没有多少人知道“尼姆亚”这个官方学名,却都记住了“熊猫烧香”的卡通图案。在熬过了2007年初地震断网的光缆修复期后,1月底,中国互联网的百姓们又一次经历了一场病毒泛滥的考验。
熊猫烧香案告破
没有多少人知道“尼姆亚”这个官方学名,却都记住了“熊猫烧香”的卡通图案。在熬过了2007年初地震断网的光缆修复期后,1月底,中国互联网的百姓们又一次经历了一场病毒泛滥的考验。病毒不断变种成了一场无声的较量,“熊猫烧香”一夜之间变成“灯泡男孩”和“金猪满圈”,夹杂着病毒作者的恶搞情绪,反病毒软件厂商作秀般的猜疑,以及病毒从破坏者到盗贼的蜕变。湖北省公安厅12日宣布,湖北网监一举侦破了制作传播熊猫烧香病毒案,抓获李俊、雷磊等8名犯罪嫌疑人。这是我国侦破的国内首例制作计算机病毒的大案。
湖北省公安厅12日宣布,根据统一部署,湖北网监在浙江、山东、广西、天津、广东、四川、江西、云南、新疆、河南等地公安机关的配合下,一举侦破了制作传播熊猫烧香病毒案,抓获李俊(男,25岁,武汉新洲区人)、雷磊(男,25岁,武汉新洲区人)等8名犯罪嫌疑人。这是我国侦破的国内首例制作计算机病毒的大案。
【事件危害】 上百万电脑用户深受其害
据介绍,2006年底,我国互联网上大规模爆发熊猫烧香病毒及其变种,该病毒通过多种方式进行传播,并将感染的所有程序文件改成熊猫举着三炷香的模样,同时该病毒还具有盗取用户游戏账号、QQ账号等功能。该病毒传播速度快,危害范围广,截至案发为止,已有上百万个人用户、网吧及企业局域网用户遭受感染和破坏,引起社会各界高度关注。《瑞星2006安全报告》将其列为十大病毒之首,在《2006年度中国大陆地区电脑病毒疫情和互联网安全报告》的十大病毒排行中一举成为“毒王”。
【成功侦破】 抓获李俊等8名犯罪嫌疑人
今年1月中旬,湖北省网监部门根据公安部公共信息网络安全监察局的部署,对熊猫烧香病毒的制作者开展调查。
经查,熊猫烧香病毒的制作者为湖北省武汉市李俊,据李俊交代,其于2006年10月16日编写了熊猫烧香病毒并在网上广泛传播,并且还以自己出售和由他人代卖的方式,在网络上将该病毒销售给120余人,非法获利10万余元。经病毒购买者进一步传播,导致该病毒的各种变种在网上大面积传播,对互联网用户计算机安全造成了严重破坏。李俊还于2003年编写了“武汉男生”病毒,2005年编写了“武汉男生2005”病毒及“QQ尾巴”病毒。另外,本案另有几个重要犯罪嫌疑人雷磊(男,25岁,武汉新洲区人)、王磊(男,22岁,山东威海人)、叶培新(男,21岁,浙江温州人)、张顺(男,23岁,浙江丽水人)、王哲(男,24岁,湖北仙桃人)通过改写、传播熊猫烧香等病毒,构建“僵尸网络”,通过盗窃各种游戏和QQ账号等方式非法牟利。
目前,李俊、雷磊等8名犯罪嫌疑人已被刑事拘留。
知情人透露侦破内幕
【侦破内幕】 作者的求财动机提供破案线索
在湖北省公安厅宣布成功侦破熊猫烧香病毒案当晚,接近该案专案小组的知情人士透露抓捕内幕。这是迄今为止,我国侦破的国内首例制作计算机病毒的大案。
接近该案的知情人士透露,公安部从去年10月底就开始关注熊猫烧香病毒,“它的传播面大,影响面广而且特别恶劣。”尽管病毒作者绞尽脑汁进行自我隐藏,不过在锁定目标的过程中,还是在互联网上留下了很多蛛丝马迹。“其实这类病毒的作者往往以赚钱为目的,总是会留下线索。”专案小组选择从互联网上的一些社区信息、域名注册信息开始入手。
该人士表示,目前多个相关病毒的代码里都写着whboy,其中就包括大名鼎鼎的熊猫烧香、流氓软件51.vc以及一些腾讯QQ、网游传奇账号密码盗窃的木马软件。“这些木马的代码、传播以及爆发手法都极为相似”,专案小组初步判断为同一人所为,决定并案侦查。
“举个例子来说,51.vc的网站上写着ICP证是:鲁ICP证005248号。”知情人士表示,专案小组当即查明这是一个伪造的ICP证,通过有关渠道查到另一个网站www.51pm.org也是使用了这个伪造的ICP证。尽管当时该网站已不能访问,但可以搜索引擎的快照功能回溯该站点网页,其内容和51.vc完全一样。专案小组在掌握了上述信息后,立即着手寻找51.vc或51pm.org注册者,而这些人也就是这些病毒的作者或者幕后指使的关联人物。
知情人士表示,上述例子只是侦破手段中的一种方法,“事实上,在侦破过程中采用了多方面信息相互印证的办法。”据介绍,目前互联网上有多种追踪方式,对于大规模传播的病毒而言,幕后黑手几乎无法藏身。
信息安全业内人士表示,技术上锁定并取证后,再通过调查其背后商业目的的方法入手分析,一般都能发现蛛丝马迹。尤其是熊猫烧香与以往许多病毒都在拼命隐藏作者身份的做法不同,熊猫烧香的作者显得过于明目张胆。据悉,此次有关部门抓捕病毒作者,是因为熊猫烧香的病毒作者不仅自己扩散传播,还主动销售源代码给其他盗窃团伙,种种行为都暴露了他的身份。
“这个病毒是通过入侵网站并挂上木马来实现传播,并盗取用户有价值的虚拟账户。除此之外,这个团伙还销售病毒源代码牟利,其影响的规模非常大,社会影响极为恶劣。”接近专案小组的知情人士表示,“不仅是他们一个病毒团伙在传播,还有大量团伙一起传播。”
“这背后也许还隐藏着更为复杂的利益集团,这些都还没有最终浮出水面。”
病毒作者与反病毒高手展开拉锯战
【事件副本】 熊猫病毒图片成为部分网民的“宠物”
“据说熊猫烧香病毒的作者才15岁。”“熊猫烧香作者正式揭露,他叫虞钳和。”“我锁定熊猫烧香病毒作者IP地址是……”在百度贴吧的熊猫烧香吧中,类似这样充满臆测的帖子不断出现。
2006年11月14日第一次被发现的熊猫烧香病毒,在2007年2月初一夜之间变成了网络上的热门公共话题。“尽管我靠着杀毒软件和防火墙的保护,并没有中熊猫烧香的招,可我却第一次对一个病毒充满好感。”25岁的王毛毛将熊猫烧香的卡通图标设置成了自己的MSN头像,在他看来,熊猫烧香病毒至少在美术设计上充满幽默。
很多人之前并不知道这个病毒存在,更不知道熊猫烧香的图像是病毒发作后破坏执行文件的恶搞现场,反而是在看到熊猫举着三炷香的GIF图片后,第一次对一个病毒产生图形感知上的认识。真正引起大家对这个病毒产生兴趣的不仅是熊猫的卡通造型,病毒作者在几个月内与反病毒专家的过招与沟通更充满戏剧色彩。
病毒作者与反病毒高手展开拉锯战
“感谢mopery对此木马的关注。”这是1月初在熊猫烧香病毒代码中被筛拣出来的一段文字,病毒作者第一次在病毒中跟反病毒专家对上了话。这个mopery实际上是卡卡社区反病毒论坛的版主,早在2006年10月就注意到了熊猫烧香的原始病毒,并作为一名民间反病毒爱好者,一直以来对这个病毒严防死守,并且mopery最早甄别出来病毒作者身份。
正是因为在病毒代码中发现了whboy的标记,一下子让这场病毒暗战找到了真正的目标。whboy这个名字对反病毒圈内人来说并不陌生,这个名字被认定是“武汉男孩”的缩写,早在2004年就曾发现过署名whboy的盗号木马,后来还在一些病毒和黑客论坛公开发帖,表示有偿提供盗取QQ号的服务,但直到在熊猫烧香中露面,此前很长一段时间whboy销声匿迹了。
反病毒高手们封杀掉一个熊猫烧香变种,很快whboy又造出来一个新版本。随着熊猫烧香病毒疯狂地变种升级,越来越多民间反病毒爱好者聚集到卡卡社区反病毒论坛。
似乎病毒作者也注意到了一群对手的存在,2006年12月初的一个变种版本中毫不遮掩地留下了9个汉字:“武汉男孩感染下载者。”
此后病毒内的代码留言更加直接,2007年初的第二个病毒版本赫然写道:“感谢mopery对此木马的关注。”此后这个感谢名单不断被更新,1月5日的版本中添上了感谢“艾玛”,1月9日的版本中又多感谢了一位“海色之月”,并且在最后还留言:“服了……艾玛……”whboy在病毒代码中留言越来越频繁和随意,就好像自己跟反病毒高手们在BBS论坛上闲聊一样,1月15日的版本写道:“taylor77,不知道找我啥事啊?”whboy并且自称:“我制作的病毒已经满城尽烧国宝香。”此时在很多大众性的网络论坛内,熊猫烧香的图标早已经尽人皆知。
可事情突然在1月19日的晚上发生了转折,一个被重新加壳变种的熊猫烧香病毒成为暂时的结尾,在毫无征兆的前提下,whboy又以病毒代码的形式留言道:“在此对各位中过此木马的网友和各位网管人员表示深深的歉意!对不起,你们辛苦了!mopery,很想和你们交流一下!因某种原因,我想还是算了!”
公众对病毒的关注和诠释突然被拔高
尽管whboy停止了熊猫烧香病毒的更新,但一些类似的病毒并没有安静下来,同样修改可执行文件图标的“灯泡男孩”和“金猪满圈”又冒了出来,类似的变种加壳技术还在繁衍新版本。而在论坛和网民中间,熊猫烧香病毒似乎一夜之间被无限放大了,网络上流传已久的盗取账号产销一条龙被与熊猫烧香病毒联系到了一起,靠病毒盗号赚一座别墅的谣言被越传越广。甚至此后一个变种病毒中留下了“超级巡警终于火了”的字句,直接引发了网民对反病毒软件厂商超级巡警的猜疑。
而对whboy的崇拜和憎恨成为两派不同的声音,很多人都希望在追捕熊猫烧香病毒的过程中看到类似20世纪80年代诱捕头号电脑黑客凯文·米特尼克的惊奇故事。一些在过去两年间饱受流氓软件骚扰的网民,则直接将自己积蓄已久的怒火发泄到whboy身上,在百度的熊猫烧香吧内帖子数已经跃升到了19626篇。
电脑病毒在2006年呈爆发性泛滥,按照国内头号反病毒软件公司瑞星发布的《2006年度中国大陆地区电脑病毒疫情和互联网安全报告》中的数字,2006年截获了234211个新病毒,这个数字接近历史上老病毒数量的总和。尤其流氓软件成为社会公害被严打后,部分死不悔改的流氓软件直接变成了纯粹的病毒。瑞星副总裁毛一丁在接受记者采访时毫不掩饰地说:“熊猫烧香的危害不仅在于让公众对病毒可爱的图像伪装有了好感,真正可怕的是很多大网站编辑在感染了熊猫烧香后,直接把病毒附带在了公众网站上,结果谁浏览谁就中招儿,这种网络公共媒体的传播才更可怕。”
2006年十大病毒
【2006年十大病毒排行】
1.熊猫烧香(Worm.Nimaya)
2.威金蠕虫(Worm.Viking)
3.代理木马下载器(Trojan.DL.Agent)
4.传奇终结者(Trojan.PSW.Lmir)
5.征途木马(Trojan.PSW.Zhengtu)
6.QQ通行证(Trojan.PSW.QQPass)
7.威尔佐夫(Worm.Mail.Warezov)
8.调用门Rootkit(Rootkit.CallGate)
9.灰鸽子后门(Backdoor.Gpigeon)
10.魔兽木马(Trjan.PSW.WoWar)
总是出现了危机 才想起亡羊补牢
——对话国家计算机病毒应急处理中心副主任张健
问:这次熊猫烧香病毒不断升级,明显带有对抗色彩,从心态和手法上,你认为中国本土的病毒制造者是否发生了什么变化?
答:熊猫烧香病毒的情况每天都在变化,从该病毒的一些技术特点分析,它具备了目前传统病毒、蠕虫和木马的多重特点,绝对算得上一种多功能复合型病毒。而且其采用了加壳技术,不停更换外衣,快速变形,不断形成新的病毒变种,以对抗反病毒软件的查杀。从病毒编制者的动机看,具有极强的利益驱动,绝非以往单纯的技术炫耀。
问:2005年之后,大部分用户收到的骚扰来自流氓软件,感觉病毒的危害似乎在降低,最多也就是木马这类病毒频繁骚扰。我们感觉中国用户对安全的警觉在降低,你认为呢?
答:我们确实在防护体系上还存在技术上的不足,用户安全意识还有待进一步提高。信息时代的安全一直是不被重视的小问题,总是出现了危机、损失才想起亡羊补牢。
问:中国似乎并没有出现对病毒制造者或黑客的法律严惩,很多对民事行为的危害和损失最后甚至不了了之,你认为这是否纵容了中国信息安全破坏分子?
答:不是司法部门不对病毒制造者依法严惩,而是缺乏司法实践,有些法条使用上有很多技术困难,诸如网络犯罪证据一直难以获取,破坏后果更难准确评估,致使很多案件公安机关经过大量侦查工作,可又因证据不足,无法移交检察机关或者处置较轻。
网友评论