談“熊貓”色變

一、 讖曰

大東：自2017年5月12日起，全球近百國家齊齊爆發(fā)電腦勒索病毒事件，而且這一名為WannaCry的電腦勒索病毒還在全球不斷蔓延中。

WannaCry病毒爆發(fā)后24小時(shí)的全球監(jiān)測圖「圖片|網(wǎng)易新聞」

小白：可以看出來全球各大洲已全部落難，在發(fā)達(dá)地區(qū)更是尤為密集……

大東：最為可惡的是，這一病毒和以往單純盜號盜資料的病毒完全不同，直接黑了你電腦，然后把電腦中的文件全加密，然后明目張膽地開口要錢，給錢就恢復(fù)文件，不給錢就刪資料！

小白： 這簡直就是在搶錢啊！

大東：而且只接受比特幣付費(fèi)。

小白：支付寶不行么？微信也可以啊！留個(gè)二維碼好不好？真是不給人活路啊！

大東：談起電腦病毒來，上一次在國內(nèi)引起大眾恐慌的還是一款名叫“熊貓燒香”的電腦病毒，相信老網(wǎng)蟲們應(yīng)該都會記得這個(gè)在2006-2007年期間讓全中國網(wǎng)民聞之色變的名字。

小白：那快給我講講吧。

二、 熊貓燒香病毒事件

熊貓燒香「圖片|網(wǎng)易新聞」

大東：沒錯(cuò)，就是這只可愛的拿著三根香的小熊貓，曾一度讓國內(nèi)無數(shù)網(wǎng)民崩潰！

小白：而且那個(gè)年代殺毒軟件還收費(fèi)吧？

大東：只要這只小熊貓出現(xiàn)在了你的屏幕上，你的電腦基本就算玩完了。藍(lán)屏、頻繁重啟、數(shù)據(jù)被刪、徹底死機(jī)……

小白：這個(gè)“熊貓燒香”是不是出自某個(gè)神秘組織，或者某位黑客大神之手呢？

大東：不是，都不是。他的制作者，不過是一個(gè)僅僅只有中專學(xué)歷的水泥廠工人罷了。

小白：中專學(xué)歷？水泥廠工人？這簡直和高科技大神的人設(shè)完全不符好嘛！

大東：熊貓燒香其實(shí)是一種蠕蟲病毒的變種，而且是經(jīng)過多次變種而來的。

小白：是不是因?yàn)橹卸倦娔X的可執(zhí)行文件會出現(xiàn)“熊貓燒香”圖案，所以也被稱為 “熊貓燒香”病毒？

大東：是的，但原病毒只會對EXE圖標(biāo)進(jìn)行替換，并不會對系統(tǒng)本身進(jìn)行破壞。而大多數(shù)病毒是中等病毒變種，用戶電腦中毒后可能會出現(xiàn)藍(lán)屏、頻繁重啟以及系統(tǒng)硬盤中數(shù)據(jù)文件被破壞等現(xiàn)象。

小白：……

大東：同時(shí)，該病毒的某些變種可以通過局域網(wǎng)進(jìn)行傳播，進(jìn)而感染局域網(wǎng)內(nèi)所有計(jì)算機(jī)系統(tǒng)，最終導(dǎo)致企業(yè)局域網(wǎng)癱瘓，無法正常使用，它能感染系統(tǒng)中exe，com，pif，src，html，asp等文件，還能終止大量的反病毒軟件進(jìn)程并且會刪除擴(kuò)展名為gho的備份文件。

小白：是不是被感染的用戶系統(tǒng)中所有.exe可執(zhí)行文件全部被改成熊貓舉著三根香的模樣啊？

大東：沒錯(cuò)，而且病毒會刪除擴(kuò)展名為gho的文件，使用戶無法使用ghost軟件恢復(fù)操作系統(tǒng)。

小白：這個(gè)病毒真的是太可怕了！

電腦受到熊貓燒香病毒的感染「圖片|百度知道」

大東：該病毒會在中毒電腦中所有的網(wǎng)頁文件尾部添加病毒代碼。一些網(wǎng)站編輯人員的電腦如果被該病毒感染，上傳網(wǎng)頁到網(wǎng)站后，就會導(dǎo)致用戶瀏覽這些網(wǎng)站時(shí)也被病毒感染。

小白： 那是不是讓很多人和企業(yè)都感染了“熊貓燒香”病毒啊？

大東： 中毒企業(yè)和政府機(jī)構(gòu)超過千家，其中不乏金融、稅務(wù)、能源等關(guān)系到國計(jì)民生的重要單位。

三、 熊貓燒香原理

大東：怎么說呢？當(dāng)時(shí)的電腦殺毒軟件都拿它沒辦法，整個(gè)互聯(lián)網(wǎng)處于一種無序狀態(tài)，想辦個(gè)結(jié)婚證，不行，電腦開不了機(jī)，想去個(gè)網(wǎng)吧，不行，電腦里有熊貓，于是，當(dāng)時(shí)網(wǎng)吧成批的電腦往維修點(diǎn)送，你可以想象當(dāng)時(shí)的場景……

小白： 那熊貓燒香怎么會有這么大的危害??？

大東：事實(shí)上，熊貓燒香能造成那么大危害的原因，從來不是病毒多高端，而是殺毒軟件太低端。

小白： 那當(dāng)時(shí)殺毒軟件都是啥原理?。?/p>

大東：當(dāng)時(shí)殺毒軟件判斷病毒用的是，最簡單粗暴的病毒庫，這種判斷方法只能判斷病毒庫中已有的病毒，而對新出現(xiàn)的病毒的判斷能力為零。與此同時(shí)，在殺毒軟件眼中，無論是100%新制作的病毒，還是在老病毒的基礎(chǔ)上改幾行代碼編出來的病毒，都是新病毒。

大東：熊貓燒香就是新病毒中的后者。于是就在熊貓燒香之后，普通網(wǎng)民們驚嘆電腦病毒威力之大時(shí)，殺毒軟件制造商們開始默默完善殺毒軟件算法了……

小白： 那是不是可以說有了熊貓病毒才有了中國互聯(lián)網(wǎng)網(wǎng)民的安全意識??？

大東：可以這么說，在2007年底，熊貓變種病毒開始發(fā)作時(shí)，瑞星就順勢推出瑞星殺毒軟件2007版，奇虎360也開始注意了殺毒軟件的市場，2008年推出了自己的殺毒軟件360殺毒。

大東：熊貓燒香是一種經(jīng)過多次變種的“蠕蟲病毒”，擁有感染傳播功能，2007年1月初肆虐網(wǎng)絡(luò)，它主要通過下載的檔案傳染，受到感染的機(jī)器文件因?yàn)楸徽`攜帶間接對其它計(jì)算機(jī)程序、系統(tǒng)造成嚴(yán)重破壞。

電腦受到熊貓燒香病毒的感染「圖片|百度知道」

小白： 當(dāng)時(shí)的感染范圍相當(dāng)廣泛了。

大東：而且熊貓病毒還有變種病毒。

小白： ?。?/p>

大東：“武漢男生”，俗稱“熊貓燒香”， 2006年12月又化身為“金豬報(bào)喜” ，這是一個(gè)感染型的蠕蟲病毒，它能感染系統(tǒng)中exe，com，pif，src，html，asp等文件，它還能中止大量的反病毒軟件進(jìn)程并且會刪除擴(kuò)展名為gho的文件，該文件是一系統(tǒng)備份工具GHOST的備份文件，使用戶的系統(tǒng)備份文件丟失。被感染的用戶系統(tǒng)中所有.exe可執(zhí)行文件全部被改成可愛金豬的模樣。

小白： 這跟熊貓燒香的原理差不多啊！

大東：對于這個(gè)給人們帶來黑色記憶的病毒，其成因只是因?yàn)樽髡邽榱遂乓约憾a(chǎn)生，其借助U盤的傳播方式也引領(lǐng)新的反病毒課題，但這一切都沒有其LOGO熊貓給人的印象深刻，熊貓拿著三根香虔誠地祈禱什么？這給很多人以遐想。

四、 防范熊貓燒香

小白： 現(xiàn)在是不是下載各殺毒軟件公司提供的專殺工具，即可對“熊貓燒香”病毒進(jìn)行查殺了?。?/p>

大東：是的，但是如果能做到防范于未然豈不是更好？

小白：那快告訴我方法吧！

大東：檢查本機(jī)administrator組成員口令，一定要放棄簡單口令甚至空口令，安全的口令是字母數(shù)字特殊字符的組合，自己記得住，別讓病毒猜到就行。

小白： 你這說的也太高深莫測了，通俗點(diǎn)呢？

大東：右鍵單擊我的電腦，選擇管理，瀏覽到本地用戶和組，在右邊的窗格中，選擇具備管理員權(quán)限的用戶名，單擊右鍵，選擇設(shè)置密碼，輸入新密碼就行。

小白：還有嗎？

大東：時(shí)刻保持操作系統(tǒng)獲得最新的安全更新，不要隨意訪問來源不明的網(wǎng)站，啟用Windows防火墻保護(hù)本地計(jì)算機(jī)。同時(shí)，局域網(wǎng)用戶盡量避免創(chuàng)建可寫的共享目錄，已經(jīng)創(chuàng)建共享目錄的應(yīng)立即停止共享。

小白：對于未感染的用戶，不要登錄不良網(wǎng)站，及時(shí)下載最新補(bǔ)丁，來避免病毒利用漏洞襲擊用戶的電腦，同時(shí)上網(wǎng)時(shí)應(yīng)采用“殺毒軟件+防火墻”的立體防御體系。