图：反毒人员在“解剖”病毒后，发现里面的留言。 本报记者 刘军 摄

　　谁制造了“熊猫烧香”？他意欲何为？在“熊猫烧香”肆虐期间，关于作者身份的种种猜测流传于互联网上。在百度“熊猫烧香”贴吧中，数百名深受“熊猫”所害的网民发帖“通缉”病毒制造者，更有网民声称开出10万美元的悬赏花红。

　　昨天，反病毒工程师向记者透露，“熊猫烧香”的作者并非无迹可寻，在解剖病毒过程中，他们发现了留在病毒内的一些神秘留言。在这些留言里，“熊猫烧香”的作者自称whboy———“武汉男孩”。

　　“熊猫”体内暗藏留言

　　mopery是卡卡社区反病毒论坛的版主，也是一名反病毒高手。

　　2006年10月中旬，mopery接到网友求助。在帮忙解决电脑故障的过程中，他拿到了一个病毒样本，它就是“熊猫烧香”的原始版本。

　　将病毒“解剖”之后，在繁复的程序代码中，mopery看到了一段与程序无关的信息，其中有一行字母：“whboy”。

　　“whboy”这个名字，对于病毒研究者有着不一般的含义。2004年，whboy即发布了其创作的病毒“武汉男孩”，那是一种通过QQ传播的盗号木马，因为其变种的疯狂和传播的广泛，一年后，被江民反病毒中心列入2005年十大病毒之列。

　　此后，whboy还在一些病毒论坛和黑客论坛发帖，表示可以提供盗取QQ号服务，但不久后便销声匿迹，直至“熊猫”出现。

　　mopery对“熊猫烧香”进行了认真分析。他发现，这种病毒并不拥有最厉害的技术，却拥有最成熟的传播手段。

　　mopery对“熊猫烧香”产生了浓厚的兴趣，他联系了另一名民间反病毒高手农夫，在2006年10月25日推出了第一款专杀工具：尼姆亚蠕虫专杀。

　　“第一只熊猫没什么威力，厉害的是后面的变种。”mopery说，从发现第一版“熊猫烧香”后，一个月内，它的变种就达到了十几种。

　　在这些变种中，每隔一段时间，作者都有意在病毒中留下whboy字样。“他主要给我们这些分析病毒的人看，普通用户看不到代码。”

　　随着变种增多，反病毒人士在连续解剖病毒的同时，开始期待更多留言出现。

　　病毒内部列出“鸣谢单位”

　　2006年12月初，“熊猫烧香”变种加速，代码中除了whboy字样外，又多了一行汉字：“武汉男孩感染下载者。”随着变种的增多，代码内附带的信息也越来越多。

　　此时，mopery和艾玛已经加入抗击“熊猫烧香”的大军当中。他们分析熊猫的新变种，并在卡卡社区反病毒论坛上，贴出一份份详细的病毒分析报告。

　　他们的举动，吸引了病毒作者“武汉男孩”的注意力。在1月初一份病毒变种中，神秘留言再次更新。

　　“感谢mopery对此木马的关注。”留言中新添的这句话，让mopery啼笑皆非。随后，武汉男孩似乎迷恋上了这种病毒内部列出“鸣谢单位”的模式，在1月5日的病毒留言中，感谢名单上添加了艾玛的名字。1月9日，感谢名单中又多了杀毒高手“海色之月”的名字，文末还添加了一句“服了……艾玛…… ”

　　此后，武汉男孩开始频繁用这种方式与对手“交流”。

　　1月15日，武汉男孩还在留言中和反毒者taylor77打起了招呼：“taylor77，不知道找我啥事啊？”并且戏言：“我制作的病毒已经‘满城尽烧国宝香’。”

　　网络世界高手对决一个月

　　1月16日，武汉男孩发布了新的病毒变种，反毒者们习惯称之为“艾玛”版本。因为在这个病毒内部的留言中，写了22次艾玛的名字。

　　1月19日晚，“熊猫烧香”发布了最后一次更新。这个版本可称为传染手段最全面的版本。

　　在“熊猫烧香”的最后一个版本中，武汉男孩写下了临别赠语：“在此对各位中过此木马的网友和各位网管人员表示深深的歉意！对不起，你们辛苦了！mopery，很想和你们交流下！某某原因，我想还是算了！”

　　面对“熊猫烧香”停止更新的消息，反病毒工程师史瑀显得很平静：“我们希望熊猫风波就此结束，但是武汉男孩有失言的先例。总之他只要更新，我们就奉陪到底。”

　　对于持续对决一个多月，却不知藏身何处的武汉男孩，mopery的赠言是：“我希望他能好好利用自己的技术来服务广大网民，而不是给网民带来痛苦。”

　　“武汉男孩”身份存仨版本

　　虽然武汉男孩表示不再更新“熊猫烧香”，但这场席卷全国的病毒狂潮却余波难平。网民们纷纷猜测武汉男孩的真实身份。

　　经调查，目前在业内人士中，关于武汉男孩的身份有三种猜测。其一，武汉男孩是一名15岁的武汉少年，证据是网络上流传的他和反毒者农夫的QQ对话。其二，武汉男孩是桂林一家软件公司的副总裁，曾编写过流氓软件，消息来源是反病毒论坛。其三，武汉男孩是国内杀毒软件公司的员工，故意编写病毒，促销相应的杀毒产品。

　　为核证传言，记者分别采访了mopery和瑞星公司反病毒工程师史瑀。

　　mopery称，经过他和农夫的核证，证实流传的QQ聊天片断的主人公，是另外一种病毒的作者，而非武汉男孩。至于公司副总的说法，属空穴来风。

　　作为杀毒软件公司的员工，史瑀说，每次大型病毒流传后，总有各种对杀毒软件公司不利的传言，但杀毒软件界的程序员不会编写病毒、扰乱网络。他反问道：“流感病毒是医生制作的么？”

　　mopery和史瑀都表示，从留言的内容和程序代码来看，武汉男孩是一位有丰富病毒编写经验的熟手，经常浏览卡卡社区反病毒论坛，随时关注mopery等人的病毒分析。卡卡社区有59万余名会员，武汉男孩一定身在其中，但这个范围却再难缩小。“武汉男孩本身精通网络技术和入侵技术，通过他上网的痕迹追查真身很难实现。”mopery说。

　　“熊猫烧香”带有商业目的

　　史瑀说，他们经过分析认为，“熊猫烧香”带有强烈的商业目的，“用户感染病毒后，会从后台点击国外的网站，部分变种中含有盗号木马，病毒作者可借此牟利。”

　　“现在的病毒作者和上世纪90年代的不同，他们不再以炫耀技术为目的，而是带有明确商业目的，病毒和流氓软件界限越来越模糊了。”史瑀说。

　　昨天下午，瑞星公司工作人员表示，已将病毒作者的相关证据和病毒特性提交给国家计算机病毒应急处理中心。国家计算机病毒应急处理中心工作人员称，关于这场“熊猫烧香”病毒风暴，受波及的电脑数字以及造成的经济损失等相关数据，目前正在统计，将于近日在其主页上公布。

　　关于是否向公安机关报案，这名工作人员表示，目前不便透露。

　　“我相信总有一天会见到武汉男孩真面目的。”mopery说。

　　相关链接 “熊猫烧香”整体解决方案

　　金山

　　金山毒霸2007对“熊猫烧香”已经具备免疫能力，金山毒霸反病毒专家建议及时安装正版金山毒霸并升级到最新版本进行查杀。在服务期内的毒霸用户，将会通过金山毒霸的主动实时升级功能，自动升级到最新版本，实现对“熊猫烧香”的免疫。对于没有安装杀毒软件的电脑用户，可以登录到http://tool.duba.net/zhuansha/253.shtml免费下载金山的“熊猫烧香”专杀工具。

　　瑞星

　　安装杀毒软件和瑞星卡卡3.1的用户，可将软件升级，并在上网时打开网页实时监控。同时，瑞星已经发布针对该病毒的专杀工具，并对该工具不断升级。因此，没有安装杀毒软件的用户，还可以登录http://it.rising.com.cn/Channels/Service/index.shtml免费下载使用“熊猫烧香”专杀工具。

　　江民

　　江民建议已安装江民杀毒软件的用户将杀毒软件升级到最新病毒库，并对电脑进行全盘查杀。未安装杀毒软件的用户，也可登录到http://www.jiangmin.com/download/zhuansha04.htm下载安装江民“熊猫烧香”专杀工具，可以有效清除病毒和修复被感染文件。