自去年11月初次现身，“熊猫烧香”迅速化身数百种，不断入侵个人电脑，感染门户网站，病毒作者将信息留言在病毒源代码中的古怪行为，更引发了一场虚拟世界里“道”与“魔”之间的激烈较量。 

　　1月19日，一个最新的“熊猫烧香”变种病毒出现。病毒作者宣称，这将是“熊猫烧香”最后一次更新。 

　　然而，隐藏在“熊猫”身后的利益集团开始浮出水面，据江民反病毒工程师向媒体报料，已发现产销一条龙盗窃销售网游设备的产业链，而这位“熊猫烧香”的作者，“只要他愿意，一年收入可赚一座别墅”。 

　　“熊猫烧香”变体达400余个 

　　2004年11月，熊猫第一次来袭。“最开始‘尼姆亚’(反病毒工程师们最初将‘熊猫烧香’命名为‘尼姆亚’)不算厉害。”瑞星病毒组工程师史瑀说，随着病毒作者的不断更新，它的破坏力和传染力也随之上升。 

　　2006年11月底，“尼姆亚”只有不到十个变种，12月开始，病毒从数日一更新，变为一日数更新，变种数量成倍上升。 

　　这时候，“熊猫烧香”已经取代了“尼姆亚”这个名字。 

　　12月中旬，“熊猫烧香”进入急速变种期，在几次大面积爆发之后，“熊猫烧香”成为众多电脑用户谈之色变的词汇。圣诞节过后，“熊猫烧香”版本已达到近百个。 

　　1月9日，“熊猫烧香”迎来了一次全国性的大规模爆发，它的变种数量定格在306个。 

　　金山毒霸客服中心有关“熊猫烧香”的日咨询量高达73%，感染用户以北京、广州、上海等大型城市为主。截至目前，“熊猫烧香”病毒变种已达416个，受感染电脑用户达到数百万台。 

　　“熊猫烧香”因何难退 

　　史瑀说，传统蠕虫病毒通过一台中毒电脑传至局域网内其他电脑，而“熊猫烧香”还可以通过网站传播。 

　　感染“熊猫烧香”电脑，会在硬盘所有网页文件上附加病毒。 

　　“如果被感染的是网站编辑和记者的电脑，那么通过中毒网页，‘熊猫烧香’可附身在网站的所有网页上。”史瑀说，访问这种中毒的网站时，网民就会感染“熊猫烧香”病毒。 

　　从传统的“点对点”，到现在的“点对面”，“熊猫烧香”借助中毒网站的访问量传播。 

　　据工程师们称，他们曾监控到，“熊猫烧香”感染过天涯社区、硅谷动力、pconline等门户网站，在暴风影音等知名软件的下载链接中也曾有“熊猫烧香”附身的痕迹。 

　　同时，“熊猫烧香”还可借助搜索引擎进行传播。 

　　病毒内部列出“鸣谢单位” 

　　mopery是卡卡社区反病毒论坛的版主，也是一名反病毒高手。 

　　2006年10月中，mopery接到网友求助。在帮忙解决电脑故障的过程中，他拿到了一个病毒样本，它就是“熊猫烧香”的原始版本。 

　　在繁复的程序代码中，mopery看到了一段与程序无关的信息，其中有一行字母——whboy。 

　　“whboy”这个名字，对于病毒研究者有着不一般的含义。 

　　2004年，whboy发布了其创作的病毒“武汉男孩”，那是一种通过QQ传播的盗号木马，因为其变种的疯狂和传播的广泛，一年后，被江民反病毒中心列入2005年十大病毒之列。 

　　此后，whboy还在一些病毒论坛和黑客论坛发帖，表示可以提供盗取QQ号服务，但不久后便销声匿迹，直至“熊猫”出现。 

　　2006年12月初，“熊猫烧香”变种加速。随着变种增多，代码内附带信息也越来越多。 

　　随后，武汉男孩似乎迷恋上了这种病毒内部列出“鸣谢单位”的模式，在1月5日的病毒留言中，感谢名单上添加了艾玛的名字。1月9日，感谢名单中又多了杀毒高手“海色之月”的名字，文末还添加了一句“服了……艾玛……”此后，武汉男孩开始频繁用这种方式与对手“交流”。 

　　1月15日，武汉男孩还在留言中和反毒者taylor77打起了招呼：“我制作的病毒已经‘满城尽烧国宝香’。” 

　　在“熊猫烧香”的最后一个版本中，武汉男孩写下了临别赠语，“在此对各位中过木马的网友和各位网管人员表示深深的歉意！对不起，你们辛苦了！” 

　　一场未结束的战争 

　　对于“武汉男孩”的身份有着很多猜测，民间反毒高手Mopery及瑞星反毒工程师史瑀均表示，“从留言的内容和程序代码来看，武汉男孩是一位有丰富病毒编写经验的熟手”，“武汉男孩本身精通网络技术和入侵技术，通过他上网的痕迹追查真身很难实现。 

　　1月19日，“熊猫烧香”发布了一个新的变种，病毒作者宣称，这将是“熊猫烧香”最后一次更新。 

　　1月24日下午，反病毒工程师们又发现了一种新型病毒，这种病毒和“熊猫烧香”十分相似，工程师怀疑它是“熊猫烧香”作者创作的新版本病毒。 

　　这种病毒会把受感染用户电脑上的所有图标换成一个男子的头像，在头像的眼睛位置是两个电灯泡。反病毒工程师们担心的是，“灯泡男子”会成为“熊猫烧香”的接班人。 

　　病毒作者的真正目的 

　　“熊猫烧香”的作者自称whboy——“武汉男孩”，对于这位神秘的杀手，网友对其制造病毒的目的有三种猜测： 

　　其一，武汉男孩是一名武汉少年，电脑知识了得，堪称神童，制造“熊猫烧香”及其变种的目的乃出于挑战和成就感。 

　　其二，制造者是国内杀毒软件公司的员工，故意编写病毒，促销相应的杀毒产品。 

　　其三，制造者的背后是产销一条龙盗窃销售网游设备的产业链，病毒作者以获取经济利益为目标，与之前出现的网银大盗、证券大盗、游戏大盗、QQ大盗等类似。 

　　从目前国内网络安全机构的调查初步来看，第三种可能性最大，几大国内杀毒软件厂商已严正否认了第二种说法。 

　　-　名词解释 

　　“熊猫”，香是怎么烧起来的？ 

　　“熊猫烧香”病毒是能在Windows　98／2000／XP／2003系统上运行的蠕虫病毒，它至今已衍生出上百个变种病毒。 

　　刚开始时，它采用一个颇为常见的熊猫举着三根香的头像，诱使计算机用户运行，它能感染系统中exe、com、pif、src、html、asp等文件，它还能中止一些反病毒软件进程，并且会删除扩展名为gho的文件，使用户系统备份文件丢失。 

　　最典型的病毒感染征象是被感染的用户系统中所有.exe文件标签全部被改成“熊猫烧香”的头像。 

　　受感染PC还会出现蓝屏、频繁重启以及硬盘中数据文件被破坏等现象。 

　　病毒能通过局域网、网页、移动存储设备进行传播。 

　　“熊猫烧香”引发网友两大争论 
杀毒软件是国内的好还是国外的好？ 

　　消费者在杀毒软件的使用选择上，究竟是国内厂商的瑞星、金山毒霸、江民好，还是选择国外大名鼎鼎的卡巴斯基、诺顿、McAfee？ 

　　最近爆发的“熊猫烧香”，引发了网友激烈争论。 

　　有网友认为，国外杀毒软件技术力量雄厚、产品更可靠，更新至最新版本后基本可获得各种病毒的免疫能力。 

　　有网友认为，国内厂商如瑞星、金山反应更快，针对热门病毒提供了专杀工具，台湾地震导致最近国外杀毒软件更新受阻、从而遭受“熊猫烧香”的攻击，因此，立足本土的杀毒软件更有保障。 

　　感染后要不要重装系统？ 

　　不少用户在感染病毒后，往往将C盘格式化后重新安装干净的操作系统。然而，这一办法在目前行不通。 

　　刚刚装好的Windows　XP存在严重安全漏洞、需要补装很多安全更新，存在较多的安全风险，补丁修复必须访问微软服务器，受光缆损坏的影响，访问下载速度非常慢，修复补丁需要很长时间，新装好的系统来不及安全更新就再次感染“熊猫烧香”。 

　　“台湾地震”助纣为虐？ 

　　大部分感染“熊猫烧香”的用户，只能被动下载一些杀毒软件进行查杀，由于变种多、传播速度快，一旦用户没能及时升级杀毒软件或专杀工具，查杀效果将大打折扣。 

　　最近的台湾外海地震，多组通信光缆受损导致亚洲用户的互联网通信受阻，不少国内用户的操作系统来不及更新、反病毒软件没有及时升级到最新版本，给了病毒肆虐的机会。 

　　“熊猫烧香”四大变种 

　　“熊猫烧香”已衍生出上百个变种病毒，总体分为四大类。 

　　变种1，就是FuckJacks.exe进程，将自身复制到系统文件夹，然后感染文件夹中的.exe文件，将图标改为“熊猫烧香”。 

　　变种2，就是spoclsv.exe进程，感染时在C盘根目录下生成感染标记文件，将图标改为“熊猫烧香”。 

　　变种3，不再感染用户系统中的.exe文件，而是感染用户系统中的脚本病毒，而且在文件夹中写下感染标记文件。对抗杀毒软件及专杀工具，令系统自动关闭反病毒软件。 

　　变种4，最近才出现的一个变种，用户可执行文件时与A和B版本有所不同，用户中毒后的.exe文件的图标不改变，还有其他一些变种，基本都是为了躲避查杀。 

　　危害与症状 

　　1、感染硬盘中的其他应用程序的.exe文件，程序图标变成“熊猫烧香”图标，系统速度异常缓慢，出现蓝屏、频繁重启。 

　　2、拷贝自身到所有驱动器根目录，生成setup.exe和auturun.inf文件，使得用户打开受感染驱动器运行病毒。 

　　3、修改注册表，自行加载启动病毒程序、禁用杀毒工具运行，并禁止用户修改系统注册表。 

　　4、局域网用户会共享跨机传染，造成其他电脑受感染，占用带宽导致网络瘫痪。 

　　5、最可怕而且最特别之处是，病毒会在电脑中所有的网页文件尾部添加病毒代码。一些网站工作人员的PC如果被感染，则导致用户浏览这些网站时也被感染。 

　　感染后的对策 

　　方法一：这种方法比较简单，用户可以利用金山毒霸、瑞星等提供的专杀工具进行搜索和杀灭病毒。缺点是有新变种后，专杀工具也需更新。 

　　用户可以到下列网站下载最新工具，注意选择不同工具进行多次查杀。 

　　http：／／www.xiongmaoshaoxiang.com、http：／／tool.duba.net／zhuansha／253.shtml、http：／／it.rising.com.cn／Channels／Service／2006-11／1163505486d38734.shtml 

　　方法二：此外，可通过修复注册表等操作进行彻底查杀： 

　　1、断开网络。 

　　2、结束病毒进程，如果在进程中发现FuckJacks.exe、setup.exe、spoclsv.exe，将其结束掉，也可以下载Process　Explorer程序将病毒进程结束掉。 

　　3、在计算机上搜索并删除以下病毒执行文件：setup.exe、autorun.inf、%System%Fuckjacks.exe、%System%Driversspoclsv.exe、GameSetup.exe。 

　　4、开始-〉运行-〉输入regedit，确定后，打开注册表编辑器，删除病毒创建的启动项。 

　　注册表信息如下： 

　　［HKEY＿CURRENT＿USERSoftwareMicrosoftWindowsCurrentVersionRun］ 

　　“FuckJacks”＝“%System%FuckJacks.exe 

　　［HKEY＿LOCAL＿MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun］ 

　　“svohost”＝“%System%FuckJacks.exe” 

　　5、修复或重新安装反病毒软件，以恢复杀毒软件的功能。 

　　6、最后，将反病毒软件更新到最新版本，进行全盘扫描，杀毒，并把感染文件修复。 

　　预防方法 

　　对于主要通过互联网进行传播的病毒，用户在上网中最重要的是注意网络安全。 

　　1、确保windows防火墙处于开启状态、及时进行Windows　Update；同时设立或修改系统管理员administrator用户口令，避免过于简单的密码。 

　　2、关闭自动播放功能，“熊猫烧香”很多是通过插入U盘这样一个简单的动作入侵系统的。 

　　3、开启反病毒软件的实时监控功能，并定期(3天至7天内)在线升级病毒库，保持反病毒软件的版本处于最新。 

　　“熊猫烧香”背后的商业利益 

　　工程师史瑀表示，经分析，“熊猫烧香”带有强烈商业目的，“用户感染病毒后，会从后台点击国外的网站，部分变种中含有盗号木马，病毒作者可借此牟利。” 

　　他表示，目前瑞星已将病毒作者相关证据和病毒特性提交给国家计算机病毒应急处理中心。 

　　无独有偶，江民工程师向媒体报料称，在他们截获的病毒中，已经发现“熊猫烧香”的作者通过http：／／www.feifeicqq.com等几家地下网站公开销售网络游戏的装备，“他们这些网站可以称之为盗号、买卖一条龙，现在看来熊猫烧香的背景远没有那么简单。” 

　　截至目前，多家杀毒公司都已向公安机关报案。 

　　-　政策链接 

　　《计算机信息系统安全保护条例》 

　　根据我国《计算机信息系统安全保护条例》第23条，“故意输入计算机病毒以及其他有害数据危害计算机信息系统安全的，由公安机关处以警告或者对个人处以5000元以下的罚款、对单位处以15000元以下的罚款；有违法所得的，除予以没收外，可以处以违法所得1至3倍的罚款。” 

　　24条，“违反本条例的规定，构成违反治安管理行为的，依照《中华人民共和国治安管理处罚条例》的有关规定处罚；构成犯罪的，依法追究刑事责任。” 

　　卡巴斯基与瑞星爆发“口水战” 

　　在广大用户饱受“熊猫”之苦时，杀毒业界因“熊猫”爆发了一场激烈论辩。运营者们将“熊猫”视为市场宣传的契机，借以颂扬自己的杀毒产品抗毒有功，杀毒有效。 

　　国际品牌卡巴斯基率先称“又创造了一个业界奇迹，即在此次强大的病毒攻击波中，凡是安装正版卡巴斯基反病毒软件并将其升级到最新病毒库的用户，没有一台电脑被病毒攻陷。”其进而攻击国内杀毒公司，平时只顾做些市场宣传，不注重修练内功，在“熊猫”来袭时，令得用户造成巨大经济损失。 

　　遭受攻击的国内厂商代表瑞星遂怒不可遏，反唇相讥道，自从去年12月地震造成海地光缆中断以来，包括卡巴斯基在内的国外杀毒软件没有设立国内服务器，用户完全不能升级，这种时候对于“熊猫烧香”泛滥，“卡巴斯基还在奢谈无须推出专杀工具、只需对软件适时升级即可安全使用”的空话。

[color=#ff0e00]Whois Server Version 2.0

Domain names in the .com and .net domains can now be registered
with many different competing registrars. Go to http://www.internic.net
for detailed information.

   Domain Name: KRVKR.COM
   Registrar: XIN NET TECHNOLOGY CORPORATION
   Whois Server: whois.paycenter.com.cn
   Referral URL: http://www.paycenter.com.cn
   Name Server: NS11.BIGWWW.COM
   Name Server: NS12.BIGWWW.COM
   Status: ok
   Updated Date: 31-oct-2006
   Creation Date: 31-oct-2006
   Expiration Date: 31-oct-2007

>>> Last update of whois database: Thu, 01 Feb 2007 05:05:50 UTC <<<

NOTICE: The expiration date displayed in this record is the date the 
registrar's sponsorship of the domain name registration in the registry is 
currently set to expire. This date does not necessarily reflect the expiration 
date of the domain name registrant's agreement with the sponsoring 
registrar.  Users may consult the sponsoring registrar's Whois database to 
view the registrar's reported date of expiration for this registration.

TERMS OF USE: You are not authorized to access or query our Whois 
database through the use of electronic processes that are high-volume and 
automated except as reasonably necessary to register domain names or 
modify existing registrations; the Data in VeriSign Global Registry 
Services' ("VeriSign") Whois database is provided by VeriSign for 
information purposes only, and to assist persons in obtaining information 
about or related to a domain name registration record. VeriSign does not 
guarantee its accuracy. By submitting a Whois query, you agree to abide 
by the following terms of use: You agree that you may use this Data only 
for lawful purposes and that under no circumstances will you use this Data 
to: (1) allow, enable, or otherwise support the transmission of mass 
unsolicited, commercial advertising or solicitations via e-mail, telephone, 
or facsimile; or (2) enable high volume, automated, electronic processes 
that apply to VeriSign (or its computer systems). The compilation, 
repackaging, dissemination or other use of this Data is expressly 
prohibited without the prior written consent of VeriSign. You agree not to 
use electronic processes that are automated and high-volume to access or 
query the Whois database except as reasonably necessary to register 
domain names or modify existing registrations. VeriSign reserves the right 
to restrict your access to the Whois database in its sole discretion to ensure 
operational stability.  VeriSign may restrict or terminate your access to the 
Whois database for failure to abide by these terms of use. VeriSign 
reserves the right to modify these terms at any time. 

The Registry database contains ONLY .COM, .NET, .EDU domains and
Registrars.

[whois.paycenter.com.cn]
The Data in Paycenter's WHOIS database is provided by Paycenter 
for information purposes, and to assist persons in obtaining 
information about or related to a domain name registration 
record.
Paycenter does not guarantee its accuracy.  By submitting 
a WHOIS query, you agree that you will use this Data only 
for lawful purposes and that, under no circumstances will 
you use this Data to:
(1) allow, enable, or otherwise support the transmission 
of mass unsolicited, commercial advertising or solicitations 
via e-mail (spam); or  
(2) enable high volume, automated, electronic processes that 
apply to Paycenter or its systems.  
Paycenter reserves the right to modify these terms at any time. 
By submitting this query, you agree to abide by this policy.       
        
Domain Name:krvkr.com

Registrant: 
Luo
        China HuBei Wuhan JieFangDaDao568
        430000
        湖北省武汉市解放大道568号
       

Administrative Contact: 
Luo
        Luo
        China HuBei Wuhan JieFangDaDao568
        wuhan Hubei 430000
        CN
        tel: 86 00 02785605556 
        fax: 86 00 84449168 
        leunx@163.com
       
Technical Contact: 
Luo
        Luo
        China HuBei Wuhan JieFangDaDao568
        wuhan Hubei 430000
        CN
        tel:   02785605556 
        fax:   84449168 
        leunx@163.com
       
Billing Contact: 
Luo
        Luo
        China HuBei Wuhan JieFangDaDao568
        wuhan Hubei 430000
        CN
        tel:   02785605556 
        fax:   84449168 
        leunx@163.com
       
 Registration Date: 2006-10-31
       Update Date: 2006-10-31
   Expiration Date: 2007-10-31
       
    Primary DNS:  ns11.bigwww.com                222.208.183.174
  Secondary DNS:  ns12.bigwww.com                125.65.77.73

[HiChina Format]
Domain Name ..................... krvkr.com
Registrant Organization ......... Luo
Registrant Address .............. China HuBei Wuhan JieFangDaDao568
                                  430000
                                  湖北省武汉市解放大道568号
Registrant Country Code ......... 湖北省武汉市解放大道568号
Administrative Name ............. Luo
Administrative Organization ..... Luo
Administrative Address .......... China HuBei Wuhan JieFangDaDao568
                                  wuhan Hubei 430000
                                  CN
Administrative City ............. wuhan
Administrative Province/State ... Hubei
Administrative Postal Code ...... 430000
Administrative Country Code ..... CN
Administrative Phone Number ..... 86 00 02785605556
Administrative Fax .............. 86 00 84449168
Administrative Email ............ leunx@163.com
Billing Name .................... Luo
Billing Organization ............ Luo
Billing Address ................. China HuBei Wuhan JieFangDaDao568
                                  wuhan Hubei 430000
                                  CN
Billing City .................... wuhan
Billing Province/State .......... Hubei
Billing Postal Code ............. 430000
Billing Country Code ............ CN
Billing Phone Number ............ 02785605556
Billing Fax ..................... 84449168
Billing Email ................... leunx@163.com
Technical Name .................. Luo
Technical Organization .......... Luo
Technical Address ............... China HuBei Wuhan JieFangDaDao568
                                  wuhan Hubei 430000
                                  CN
Technical City .................. wuhan
Technical Province/State ........ Hubei
Technical Postal Code ........... 430000
Technical Country Code .......... CN
Technical Phone Number .......... 02785605556
Technical Fax ................... 84449168
Technical Email ................. leunx@163.com
Expiration Date ................. 2007-10-31[/color]