沒有多少人知道“尼姆亞”這個官方學(xué)名,卻都記住了“熊貓燒香”的卡通圖案。在熬過了2007年初地震斷網(wǎng)的光纜修復(fù)期后,1月底,中國互聯(lián)網(wǎng)的百姓們又一次經(jīng)歷了一場病毒泛濫的考驗。病毒不斷變種成了一場無聲的較量,“熊貓燒香”一夜之間變成“燈泡男孩”和“金豬滿圈”,夾雜著病毒作者的惡搞情緒,反病毒軟件廠商作秀般的猜疑,以及病毒從破壞者到盜賊的蛻變。湖北省公安廳12日宣布,湖北網(wǎng)監(jiān)一舉偵破了制作傳播熊貓燒香病毒案,抓獲李俊、雷磊等8名犯罪嫌疑人。這是我國偵破的國內(nèi)首例制作計算機(jī)病毒的大案。
湖北省公安廳12日宣布,根據(jù)統(tǒng)一部署,湖北網(wǎng)監(jiān)在浙江、山東、廣西、天津、廣東、四川、江西、云南、新疆、河南等地公安機(jī)關(guān)的配合下,一舉偵破了制作傳播熊貓燒香病毒案,抓獲李俊(男,25歲,武漢新洲區(qū)人)、雷磊(男,25歲,武漢新洲區(qū)人)等8名犯罪嫌疑人。這是我國偵破的國內(nèi)首例制作計算機(jī)病毒的大案。
「事件危害」 上百萬電腦用戶深受其害
據(jù)介紹,2006年底,我國互聯(lián)網(wǎng)上大規(guī)模爆發(fā)熊貓燒香病毒及其變種,該病毒通過多種方式進(jìn)行傳播,并將感染的所有程序文件改成熊貓舉著三炷香的模樣,同時該病毒還具有盜取用戶游戲賬號、QQ賬號等功能。該病毒傳播速度快,危害范圍廣,截至案發(fā)為止,已有上百萬個人用戶、網(wǎng)吧及企業(yè)局域網(wǎng)用戶遭受感染和破壞,引起社會各界高度關(guān)注?!度鹦?006安全報告》將其列為十大病毒之首,在《2006年度中國大陸地區(qū)電腦病毒疫情和互聯(lián)網(wǎng)安全報告》的十大病毒排行中一舉成為“毒王”。
「成功偵破」 抓獲李俊等8名犯罪嫌疑人
今年1月中旬,湖北省網(wǎng)監(jiān)部門根據(jù)公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局的部署,對熊貓燒香病毒的制作者開展調(diào)查。
經(jīng)查,熊貓燒香病毒的制作者為湖北省武漢市李俊,據(jù)李俊交代,其于2006年10月16日編寫了熊貓燒香病毒并在網(wǎng)上廣泛傳播,并且還以自己出售和由他人代賣的方式,在網(wǎng)絡(luò)上將該病毒銷售給120余人,非法獲利10萬余元。經(jīng)病毒購買者進(jìn)一步傳播,導(dǎo)致該病毒的各種變種在網(wǎng)上大面積傳播,對互聯(lián)網(wǎng)用戶計算機(jī)安全造成了嚴(yán)重破壞。李俊還于2003年編寫了“武漢男生”病毒,2005年編寫了“武漢男生2005”病毒及“QQ尾巴”病毒。另外,本案另有幾個重要犯罪嫌疑人雷磊(男,25歲,武漢新洲區(qū)人)、王磊(男,22歲,山東威海人)、葉培新(男,21歲,浙江溫州人)、張順(男,23歲,浙江麗水人)、王哲(男,24歲,湖北仙桃人)通過改寫、傳播熊貓燒香等病毒,構(gòu)建“僵尸網(wǎng)絡(luò)”,通過盜竊各種游戲和QQ賬號等方式非法牟利。
目前,李俊、雷磊等8名犯罪嫌疑人已被刑事拘留。
「偵破內(nèi)幕」 作者的求財動機(jī)提供破案線索
在湖北省公安廳宣布成功偵破熊貓燒香病毒案當(dāng)晚,接近該案專案小組的知情人士透露抓捕內(nèi)幕。這是迄今為止,我國偵破的國內(nèi)首例制作計算機(jī)病毒的大案。
接近該案的知情人士透露,公安部從去年10月底就開始關(guān)注熊貓燒香病毒,“它的傳播面大,影響面廣而且特別惡劣。”盡管病毒作者絞盡腦汁進(jìn)行自我隱藏,不過在鎖定目標(biāo)的過程中,還是在互聯(lián)網(wǎng)上留下了很多蛛絲馬跡?!捌鋵?shí)這類病毒的作者往往以賺錢為目的,總是會留下線索?!睂0感〗M選擇從互聯(lián)網(wǎng)上的一些社區(qū)信息、域名注冊信息開始入手。
該人士表示,目前多個相關(guān)病毒的代碼里都寫著whboy,其中就包括大名鼎鼎的熊貓燒香、流氓軟件51.vc以及一些騰訊QQ、網(wǎng)游傳奇賬號密碼盜竊的木馬軟件?!斑@些木馬的代碼、傳播以及爆發(fā)手法都極為相似”,專案小組初步判斷為同一人所為,決定并案偵查。
“舉個例子來說,51.vc的網(wǎng)站上寫著ICP證是:魯ICP證005248號?!敝槿耸勘硎荆瑢0感〗M當(dāng)即查明這是一個偽造的ICP證,通過有關(guān)渠道查到另一個網(wǎng)站www.51pm.org也是使用了這個偽造的ICP證。盡管當(dāng)時該網(wǎng)站已不能訪問,但可以搜索引擎的快照功能回溯該站點(diǎn)網(wǎng)頁,其內(nèi)容和51.vc完全一樣。專案小組在掌握了上述信息后,立即著手尋找51.vc或51pm.org注冊者,而這些人也就是這些病毒的作者或者幕后指使的關(guān)聯(lián)人物。
知情人士表示,上述例子只是偵破手段中的一種方法,“事實(shí)上,在偵破過程中采用了多方面信息相互印證的辦法?!睋?jù)介紹,目前互聯(lián)網(wǎng)上有多種追蹤方式,對于大規(guī)模傳播的病毒而言,幕后黑手幾乎無法藏身。
信息安全業(yè)內(nèi)人士表示,技術(shù)上鎖定并取證后,再通過調(diào)查其背后商業(yè)目的的方法入手分析,一般都能發(fā)現(xiàn)蛛絲馬跡。尤其是熊貓燒香與以往許多病毒都在拼命隱藏作者身份的做法不同,熊貓燒香的作者顯得過于明目張膽。據(jù)悉,此次有關(guān)部門抓捕病毒作者,是因為熊貓燒香的病毒作者不僅自己擴(kuò)散傳播,還主動銷售源代碼給其他盜竊團(tuán)伙,種種行為都暴露了他的身份。
“這個病毒是通過入侵網(wǎng)站并掛上木馬來實(shí)現(xiàn)傳播,并盜取用戶有價值的虛擬賬戶。除此之外,這個團(tuán)伙還銷售病毒源代碼牟利,其影響的規(guī)模非常大,社會影響極為惡劣?!苯咏鼘0感〗M的知情人士表示,“不僅是他們一個病毒團(tuán)伙在傳播,還有大量團(tuán)伙一起傳播?!?/P>
“這背后也許還隱藏著更為復(fù)雜的利益集團(tuán),這些都還沒有最終浮出水面。”
「事件副本」 熊貓病毒圖片成為部分網(wǎng)民的“寵物”
“據(jù)說熊貓燒香病毒的作者才15歲?!薄靶茇垷阕髡哒浇衣?,他叫虞鉗和?!薄拔益i定熊貓燒香病毒作者IP地址是……”在百度貼吧的熊貓燒香吧中,類似這樣充滿臆測的帖子不斷出現(xiàn)。
2006年11月14日第一次被發(fā)現(xiàn)的熊貓燒香病毒,在2007年2月初一夜之間變成了網(wǎng)絡(luò)上的熱門公共話題?!氨M管我靠著殺毒軟件和防火墻的保護(hù),并沒有中熊貓燒香的招,可我卻第一次對一個病毒充滿好感。”25歲的王毛毛將熊貓燒香的卡通圖標(biāo)設(shè)置成了自己的MSN頭像,在他看來,熊貓燒香病毒至少在美術(shù)設(shè)計上充滿幽默。
很多人之前并不知道這個病毒存在,更不知道熊貓燒香的圖像是病毒發(fā)作后破壞執(zhí)行文件的惡搞現(xiàn)場,反而是在看到熊貓舉著三炷香的GIF圖片后,第一次對一個病毒產(chǎn)生圖形感知上的認(rèn)識。真正引起大家對這個病毒產(chǎn)生興趣的不僅是熊貓的卡通造型,病毒作者在幾個月內(nèi)與反病毒專家的過招與溝通更充滿戲劇色彩。
病毒作者與反病毒高手展開拉鋸戰(zhàn)
“感謝mopery對此木馬的關(guān)注?!边@是1月初在熊貓燒香病毒代碼中被篩揀出來的一段文字,病毒作者第一次在病毒中跟反病毒專家對上了話。這個mopery實(shí)際上是卡卡社區(qū)反病毒論壇的版主,早在2006年10月就注意到了熊貓燒香的原始病毒,并作為一名民間反病毒愛好者,一直以來對這個病毒嚴(yán)防死守,并且mopery最早甄別出來病毒作者身份。
正是因為在病毒代碼中發(fā)現(xiàn)了whboy的標(biāo)記,一下子讓這場病毒暗戰(zhàn)找到了真正的目標(biāo)。whboy這個名字對反病毒圈內(nèi)人來說并不陌生,這個名字被認(rèn)定是“武漢男孩”的縮寫,早在2004年就曾發(fā)現(xiàn)過署名whboy的盜號木馬,后來還在一些病毒和黑客論壇公開發(fā)帖,表示有償提供盜取QQ號的服務(wù),但直到在熊貓燒香中露面,此前很長一段時間whboy銷聲匿跡了。
反病毒高手們封殺掉一個熊貓燒香變種,很快whboy又造出來一個新版本。隨著熊貓燒香病毒瘋狂地變種升級,越來越多民間反病毒愛好者聚集到卡卡社區(qū)反病毒論壇。
似乎病毒作者也注意到了一群對手的存在,2006年12月初的一個變種版本中毫不遮掩地留下了9個漢字:“武漢男孩感染下載者。”
此后病毒內(nèi)的代碼留言更加直接,2007年初的第二個病毒版本赫然寫道:“感謝mopery對此木馬的關(guān)注?!贝撕筮@個感謝名單不斷被更新,1月5日的版本中添上了感謝“艾瑪”,1月9日的版本中又多感謝了一位“海色之月”,并且在最后還留言:“服了……艾瑪……”whboy在病毒代碼中留言越來越頻繁和隨意,就好像自己跟反病毒高手們在BBS論壇上閑聊一樣,1月15日的版本寫道:“taylor77,不知道找我啥事?。俊眞hboy并且自稱:“我制作的病毒已經(jīng)滿城盡燒國寶香?!贝藭r在很多大眾性的網(wǎng)絡(luò)論壇內(nèi),熊貓燒香的圖標(biāo)早已經(jīng)盡人皆知。
可事情突然在1月19日的晚上發(fā)生了轉(zhuǎn)折,一個被重新加殼變種的熊貓燒香病毒成為暫時的結(jié)尾,在毫無征兆的前提下,whboy又以病毒代碼的形式留言道:“在此對各位中過此木馬的網(wǎng)友和各位網(wǎng)管人員表示深深的歉意!對不起,你們辛苦了!mopery,很想和你們交流一下!因某種原因,我想還是算了!”
公眾對病毒的關(guān)注和詮釋突然被拔高
盡管whboy停止了熊貓燒香病毒的更新,但一些類似的病毒并沒有安靜下來,同樣修改可執(zhí)行文件圖標(biāo)的“燈泡男孩”和“金豬滿圈”又冒了出來,類似的變種加殼技術(shù)還在繁衍新版本。而在論壇和網(wǎng)民中間,熊貓燒香病毒似乎一夜之間被無限放大了,網(wǎng)絡(luò)上流傳已久的盜取賬號產(chǎn)銷一條龍被與熊貓燒香病毒聯(lián)系到了一起,靠病毒盜號賺一座別墅的謠言被越傳越廣。甚至此后一個變種病毒中留下了“超級巡警終于火了”的字句,直接引發(fā)了網(wǎng)民對反病毒軟件廠商超級巡警的猜疑。
而對whboy的崇拜和憎恨成為兩派不同的聲音,很多人都希望在追捕熊貓燒香病毒的過程中看到類似20世紀(jì)80年代誘捕頭號電腦黑客凱文。米特尼克的驚奇故事。一些在過去兩年間飽受流氓軟件騷擾的網(wǎng)民,則直接將自己積蓄已久的怒火發(fā)泄到whboy身上,在百度的熊貓燒香吧內(nèi)帖子數(shù)已經(jīng)躍升到了19626篇。
電腦病毒在2006年呈爆發(fā)性泛濫,按照國內(nèi)頭號反病毒軟件公司瑞星發(fā)布的《2006年度中國大陸地區(qū)電腦病毒疫情和互聯(lián)網(wǎng)安全報告》中的數(shù)字,2006年截獲了234211個新病毒,這個數(shù)字接近歷史上老病毒數(shù)量的總和。尤其流氓軟件成為社會公害被嚴(yán)打后,部分死不悔改的流氓軟件直接變成了純粹的病毒。瑞星副總裁毛一丁在接受記者采訪時毫不掩飾地說:“熊貓燒香的危害不僅在于讓公眾對病毒可愛的圖像偽裝有了好感,真正可怕的是很多大網(wǎng)站編輯在感染了熊貓燒香后,直接把病毒附帶在了公眾網(wǎng)站上,結(jié)果誰瀏覽誰就中招兒,這種網(wǎng)絡(luò)公共媒體的傳播才更可怕?!?/P>
「2006年十大病毒排行」
1.熊貓燒香(Worm.Nimaya)
2.威金蠕蟲(Worm.Viking)
3.代理木馬下載器(Trojan.DL.Agent)
4.傳奇終結(jié)者(Trojan.PSW.Lmir)
5.征途木馬(Trojan.PSW.Zhengtu)
6.QQ通行證(Trojan.PSW.QQPass)
7.威爾佐夫(Worm.Mail.Warezov)
8.調(diào)用門Rootkit(Rootkit.CallGate)
9.灰鴿子后門(Backdoor.Gpigeon)
10.魔獸木馬(Trjan.PSW.WoWar)
(轉(zhuǎn)載自www.iresearch.com.cn)