哪些杀毒软件能查杀熊猫烧香病毒？

一、熊猫烧香病毒的技术背景与传播机制

熊猫烧香（Worm.WhBoy）是2006年底在中国大规模爆发的一种蠕虫病毒，由李俊编写。该病毒主要通过局域网共享、U盘自动播放、网页挂马和即时通讯工具（如QQ）进行传播。其核心行为包括：

• 感染本地及网络路径下的所有可执行文件（*.exe），将其图标替换为“烧香熊猫”；
• 修改注册表启动项，实现开机自启；
• 终止主流杀毒软件进程（如瑞星、金山、卡巴斯基等）；
• 注入系统关键进程（如explorer.exe），隐藏自身运行；
• 释放驱动级后门，绕过用户模式检测。

由于其高度自动化传播与强对抗性设计，短时间内感染百万台计算机，成为国产病毒史上的标志性事件。

二、主流杀毒软件的查杀能力对比（2006年环境）

在病毒爆发初期，各主流杀软对熊猫烧香的响应速度和查杀效果存在显著差异。以下为当时主要产品的表现分析：

三、查杀机制的技术差异分析

不同厂商采用的技术路线决定了其应对新型变种的能力：

1. 特征码扫描：依赖静态哈希或字节序列匹配。熊猫烧香早期版本被迅速提取出PE段特征（如.text:48 65 6C 6C 6F 20 70 61 6E），但加壳变异后失效。
2. 启发式扫描：通过模拟执行、行为判断识别可疑代码流。卡巴斯基使用Anti-Stealth技术检测异常API调用链，有效识别注入行为。
3. 行为监控模块：360首次引入“主动防御”概念，监控程序对注册表、服务、进程的非法操作，触发拦截。
4. 云端协同：360虽未完全建成云引擎，但已尝试上传样本MD5至服务器比对，形成初步“云查杀”雏形。
5. 驱动级防护：国际产品普遍具备HIPS（主机入侵防御系统）和Ring0 Hook能力，可拦截SSDT挂钩与DPC插入。

四、为何部分用户无法彻底清除病毒？

即使安装了杀毒软件，仍存在清除失败的情况，原因如下：

// 模拟熊猫烧香的典型自保逻辑（伪代码）
while (TRUE) {
    if (FindProcess("RavMonD.exe")) { // 检测瑞星
        TerminateProcess("RavMonD.exe");
        DeleteFile("C:\\Program Files\\Rising\\...\\RavMonD.exe");
    }
    if (IsDebuggerPresent()) {
        ExitProcess(0); // 反调试
    }
    HideDriverUsingSSDT(); // SSDT Patch隐藏驱动
    Sleep(1000);
}
    

• 病毒通过SSDT Hook拦截NtTerminateProcess、ZwDeleteFile等系统调用，阻止杀软结束其进程或删除文件；
• 使用Rootkit技术隐藏注册表项和服务项，使杀软无法发现原始载体；
• 频繁变种与加壳（UPX、Aspack等），导致特征码快速过期；
• 国产杀软普遍缺乏内核调试器集成与内存dump分析能力，难以定位深层驻留点；
• 多数用户未启用安全模式查杀或使用专杀工具，常规扫描仅能处理表层感染。

五、技术演进路径：从被动防御到主动响应

熊猫烧香事件推动了国内安全行业的重大变革：

此后，360率先建立“云查杀+客户端轻量化”架构，将样本哈希、静态特征、动态行为数据上传至云端分析，实现分钟级响应。瑞星、金山随后跟进，逐步构建自己的云安全体系。