没有多少人知道“尼姆亚”这个官方学名,却都记住了“熊猫烧香”的卡通图案。在熬过了2007年初地震断网的光缆修复期后,1月底,中国互联网的百姓们又一次经历了一场病毒泛滥的考验。
知情人透露侦破内幕
【侦破内幕】 作者的求财动机提供破案线索
在湖北省公安厅宣布成功侦破熊猫烧香病毒案当晚,接近该案专案小组的知情人士透露抓捕内幕。这是迄今为止,我国侦破的国内首例制作计算机病毒的大案。
接近该案的知情人士透露,公安部从去年10月底就开始关注熊猫烧香病毒,“它的传播面大,影响面广而且特别恶劣。”尽管病毒作者绞尽脑汁进行自我隐藏,不过在锁定目标的过程中,还是在互联网上留下了很多蛛丝马迹。“其实这类病毒的作者往往以赚钱为目的,总是会留下线索。”专案小组选择从互联网上的一些社区信息、域名注册信息开始入手。
该人士表示,目前多个相关病毒的代码里都写着whboy,其中就包括大名鼎鼎的熊猫烧香、流氓软件51.vc以及一些腾讯QQ、网游传奇账号密码盗窃的木马软件。“这些木马的代码、传播以及爆发手法都极为相似”,专案小组初步判断为同一人所为,决定并案侦查。
“举个例子来说,51.vc的网站上写着ICP证是:鲁ICP证005248号。”知情人士表示,专案小组当即查明这是一个伪造的ICP证,通过有关渠道查到另一个网站www.51pm.org也是使用了这个伪造的ICP证。尽管当时该网站已不能访问,但可以搜索引擎的快照功能回溯该站点网页,其内容和51.vc完全一样。专案小组在掌握了上述信息后,立即着手寻找51.vc或51pm.org注册者,而这些人也就是这些病毒的作者或者幕后指使的关联人物。
知情人士表示,上述例子只是侦破手段中的一种方法,“事实上,在侦破过程中采用了多方面信息相互印证的办法。”据介绍,目前互联网上有多种追踪方式,对于大规模传播的病毒而言,幕后黑手几乎无法藏身。
信息安全业内人士表示,技术上锁定并取证后,再通过调查其背后商业目的的方法入手分析,一般都能发现蛛丝马迹。尤其是熊猫烧香与以往许多病毒都在拼命隐藏作者身份的做法不同,熊猫烧香的作者显得过于明目张胆。据悉,此次有关部门抓捕病毒作者,是因为熊猫烧香的病毒作者不仅自己扩散传播,还主动销售源代码给其他盗窃团伙,种种行为都暴露了他的身份。
“这个病毒是通过入侵网站并挂上木马来实现传播,并盗取用户有价值的虚拟账户。除此之外,这个团伙还销售病毒源代码牟利,其影响的规模非常大,社会影响极为恶劣。”接近专案小组的知情人士表示,“不仅是他们一个病毒团伙在传播,还有大量团伙一起传播。”
“这背后也许还隐藏着更为复杂的利益集团,这些都还没有最终浮出水面。”
网友评论