湖北省公安厅12日宣布,根据统一部署,湖北网监在浙江、山东、广西、天津、广东、四川、江西、云南、新疆、河南等地公安机关的配合下,一举侦破了制作传播“熊猫烧香”病毒案,抓获李俊(男,25岁,武汉新洲区人)、雷磊(男,25岁,武汉新洲区人)等8名犯罪嫌疑人。这是我国破获的国内首例制作计算机病毒的大案。据介绍,2006年底,我国互联网上大规模爆发“熊猫烧香”病毒及其变种,该病毒通过多种方式进行传播,并将感染的所有程序文件改成熊猫举着三根香的模样,
湖北省公安厅12日宣布,根据统一部署,湖北网监在浙江、山东、广西、天津、广东、四川、江西、云南、新疆、河南等地公安机关的配合下,一举侦破了制作传播“熊猫烧香”病毒案,抓获李俊(男,25岁,武汉新洲区人)、雷磊(男,25岁,武汉新洲区人)等8名犯罪嫌疑人。这是我国破获的国内首例制作计算机病毒的大案。
据介绍,2006年底,我国互联网上大规模爆发“熊猫烧香”病毒及其变种,该病毒通过多种方式进行传播,并将感染的所有程序文件改成熊猫举着三根香的模样,
同时该病毒还具有盗取用户游戏账号、QQ账号等功能。该病毒传播速度快,危害范围广,截至案发为止,已有上百万个人用户、网吧及企业局域网用户遭受感染和破坏,引起社会各界高度关注。《瑞星2006安全报告》将其列为十大病毒之首,在《2006年度中国大陆地区电脑病毒疫情和互联网安全报告》的十大病毒排行中一举成为“毒王”。
今年1月中旬,湖北省网监部门根据公安部公共信息网络安全监察局的部署,对“熊猫烧香”病毒的制作者开展调查。经查,熊猫烧香病毒的制作者为湖北省武汉市李俊,据李俊交代,其于2006年10月16日编写了“熊猫烧香”病毒并在网上广泛传播,并且还以自己出售和由他人代卖的方式,在网络上将该病毒销售给120余人,非法获利10万余元。经病毒购买者进一步传播,导致该病毒的各种变种在网上大面积传播,对互联网用户计算机安全造成了严重破坏。李俊还于2003年编写了“武汉男生”病毒、2005年编写了“武汉男生2005”病毒及“QQ尾巴”病毒。另外,本案另有几个重要犯罪嫌疑人雷磊(男,25岁,武汉新洲区人)、王磊(男,22岁,山东威海人)、叶培新(男,21岁,浙江温州人)、张顺(男,23岁,浙江丽水人)、王哲(男,24岁,湖北仙桃人)通过改写、传播“熊猫烧香”等病毒,构建“僵尸网络”,通过盗窃各种游戏和QQ账号等方式非法牟利。
目前,李俊、雷磊等8名犯罪嫌疑人已被刑事拘留。
2楼
“熊猫烧香”案侦破纪实
曾几何时,一只颔首敬香的熊猫成为无数电脑用户噩梦般的记忆:上百万个人用户、网吧及企业局域网用户遭受感染和破坏,损失难以估量,《瑞星2006安全报告》将其列为十大病毒之首,《2006年度中国大陆地区电脑病毒疫情和互联网安全报告》称其为“毒王”。湖北省公安厅12日宣布:根据统一部署,湖北网监在浙、鲁、桂、津、粤、川、闽、云、新、豫等地警方的配合下,一举侦破了制作传播“熊猫烧香”病毒案,抓获李俊等6名嫌犯。这是我国破获的国内首例制作计算机病毒的大案。
关山出租屋内抓获“武汉男孩”
今年1月,仙桃市公安局局域网办理第二身份证时中了“熊猫烧香”病毒。与此同时,位于仙桃市的“江汉热线”不幸感染“熊猫烧香”,网络瘫痪。1月中旬,湖北网监部门根据公安部公共信息网络安全监察局的部署,对“熊猫烧香”制作者开展调查。1月24日,仙桃警方正式立案,案件代号为“122案件”。对比此前出现的“武汉男孩”病毒,两种病毒程序编码类似,警方推测可能系一人所为。1月31日,湖北省公安厅网监总队召开仙桃、武汉、宜昌、荆门等地网监部门负责人会议,部署合力开展案件侦破,成立了指挥领导小组与侦破专班。湖北省公安厅网监总队徐云峰博士对该病毒已追踪多时。在网监总队统一部署下,网警运用多种网络技术手段和侦查手段,2月1日查找到犯罪嫌疑人所在地——武汉关山的一栋两层楼房内的出租屋。侦破专班对该出租屋实行24小时监控。2月3日晚9时许,一男子回该出租屋取东西,被警方抓获,此人正是“熊猫烧香”制作者李俊。李俊交待了其制作“熊猫烧香”病毒牟利的经过,并交出了其销售病毒的下线。李俊供称,回出租屋取东西的目的是准备外逃。警方同时抓获另一名涉案人员雷磊。
“网络天才”没念过大学
“他是网络天才。”昨日,省网监总队有关专家如此描述李俊。李俊,男,25岁,新洲区阳逻街人,曾在某电脑城工作;雷磊,男,25岁,是李俊的同乡兼同学,两人中专毕业后一起参加网络技术职业培训班。2004年毕业后,李俊曾多次上北京、下广州找IT方面的工作,尤其钟情于网络安全公司,但均未成功。为了发泄不满,同时抱着赚钱的目的,李俊开始编写病毒,2003年曾编写过“武汉男生”病毒,2005年编写了“武汉男生2005”病毒及“QQ尾巴”病毒。抓获李俊和雷磊后,警方乘胜追击,又抓获王磊(男,22岁,山东威海人)、叶培新(男,21岁,浙江温州人)、张顺(男,23岁,浙江丽水人)、王哲(男,24岁,湖北仙桃人)等4名改装、传播“熊猫烧香”病毒的嫌疑人,这些人通过改写、传播“熊猫烧香”等病毒,构建“僵尸网络”,通过盗窃各种游戏和QQ账号等方式非法牟利。目前这6人均已被警方刑拘。
“熊猫烧香”一份卖3000元
李俊交代,他于2006年10月16日编写了“熊猫烧香”。这是一种超强病毒,感染病毒的电脑会在硬盘的所有网页文件上附加病毒。如果被感染的是网站编辑电脑,通过中毒网页病毒就可能附身在网站所有网页上,访问中毒网站时网民就会感染病毒。“熊猫烧香”感染过天涯社区等门户网站。“熊猫烧香”除了带有病毒的所有特性外,还具有强烈的商业目的:可以暗中盗取用户游戏账号、QQ账号,以供出售牟利,还可以控制受感染电脑,将其变为“网络僵尸”,暗中访问一些按访问流量付费的网站,从而获利。部分变种中还含有盗号木马。李俊以自己出售和由他人代卖的方式,每次要价3000元,将该病毒销售给120余人,非法获利10万余元。经病毒购买者进一步传播,该病毒的各种变种在网上大面积传播,据估算,被“熊猫烧香”病毒控制的“网络僵尸”数以百万计,其访问按访问流量付费的网站,一年下来累计可获利上千万元。
“武汉男孩”太嚣张
——知情人士披露侦破内幕
据接近该案的知情人士透露,“熊猫烧香”作者在互联网上留下了很多蛛丝马迹。专案小组选择了从互联网上的一些社区信息、域名注册信息开始入手。鉴于在多个病毒代码里都写着whboy,包括“熊猫烧香”、流氓软件51VC等,其代码、传播以及爆发手法都极为相似,专案小组决定并案侦查。“举个例子来说,51.vc的网站上写着ICP证是:鲁ICP证005248号。”专案小组当即查明这是一个伪造的ICP证,通过有关渠道查到另一个网站www.51pm.org也是使用了这个伪造的ICP证。尽管当时该网站已不能访问,但可以搜索引擎的快照功能回溯该站点网页,其内容和51.vc完全一样。专案小组在掌握了上述信息后,立即着手寻找51.vc或51pm.org注册者,而这些人也就是这些病毒的作者或者幕后指使的关联人物。知情人士表示,上述例子只是侦破手段中的一种方法,事实上,目前互联网上有多种追踪方式,对于大规模传播的病毒而言,幕后黑手几乎无法藏身。信息安全业内人士表示,熊猫烧香与以往许多病毒都在拼命隐藏作者身份的做法不同,“熊猫烧香”的作者显得过于明目张胆,还主动销售源代码给他人,这些行为都暴露了他的身份。(马城 金磊)
雷磊:“高科技犯罪”让亲属惊讶
据介绍他和李俊关系一直很好
荆楚网(楚天都市报)(记者叶宁 张屏 通讯员陈光灿后方统筹胡勇谋)昨晚12时许,记者驱车来到新洲阳逻长山村窝子湾,敲开雷磊家门。据村民介绍,雷磊父母都是做工程的个体户。雷磊叔叔雷军华说,雷磊初中毕业后因成绩不好没有考上高中,就上了一所中专,人很聪明,懂点电脑。雷军华说,4日下午5时许,他接到了仙桃市第二看守所的电话,遂和雷磊父亲赶到仙桃送了生活费和衣物,当时还不知道雷磊犯的究竟是何罪。今天网上传出消息后,村里闹得沸沸扬扬,他赶到网吧亲自看过,很惊讶侄儿居然涉嫌如此“高科技犯罪”。窝子湾队长介绍说,雷磊是独生子,很瘦,一直在汉口打工,每年都会回家几次,很少出门,性格内向,偶尔开着父亲的轿车在村里逛逛。已婚,孩子才一岁。李俊未婚,与雷磊平时很要好,经常串门。
“熊猫”凶猛
2006年11月14日“蜜罐”中发现“熊猫”
2006年11月14日,瑞星公司反病毒工程师们发现了一种新病毒。大家将病毒移到一台与网络隔离的电脑上,运行病毒之后,屏幕上出现了一排排的熊猫图案,熊猫们手持三炷香,合十作揖。反病毒工程师们将其命名为“尼姆亚”。其实,在瑞星公司捕获“尼姆亚”病毒之前一个月,卡卡网络社区反病毒论坛的版主mopery拿到了一个病毒样本,它才是“熊猫烧香”的原始版本。
2007年1月9日“熊猫烧香”疯狂爆发
2006年12月中旬,“熊猫烧香”进入急速变种期。2007年1月7日,国家计算机病毒应急处理中心发出“熊猫烧香”的紧急预警。1月9日,“熊猫烧香”全国性暴发。小江是黑龙江一家网吧的网管。1月9日,他打开网吧的电脑,屏幕上布满了“熊猫烧香”图标,系统崩溃。同一天,北京一家IT公司电脑全部感染“熊猫烧香”,正在研发中的软件毁于一旦。同一天晚上,北京的一家报社里,技术人员们东奔西跑,几十名编辑记者都在等待着他们清除“熊猫烧香”……这一天感染的电脑用户达数十万。“熊猫”并未就此止步,它继续四处“烧香”,并且愈演愈烈。1月22日,国家计算机病毒应急处理中心再次发出警报,在全国通缉“熊猫烧香”。
2007年1月中上旬“武汉男孩”留言挑衅
反病毒工程师们将病毒解剖之后,看到了一段信息:“whboy”。“whboy”这个名字,对于病毒研究者有着不一般的含义。2004年,whboy发布了其创作的病毒“武汉男孩”,一年后该病毒被江民列入2005年十大病毒。“熊猫烧香”变种后,代码中除了whboy字样外又多了一行汉字:“武汉男孩感染下载者。”此时,mopery和网友艾玛加入抗击“熊猫烧香”的大军当中,吸引了“武汉男孩”的注意。在1月初的一份病毒变种中,留言再次更新:“感谢mopery对此木马的关注。”随后,“武汉男孩”在1月5日的病毒留言中感谢名单上添加了艾玛的名字。1月15日,武汉男孩还在留言中和反毒者taylor77打起了招呼:“taylor77,不知道找我啥事啊?”并且戏言:“我制作的病毒已经‘满城尽烧国宝香’。”1月19日晚,“熊猫烧香”最后一次更新,发布者写下临别赠语:“在此对各位中过此木马的网友和各位网管人员表示深深的歉意!对不起,你们辛苦了!”
观点
破坏计算机信息系统可能处5年以上有期徒刑
荆楚网(楚天都市报)(记者胡勇谋)湖北省刑事辩护专业委员会王万雄委员说,制造“熊猫烧香”病毒的嫌疑人涉嫌破坏计算机信息系统罪。王万雄说,《刑法》规定,故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的行为,属破坏计算机信息系统罪。他说,“熊猫烧香”病毒的制造者是典型的故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果特别严重的行为。《刑法》规定,犯此罪后果严重的,处5年以下有期徒刑或者拘役;后果特别严重的,处5年以上有期徒刑。
回复
3楼
苦中作乐网友忙“创作”
“熊猫烧香”在让众多网民叫苦不迭的同时,也引发了一场声势浩大的网络创作热潮,由唐诗宋词、流行歌曲到电影对白、原创漫画,改编“作品”弥漫网络。
唐诗版:李白成“受灾大户”
猫扑大杂烩的《熊猫烧香题诗三百首》,短短几天内几十首当代“唐诗”迅速出笼。崔颢《黄鹤楼》被改成:熊猫已被格式化,此地空余白硬盘。熊猫一去不复返,网民硬盘空悠悠。熊猫烧烧三炷香,系统萋萋EXE。重要资料何处是,可恶熊猫使人愁。李白成为“受灾大户”。“李白开机将上网,忽闻机内熊猫声。杀毒软件千千万,不及我猫三炷香!”《将进酒》也惨遭篡改,其中一个版本说:“君不见熊猫之香网上来,系统崩溃不复回。君不见杀毒软件没办法,朝如青丝暮成靶。虽被感染须尽欢,莫使微机空对月。”“与君香一炷,请君为我倾耳听。系统文件不足贵,但愿熊猫不更新。古来病毒皆寂寞,唯有熊猫留其名。”李煜的《虞美人》成为《猫美人》,而“熊猫烧香,无处话凄凉。”“满机熊猫关不住,三支高香出墙来。”“千般病毒有尽时,此香绵绵无绝期。”等诸如之类的绝句让人忍俊不禁。
歌词版:篡改《菊花台》
《两只蝴蝶》得到了恶搞网友的喜爱。“亲爱的你慢慢烧,小心前面瑞星的解药。亲爱的你别后退,卡巴斯基会让你沉醉。……我和你缠缠绵绵片片烧,飞越这网线永相随。等到熊猫起香灰落成堆,能陪你一起死机也无悔。”《两只老虎》变成了:“熊猫烧香,熊猫烧香,烧得high,烧得high。一支烧坏系统,一支烧坏电脑,真厉害,真厉害!”《歌声与微笑》则唱道:“明天明天这熊猫,烧遍海角天涯,烧遍海角天涯。明天明天这熊猫,杀毒软件害怕,杀毒软件害怕。”最让人叫绝的当属改编的《满城尽带黄金甲》主题曲《菊花台》,极为形象地表现了中毒者的无奈。“你的泪光,柔弱中带伤。满屏的熊猫香,删除过往。熊猫猖狂,点上三根香,是谁在电脑前冰冷地绝望。猫慢慢拜,暗黄色的香。我瘫坐椅子上,精神错乱,路在何方,谁为我思量,冷风吹乱憔悴模样。熊猫拜,三根香,你的笑容已泛黄。重装又重装,我心里在发慌。江民杀,瑞星除,你的影子剪不断,徒留我在机旁神伤。”
回复
4楼
侦破内幕
没有多少人知道“尼姆亚”这个官方学名,却都记住了“熊猫烧香”的卡通图案。在熬过了2007年初地震断网的光缆修复期后,1月底,中国互联网的百姓们又一次经历了一场病毒泛滥的考验。病毒不断变种成了一场无声的较量,“熊猫烧香”一夜之间变成“灯泡男孩”和“金猪满圈”,夹杂着病毒作者的恶搞情绪,反病毒软件厂商作秀般的猜疑,以及病毒从破坏者到盗贼的蜕变。湖北省公安厅12日宣布,湖北网监一举侦破了制作传播熊猫烧香病毒案,抓获李俊、雷磊等8名犯罪嫌疑人。这是我国侦破的国内首例制作计算机病毒的大案。
湖北省公安厅12日宣布,根据统一部署,湖北网监在浙江、山东、广西、天津、广东、四川、江西、云南、新疆、河南等地公安机关的配合下,一举侦破了制作传播熊猫烧香病毒案,抓获李俊(男,25岁,武汉新洲区人)、雷磊(男,25岁,武汉新洲区人)等8名犯罪嫌疑人。这是我国侦破的国内首例制作计算机病毒的大案。
【事件危害】 上百万电脑用户深受其害
据介绍,2006年底,我国互联网上大规模爆发熊猫烧香病毒及其变种,该病毒通过多种方式进行传播,并将感染的所有程序文件改成熊猫举着三炷香的模样,同时该病毒还具有盗取用户游戏账号、QQ账号等功能。该病毒传播速度快,危害范围广,截至案发为止,已有上百万个人用户、网吧及企业局域网用户遭受感染和破坏,引起社会各界高度关注。《瑞星2006安全报告》将其列为十大病毒之首,在《2006年度中国大陆地区电脑病毒疫情和互联网安全报告》的十大病毒排行中一举成为“毒王”。
【成功侦破】 抓获李俊等8名犯罪嫌疑人
今年1月中旬,湖北省网监部门根据公安部公共信息网络安全监察局的部署,对熊猫烧香病毒的制作者开展调查。
经查,熊猫烧香病毒的制作者为湖北省武汉市李俊,据李俊交代,其于2006年10月16日编写了熊猫烧香病毒并在网上广泛传播,并且还以自己出售和由他人代卖的方式,在网络上将该病毒销售给120余人,非法获利10万余元。经病毒购买者进一步传播,导致该病毒的各种变种在网上大面积传播,对互联网用户计算机安全造成了严重破坏。李俊还于2003年编写了“武汉男生”病毒,2005年编写了“武汉男生2005”病毒及“QQ尾巴”病毒。另外,本案另有几个重要犯罪嫌疑人雷磊(男,25岁,武汉新洲区人)、王磊(男,22岁,山东威海人)、叶培新(男,21岁,浙江温州人)、张顺(男,23岁,浙江丽水人)、王哲(男,24岁,湖北仙桃人)通过改写、传播熊猫烧香等病毒,构建“僵尸网络”,通过盗窃各种游戏和QQ账号等方式非法牟利。
目前,李俊、雷磊等8名犯罪嫌疑人已被刑事拘留。
【侦破内幕】 作者的求财动机提供破案线索
在湖北省公安厅宣布成功侦破熊猫烧香病毒案当晚,接近该案专案小组的知情人士透露抓捕内幕。这是迄今为止,我国侦破的国内首例制作计算机病毒的大案。
接近该案的知情人士透露,公安部从去年10月底就开始关注熊猫烧香病毒,“它的传播面大,影响面广而且特别恶劣。”尽管病毒作者绞尽脑汁进行自我隐藏,不过在锁定目标的过程中,还是在互联网上留下了很多蛛丝马迹。“其实这类病毒的作者往往以赚钱为目的,总是会留下线索。”专案小组选择从互联网上的一些社区信息、域名注册信息开始入手。
该人士表示,目前多个相关病毒的代码里都写着whboy,其中就包括大名鼎鼎的熊猫烧香、流氓软件51.vc以及一些腾讯QQ、网游传奇账号密码盗窃的木马软件。“这些木马的代码、传播以及爆发手法都极为相似”,专案小组初步判断为同一人所为,决定并案侦查。
“举个例子来说,51.vc的网站上写着ICP证是:鲁ICP证005248号。”知情人士表示,专案小组当即查明这是一个伪造的ICP证,通过有关渠道查到另一个网站www.51pm.org也是使用了这个伪造的ICP证。尽管当时该网站已不能访问,但可以搜索引擎的快照功能回溯该站点网页,其内容和51.vc完全一样。专案小组在掌握了上述信息后,立即着手寻找51.vc或51pm.org注册者,而这些人也就是这些病毒的作者或者幕后指使的关联人物。
知情人士表示,上述例子只是侦破手段中的一种方法,“事实上,在侦破过程中采用了多方面信息相互印证的办法。”据介绍,目前互联网上有多种追踪方式,对于大规模传播的病毒而言,幕后黑手几乎无法藏身。
信息安全业内人士表示,技术上锁定并取证后,再通过调查其背后商业目的的方法入手分析,一般都能发现蛛丝马迹。尤其是熊猫烧香与以往许多病毒都在拼命隐藏作者身份的做法不同,熊猫烧香的作者显得过于明目张胆。据悉,此次有关部门抓捕病毒作者,是因为熊猫烧香的病毒作者不仅自己扩散传播,还主动销售源代码给其他盗窃团伙,种种行为都暴露了他的身份。
“这个病毒是通过入侵网站并挂上木马来实现传播,并盗取用户有价值的虚拟账户。除此之外,这个团伙还销售病毒源代码牟利,其影响的规模非常大,社会影响极为恶劣。”接近专案小组的知情人士表示,“不仅是他们一个病毒团伙在传播,还有大量团伙一起传播。”
“这背后也许还隐藏着更为复杂的利益集团,这些都还没有最终浮出水面。”
回复
5楼
【事件副本】 熊猫病毒图片成为部分网民的“宠物”
“据说熊猫烧香病毒的作者才15岁。”“熊猫烧香作者正式揭露,他叫虞钳和。”“我锁定熊猫烧香病毒作者IP地址是……”在百度贴吧的熊猫烧香吧中,类似这样充满臆测的帖子不断出现。
2006年11月14日第一次被发现的熊猫烧香病毒,在2007年2月初一夜之间变成了网络上的热门公共话题。“尽管** 着杀毒软件和防火墙的保护,并没有中熊猫烧香的招,可我却第一次对一个病毒充满好感。”25岁的王毛毛将熊猫烧香的卡通图标设置成了自己的MSN头像,在他看来,熊猫烧香病毒至少在美术设计上充满幽默。
很多人之前并不知道这个病毒存在,更不知道熊猫烧香的图像是病毒发作后破坏执行文件的恶搞现场,反而是在看到熊猫举着三炷香的GIF图片后,第一次对一个病毒产生图形感知上的认识。真正引起大家对这个病毒产生兴趣的不仅是熊猫的卡通造型,病毒作者在几个月内与反病毒专家的过招与沟通更充满戏剧色彩。
病毒作者与反病毒高手展开拉锯战
“感谢mopery对此木马的关注。”这是1月初在熊猫烧香病毒代码中被筛拣出来的一段文字,病毒作者第一次在病毒中跟反病毒专家对上了话。这个mopery实际上是卡卡社区反病毒论坛的版主,早在2006年10月就注意到了熊猫烧香的原始病毒,并作为一名民间反病毒爱好者,一直以来对这个病毒严防死守,并且mopery最早甄别出来病毒作者身份。
正是因为在病毒代码中发现了whboy的标记,一下子让这场病毒暗战找到了真正的目标。whboy这个名字对反病毒圈内人来说并不陌生,这个名字被认定是“武汉男孩”的缩写,早在2004年就曾发现过署名whboy的盗号木马,后来还在一些病毒和黑客论坛公开发帖,表示有偿提供盗取QQ号的服务,但直到在熊猫烧香中露面,此前很长一段时间whboy销声匿迹了。
反病毒高手们封杀掉一个熊猫烧香变种,很快whboy又造出来一个新版本。随着熊猫烧香病毒疯狂地变种升级,越来越多民间反病毒爱好者聚集到卡卡社区反病毒论坛。
似乎病毒作者也注意到了一群对手的存在,2006年12月初的一个变种版本中毫不遮掩地留下了9个汉字:“武汉男孩感染下载者。”
此后病毒内的代码留言更加直接,2007年初的第二个病毒版本赫然写道:“感谢mopery对此木马的关注。”此后这个感谢名单不断被更新,1月5日的版本中添上了感谢“艾玛”,1月9日的版本中又多感谢了一位“海色之月”,并且在最后还留言:“服了……艾玛……”whboy在病毒代码中留言越来越频繁和随意,就好像自己跟反病毒高手们在BBS论坛上闲聊一样,1月15日的版本写道:“taylor77,不知道找我啥事啊?”whboy并且自称:“我制作的病毒已经满城尽烧国宝香。”此时在很多大众性的网络论坛内,熊猫烧香的图标早已经尽人皆知。
可事情突然在1月19日的晚上发生了转折,一个被重新加壳变种的熊猫烧香病毒成为暂时的结尾,在毫无征兆的前提下,whboy又以病毒代码的形式留言道:“在此对各位中过此木马的网友和各位网管人员表示深深的歉意!对不起,你们辛苦了!mopery,很想和你们交流一下!因某种原因,我想还是算了!”
公众对病毒的关注和诠释突然被拔高
尽管whboy停止了熊猫烧香病毒的更新,但一些类似的病毒并没有安静下来,同样修改可执行文件图标的“灯泡男孩”和“金猪满圈”又冒了出来,类似的变种加壳技术还在繁衍新版本。而在论坛和网民中间,熊猫烧香病毒似乎一夜之间被无限放大了,网络上流传已久的盗取账号产销一条龙被与熊猫烧香病毒联系到了一起,靠病毒盗号赚一座别墅的谣言被越传越广。甚至此后一个变种病毒中留下了“超级巡警终于火了”的字句,直接引发了网民对反病毒软件厂商超级巡警的猜疑。
而对whboy的崇拜和憎恨成为两派不同的声音,很多人都希望在追捕熊猫烧香病毒的过程中看到类似20世纪80年代诱捕头号电脑黑客凯文·米特尼克的惊奇故事。一些在过去两年间饱受流氓软件骚扰的网民,则直接将自己积蓄已久的怒火发泄到whboy身上,在百度的熊猫烧香吧内帖子数已经跃升到了19626篇。
电脑病毒在2006年呈爆发性泛滥,按照国内头号反病毒软件公司瑞星发布的《2006年度中国大陆地区电脑病毒疫情和互联网安全报告》中的数字,2006年截获了234211个新病毒,这个数字接近历史上老病毒数量的总和。尤其流氓软件成为社会公害被严打后,部分死不悔改的流氓软件直接变成了纯粹的病毒。瑞星副总裁毛一丁在接受记者采访时毫不掩饰地说:“熊猫烧香的危害不仅在于让公众对病毒可爱的图像伪装有了好感,真正可怕的是很多大网站编辑在感染了熊猫烧香后,直接把病毒附带在了公众网站上,结果谁浏览谁就中招儿,这种网络公共媒体的传播才更可怕。”
回复
6楼
【2006年十大病毒排行】
1.熊猫烧香(Worm.Nimaya)
2.威金蠕虫(Worm.Viking)
3.代理木马下载器(Trojan.DL.Agent)
4.传奇终结者(Trojan.PSW.Lmir)
5.征途木马(Trojan.PSW.Zhengtu)
6.QQ通行证(Trojan.PSW.QQPass)
7.威尔佐夫(Worm.Mail.Warezov)
8.调用门Rootkit(Rootkit.CallGate)
9.灰鸽子后门(Backdoor.Gpigeon)
10.魔兽木马(Trjan.PSW.WoWar)
总是出现了危机 才想起亡羊补牢
——对话国家计算机病毒应急处理中心副主任张健
问:这次熊猫烧香病毒不断升级,明显带有对抗色彩,从心态和手法上,你认为中国本土的病毒制造者是否发生了什么变化?
答:熊猫烧香病毒的情况每天都在变化,从该病毒的一些技术特点分析,它具备了目前传统病毒、蠕虫和木马的多重特点,绝对算得上一种多功能复合型病毒。而且其采用了加壳技术,不停更换外衣,快速变形,不断形成新的病毒变种,以对抗反病毒软件的查杀。从病毒编制者的动机看,具有极强的利益驱动,绝非以往单纯的技术炫耀。
问:2005年之后,大部分用户收到的骚扰来自流氓软件,感觉病毒的危害似乎在降低,最多也就是木马这类病毒频繁骚扰。我们感觉中国用户对安全的警觉在降低,你认为呢?
答:我们确实在防护体系上还存在技术上的不足,用户安全意识还有待进一步提高。信息时代的安全一直是不被重视的小问题,总是出现了危机、损失才想起亡羊补牢。
问:中国似乎并没有出现对病毒制造者或黑客的法律严惩,很多对民事行为的危害和损失最后甚至不了了之,你认为这是否纵容了中国信息安全破坏分子?
答:不是司法部门不对病毒制造者依法严惩,而是缺乏司法实践,有些法条使用上有很多技术困难,诸如网络犯罪证据一直难以获取,破坏后果更难准确评估,致使很多案件公安机关经过大量侦查工作,可又因证据不足,无法移交检察机关或者处置较轻。
回复
7楼
苦中作乐,熊猫烧香病毒引爆网民创意
近期,一个名为“熊猫烧香”的病毒,在让众多网民叫苦不迭同时,也引发了一场声势浩大的网络创作热潮.在由唐诗宋词、流行歌曲、电影对白、原创漫画等改编的“作品”中,你到处可以发现这个可爱而可恶的熊猫形象:双手合十举着三根香,两眼微闭,一脸虔诚.
电脑中所有可.EXE执行文件图标都变成了熊猫烧香,网民的所有痛苦都在此释放。
唐诗版:诗人李白成“受灾大户”
网友天天娱乐在猫扑大杂烩发起了《熊猫烧香题诗三百首》的“创作”,短短几天内,几十首当代“唐诗”迅速出笼。
借用崔颢的千古名篇《黄鹤楼》,黄鹤成了熊猫:“熊猫已被格式化,此地空余白硬盘。熊猫一去不复返,网民硬盘空悠悠。熊猫烧烧三炷香,系统萋萋EXE。重要资料何处是,可恶熊猫使人愁。”
大诗人李白成为创作潮中的“受灾大户”。“李白开机将上网,忽闻机内熊猫声。杀毒软件千千万,不及我猫三炷香!”《将进酒》也“惨遭篡改”,还出现了若干个版本,其中一个版本说:“君不见熊猫之香网上来,系统崩溃不复回。君不见杀毒软件没办法,朝如青丝暮成靶。虽被感染须尽欢,莫使微机空对月。”“与君香一炷,请君为我倾耳听。系统文件不足贵,但愿熊猫不更新。古来病毒皆寂寞,唯有熊猫留其名。”
此外,李煜名篇《虞美人》成为《猫美人》。而“熊猫烧香,无处话凄凉。”“满机熊猫关不住,三支高香出墙来。”“千般病毒有尽时,此香绵绵无绝期。”等诸如之类的绝句让人忍俊不禁。
言情版:套用琼瑶剧中人口吻
网上一个名为《用琼瑶阿姨的语气说熊猫烧香怎么说?》也激发了琼瑶迷们的创作灵感,众多网友用言情小说男女主人公的口气,表达心中的郁闷。“哦天呐你怎么如此那么残忍中了你的毒我该怎么办﹖苍天啊救救我吧”“熊猫,你好残忍,你怎么忍心这样对待我的电脑?你好残忍好残忍喔!虽然你这么残忍地对待我的电脑,但是我还是无法恨你……然后泪奔”。
最经典的莫过于这段:“你这个无情的熊猫,你真是太自私、太无情、太残忍了!你就为了自己一时的满足,你就忍心让我连网也不能上了吗?天哪!你竟是如此的无情、残酷!你伤了我的心!你深深地伤害了我的心,你知道吗?我的心在流血,你知道吗?我恨你!我恨你!我恨你!我恨死你了!你走,我不要再见到你!我要快乐的生活,我要快乐的上网!你这无情的小东西,天哪,你怎么是这样的残忍?你怎么能这样对我?我究竟做错了什么?我做错了什么?你告诉我,我究竟做错了什么?你要这样惩罚我?求求你,你告诉我!你告诉我啊!”
歌词版:篡改《黄金甲》主题曲
《两只蝴蝶》、《吉祥三宝》、《七里香》等流行歌曲得到了恶搞网友的喜爱。“亲爱的你慢慢烧,小心前面瑞星的解药。亲爱的你别后退,卡巴斯基会让你沉醉。……我和你缠缠绵绵片片烧,飞越这网线永相随。等到熊猫起香灰落成堆,能陪你一起死机也无悔。”
很多经典老歌也没被遗忘,《两只老虎》在熊猫烧香面前成了这样:“熊猫烧香,熊猫烧香,烧得high,烧得high。一支烧坏系统,一支烧坏电脑,真厉害,真厉害!”《歌声与微笑》则唱道:“明天明天这熊猫,烧遍海角天涯,烧遍海角天涯。 明天明天这熊猫,杀毒软件害怕,杀毒软件害怕。”
歌词类创作中最让人叫绝的当属改编的《满城尽带黄金甲》主题曲《菊花台》,极为形象地表现了中毒者的无奈。“你的泪光,柔弱中带伤。满屏的熊猫香,删除过往。熊猫猖狂,点上三根香,是谁在电脑前冰冷地绝望。猫慢慢拜,暗黄色的香。我瘫坐椅子上,精神错乱,路在何方,谁为我思量,冷风吹乱憔悴模样。熊猫拜,三根香,你的笑容已泛黄。重装又重装,我心里在发慌。江民杀,瑞星除,你的影子剪不断,徒留我在机旁神伤。”
回复
8楼
黄健翔版:它不是一个病毒在战斗!
黄健翔在世界杯上的“惊世一吼”,已经成为了专用的话语方式。在“熊猫烧香”引发的创作热潮中,也出现了很多个熊猫烧香版的黄健翔语录,最经典的一个版本如下:
“防火墙,过它,好的,进去了,用户在操作。哎、发作!发作!发作!熊猫烧香立功了,熊猫烧香立功了!不要给杀毒软件任何的机会。
“伟大的熊猫烧香!他继承了中国病毒的光荣的传统。卡巴斯基、瑞星、江民科技在这一刻病毒附体,熊猫烧香一个病毒,它代表了电脑病毒悠久的历史和传统,在这一刻它不是一个病毒在战斗,他不是一个病毒!
“熊猫,熊猫面对这个机会。它面对的是全世界电脑病毒的目光和期待。杀毒软件曾经在这台机子上杀过不少病毒,熊猫应该深知这一点,它还能够微笑着面对它面前的实时监控吗?10秒钟以后它会是怎样的下场?”
“这个发作是一个绝对理论上的绝杀。绝对的精彩,电脑病毒捣乱了系统!胜利属于电脑病毒,属于蠕虫,属于恶意程序,属于特洛伊,属于破坏性程序,属于系统缺陷,属于所有热爱整残电脑的病毒!”
周星驰版:改编“唐伯虎”弹词
作为解构文化、BT文化的代表,周星驰的众多经典台词也被网民拿来自我调侃,其中包括《大话西游》中最经典的 “如果上天能给我一个再来一次的机会”那段。而周星驰在《唐伯虎点秋香》中那段有名的弹词,也被几乎天衣无缝地改编了。
“禀夫人,小人本住在苏州的城边,/家中有机上宽带,生活乐无边。/谁知那大熊猫,它蛮横不留情,霸占资源目无天,残我软件毁我片。/我用瑞星跟它来翻脸,惨被它三香来打扁,/用毒霸跟它辛苦周旋,反被它弄得进了电脑公司,/重装了一百遍,一百遍,最后花费用尽遗恨人间。
“它还将我备份件,逐出了硬盘,灰飞又烟灭,/我为求能上网,只有独自半夜泡吧前,/谁知那大熊猫,它实在太阴险。/知道此情形,竟躲进U盘,把我数据狂毁在别机,/小人反应快,系统得留存,可怜下载统统魂归天/为求保系统,唯有裸体跪求自作贱,/一面勤赚钱,一面读书篇,/发誓要把编程念,手刃病毒意志坚!从此熊猫样本在身边,我铭记此仇不共戴天!”
【其他版本】
■赵丽华版:
“熊猫烧香/已经烧了很久了/并且一直在烧”。
“毫无疑问/熊猫烧的香/是全天下/最好闻的”。
“坚决不能容忍/那些/烧完香后/让别人机中毒/的熊猫”。
■广告词版:
熊猫,以香为本。
熊猫恒久远,烧香永流传。
熊猫拥有桑塔纳,走遍天下烧香都不怕。
熊猫之路,烧香开始。
今年过节不烧香,要烧只烧熊猫香!
烧自己的香,让别人去说吧
白天烧一炷,不瞌睡;晚上再烧一炷,睡得香。
自从烧了香,瑞星没用了,金山也开不了,重装系统也没有劲了!
【评论】
拿BT文化“苦中作乐”
BT文化通常被理解成“变态文化”,在猫扑网等网上论坛最为流行。它的特点是平民化、虚拟化、反权威、英雄不问出处甚至是反英雄的,其精髓就在于颠覆。
这些玩BT文化的,大部分是思想活跃、具有恶搞精神的年轻人,他们利用图片、经典台词、名人名言等资源,对最新热点事件进行极具创造力的表现或评点。比如目前最流行的“熊猫烧香”病毒,他们在极短的时间内,用诗歌、歌词、PS照片,甚至虚拟的新闻报道等手段,不计功利性地创作了数量惊人的作品,来自由表达个人情感。
痛并快乐着。“熊猫烧香”病毒肆虐,这些看起来让人捧腹的“创作”背后,当然是无尽的郁闷。还是一个在论坛跟帖的网友道出了个中辛酸——“举头望楼上,尽是沦落人。”
【名词解释】
■熊猫烧香
是近期流传极广的一个感染型蠕虫病毒,它能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。
用户电脑中毒后可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。同时,该病毒的某些变种可以通过局域网进行传播,进而感染局域网内所有计算机系统,最终导致企业局域网瘫痪,无法正常使用。
回复
9楼
揭密“熊猫烧香”背后不为人知的牟利网络
“他要是走正道,应该是个人才。”
13日,湖北省公安厅网监总队一位专家向《第一财经日报》如此描述李俊。
李俊,这位25岁的制造“熊猫烧香”病毒的犯罪嫌疑人,是武汉市新洲区阳逻街人。12日,他被湖北省公安厅抓获。
至此,“熊猫烧香”病毒已经肆虐数月。
水落石出
“这是国内制作计算机病毒的第一案。”公安部十一局曾致电湖北省公安厅。“当时,警方内部要求,无论如何一定要拿下这个案子。”一名知情人士告诉《第一财经日报》。
1月31日,武汉、宜昌、荆门等地6名网监专家、国家计算机病毒应急处理中心专家及仙桃网监大队齐聚武汉。
在网监大队统一部署下,仙桃网警运用多种网络技术手段和侦查手段,获取了犯罪嫌疑人“武汉男生”的身份信息:“武汉男生”又名“小俊”,男,25岁左右,身高1.75米,网名为“DAVE”。
根据“小俊”的网上账户资料,警方将目标锁定于武汉市武昌区关山某居民楼。此地为一出租屋,据房主介绍,楼中二层靠右的三居室居住有三人,其中一名被称为“师傅”的住户,与警方掌握的嫌疑人即“小俊”外貌特征吻合,持续数天的24小时监视中,“小俊”一直未现身。
2月3日16时,“小俊”的弟弟李明在出租屋中露面。据其交代,“小俊”的真实姓名为李俊,犯罪嫌疑人或将潜逃外地。19时,回出租屋取东西准备潜逃的李俊被当场抓获。警方根据从李俊身上找到的武昌京都大厦宾馆的门卡,于当晚将其同伙雷磊抓获归案。
“香火”背后的网络
李俊中专毕业后参加过网络技术职业培训班,曾在某电脑城工作;同为25岁的同伙雷磊是其同乡兼同学,两人交往密切。
据当地媒体报道,2004年,李俊曾多次至北京、广州等地寻找IT方面的工作,尤其钟情于网络安全公司,但均未成功。屡经挫折的李俊“抱着赚点钱”的想法,开始编写病毒,2003年编写“武汉男生”病毒,2005年编写“武汉男生2005”病毒及“QQ尾巴”病毒。
据李俊交代的笔录显示,他于2006年10月16日编写“熊猫烧香”。这是一种超强病毒,感染病毒的电脑会在硬盘的所有网页文件上附加病毒。如果被感染的是网站编辑电脑,通过中毒网页病毒就可能附身在网站所有网页上,访问中毒网站时网民就会感染病毒。
“熊猫烧香”感染过天涯社区等门户网站。“熊猫烧香”除带有病毒的所有特性外,还具有强烈的商业目的:可以暗中盗取用户的游戏账号、QQ账号,以供出售牟利,还可以控制受感染电脑,将其变为“网络僵尸”,暗中访问一些按访问流量付费的网站,从而获利。部分变种中还含有盗号木马。
牟利之害
“这是一套系统体系,‘熊猫烧香’的背景不简单。”一名业内人士告诉记者。抓获李俊和雷磊之后,湖北省警方抓获王磊(男,22岁,山东威海人)、叶培新(男,21岁,浙江温州人)、张顺(男,23岁,浙江丽水人)、王哲(男,24岁,湖北仙桃人)等4名改写、传播“熊猫烧香”病毒的嫌疑人,正是他们通过改写、传播“熊猫烧香”病毒,构建“僵尸网络”,通过盗窃各种游戏和QQ账号等方式非法牟利。
据湖北省公安厅介绍,李俊以自己出售和由他人代卖的方式,每次要价500~1000元不等,将该病毒销售给120余人,非法获利10万余元。
经病毒购买者进一步传播,该病毒的各种变种在网上大面积传播,通过入侵可盗取证券、银行、信用卡的账号,其非法所得通过购买网络货币,完成“漂白”的洗钱过程;而通过病毒盗取的游戏账号、虚拟钱币,则通过中间批发商直接变现,再进入传统销售渠道。另一部分非法收入则是通过入侵网站,勒索网站收取佣金。
据湖北省公安厅估算,被“熊猫烧香”病毒控制的“网络僵尸”数以百万计,按其访问流量付费的网站,一年下来可为整个“烧香”入侵之后一整套“推广”网络累计获利数千万元。
回复
10楼
近日,肆虐互联网的“熊猫烧香”病毒开始出现大量变种,又化身“金猪”,危害指数再度升级,被感染的电脑中不但“熊猫”成群,而且“金猪”满圈。反病毒专家表示,按照目前病毒及变种的破坏程度,威胁将延续至春节。按感染电脑的数量来看,“熊猫烧香”病毒已成为2006年度的“毒王”。
病毒现身危害严重
全国通缉“熊猫烧香”
这些天找史瑀很难,两个多月以来,这位瑞星公司的反病毒工程师忙得像陀螺一样团团转。他表示,目前公司每天接到的求助申请仍有好几百次,而再早些天,每天达上千次。
史瑀第一次见到“熊猫烧香”,是2006年11月,在专门诱捕病毒的服务器上,他和同事们发现了一种新病毒:感染后的电脑出现瘫痪,屏幕上出现一排排熊猫图案,熊猫们手持三炷香,合十作揖。
病毒被称作“尼姆亚”,当时还不是特别厉害。但一个多月后,感染的高峰到来。病毒出现了百余个变种、400多个不同样本,数以千计的企业受到侵害,数以百万计的个人用户“中招”,有的单位和网吧数百台电脑同时中毒。一些著名网站的网页上潜藏的病毒,随着用户的点击迅速扩散……
一时间,电脑用户谈“熊猫”色变。深受其害的网民发帖“通缉”病毒制造者,更有网民声称“开出10万美元悬赏捉拿”。国家计算机病毒应急处理中心发出警报,在全国范围内通缉“熊猫烧香”。
手段“创新”“熊猫”难退
病毒肆虐暴露安全隐患
凑巧的是,“熊猫烧香”出现感染高峰时,正赶上海底光缆中断,国外反病毒软件难以及时升级。国内反病毒企业担当起“灭毒”重任,纷纷向用户提供免费的杀毒软件。
“熊猫烧香”何以能如此肆虐?
工程师们认为,病毒并不拥有最厉害的技术,却拥有最成熟的传播手段。从技术上讲,“熊猫烧香”并无绝招,它只是将各种成熟的病毒技术综合起来,发挥“集成优势”,专找综合防范能力差的反病毒软件下手。
不过,和以往的病毒不同,“熊猫烧香”的传播手段有所“创新”,它在整合了所有可利用的传播漏洞之外,还可以通过网站传播。借助局域网“星火燎原”,借助门户网站“天女散花”,借助U盘“死灰复燃”。史瑀分析认为,“熊猫烧香”的3种主要传播方式,成为病毒难退的主要原因。
分析损失情况,工程师们指出,那些及时修补软件漏洞、更新反病毒软件、电脑安全设置较完备的用户,几乎无人受到“熊猫烧香”的侵扰。反之,经常使用盗版软件、上网习惯不好、防范意识不强的人,往往成为“易感人群”。
经常使用盗版软件何以会容易感染病毒?专家告诉记者,正版软件发现安全漏洞之后,会向所有用户发送“补丁”程序。及时打上“补丁”,用户受病毒感染的机会将小很多。但现在的微软“视窗”等软件为防止盗版,在每次发送“补丁”程序时,要求验证软件的合法性。那些使用盗版软件的人,自然就无法修补漏洞。千疮百孔的系统长期“裸露”在网络中,成为病毒最爱的温床。
业内专家认为,我国大部分网民缺乏最基本的网络安全防范知识,也缺少良好的上网习惯。安全意识的薄弱,给病毒大面积传播带来可乘之机。同时,随着计算机在各个行业的普及,病毒造成的损害也将越来越严重。
道高一尺魔高一丈
“熊猫”带来的思考还在继续
在研究病毒样本的过程中,工程师们吃惊地找到了“WHBoy”的字样。这个“武汉男孩”曾在2004年现身,并编写了有名的“武汉男生”木马。现在他重出江湖,究竟想干什么呢?
一群软件高手自发地在论坛上组织起来,贴出一份份详细的病毒分析报告。然而令人“恐怖”的是,病毒作者似乎对这些高手的动向了如指掌。每过一段时间,他就会在病毒新变种中留言,感谢这些高手关注他制造的病毒。
刚开始,大家都觉得“熊猫烧香”可能只是作者炫耀技术的作品。不过,经过分析,专家们普遍认为,“熊猫烧香”带有强烈的商业目的,史瑀表示,“用户感染病毒后,会从后台点击黑客指定的网站,部分变种会偷偷地在后台下载网络游戏盗号木马,病毒作者可通过销售盗取的网游账号牟利。”
采访中,反病毒专家表示,伴随着各大杀毒厂商对“熊猫烧香”病毒的集中绞杀,该病毒正在不断“繁衍”新的变种,密谋更加隐蔽的传播方式。
工程师刘刚无奈地告诉记者,“武汉男孩”精通网络技术和入侵技术。到目前为止,还没人知道他究竟是谁,也没人知道“熊猫烧香”是否真的跟他有关。工程师们从病毒体中搜寻整理了病毒网站的地址,通过这些地址可以为搜寻病毒作者提供线索。目前,这些线索已被提交给公安部门和网络安全管理部门,希望能尽快找到“元凶”。
“熊猫”尚未退去,它带来的思考也在继续。在反病毒论坛上,一位网友感慨地说:“以后还会有多少新的病毒会借鉴‘熊猫’的经验呢?”
该对这个问题进行思考的,恐怕不仅是专家和相关管理部门。
回复
11楼
剥析"熊猫烧香病毒"
“熊猫烧香”拷问网络安全
京华时报1月26日报道 这是一波电脑病毒蔓延的狂潮。在两个多月的时间里,数百万电脑用户被卷将进去,那只憨态可掬、颔首敬香的“熊猫”除而不尽,成为人们噩梦般的记忆。
反病毒工程师们将它命名为“尼姆亚”。它还有一个更通俗的名字———“熊猫烧香”。它迅速化身数百种,不断入侵个人电脑,感染门户网站,击溃企业数据系统……它的蔓延考问着网络的公共安全,同时引发了一场虚拟世界里“道”与“魔”的较量。
反病毒工程师和民间反病毒人士纷纷投身其中。
1月19日,一个最新的“熊猫烧香”变种病毒出现。病毒作者宣称,这将是“熊猫烧香”最后一次更新。
这场历时两个多月的较量结束了吗?
“蜜罐”中发现病毒
2006年11月14日,中关村瑞星公司总部14楼。
一群反病毒工程师围着一台与网络隔绝的电脑。随着鼠标点动,数百个熊猫图标出现在屏幕上。这是工程师们当天捕获的病毒,命名为“尼姆亚”。
史瑀是瑞星公司研发部病毒组的反病毒工程师。他每天的工作就是,和数十名伙伴一起捕捉网上流传的病毒,然后将病毒“拆”开,研究其内部结构后,升级瑞星的病毒库。
当天下午,一名用户向他们提交了一份病毒样本。随后,他们又在病毒组的“蜜罐”内,发现了该病毒的踪影。
“蜜罐”是病毒组设立在互联网上的一些防卫性孱弱的服务器,工程师们故意在服务器上设置多种漏洞,诱使病毒侵入。“就像猎人做的沾满蜜糖的陷阱,专门吸引猎物上钩。”
从“蜜罐”里提取病毒后,史瑀和同事们将病毒移到公司14楼的一台与网络隔离的电脑上,这里是病毒的“解剖台”。
“运行病毒之后,系统所有的图标都变成了熊猫。”史瑀眼前的屏幕上,出现了一排排的熊猫图案,熊猫们手持三炷香,合十作揖。
经过分析,工程师们发现,在病毒卡通化的外表下,隐藏着巨大的传染潜力,它的传染模式和杀伤手段,与风行一时的“威金”病毒十分相像。瑞星公司随即发布病毒预警。
病毒蔓延涌向全国
“最开始的‘尼姆亚’不算厉害。”史瑀说,随着病毒作者的不断更新,它的破坏力和传染力也随之上升。
2006年11月底,“尼姆亚”只有不到十个变种,然而12月开始,病毒作者从数日一更新,变为一日数更新,它的变种数量成倍上升。这时候,“熊猫烧香”已经取代了“尼姆亚”这个名字。
12月中旬,“熊猫烧香”进入急速变种期,在几次大面积暴发之后,“熊猫烧香”成为众多电脑用户谈之色变的词汇。
圣诞节过后,“熊猫烧香”版本已达到近百个。
史瑀说,去年12月下旬,国内近千家大型企业感染“熊猫烧香”,向瑞星求助。“当病毒变种和感染人群超过一定数量时,病毒的传播就会以几何方式增长。”
12月26日,金山毒霸全球反病毒监测中心发布“熊猫烧香”正疯狂作案的病毒预警。
27日,江民科技发布关于“熊猫烧香”的紧急病毒警报。
2007年1月7日,国家计算机病毒应急处理中心紧急预警,“通过对互联网络的监测发现,一伪装成‘熊猫烧香’图案的蠕虫病毒传播,已有很多企业局域网遭受该蠕虫的感染。”
1月9日,“熊猫烧香”继续蔓延,开始向全国范围的电脑用户涌去。
这一天,“熊猫烧香”迎来了一次全国性的大规模暴发,它的的变种数量定格在306个。
各地用户纷纷中招
小江是黑龙江省一家网吧的网管。
1月9日到1月10日的两天间,他所在的网吧内空空荡荡,并无顾客,打开网吧的40多台电脑,屏幕上布满了“熊猫烧香”图标,系统崩溃,无法运行。
“毒是9日早晨中的,一开始只是一台机器,我杀毒时候,局域网内其他机器陆续中招。”小江说。
同一天早晨,在北京一家IT公司工作的刘先生上班后发现,公司近30台电脑全部感染“熊猫烧香”,病毒破坏了电脑内的程序文件,并删除了电脑备份,公司正在研发中的半成品软件毁于一旦。
刘先生愤怒之下却又无奈。在年度总结报告中,他特意加上了一条:“以后重要程序必须备份,防范类似‘熊猫烧香’的流氓病毒。”
同一天晚上,北京的一家报社里,技术人员们东奔西跑,几十名编辑记者都在等待着他们清除电脑里的“熊猫烧香”。
1月10日,上海一家台资公司的员工张先生打开电脑,迎接他的是一排排拱手举香的熊猫。环顾四周,他发现同事们脸上有同样的惊诧表情。整整一天,公司业务陷于瘫痪。
……
根据瑞星公司提供的“熊猫烧香”病毒用户求助数据,仅1月9日一天,瑞星用户向公司求助的人数已达1016人次,11日达到1002人次。因为是选择性求助,并仅限于瑞星杀毒软件的正版用户,这个数据只是冰山一角。
据了解,1月9日感染的电脑用户达数十万。其中北京、上海等电脑用户较集中的城市成为“重灾区”。
“熊猫”并未就此止步,它继续四处“烧香”。随着变种的不断增多,病毒洪潮蔓延无休,并且愈演愈烈。
截至目前,“熊猫烧香”病毒变种已达416个,受感染电脑用户达到数百万台。
1月22日,国家计算机病毒应急处理中心再次发出警报,在全国范围内通缉“熊猫烧香”。
回复
