熊猫烧香病毒：一次技术回顾

你可能听说过“熊猫烧香”这个名字，它曾是十多年前席卷中文互联网的著名计算机病毒。虽然它早已不是当下的威胁，但分析它的工作原理，能帮助我们理解病毒的基本行为模式。我的理解是，这就像研究历史上的经典战役，不是为了再次经历，而是为了学习防御的策略。

病毒的基本特征

熊猫烧香是一种感染型的蠕虫病毒。它的一个显著特征是，会将被感染电脑中所有可执行程序（.exe文件）的图标，都替换成一只举着三炷香的熊猫图案，这也是其名称的由来。

它的破坏行为不止于此。根据分析，它会试图中止大量反病毒软件的进程，并删除系统中扩展名为.gho的文件。.gho文件是系统备份工具GHOST生成的，删除它们意味着用户可能失去重要的系统备份。此外，它还能感染exe、com、html、asp等多种类型的文件。

病毒的运作机制

一旦含有病毒体的文件被运行，它会迅速在系统中展开一系列操作，以实现自我复制、长期驻留和传播。

首先，病毒会将自身拷贝到系统目录下（例如C:\Windows\system32\drivers\spcolsv.exe），并修改系统注册表，将自己设置为开机自动启动。同时，它会遍历所有磁盘驱动器，在每个盘的根目录下写入自身副本（通常命名为setup.exe）和一个autorun.inf文件。这样，当用户通过“我的电脑”双击打开某个盘符时，就可能再次激活病毒。

完成这些部署后，病毒会开启多个线程执行不同任务：一个线程负责在本地继续感染文件；另一个线程则会尝试连接网络，从指定地址下载程序，并可能对局域网内的其他计算机发起攻击或尝试感染。

病毒的隐藏与对抗手段

为了生存和扩大破坏，熊猫烧香采用了一些自我保护措施。在分析中观察到，它会尝试关闭系统的防火墙和安全中心服务，甚至让任务管理器无法正常打开。

更隐蔽的是，它会修改注册表中的一个关键设置，使得用户即使在文件夹选项中勾选了“显示隐藏的文件和文件夹”，也无法看到被隐藏的文件。这有效地保护了它释放的setup.exe、autorun.inf等隐藏文件。此外，它还会删除一些安全软件在注册表中的启动项，并尝试用命令取消系统的磁盘共享。

如何查杀此类病毒

虽然现在已有强大的安全软件可以轻松应对，但了解手工查杀的基本思路仍有价值。其核心步骤可以概括为：结束病毒进程、清理启动项、删除病毒文件、修复系统设置。

具体来说，首先需要找到并终止病毒创建的进程（如spcolsv.exe）。接着，检查系统启动项（可通过msconfig或注册表编辑器查看），删除病毒添加的自启动条目。然后，根据启动项指示的路径，找到并删除病毒主体文件。最后，还需要检查各个磁盘根目录，删除隐藏的setup.exe和autorun.inf文件，并将被病毒篡改的注册表项（如文件隐藏显示设置）恢复原状。

当然，对于普通用户而言，最安全有效的方式始终是使用并及时更新可靠的安全软件。对于技术人员，原文也展示了如何通过分析病毒行为特征（如特定进程名、文件散列值、注册表键值）来编写专杀工具的编程思路。

回顾熊猫烧香病毒，它集中体现了早期蠕虫病毒的典型特征：通过文件感染和移动介质传播，并具备一定的对抗查杀能力。如今，网络安全威胁的形式已更加复杂多样，但理解这些基础原理，依然是构筑安全防线的第一步。