| 熊猫烧香电脑病毒案告破 抓获8名疑犯 |
|
tirry_niit 原创 更新:2007-02-13 09:16:11 版本: 1.0
|
|
新华社武汉2月12日电(记者方政军)湖北省公安厅12日宣布,根据统一部署,湖北网监在浙江、山东、广西、天津、广东、四川、江西、云南、新疆、河南等地公安机关的配合下,一举侦破了制作传播“熊猫烧香”病毒案,抓获李俊(男,25岁,武汉新洲区人)、雷磊(男,25岁,武汉新洲区人)等8名犯罪嫌疑人。这是我国破获的国内首例制作计算机病毒的大案。
据介绍,2006年底,我国互联网上大规模爆发“熊猫烧香”病毒及其变种,该病毒通过多种方式进行传播,并将感染的所有程序文件改成熊猫举着三根香的模样,同时该病毒还具有盗取用户游戏账号、QQ账号等功能。该病毒传播速度快,危害范围广,截至案发为止,已有上百万个人用户、网吧及企业局域网用户遭受感染和破坏,引起社会各界高度关注。《瑞星2006安全报告》将其列为十大病毒之首,在《2006年度中国大陆地区电脑病毒疫情和互联网安全报告》的十大病毒排行中一举成为“毒王”。
今年1月中旬,湖北省网监部门根据公安部公共信息网络安全监察局的部署,对“熊猫烧香”病毒的制作者开展调查。经查,熊猫烧香病毒的制作者为湖北省武汉市李俊,据李俊交代,其于2006年10月16日编写了“熊猫烧香”病毒并在网上广泛传播,并且还以自己出售和由他人代卖的方式,在网络上将该病毒销售给120余人,非法获利10万余元。经病毒购买者进一步传播,导致该病毒的各种变种在网上大面积传播,对互联网用户计算机安全造成了严重破坏。李俊还于2003年编写了“武汉男生”病毒、2005年编写了“武汉男生2005”病毒及“QQ尾巴”病毒。另外,本案另有几个重要犯罪嫌疑人雷磊(男,25岁,武汉新洲区人)、王磊(男,22岁,山东威海人)、叶培新(男,21岁,浙江温州人)、张顺(男,23岁,浙江丽水人)、王哲(男,24岁,湖北仙桃人)通过改写、传播“熊猫烧香”等病毒,构建“僵尸网络”,通过盗窃各种游戏和QQ账号等方式非法牟利。
目前,李俊、雷磊等8名犯罪嫌疑人已被刑事拘留。
杀毒厂商称熊猫烧香病毒案破获将产生深远影响
2月12日晚,据最新消息,制作并传播“熊猫烧香”病毒的8名犯罪嫌疑人已被湖北省公安部门抓获,至此,“熊猫烧香”病毒案也终水落石出,这是国内目前破获的最大的一例制作传播计算机病毒案。
对于这一案件的破获,瑞星副总裁毛一丁称,“这当然是一件令人高兴的事情。他们给计算机用户造成了很大的麻烦和损失,应是千夫所指。”在庆幸案件破获的同时,毛一丁认为这将起到杀鸡儆猴的作用,“它会告诉那些小孩,制作并传播病毒不是什么时髦的事情而是要付出代价的。”
据毛一丁透露,瑞星公司在1月中旬就协助天津市公安局提交了他们掌握的有关熊猫烧香的数据信息。“这起案件的侦破是公安部统一部署的”。
毛一丁还称,通过这一案件我们也该反思一下为什么这些孩子会如此肆无忌惮的制作传播这些病毒。他认为,“这与我们这几年混乱的网络环境有关,之前的流氓软件泛滥就是例证,其实流氓软件到计算机病毒的距离也就一步之遥。关键是怎么界定。”他呼吁有关部门应该加大打击制作传播病毒案件的力度。
金山毒霸事业部总经理王全国也对案件的破获表示欣慰,他认为,从熊猫烧香传播的速度和变种的数量上来看,“参与这起案件的人应该不只有8人”,因此,他们认为这是一起团伙制作传播病毒案。
王全国也认为这个案件说明我国网络安全管理部门完全有能力破获计算机病毒制作传播案件,势必对今后那些制作传播病毒案件者起到很好的警示作用。
熊猫烧香病毒自产生以来,迅速蔓延至整个互联网,使上百万个人用户、网吧及企业造成网络污染和破坏,至今已经有100多个变种病毒,它曾被瑞星列为2006年万千病毒中的“毒王”。
根据《中华人民共和国计算机信息系统安全保护条例》第七条规定,“任何组织或个人,不得利用计算机信息系统从事危害国家利益、集体利益和公民合法利益的活动,不得危害计算机信息系统的安全”。
其第二十三条也规定,“故意输入计算机病毒以及其他有害数据危害计算机信息系统安全的,或者未经许可出售计算机信息系统安全专用产品的,由公安机关处以警告或者对个人处以5000元以下的罚款、对单位处以15000元以下的罚款;有违法所得的,除予以没收外,可以处以违法所得1至3倍的罚款。。
此外,条例还规定,“违反本条例的规定,构成违反治安管理行为的,依照《中华人民共和国治安处罚条例》的有关规定处罚,构成犯罪的,依法追究刊事责任。”(沙鸥)
近日来,“熊猫烧香”成了一个高频词。这个会烧香的熊猫成了各种媒体争相报道和追踪的对象。其传播范围之广,破坏力之强,都不禁让人提心吊胆。但是,仔细分析一下2006年这场规模最大的病毒流行事件,或许,“熊猫烧香”的案例能带给我们一些启示和思考。
关于“熊猫烧香”
Worm.Nimaya,中文名武汉男生(又名尼姆亚),目前大家都习惯形象地称之为“熊猫烧香”。这是一个感染型的蠕虫病毒,会感染系统中的可执行文件以及网页,被感染的PE文件图标会变成一个可笑的熊猫烧香图案。此病毒会在局域网内通过暴力口令破解感染其他计算机,或在Internet上通过感染网页而感染使用IE的网页访问者。
最成熟技术的综合应用是熊猫成功的要诀
“熊猫烧香”是很长一段时间以来为数不多的、有广泛影响的感染型蠕虫之一。通过对病毒样本的技术分析,这里列出一些病毒传播和保护自身的手段,其中大部分肯定都是你曾经听说过的,并没有太多具有创新性的地方。
1.
把自己改名为看似系统进程的名字,添加启动项。
2.
杀反病毒软件。“熊猫烧香”的反病毒软件列表更为全面,更有中国特色。不仅仅是反病毒软件,连一些有清除流氓软件功能的工具软件也在被杀之列。
3.
修改注册表,阻止显示隐藏的文件。
4.
感染可执行文件和网页文件。感染网页文件可以说是这次大规模感染的一个主要原因。但从技术上来讲,对于IFrame漏洞的利用,已经是很多年前的故事了。
5.
通过局域网,暴力破解口令感染。在各分区的根目录创建自运行相关文件。
从以上的分析来看,应该说几乎所有的东西都是病毒和木马的常用手段。但是我的意思并不是说这是一个无关痛痒的病毒。引用瑞星论坛上TOM2000的一段评论,“从技术上来说该病毒并没有什么创新之处,但是它却借鉴很多经典病毒、木马甚至是劫持软件的长处。这样一个没有尖端技术却拥有最成熟技术的病毒综合体来到我们面前。”
其实,对用户危害最大的病毒并不一定是有最高技术的,或者说,“熊猫烧香”最成功的地方,就是它把最成熟的技术用在了传播上。具体原因主要有以下3点:
1.
感染网页。感染网页病毒做起来简单,直接在所有的asp和htm文件后面追加一段通过IFrame去下载病毒的代码。这种方式使得很多网站不幸成为了病毒传播的帮凶。这是近2年挂马流行以来,最为成功的一次应用。但是即便是简单的病毒,杀毒软件想要很好地清除网页中的病毒内容,同时不能误报、不能漏报,还不能十分影响系统性能,确实是很困难。
2.
频繁的升级。反病毒软件通过频繁升级来为用户提供最新的病毒库,对于病毒的响应速度和升级频度,已经成为了公认的评价标准。但是,这是病毒首次更新频率赶上甚至超过反病毒软件,以前只有流氓软件才有这样的实力。频繁的升级,配合上感染网页的方式,确实让反病毒公司很为头疼。
3.
局域网感染。用户对于密码的随意,一直是一个广泛的问题。这次,懒惰的代价终于显现了出来。通过猜测网内计算机的密码,病毒可以复制自己,并且执行。这样,一个公司内,一个人中毒可能很快变成一场集体灾难。
我们应该做什么
面对这次大规模的病毒爆发,我觉得无论是反病毒厂商还是最终用户,都应该从中得到一些启示。
首先,作为反病毒公司,应该加快反病毒方式的变革,致力于研发功能更强大的反病毒引擎,有效地解决病毒加壳以及免杀技术,从而解决病毒变种速度过快而给公司带来的巨额维护成本。(如果你对于变革反病毒的方式方法有什么创意,欢迎和我讨论 majie -at- rising.com.cn)。
其次,对于这种传播广泛的流行病毒,应该让网关防毒设备更好地发挥作用。通过在防毒墙这样的网关设备上配置合适的规则,可以较为容易地在网络边缘拦截病毒,保护内网的计算机用户。
最后,用户更高的安全意识仍旧是最好的安全手段。
从“熊猫烧香”的一些传播行为来看,没有设置安全的口令,没有及时安装系统补丁,还是这次病毒泛滥的重要原因。这些都要依赖于用户安全意识的提高,养成良好的习惯,才能有效避免未来的病毒。
关山出租屋内抓获“武汉男孩”
今年1月,仙桃市公安局局域网办理第二身份证时中了“熊猫烧香”病毒。与此同时,位于仙桃市的“江汉热线”不幸感染“熊猫烧香”,网络瘫痪。1 月中旬,湖北网监部门根据公安部公共信息网络安全监察局的部署,对“熊猫烧香”制作者开展调查。1月24日,仙桃警方正式立案,案件代号为“122案件”。对比此前出现的“武汉男孩”病毒,两种病毒程序编码类似,警方推测可能系一人所为。1月31日,湖北省公安厅网监总队召开仙桃、武汉、宜昌、荆门等地网监部门负责人会议,部署合力开展案件侦破,成立了指挥领导小组与侦破专班。湖北省公安厅网监总队徐云峰博士对该病毒已追踪多时。在网监总队统一部署下,网警运用多种网络技术手段和侦查手段,2月1日查找到犯罪嫌疑人所在地??武汉关山的一栋两层楼房内的出租屋。侦破专班对该出租屋实行24小时监控。 2月3日晚9时许,一男子回该出租屋取东西,被警方抓获,此人正是“熊猫烧香”制作者李俊。李俊交待了其制作“熊猫烧香”病毒牟利的经过,并交出了其销售病毒的下线。李俊供称,回出租屋取东西的目的是准备外逃。警方同时抓获另一名涉案人员雷磊。
“网络天才”没念过大学
“他是网络天才。”昨日,省网监总队有关专家如此描述李俊。李俊,男,25岁,新洲区阳逻街人,曾在某电脑城工作;雷磊,男,25岁,是李俊的同乡兼同学,两人中专毕业后一起参加网络技术职业培训班。2004年毕业后,李俊曾多次上北京、下广州找IT方面的工作,尤其钟情于网络安全公司,但均未成功。为了发泄不满,同时抱着赚钱的目的,李俊开始编写病毒,2003年曾编写过“武汉男生”病毒,2005年编写了“武汉男生2005”病毒及“QQ尾巴”病毒。抓获李俊和雷磊后,警方乘胜追击,又抓获王磊(男,22岁,山东威海人)、叶培新(男,21岁,浙江温州人)、张顺(男,23岁,浙江丽水人)、王哲(男,24岁,湖北仙桃人)等4名改装、传播“熊猫烧香”病毒的嫌疑人,这些人通过改写、传播“熊猫烧香”等病毒,构建“僵尸网络”,通过盗窃各种游戏和QQ账号等方式非法牟利。目前这6人均已被警方刑拘。
“熊猫烧香”一份卖3000元
李俊交代,他于2006年10月16日编写了“熊猫烧香”。这是一种超强病毒,感染病毒的电脑会在硬盘的所有网页文件上附加病毒。如果被感染的是网站编辑电脑,通过中毒网页病毒就可能附身在网站所有网页上,访问中毒网站时网民就会感染病毒。“熊猫烧香”感染过天涯社区等门户网站。“熊猫烧香”除了带有病毒的所有特性外,还具有强烈的商业目的:可以暗中盗取用户游戏账号、QQ账号,以供出售牟利,还可以控制受感染电脑,将其变为“网络僵尸”,暗中访问一些按访问流量付费的网站,从而获利。部分变种中还含有盗号木马。李俊以自己出售和由他人代卖的方式,每次要价3000元,将该病毒销售给120余人,非法获利10万余元。经病毒购买者进一步传播,该病毒的各种变种在网上大面积传播,据估算,被“熊猫烧香”病毒控制的“网络僵尸”数以百万计,其访问按访问流量付费的网站,一年下来累计可获利上千万元。
“武汉男孩”太嚣张??知情人士披露侦破内幕
据接近该案的知情人士透露,“熊猫烧香”作者在互联网上留下了很多蛛丝马迹。专案小组选择了从互联网上的一些社区信息、域名注册信息开始入手。鉴于在多个病毒代码里都写着whboy,包括“熊猫烧香”、流氓软件51VC等,其代码、传播以及爆发手法都极为相似,专案小组决定并案侦查。“举个例子来说,51.vc的网站上写着ICP证是:鲁ICP证005248号。”专案小组当即查明这是一个伪造的ICP证,通过有关渠道查到另一个网站 www.51pm.org也是使用了这个伪造的ICP证。尽管当时该网站已不能访问,但可以搜索引擎的快照功能回溯该站点网页,其内容和51.vc完全一样。专案小组在掌握了上述信息后,立即着手寻找51.vc或51pm.org注册者,而这些人也就是这些病毒的作者或者幕后指使的关联人物。知情人士表示,上述例子只是侦破手段中的一种方法,事实上,目前互联网上有多种追踪方式,对于大规模传播的病毒而言,幕后黑手几乎无法藏身。信息安全业内人士表示,熊猫烧香与以往许多病毒都在拼命隐藏作者身份的做法不同,“熊猫烧香”的作者显得过于明目张胆,还主动销售源代码给他人,这些行为都暴露了他的身份。(马城金磊)
雷磊“高科技犯罪”让亲属惊讶??据介绍他和李俊关系一直很好
荆楚网(楚天都市报)(记者叶宁 张屏通讯员陈光灿后方统筹胡勇谋)昨晚12时许,记者驱车来到新洲阳逻长山村窝子湾,敲开雷磊家门。据村民介绍,雷磊父母都是做工程的个体户。雷磊叔叔雷军华说,雷磊初中毕业后因成绩不好没有考上高中,就上了一所中专,人很聪明,懂点电脑。雷军华说,4日下午5时许,他接到了仙桃市第二看守所的电话,遂和雷磊父亲赶到仙桃送了生活费和衣物,当时还不知道雷磊犯的究竟是何罪。今天网上传出消息后,村里闹得沸沸扬扬,他赶到网吧亲自看过,很惊讶侄儿居然涉嫌如此 “高科技犯罪”。窝子湾队长介绍说,雷磊是独生子,很瘦,一直在汉口打工,每年都会回家几次,很少出门,性格内向,偶尔开着父亲的轿车在村里逛逛。已婚,孩子才一岁。李俊未婚,与雷磊平时很要好,经常串门。
“熊猫”凶猛
2006年11月14日“蜜罐”中发现“熊猫”
2006年11月14日,瑞星公司反病毒工程师们发现了一种新病毒。大家将病毒移到一台与网络隔离的电脑上,运行病毒之后,屏幕上出现了一排排的熊猫图案,熊猫们手持三炷香,合十作揖。反病毒工程师们将其命名为“尼姆亚”。其实,在瑞星公司捕获“尼姆亚”病毒之前一个月,卡卡网络社区反病毒论坛的版主mopery拿到了一个病毒样本,它才是“熊猫烧香”的原始版本。
2007年1月9日“熊猫烧香”疯狂爆发
2006年12月中旬,“熊猫烧香”进入急速变种期。2007年1月7日,国家计算机病毒应急处理中心发出“熊猫烧香”的紧急预警。1月9日, “熊猫烧香”全国性暴发。小江是黑龙江一家网吧的网管。1月9日,他打开网吧的电脑,屏幕上布满了“熊猫烧香”图标,系统崩溃。同一天,北京一家IT公司电脑全部感染“熊猫烧香”,正在研发中的软件毁于一旦。同一天晚上,北京的一家报社里,技术人员们东奔西跑,几十名编辑记者都在等待着他们清除“熊猫烧香”……这一天感染的电脑用户达数十万。“熊猫”并未就此止步,它继续四处“烧香”,并且愈演愈烈。1月22日,国家计算机病毒应急处理中心再次发出警报,在全国通缉“熊猫烧香”。
2007年1月中上旬“武汉男孩”留言挑衅
反病毒工程师们将病毒解剖之后,看到了一段信息:“whboy”。“whboy”这个名字,对于病毒研究者有着不一般的含义。2004年, whboy发布了其创作的病毒“武汉男孩”,一年后该病毒被江民列入2005年十大病毒。“熊猫烧香”变种后,代码中除了whboy字样外又多了一行汉字:“武汉男孩感染下载者。”此时,mopery和网友艾玛加入抗击“熊猫烧香”的大军当中,吸引了“武汉男孩”的注意。在1月初的一份病毒变种中,留言再次更新:“感谢mopery对此木马的关注。”随后,“武汉男孩”在1月5日的病毒留言中感谢名单上添加了艾玛的名字。1月15日,武汉男孩还在留言中和反毒者taylor77打起了招呼:“taylor77,不知道找我啥事啊?”并且戏言:“我制作的病毒已经‘满城尽烧国宝香’。”1月19日晚,“熊猫烧香”最后一次更新,发布者写下临别赠语:“在此对各位中过此木马的网友和各位网管人员表示深深的歉意!对不起,你们辛苦了!”
观点
破坏计算机信息系统可能处5年以上有期徒刑
荆楚网(楚天都市报)(记者胡勇谋)湖北省刑事辩护专业委员会王万雄委员说,制造“熊猫烧香”病毒的嫌疑人涉嫌破坏计算机信息系统罪。王万雄说,《刑法》规定,故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的行为,属破坏计算机信息系统罪。他说,“熊猫烧香”病毒的制造者是典型的故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果特别严重的行为。《刑法》规定,犯此罪后果严重的,处5年以下有期徒刑或者拘役;后果特别严重的,处5年以上有期徒刑。
苦中作乐网友忙“创作”
“熊猫烧香”在让众多网民叫苦不迭的同时,也引发了一场声势浩大的网络创作热潮,由唐诗宋词、流行歌曲到电影对白、原创漫画,改编“作品”弥漫网络。
唐诗版:李白成“受灾大户”
猫扑大杂烩的《熊猫烧香题诗三百首》,短短几天内几十首当代“唐诗”迅速出笼。崔颢《黄鹤楼》被改成:熊猫已被格式化,此地空余白硬盘。熊猫一去不复返,网民硬盘空悠悠。熊猫烧烧三炷香,系统萋萋EXE。重要资料何处是,可恶熊猫使人愁。李白成为“受灾大户”。“李白开机将上网,忽闻机内熊猫声。杀毒软件千千万,不及我猫三炷香!”《将进酒》也惨遭篡改,其中一个版本说:“君不见熊猫之香网上来,系统崩溃不复回。君不见杀毒软件没办法,朝如青丝暮成靶。虽被感染须尽欢,莫使微机空对月。”“与君香一炷,请君为我倾耳听。系统文件不足贵,但愿熊猫不更新。古来病毒皆寂寞,唯有熊猫留其名。”李煜的《虞美人》成为《猫美人》,而“熊猫烧香,无处话凄凉。”“满机熊猫关不住,三支高香出墙来。”“千般病毒有尽时,此香绵绵无绝期。”等诸如之类的绝句让人忍俊不禁。
|
|
|
评论人:superice
|
发表时间: Thu Feb 15 10:00:31 CST 2007
|
|
干的好呀, 真是祸害呀
|
|
|
评论人:atai555
|
发表时间: Fri Feb 16 11:13:08 CST 2007
|
|
有本事国家判他5年
|
|
|
10 
0
