“熊猫烧香”黑手落网内幕曝光
事件
2007年2月12日晚,从湖北省公安厅传来一个让人振奋的消息:成为无数电脑用户噩梦般记忆的“熊猫烧香”病毒案终于宣布告破,公安机关一举抓获了6名犯罪嫌疑人。
抛开“熊猫烧香”病毒本身的巨大破坏力不说,单就案件本身来看,这是中国国内首例成功告破的制作传播计算机病毒大案。
而在整个案件的破获过程中,各种高科技手段的运用也为在互联网这样的虚拟环境中制止犯罪行为提供了很多思考和借鉴。本期新闻评论周刊就深入这起案件背后,看看“熊猫烧香”病毒背后有着怎样的黑幕。
“烧香人”来自80后一代
2006年12月,被称为“熊猫烧香”的新型病毒在互联网上大规模爆发,许多企业局域网、网吧和个人电脑遭受重创。
染上该病毒之后,电脑硬盘里各种文件无法打开,基本处于瘫痪状态,屏幕上会出现一排排熊猫图案,熊猫手持三炷香,做拱手作揖状。
今年1月7日,国家计算机病毒应急处理中心发出“熊猫烧香”的紧急预警。
1月9日,湖北省仙桃市公安局接到报案,该市“江汉热线”网站不幸感染“熊猫烧香”病毒,导致网络瘫痪,貌似憨厚的“熊猫”就这样进入警方视野。
1月中旬,湖北省公安厅网监总队根据公安部公共信息网络安全监察局的部署,开始对“熊猫烧香”病毒制作者开展追捕。
但“熊猫”继续四处“烧香”,并且愈演愈烈。1月22日,国家计算机病毒应急处理中心再次发出警报,在全国通缉“熊猫”。
仙桃市网监大队调查发现,病毒作者在病毒中加入了代码“WHBOY”(武汉男孩),警方因此猜测病毒作者可能是一网名为“武汉男孩”的人。
仙桃网警运用多种网络技术手段和侦查手段,获取了确定犯罪嫌疑人“武汉男孩”的身份信息。“武汉男孩”25岁左右,身高1.75米。
2月1日,查找到犯罪嫌疑人所在地——武汉关山的一栋两层楼房内的出租屋。侦破专班对该出租屋实行24小时监控。
2月3日晚9时许,一男子回该出租屋取东西,被警方抓获,此人正是“熊猫烧香”制作者李俊。李俊交待了其制作“熊猫烧香”病毒牟利的经过,并交出了其销售病毒的下线。
愈“天才”愈堕落
“他是网络天才,但遗憾的是却不懂法律,至今都不了解为什么传播网络病毒是违法犯罪行为。”湖北省厅网监总队有关专家如此描述李俊。
2004年毕业后,李俊曾多次到北京、广州等地寻找IT方面的工作,尤其钟情于网络安全公司,但均未成功。
因此李俊心有不甘,一方面为了检验自己学习成果,另一方面为了显示自己编程技术高超,制造出“熊猫烧香”病毒。
2003年,李俊开始编写“武汉男生”病毒,2005年编写了“武汉男生2005”病毒及“QQ尾巴”病毒。
2006年10月,李俊编写了“熊猫烧香”病毒,他以自己出售和由他人代卖的方式,以每次要价500~1000元不等,获利10万余元。
李俊交代,“熊猫烧香”病毒是一种超强病毒,感染病毒的电脑会在硬盘的所有网页文件上附加病毒,天涯社区等门户网站就遭受过它的袭击。
李俊在接受公安局调查时说,编写病毒先开始只为了看看自己所学知识是否有用,证明自己编程技术扎实,后来发现售卖病毒可以赚钱,于是才向需求者转让病毒。
而经病毒购买者进一步传播,该病毒的各种变种在网上大面积传播,据估算,被“熊猫烧香”病毒控制的“网络僵尸”数以百万计,通过盗窃各种游戏和QQ账号等方式非法牟利,一年累计可获利上千万元。
三个月的高科技较量
在”熊猫烧香”病毒攻击下,许多计算机用户都曾深受其害。
据统计,从2006年11月开始,互联网上大规模爆发“熊猫烧香”病毒及变种,该病毒传播速度快,危害范围广,截至抓获李俊为止,已有上百万个人用户、网吧及企业局域网用户遭受感染和破坏。日本、德国等国家,纷纷发布“熊猫烧香”的预防警报。
据知情人士透露,2007年1月份开始,公安部公共信息网络安全监察局并下发了针对“熊猫烧香”病毒的红色专项行动,并成立了专案小组。其实早在去年10月份“熊猫烧香”病毒开始传播时,公安部就已经将该病毒列入了重点调查名单。
在以往,病毒像打开潘多拉盒子,是连锁反应式的自发传播、感染。“熊猫烧香”病毒则不然,中间存在着很多人为的痕迹。在多个“熊猫烧香”变种病毒代码中都有WHBOY的字样,流氓软件51VC、腾讯QQ、网游传奇账号密码盗窃的木马软件,代码、传播及爆发手法非常相似。因此,病毒制作者在互联网社区、论坛、网站域名注册信息中留下了不少的线索。
更让人难以理解的是,网络名为“武汉男孩”的李俊曾在网上留言挑衅。在侦查过程中,反病毒工程师们发现,在2007年1月15日,“武汉男孩”在网上留言中戏言:“我制作的病毒已经‘满城尽烧国宝香’。”1月19日晚,“熊猫烧香”最后一次更新,发布者写下临别赠语:“在此对各位中过此木马的网友和各位网管人员表示深深的歉意!对不起,你们辛苦了!”
信息安全业内人士表示,“熊猫烧香”与以往许多病毒都在拼命隐藏作者身份的做法不同,“熊猫烧香”的作者显得过于明目张胆,还主动销售源代码给他人,这些行为都暴露了他的身份。
一些民间力量也开始在互联网上讨伐。在百度的“熊猫烧香吧”里,网络追缉令受到网民的追捧,一家损失巨大的帆船公司甚至愿意以一艘价值5万元的帆船为代价缉拿“熊猫主人”,还有网友开出了10万美元赏金捉拿“熊猫烧香”病毒制作者。这在反病毒历史上是第一次。
警方将李俊抓获后,李在看守所里写下杀毒软件程序,交给了警方。经试验,该程序能在几分钟内彻底杀灭“熊猫烧香”病毒。
2月14日下午2点,仙桃警方在其网站公告中新增一段内容,表示在经过公安部有关部门鉴定之后,才会将“李俊版”反病毒程序公布并提供给网友下载。
锐评:电脑病毒正在“商业化”
随着熊猫烧香病毒团伙的落网,这一影响面极广的全国联合抓捕行动暂时告一段落,但背后却值得反思。
除了严惩作恶者外,更为值得警惕的是,病毒越来越倾向于商业利益,而不仅仅满足于玩弄过程中的快感。在熊猫烧香病毒肆虐的几个月时间里,大批用户QQ号被盗,被盗号码在网上被秘密拍卖;盛大、九城、金山等网络游戏用户的高级游戏装备大规模被窃取,流入一些地下渠道被倒卖;银行的网络客户也频频爆出失窃案。这表明病毒已经搭上经济利益,而且已经造成了巨大经济损失。
一份瑞星发布的最新统计报告显示,“熊猫烧香”幕后团伙正是通过“编写病毒—攻击网站植入病毒—用户感染(机器被黑客控制,构成僵尸网络Botnet)—窃取用户资料—在网上出售”这一系列环节构成了完整的灰色交易产业链。而从整体信息安全市场看,2006年被截获的新病毒共有234211个,其中90%以上带有明显的利益特征,以窃取用户账号密码等个人虚拟财产信息的病毒共167387个,占到总病毒数量的71.47%。黑客普遍利用程序给病毒加壳(相当于把病毒加密变形),实现“机械化生产病毒”,达到23万的惊人数字,几乎等于以往所有病毒数量的总和。
可见,病毒与商业利益的挂钩更增加了其社会危害性。2月12日制作熊猫烧香病毒的罪魁祸首归案,将为其他怀有同样目的的病毒炮制者敲响警钟。有专家表示,公安部之所以动用全国力量展开抓捕行动,与近期互联网上盗取行为的增多有很大关系。熊猫烧香病毒案的告破,将起到杀一儆百的效果,让更多的潜在病毒破坏分子放下屠刀。不过,虽然熊猫烧香病毒制作者被捕起到了一定的威慑作用,但在巨大经济利益的诱惑下,必然还会有以身试法者。警察与小偷在互联网这个虚拟世界里的对抗仍将上演。