“熊猫烧香”在流行

没有多少人知道“尼姆亚”这个官方学名，却都记住了“熊猫烧香”的卡通图案。在熬过了2007年初地震断网的光缆修复期，1月底的中国互联网百姓们又一次经历一场病毒泛滥的考验。尽管最早的病毒原型并没有造成多大危害，可病毒不断变种却成了一场无声的较量。“熊猫烧香”一夜之间变成“灯泡男孩”和“金猪满圈”，夹杂着病毒作者的恶搞情绪，反病毒软件厂商作秀般地猜疑，以及病毒从破坏者到盗贼的蜕变。

记者◎尚进

“据说熊猫烧香病毒的作者才15岁。”“熊猫烧香作者正式揭露，他叫虞钳和。”“我锁定熊猫烧香病毒作者IP地址是……”在百度贴吧的熊猫烧香吧中，类似这样充满臆测的帖子不断出现。2006年11月14日第一次被发现的熊猫烧香病毒，在2007年2月初一夜之间变成了网络上的热门公共话题。“尽管我靠着杀毒软件和防火墙的保护，并没有中熊猫烧香的招，可我却第一次对一个病毒充满好感。”25岁的王毛毛将熊猫烧香的卡通图标设置成了自己MSN头像，在他看来，熊猫烧香病毒至少在美术设计上充满幽默。很多人之前并不知道这个病毒存在，更不知道熊猫烧香的图像是病毒发作后破坏执行文件的恶搞现场，反而是在看到熊猫举着三根香的GIF图片后，第一次对一个病毒产生图形感知上的认识。真正引起大家对这个病毒产生兴趣的不仅是熊猫的卡通造型，病毒作者在几个月内与反病毒专家的过招与沟通更充满戏剧色彩。

“感谢mopery对此木马的关注。”这是1月初在熊猫烧香病毒代码中被筛拣出来的一段文字，病毒作者第一次在病毒中跟反病毒专家对上了话。这个mopery实际上是卡卡社区反病毒论坛的版主，早在2006年10月就注意到了熊猫烧香的原始病毒，并作为一名民间反病毒爱好者，一直以来对这个病毒严防死守，并且mopery最早甄别出来病毒作者身份。正是因为在病毒代码中发现了whboy的标记，一下子让这场病毒暗战找到了真正的目标。whboy这个名字对反病毒圈内人并不陌生，这个名字被认定是“武汉男孩”的缩写，早在2004年就曾发现过署名whboy的盗号木马，后来还在一些病毒和黑客论坛公开发帖，表示有偿提供盗取QQ号的服务，但直到在熊猫烧香中露面前，很长一段时间whboy销声匿迹了。

反病毒高手们封杀掉一个熊猫烧香变种，很快whboy又造出来一个新版本。随着熊猫烧香病毒疯狂地变种升级，越来越多民间反病毒爱好者聚集到卡卡社区反病毒论坛。似乎病毒作者也注意到一群对手的存在，12月初的一个变种版本中毫不遮掩地留下了9个汉字:“武汉男孩感染下载者。”此后病毒内的代码留言更加直接，2007年初的第二个病毒版本赫然写道:“感谢mopery对此木马的关注。”此后这个感谢名单不断被更新，1月5日的版本中添上了感谢“艾玛”，1月9日的版本又多感谢了一位“海色之月”，并且在最后还留言:“服了……艾玛……”whboy在病毒代码中留言越来越频繁和随意，就好像自己跟反病毒高手们在BBS论坛上闲聊一样，1月15日的版本写道:“taylor77，不知道找我啥事啊？”whboy并且自称:“我制作的病毒已经满城尽烧国宝香。”此时在很多大众性的网络论坛内，熊猫烧香的图标早已经尽人皆知。可事情突然在1月19日的晚上发生了转折，一个被重新加壳变种的熊猫烧香病毒成为了暂时的结尾，在毫无征兆的前提下，whboy又以病毒内代码的形式留言道:“在此对各位中过此木马的网友和各位网管人员表示深深的歉意！对不起，你们辛苦了！mopery，很想和你们交流一下！某某原因，我想还是算了！”

尽管whboy停止了熊猫烧香病毒的更新，但一些类似模仿病毒并没有安静下来，同样修改可执行文件图标的“灯泡男孩”和“金猪满圈”又冒出来，类似的变种加壳技术还在繁衍新版本。而在论坛和网民中间，熊猫烧香病毒似乎一夜之间被无比放大了，网络上流传已久的盗取账号产销一条龙被与熊猫烧香病毒联系到了一起，靠病毒盗号赚一座别墅的谣言被越传越广。甚至此后一个变种病毒中留下了“超级巡警终于火了”的字句，直接引发了网民对反病毒软件厂商超级巡警的猜疑。

而对whboy的崇拜和憎恨成为两派不同的声音，很多人都希望在追捕熊猫烧香病毒的过程中看到类似20世纪80年代诱捕头号电脑黑客凯文·米特尼克的惊奇故事。一些在过去两年间饱受流氓软件骚扰的网民，则直接将自己积蓄已久的怒火发泄到whboy身上，在百度的熊猫烧香吧内帖子数已经跃升到了19626篇。

电脑病毒在2006年呈爆发性泛滥，按照国内头号反病毒软件公司瑞星发布的《2006年度中国大陆地区电脑病毒疫情和互联网安全报告》中的数字，2006年截获了234211个新病毒，这个数字接近历史上老病毒数量的总和。尤其流氓软件成为社会公害被严打后，部分死不悔改的流氓软件直接变成了纯粹的病毒。瑞星副总裁毛一丁在接受记者采访时毫不掩饰地说:“熊猫烧香的危害不仅在于让公众对病毒可爱图像伪装有了好感，真正可怕的是很多大网站编辑在感染了熊猫烧香后，直接把病毒附带在了公众网站上，结果谁浏览谁就中招，这种网络公共媒体的传播才更可怕。”■

新技术对应新威胁

——对话国家计算机病毒应急处理中心副主任张健

三联生活周刊:这次熊猫烧香病毒不断升级，明显带有对抗色彩，从心态和手法上，你认为中国本地的病毒制造者是否发生了什么变化？

张健:熊猫烧香病毒的情况每天都在变化，从该病毒的一些技术特点分析，病毒具备了目前传统病毒、蠕虫和木马的多重特点，绝对算是一种多功能复合型病毒。而且其采用了加壳技术，不停更换外衣，快速变形，不断形成新的病毒变种，以对抗反病毒软件的查杀。从病毒编制者的动机看，具有极强的利益驱动，绝非以往单纯的技术炫耀。

三联生活周刊:微软新操作系统Vista宣称自己在信息安全上有很多进步，甚至对杀毒软件开发者也封闭内核，这是否会激发黑客和病毒制造者们新一轮攻击，会不会出现新一轮反病毒对抗？

张健:Windows Vista在安全方面确实有很多提升和改进，但最近我们发现针对该系统的病毒和攻击已经出现。新的系统其实照样很难彻底解决病毒的困扰，只能是使一部分病毒失去传播破坏的能力。但是随着病毒贩子们对新操作系统的熟知，新问题肯定还会不断出现。

三联生活周刊:2005年之后，大部分用户收到的骚扰更多来自流氓软件，似乎感觉病毒的危害在降低，最多也就是木马这类病毒频繁骚扰。我们感觉中国用户对安全的警觉在降低，你认为呢？

张健:我们确实在防护体系上还存在技术上的不足，用户安全意识还有待进一步提高。信息时代的安全一直是不被重视的小问题，总是出现了危机损失才想起亡羊补牢。

三联生活周刊:中国似乎并没有出现对病毒制造者或黑客的法律严惩，很多对民事行为的危害和损失甚至最后不了了之，你认为这是否纵容了中国信息安全破坏分子？

张健:不是司法部门不对病毒制造者依法严惩，而是缺乏司法实践，有些法条使用上有很多技术困难。诸如网络犯罪证据一直难于获取，破坏后果更难准确评估。结果致使很多案件公安机关经过大量侦察工作，可又因证据不足，无法移交检察机关或者处置较轻。■

2006年十大病毒排行

1. 熊猫烧香（Worm.Nimaya）

2. 威金蠕虫（Worm.Viking）

3. 代理木马下载器（Trojan.DL.Agent）

4. 传奇终结者（Trojan.PSW.Lmir）

5. 征途木马（Trojan.PSW.Zhengtu）

6. QQ通行证（Trojan.PSW.QQPass）

7. 威尔佐夫（Worm.Mail.Warezov）

8. 调用门Rootkit（Rootkit.CallGate）

9. 灰鸽子后门（Backdoor.Gpigeon）

10. 魔兽木马（Trojan.PSW.WoWar） 病毒雄猫烧香