“‘流氓软件’和病毒之间的界限已变得越来越模糊。为了达到更好的传播效果，并减少成本，不少中小厂商直接使用病毒进行‘流氓推广’。”昨日，反病毒专家直指流氓软件是这次“熊猫烧香”幕后黑手。

据江民公司反病毒工程师称，已经发现了近期疯狂肆虐的“熊猫烧香”幕后势力的痕迹，“熊猫烧香”病毒被怀疑是由“超级巡警”软件的提供方在幕后推动，网上已经发现了产销一条龙盗窃销售网游设备的产业链。

而从瑞星截获的“熊猫烧香(Worm.Nimaya)”样本进行分析，也有不少变种运行后会去从网上下载盗取“江湖”、“大话西游”、“魔兽”等网络游戏账号的木马。用户的计算机一旦被感染这些木马，游戏的账号、装备等就会被黑客窃取。黑客通过在网上倒卖网游账号、装备等获利。

流氓软件分化：部分“洗白” 部分病毒化

去年下半年开始的全民范围内的讨伐使流氓软件开始出现“分化”。

昨日，北京瑞星股份有限公司反病毒工程师史瑀向《每日经济新闻》表示，迫于技术和舆论的压力，制作流氓软件的厂商开始两极分化。一些大牌互联网厂商逐渐“洗白”，将软件的“流氓”程度降低，还有一些厂商干脆放弃推广“流氓软件”。然而，仍有大量的中小厂商是通过“流氓软件”起家的，通过“流氓软件”进行广告推广已经成为其公司主要甚至是唯一的收入来源。2006年下半年开始，一些厂商为了生存，不惜铤而走险，使用更加卑劣的手段进行流氓推广，并且采用更加恶毒的技术公然向反病毒软件、反流氓软件工具挑战。

据瑞星公司客户服务中心的统计数据表明，从2006年6月开始，用户计算机由于流氓软件问题导致崩溃的求助数量已经超过了病毒。

据专家介绍，这一时期的“流氓软件”有两大特点：一是编写病毒化。不少“流氓软件”为了防止被杀毒软件或流氓软件卸载工具发现，采用了病毒常用的Rootkit技术进行自我保护。Rootkit可以对自身及指定的文件进行隐藏或锁定，防止被发现和删除。带有Rootkit的“流氓软件”就像练就了“金钟罩”、“铁布杉”，不除去这层保护根本难伤其毫发。更有一些流氓软件，采用“自杀式”技术攻击杀毒软件。一旦发现用户安装或运行杀毒软件，便运行恶意代码，直接造成计算机死机、蓝屏，让用户误以为是杀毒软件存在问题。

二是传播病毒化。为了达到更好的传播效果，并减小成本，不少中小厂商直接使用病毒进行“流氓推广”。用户的计算机感染病毒后，病毒会自动在后台运行，下载并安装“流氓软件”。同时，“流氓软件”安装后也会去从互联网自动下载运行病毒。大量的“流氓软件”开始使用电脑病毒来隐藏自身、进行快速传播、并对抗用户的清除等，这些行为严重危害到用户的信息安全和利益。“流氓软件”和病毒之间的界限已变得越来越模糊。随着“流氓软件”不断朝着病毒的方向发展，要想彻底杀灭“流氓软件”就必须采用反病毒技术。

利益驱使 流氓软件制造“熊猫烧香”？

史瑀表示，2006年11月14日，瑞星发布流氓软件专用清除工具———卡卡上网安全助手3.0，首次将反病毒技术应用于反流氓软件当中。就在卡卡刚刚发布24小时，就有一个名为“my123”的恶意程序顶风作案，疯狂采用病毒化的编写技术来逃避卡卡的追杀，随后又出现了名为“3448.com”和“7939.com”两个流氓软件，它们锁定用户浏览器的首页以提高其网站访问量。

此后，部分流氓软件开始和病毒合作。早先一个传播较广的蠕虫病毒“威金蠕虫(Worm.Viking)”，就会从病毒作者指定的网站去下载流氓软件、盗号木马等，并种植在用户的计算机上。

“大量‘流氓软件’开始使用电脑病毒来隐藏自身、进行快速传播、并对抗用户的清除等，这些行为严重危害到用户的信息安全和利益。”史瑀称，“‘熊猫烧香’病毒成为一个‘教科书’式的病毒，势必有大量的病毒会模仿它的特征进行编写。”