熊猫烧香

维基百科，自由的百科全书

**熊猫烧香**

常用名称	熊猫烧香
技术名称	Worm.Whboy
别名	尼姆亚，武汉男孩，威金
家族
分类	電腦蠕蟲
- 感染系统	Windows
- 感染文件	exe、pif，src、html、asp等
发现时间	2006年10月16日
- 发现地点	未知
- 来源地	中国武汉东湖高新技术开发区关山
作者	李俊

熊猫烧香是一种经过多次变种的蠕虫病毒变种，2006年 10月16日由25岁的中國湖北武汉新洲区人李俊编写，2007年 1月初肆虐网络，它主要透过下载的档案传染。

2007年 2月12日，湖北省公安厅宣布，李俊以及其同伙共8人已经落网，这是中国破获的首例计算机病毒大案。

[编辑] 病毒特征

「熊貓燒香」以遊戲的外貌來吸引人安裝。

使用Windows系统的用户中毒后，副檔名为.exe的文件无法执行，并且文件的图标会变成熊猫举着三根烧着的香的图案（熊猫烧香动态图），但不具有Win32.Parite的特征，不会感染可执行文件。^[1]而副檔名为.gho的赛门铁克公司软件Ghost的系统磁盘备份文件也会被病毒自动检测并删除；大多数知名的网络安全公司的杀毒软件以及防火墙会被病毒强制结束进程，甚至会出现蓝屏、频繁重启的情况，病毒还利用Windows 2000/XP系统共享漏洞以及用户的弱口令如系统管理员密码为空，不少安全防范意识低的网吧以及局域网环境全部计算机遭到此病毒的感染。同时病毒执行后在各盘释放autorun.inf以及病毒体自身，造成中毒者硬盘磁盘分区以及U盘、移动硬盘等可移动磁盘均无法正常打开。^[2]

由于此病毒具有在htm，html，asp，php，jsp，aspx等格式的网页文件中使用HTML的iframe標記元素嵌入病毒网页代码的能力，所以网页设计制作工作者的机器一旦中毒，那么使用过低版本或未更新安全zh-cn:补丁; zh-tw:更新程式的Windows系列操作系统的网友访问他们设计的网站均会中此病毒。^[3]

未必所有防毒軟件都可以辨識及阻擋「熊貓燒香」

李俊建立了病毒更新服务器，在更新最勤时一天要对病毒更新升级8次^[4]，与俄罗斯反病毒软件卡巴斯基反病毒库每3小时更新一次的更新速度持平，所以凭借更新的速度杀毒软件很难识别此计算机病毒的多种变种。

[编辑] 病毒案件的侦破与病毒作者

有人通过对此毒脱壳后的特征码分析發現有「whboy」的标识^[5]，而此標識也曾出現在2004年的一隻病毒“武汉男生”上，所以该病毒也被称为“武汉男生”，通过查看李俊的早期作品可以看到他的QQ号码以及他建立的网站信息，有了这些信息，侦破案件的湖北网监的工作就容易了许多。

由zh-cn:骇客;zh-tw:劊客李俊2004年出品的“武汉男生2005”软件后台生成器截图，这是“熊猫烧香”病毒的雏形

该病毒作者是李俊，武汉新洲区人，25岁（作者李俊在押时的照片）。据他的家人以及朋友介绍，他在初中时英语和数学成绩都很不错，但还是没能考上高中，中专在“娲石职业技术学校”就读，毕业后曾上过网络技术职业培训班，他朋友讲他是“自学成才，他的大部分电脑技术都是看书自学的”^[6]。2004年李俊到北京、广州的网络安全公司求职，但都因学历低的原因遭拒，于是他开始抱着报复社会以及赚钱的目的编写病毒了。他曾在2003年编写了病毒“武汉男生”，2005年他还编写了病毒QQ尾巴，并对“武汉男生”版本更新成为“武汉男生2005”。

此次传播的“熊猫烧香”病毒，作者李俊是先将此病毒在网络中卖给了120餘人，每套产品要价500～1000元人民币，每日可以收入8000元左右，最多时一天能赚1万餘元人民币，作者李俊因此直接非法获利10万餘元。然后由这120餘人对此病毒进行改写处理并传播出去的，这120餘人的传播造成100多万台计算机感染此病毒，他们将盗取来的网友网络游戏以及QQ帐号进行出售牟利，并使用被病毒感染沦陷的机器组成“僵尸网络”为一些网站带来流量。^[7]

被逮捕的几位重要犯罪嫌疑人资料：

姓名	性別	到案年齡	住所
李俊	男	25岁	武汉新洲区人
雷磊	男	25岁	武汉新洲区人
王磊	男	22岁	山东威海人
叶培新	男	21岁	浙江温州人
张顺	男	23岁	浙江丽水人
王哲	男	24岁	湖北仙桃人