“熊猫烧香”病毒案告破 知情人透露侦破内幕

　　新华网武汉2月12日电（记者方政军）湖北省公安厅12日宣布，根据统一部署，湖北网监在浙江、山东、广西、天津、广东、四川、江西、云南、新疆、河南等地公安机关的配合下，一举侦破了制作传播“熊猫烧香”病毒案，抓获李俊（男，25岁，武汉新洲区人）、雷磊（男，25岁，武汉新洲区人）等8名犯罪嫌疑人。

这是我国破获的国内首例制作计算机病毒的大案。>>>点击详细

　　“熊猫烧香”简介

　　“熊猫烧香”病毒是一个能在电脑操作系统上运行的蠕虫病毒。采用“熊猫烧香”头像作为图标。它的变种会感染EXE可执行文件，被病毒感染的文件图标均变为“熊猫烧香”。该病毒会在中毒电脑中所有的网页文件尾部添加病毒代码。

　　[事件危害] 上百万电脑用户深受其害

　　据介绍，2006年底，我国互联网上大规模爆发熊猫烧香病毒及其变种，该病毒通过多种方式进行传播，并将感染的所有程序文件改成熊猫举着三炷香的模样，同时该病毒还具有盗取用户游戏账号、QQ账号等功能。该病毒传播速度快，危害范围广，截至案发为止，已有上百万个人用户、网吧及企业局域网用户遭受感染和破坏，引起社会各界高度关注。《瑞星2006安全报告》将其列为十大病毒之首，在《2006年度中国大陆地区电脑病毒疫情和互联网安全报告》的十大病毒排行中一举成为“毒王”。

　　[侦破内幕] 作者的求财动机提供破案线索

　　在湖北省公安厅宣布成功侦破熊猫烧香病毒案当晚，接近该案专案小组的知情人士透露抓捕内幕。这是迄今为止，我国侦破的国内首例制作计算机病毒的大案。

　　接近该案的知情人士透露，公安部从去年10月底就开始关注熊猫烧香病毒，“它的传播面大，影响面广而且特别恶劣。”尽管病毒作者绞尽脑汁进行自我隐藏，不过在锁定目标的过程中，还是在互联网上留下了很多蛛丝马迹。“其实这类病毒的作者往往以赚钱为目的，总是会留下线索。”专案小组选择从互联网上的一些社区信息、域名注册信息开始入手。

　　该人士表示，目前多个相关病毒的代码里都写着whboy，其中就包括大名鼎鼎的熊猫烧香、流氓软件51.vc以及一些腾讯QQ、网游传奇账号密码盗窃的木马软件。“这些木马的代码、传播以及爆发手法都极为相似”，专案小组初步判断为同一人所为，决定并案侦查。

　　“举个例子来说，51.vc的网站上写着ICP证是：鲁ICP证005248号。”知情人士表示，专案小组当即查明这是一个伪造的ICP证，通过有关渠道查到另一个网站www.51pm.org也是使用了这个伪造的ICP证。尽管当时该网站已不能访问，但可以搜索引擎的快照功能回溯该站点网页，其内容和51.vc完全一样。专案小组在掌握了上述信息后，立即着手寻找51.vc或51pm.org注册者，而这些人也就是这些病毒的作者或者幕后指使的关联人物。

　　知情人士表示，上述例子只是侦破手段中的一种方法，“事实上，在侦破过程中采用了多方面信息相互印证的办法。”据介绍，目前互联网上有多种追踪方式，对于大规模传播的病毒而言，幕后黑手几乎无法藏身。

　　信息安全业内人士表示，技术上锁定并取证后，再通过调查其背后商业目的的方法入手分析，一般都能发现蛛丝马迹。尤其是熊猫烧香与以往许多病毒都在拼命隐藏作者身份的做法不同，熊猫烧香的作者显得过于明目张胆。据悉，此次有关部门抓捕病毒作者，是因为熊猫烧香的病毒作者不仅自己扩散传播，还主动销售源代码给其他盗窃团伙，种种行为都暴露了他的身份。

　　“这个病毒是通过入侵网站并挂上木马来实现传播，并盗取用户有价值的虚拟账户。除此之外，这个团伙还销售病毒源代码牟利，其影响的规模非常大，社会影响极为恶劣。”接近专案小组的知情人士表示，“不仅是他们一个病毒团伙在传播，还有大量团伙一起传播。”

　　“这背后也许还隐藏着更为复杂的利益集团，这些都还没有最终浮出水面。”

　　反病毒人士与“熊猫烧香”作者网上对战纪实

　　“熊猫”体内暗藏留言

　　在“熊猫烧香”大肆肆虐期间，反病毒工程师透露，“熊猫烧香”的作者并非无迹可寻，在解剖病毒过程中，他们发现了留在病毒内的一些神秘留言。在这些留言里，“熊猫烧香”的作者自称whboy———“武汉男孩”。

　　mopery是卡卡社区反病毒论坛的版主，也是一名反病毒高手。

　　2006年10月中旬，mopery接到网友求助。在帮忙解决电脑故障的过程中，他拿到了一个病毒样本，它就是“熊猫烧香”的原始版本。

　　将病毒“解剖”之后，在繁复的程序代码中，mopery看到了一段与程序无关的信息，其中有一行字母：“whboy”。

　　“whboy”这个名字，对于病毒研究者有着不一般的含义。2004年，whboy即发布了其创作的病毒“武汉男孩”，那是一种通过QQ传播的盗号木马，因为其变种的疯狂和传播的广泛，一年后，被江民反病毒中心列入2005年十大病毒之列。

　　此后，whboy还在一些病毒论坛和黑客论坛发帖，表示可以提供盗取QQ号服务，但不久后便销声匿迹，直至“熊猫”出现。

　　在“熊猫烧香”的变种中，每隔一段时间，作者都有意在病毒中留下whboy字样。“他主要给我们这些分析病毒的人看，普通用户看不到代码。”

　　民间程序高手解析熊猫烧香形成危害原因

　　病毒简单却有雪崩效应

　　“农夫”介绍说，“熊猫烧香”病毒是采用捆绑的原理进行感染的，这种技术并不高明，可以打个比方，如果把正常的文件看成一杯白开水，这种病毒就像油，感染的时候就好比把油倒进白开水中，可以很清楚的看到油浮在上面，水在下面。要把病毒清理出去也很简单，就是以这个分界线为界，把病毒那一边的数据全部搬走就可以了。

　　[回放]

　　发作 2006年11月

　　小小“熊猫”毒害电脑

　　瑞星反病毒专家介绍说，“熊猫烧香”其实是“尼姆亚”病毒的新变种，最早出现在2006年的11月。该病毒会在中毒电脑中所有的网页文件尾部添加病毒代码。一些网站编辑人员的电脑如果被该病毒感染，上传网页到网站后，就会导致用户浏览网站时也被感染。

　　蠕虫除了通过Web网站感染计算机用户之外，还会在一些企业内部局域网中迅速传播，在极短时间之内就可以感染很多台计算机系统，中毒电脑上会出现“熊猫烧香”图案。中毒电脑会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象，最终导致整个局域网络瘫痪，无法正常工作。

　　疯狂 2007年1月22日

　　数百万台电脑被感染

　　“熊猫烧香”病毒疯狂攻击计算机用户，截至1月22日，据不完全统计，已有数百万台电脑被感染。而“熊猫烧香”的变种已超过50个。杀毒软件提供商“金山毒霸”客户服务中心有关人士称，1月下旬，有关该病毒的咨询量占了73%，而且多以北京、广州、上海等大城市为主。

　　1月24日，“熊猫烧香”病毒的攻击重点转向企业局域网和网站。据悉，由于这些网站的浏览量非常大，致使“熊猫烧香”病毒的感染范围非常广，中毒企业和政府机构已经超过千家，其中不乏金融、税务、能源等关系到国计民生的重要单位。

　　通缉 2007年1月下旬

　　网友“悬红”10万美元

　　谁制造了“熊猫烧香”？他意欲何为？在“熊猫烧香”肆虐期间，关于作者身份的种种猜测流传于互联网上。1月下旬，在百度“熊猫烧香”贴吧中，数百名深受“熊猫”所害的网民发帖“通缉”病毒制造者，更有网民声称开出10万美元的悬赏花红。

　　变种 2007年 2月11日

　　变身“金猪”继续作恶

　　一个“熊猫烧香”病毒的最新变种在互联网上大量出现，这个病毒名为“尼姆亚变种CB(Worm.Nimaya.cb)”，其危害与“熊猫烧香”病毒类似，只是被病毒感染的文件图标由“熊猫烧香”变成了一只“金猪”。瑞星反病毒反木马一周播报(2007.02.12-02.18)将其列为本周关注病毒。

　　“尼姆亚变种CB”是一个能在WIN9X／NT／2000／XP／2003系统上运行的蠕虫病毒。这个病毒采用“金猪”头像作为图标，诱使计算机用户运行。该变种会感染计算机上的EXE可执行文件，被病毒感染的文件图标均变为“金猪”。同时，受感染的计算机还会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。这一病毒还会在中毒电脑中所有的网页文件尾部添加病毒代码。一些网站编辑人员的电脑如果被该病毒感染，上传网页到网站后，就会导致用户浏览这些网站时也被病毒感染。

　　[2006年十大病毒排行]

　　1.熊猫烧香（Worm.Nimaya）

　　2.威金蠕虫（Worm.Viking）

　　3.代理木马下载器（Trojan.DL.Agent）

　　4.传奇终结者（Trojan.PSW.Lmir）

　　5.征途木马（Trojan.PSW.Zhengtu）

　　6.QQ通行证（Trojan.PSW.QQPass）

　　7.威尔佐夫（Worm.Mail.Warezov）

　　8.调用门Rootkit(Rootkit.CallGate)

　　9.灰鸽子后门（Backdoor.Gpigeon）

　　10.魔兽木马（Trjan.PSW.WoWar）

　　杀毒软件商：此案警示作用很大

　　昨天，熊猫烧香病毒作者落网的消息传来后，国内的杀毒软件厂商们纷纷做出回应。瑞星副总裁毛一丁在庆幸案件破获的同时，认为这将起到杀鸡儆猴的作用，“它会告诉那些小孩，制作并传播病毒不是什么时髦的事情，而是要付出代价的。”

　　据毛一丁透露，瑞星公司在1月中旬就协助天津市公安局提交了他们掌握的有关熊猫烧香的数据信息。毛一丁呼吁有关部门应该加大打击制作传播病毒案件的力度。

　　金山毒霸事业部总经理王全国也对案件的破获表示欣慰。他认为，从熊猫烧香传播的速度和变种的数量上来看，“参与这起案件的人应该不止6人”，因此，他们认为这是一起团伙制作传播病毒案。

　　王全国也认为这个案件说明我国网络安全管理部门完全有能力破获计算机病毒制作传播案件，势必对今后那些制作传播病毒案件者起到很好的警示作用。

　　对话国家计算机病毒应急处理中心副主任张健

　　问：这次熊猫烧香病毒不断升级，明显带有对抗色彩，从心态和手法上，你认为中国本土的病毒制造者是否发生了什么变化？

　　答：熊猫烧香病毒的情况每天都在变化，从该病毒的一些技术特点分析，它具备了目前传统病毒、蠕虫和木马的多重特点，绝对算得上一种多功能复合型病毒。而且其采用了加壳技术，不停更换外衣，快速变形，不断形成新的病毒变种，以对抗反病毒软件的查杀。从病毒编制者的动机看，具有极强的利益驱动，绝非以往单纯的技术炫耀。

　　问：2005年之后，大部分用户收到的骚扰来自流氓软件，感觉病毒的危害似乎在降低，最多也就是木马这类病毒频繁骚扰。我们感觉中国用户对安全的警觉在降低，你认为呢？

　　答：我们确实在防护体系上还存在技术上的不足，用户安全意识还有待进一步提高。信息时代的安全一直是不被重视的小问题，总是出现了危机、损失才想起亡羊补牢。

　　问：中国似乎并没有出现对病毒制造者或黑客的法律严惩，很多对民事行为的危害和损失最后甚至不了了之，你认为这是否纵容了中国信息安全破坏分子？

　　答：不是司法部门不对病毒制造者依法严惩，而是缺乏司法实践，有些法条使用上有很多技术困难，诸如网络犯罪证据一直难以获取，破坏后果更难准确评估，致使很多案件公安机关经过大量侦查工作，可又因证据不足，无法移交检察机关或者处置较轻。

　　链接 计算机信息系统安全保护条例

　　第二十三条故意输入计算机病毒以及其他有害数据危害计算机信息系统安全的，或者未经许可出售计算机信息系统安全专用产品的，由公安机关处以警告或者对个人处以5000元以下的罚款、对单位处以15000元以下的罚款；有违法所得的，除予以没收外，可以处以违法所得1至3倍的罚款。

　　第二十四条违反本条例的规定，构成违反治安管理行为的，依照《中华人民共和国治安管理处罚条例》的有关规定处罚；构成犯罪的，依法追究刑事责任。(京华时报)