“熊猫烧香”作者湖北落网
病毒制作者武汉人李俊及5名传播者被刑拘
据新华社电 湖北省公安厅昨日宣布,根据统一部署,湖北网监在浙江、山东、广西、天津、广东、四川、江西、云南、新疆、河南等地公安机关的配合下,一举侦破了制作传播“熊猫烧香”病毒案,抓获李俊(男,25岁,武汉新洲区人)、雷磊(男,25岁,武汉新洲区人)等6名犯罪嫌疑人。这是我国破获的国内首例制作计算机病毒的大案。
据介绍,2006年底,我国互联网上大规模暴发“熊猫烧香”病毒及其变种,该病毒通过多种方式进行传播,并将感染的所有程序文件改成熊猫举着三根香的模样,同时该病毒还具有盗取用户游戏账号、QQ账号等功能。该病毒传播速度快,危害范围广,截至案发为止,已有上百万个人用户、网吧及企业局域网用户遭受感染和破坏,引起社会各界高度关注。《瑞星2006安全报告》将其列为十大病毒之首,在《2006年度中国大陆地区电脑病毒疫情和互联网安全报告》的十大病毒排行中一举成为“毒王”。
今年1月中旬,湖北省网监部门根据公安部公共信息网络安全监察局的部署,对“熊猫烧香”病毒的制作者开展调查。经查,“熊猫烧香”病毒的制作者为李俊。据李俊交代,其于2006年10月16日编写了“熊猫烧香”病毒并在网上广泛传播,并且还以自己出售和由他人代卖的方式,在网络上将该病毒销售给120余人,非法获利10万余元。经病毒购买者进一步传播,导致该病毒的各种变种在网上大面积传播,对互联网用户计算机安全造成了严重破坏。李俊还于2003年编写了“武汉男生”病毒、2005年编写了“武汉男生2005”病毒及“QQ尾巴”病毒。
另外,本案另有几个重要犯罪嫌疑人雷磊、王磊(男,22岁,山东威海人)、叶培新(男,21岁,浙江温州人)、张顺(男,23岁,浙江丽水人)、王哲(男,24岁,湖北仙桃人)通过改写、传播“熊猫烧香”等病毒,构建“僵尸网络”,通过盗窃各种游戏和QQ账号等方式非法牟利。
目前,李俊、雷磊等6名犯罪嫌疑人已被刑事拘留。
反毒高手“农夫” “这是一场流氓对流氓的战斗” 
一个多月以来,民间程序高手“农夫”(网名)一直在与“熊猫烧香”进行斗争。他和另一名反病毒高手“mopery”(网名)于2006年10月25日推出了第一款专杀工具:尼姆亚蠕虫专杀。“熊猫烧香”一出新变种,他马上就更新病毒库,速度比专业杀毒软件公司还快。“熊猫烧香”的作者还在病毒代码里向持续与其战斗的“农夫”、“艾玛”、“mopery”留言。在“熊猫烧香”作者李俊被捕之前,本报记者专访了“农夫”,他从专业的角度分析了该病毒产生巨大危害的原因以及对这场“病毒之战”的评价。
技术简单,却吃不消
“农夫”介绍说,“熊猫烧香”病毒是采用捆绑的原理进行感染的,这种技术并不高明,可以打个比方,如果把正常的文件看成一杯白开水,这种病毒就像油,感染的时候就好比把油倒进白开水中,可以很清楚地看到油浮在上面,水在下面,中间有一条很明显的分界线。要把病毒清理出去也很简单,就是以这个分界线为界,把病毒那一边的数据全部搬走就可以了。
虽然技术上并不高明,但是这类病毒都有一个很明显的特征:到处感染,并且变种速度特别快,形成雪崩效应,也许在病毒刚开始传播后的十分钟,受害的计算机还只有100台,但是再过十分钟,那就不是200台,而是成千上万了。
“农夫”还介绍说,“熊猫烧香”也利用了一些安全软件的缺陷。事实上虽然反病毒厂商都在自身保护上下了功夫,但是功夫的深浅不一样,而且即使是功夫下得大的,也还是有命门,因为矛盾总是存在的。再则因为安全软件不可能做成流氓软件,要考虑用户的需求,用户说关闭就要关闭,用户说卸载就要卸载,这也让病毒有了空子可钻。
两帮累得要死的流氓
“农夫”说,并不是像某些媒体所描述的,好像我们都是身怀绝技的大侠,实际上我们都是业余的,我们和变种制造者们也是拼精力——他们制造变种,我们收到变种,马上分析,然后马上用配套的特征码提取机生成新的病毒库,在发到互联网上供网友使用。基本都是一个机械的动作,这样特别累,后来“mopery”一起和我并肩作战,我才感到轻松了一些。
我觉得这样描述更真切:“熊猫烧香”肆虐,网络流氓对抗一个月,他们用那种流氓的捆绑技术和变种技术来感染,我们就用流氓的最原始的静态特征码技术来对抗,完全是一个流氓遇上另一个流氓。结果是两帮流氓都累得要死。
假“熊猫”的“幸福生活” 警察没来查 黑客频攻击
日前在奥一网发帖冒称自己是“熊猫烧香”作者的肖某(网名“武汉男子”)昨天接受记者采访时称,他所在单位的电脑服务器遭到了黑客频繁攻击。
接到记者电话之后,肖某表示自己发帖后并没有被警察调查,“现在我正走在华强路上,没看见警察抓我嘛。”听说真作者被抓住了,他表示不相信,说据他所知,真作者是黑龙江人,并不是武汉人。
但肖某说,自从他发了冒充“熊猫烧香”作者的帖子之后,他所在单位服务器就受到了频繁的黑客攻击。最厉害的时候是今年1月7日前后,攻击从下午两三点开始,一直持续到深夜。现在一般都是准时开始攻击,从晚上8点到12点,一晚会有几百次攻击。
肖某说,这些黑客的水平太差,根本没影响到服务器的正常工作。通过一个反黑客软件,他看到了攻击的来源很广,最多的是广州的,其次是深圳,另外还有黑龙江和四川等地。也有黑客得手,导致电脑无法操作。
肖某去年宽带账号曾被盗,他马上向网警报案。对方回复说要先立案才能处理。肖某觉得太麻烦,所以这次被攻击后,他就没报警,自己搞定了。攻击一直在继续,但服务器仍然安全。
冒充“熊猫”的帖子先是发到肖某自己的博客上,后来他自己又往各大论坛贴。他自己说,他要是论坛管理员,也不会放这样的帖子上去,因为里面提到了很多他曾去应聘的大公司的名字,对他们表示不满。这会给网站带来麻烦。
(编辑:吴敏东)
