没有消失,只是更加隐蔽了。
李俊当时开发“熊猫烧香”病毒,和几个同伙一起才盈利十几万元,他们自己也承认,搞出“熊猫烧香”并不是为了赚钱,而是为了“炫技”。
因此,“熊猫烧香”跟今天的病毒木马造成的危害完全不能相比,今天的病毒木马,大多是看不见的威胁(尽一切可能潜伏并获得经济利益),病毒感染规模远超熊猫烧香的比比皆是,非法收入更是动辄千万元级别。
比如2017年WannaCry的爆发,就再次给全球提了个醒,至少有99个国家的其他目标在同一时间遭到WanaCrypt0r 2.0的攻击(截至2018年,已有大约150个国家遭到攻击),一些国家的政府部门和企业还被勒索了比特币。
所以说,该打补丁的打补丁,该装杀毒软件的装杀毒软件,要牢记,来自网络的安全威胁一直都潜伏在我们周围。