“熊猫烧香”病毒背后的利益链条
来源:法制日报 更新时间:2012-04-13

在北京一家传媒公司工作的马建明,大年初一便遭遇了“熊猫烧香”变种病毒的侵扰。

  马建明很不愿意提“熊猫”俩字,春节前,他的电脑资料相继两次被“熊猫病毒”洗劫一空,为公司活动准备的计划书也找不到了。 

  “‘熊猫烧香’病毒制作者不是已经被抓起来了吗,怎么还会中这个毒?”这个问题让很多遭受变种病毒侵扰的人疑惑不解。

  病毒制作者被抓≠病毒消失

  “从年初一到年初七,公司热线共接到关于‘熊猫烧香’的求救电话一百余个,其中初一、初二、初三相对比较多。”江民科技公司病毒信息发布部门的负责人张亮接受本报记者采访时说。

  江民公司从公安部领了“检测‘熊猫烧香’病毒动向”的任务,3个月来一直在关注。张亮说:“由于病毒源代码已经外泄,所以还在不断出现新的变种。”

  “我们队只抓了6名嫌疑人,但病毒制作者李俊把病毒源代码卖给了120个人,变种的问题还存在,案件还要继续侦查。”湖北省仙桃市公共信息网络安全监察大队的许警官对记者说。

  “不排除‘熊猫烧香’事件是集体作案的嫌疑。”知名网络法律专家、上海律师协会信息网络法研究会委员赵占领说。他曾参加过重庆特大盗窃Q币案,也是《网络游戏服务协议示范文本》起草组成员,对于“熊猫烧香”案件感触很深。

  “‘熊猫烧香’除了带有病毒的所有特性外,还具有强烈的商业目的:可以暗中盗取用户游戏账号、QQ账号,以供出售牟利,还可以控制受感染电脑,将其变为‘网络僵尸’,暗中访问一些按访问流量付费的网站,从而获利。部分变种中还含有盗号木马。”赵占领说这些都表明这个案子有可能是一条龙式,有人制毒,有人植入,有人销售、有人协调……

  2月3日,“熊猫烧香”病毒的原始制作者李俊被仙桃市警方抓获,但之后的“熊猫烧香”病毒并没有消失,而是继续以各种变种的形式传播。

  原本花上千元才能买到的源代码,在李俊被抓后,网上便疯传开来,黑客们都争相研究这份代码。“这里面有的人可能会制作变种。”

  2月14日,负责侦办“熊猫烧香”病毒案的仙桃市公安局副局长叶铁官说,李俊已编写出“熊猫烧香”专杀程序,公安部门组织专家已经对这一程序进行了鉴定,可在互联网上免费下载。

  2月28日,记者拨通仙桃市公共信息网络安全监察大队的电话,工作人员说:“专杀程序仍在检测当中,并没有在互联网上公布。”并提醒网民不要下载那些自称是李俊编写的专杀程序。

  700多种变种千万次下载

  “目前为止,‘熊猫病毒’变种已达到700多种,其中包括威金变种。由于病毒的源代码被泄露,在这条产业链上的卖家和买家都有可能制造出病毒变种。当然也不排除懂得相关知识的人模仿‘熊猫烧香’制造出新的病毒。”张亮介绍说。

  “自病毒出现后,仅江民杀毒软件的下载量就达到了一千万。”张亮说,“在《江民发布2006年计算机病毒疫情报告及十大病毒》中,威金被列为十大病毒之首,‘熊猫烧香’和威金病毒属于同系列的病毒。”

  杀毒软件公司纷纷推出了“熊猫烧香”病毒及其新变种的专杀软件,但是,上海计算机病毒防范服务中心的反病毒工程师汪浩却称,厂家推出的杀毒软件可以杀灭电脑上的“熊猫烧香”病毒,却不能彻底消灭计算机网络中的“熊猫烧香”病毒及其新变种,因为这些杀毒软件不能清除“熊猫烧香”病毒的源代码。

  “从技术上看,熊猫的传播能力并不比‘高波’、‘冲击波’、‘震荡波’等高明。但它有感染正常文件的能力。它是个成功的蠕虫,之所以感染了这么多用户,病毒本身的技术因素是一方面,但不是主要方面,主要是这个病毒利用了微软漏洞,使网页染毒,这样浏览网页的人也会感染该病毒,造成大面积感染。”张亮说,做杀毒软件的大部分公司已经介入进来。

  2006年12月,“熊猫烧香”进入急速变种期。它相继造访了天涯社区、pconline、硅谷动力等门户网站,在暴风影音等知名软件的下载链接中也曾出现过它的魅影。对此,李俊得意洋洋地宣称:“我制作的病毒已经‘满城尽烧国宝香’。”

  2007年1月7日,国家计算机病毒应急处理中心发出“熊猫烧香”紧急预警。

  1月9日,仙桃市公安局接报,该市“江汉热线”不幸感染“熊猫烧香”病毒而致网络瘫痪,“熊猫”就这样进入了警方视野。1月中旬,湖北省公安厅网监总队根据公安部公共信息网络安全监察局的部署,开始组织对“熊猫烧香”制作者开展调查。

  1月22日,国家计算机病毒应急处理中心再次发出警报,在全国通缉“熊猫烧香”。

  1月24日,公安机关正式立案,并命名其为“‘1·22’制作传播计算机病毒案”。

  黑色产业链

  李俊以自己出售或由他人代卖的方式,每次要价500—1000元不等,将该病毒销售给了120余人,非法获利10万余元。经病毒购买者进一步传播,该病毒的各种变种在网上大面积传播。据估算,被“熊猫烧香”病毒控制的“网络僵尸”数以百万计,病毒传播者,一年下来累计可获利上千万元。

  警方的介入让李俊感受到了压力,据他事后交代,最初编制病毒是应网友要求“编着好玩”,后来见被感染的计算机数量众多,网上舆论愤怒声讨,“事情闹大了”,他便编制专杀程序,想把病毒都杀掉,但编好后不敢挂在网上,担心警方以此为线索找到他。

  2月3日,李俊回到在武汉的出租屋取东西准备潜逃,被当场抓获。

  一个“熊猫烧香”,就让李俊轻轻松松拿到了10万元。瑞星公司的反病毒专家史

  王禹表示,去年一年,出现的新电脑病毒数量就达到234211个,其中90%左右的电脑病毒,都是通过盗窃数据或网上欺诈,以获取经济利益为目的,“熊猫烧香”就是一个典型。在一些人眼中,制造并散布病毒,已经成为成本最低、风险最小和获利最快的牟利手段。

  “‘经济利益’成为目前病毒制造者不断追求技术突破的原动力,受此利益驱使,2006年电脑病毒的感染率呈爆炸式增长,网络经济犯罪率不断增加,病毒的绝大部份变化都是围绕此中心展开的。”张亮表示了担忧。

  “病毒制造者已经由仅仅玩技术的‘黑客’,演变成有经济基础,有组织,有目的的网络攻击者,从而网络犯罪率急剧攀升。”张亮说,一个职业网上经济盗窃行业悄悄地诞生。

  “有人偷窥别人隐私,盗取别人的银行账号、密码,有人想获取免费的游戏装备,有人偷取别人的QQ账号,Q币,有人想提高网站流量,捆绑强制安装……在巨大的经济利益诱惑下,病毒制造者的技术力量也有了飞跃式的发展。”反病毒专家认为一条黑色产业链已经形成。

  “一个Q币就相当于人民币一元钱,而游戏中的虚拟账号更值钱,一个屠龙刀也能卖几千元,一个好的QQ账号有可能卖到上万元。”网民赵先生说。

  “植入病毒后,病毒就自动记录下网民的键盘操作,可以自动识别账号,然后把这些账号和密码都发送到植入者的邮箱中,植入者只管每天接收邮件就可以了,大把的账号就来了。然后有专门整理号码的人,挑出好的号或者有纪念意义的号,标定价钱。再由销售人员到拍卖网站上去叫价,淘宝等一些网站上都有。网络上的东西换成钱后,就会有负责协调的人员来协调产业链各个环节的利益。”赵占领介绍说。

  六点防范措施

  采访中,江民科技公司的张亮提醒广大电脑用户,由于“熊猫烧香”病毒能够反复感染电脑,因此没有感染病毒或已清除病毒的用户应立即采取防范措施,堵好病毒的所有入口,彻底阻止病毒入侵。反病毒专家提出六点防范措施:

  1、局域网用户尽量避免创建可写的共享目录,已经创建共享目录的应立即停止共享。

  2、如无必要,Windows2000/XP用户应尽量关闭IPC$共享,并给具有管理员权限的帐号设置强健的密码。

  3、及时安装微软的安全更新,不要随意访问来源不明的网站。特别是微软的MS06-014漏洞,应立即打好该漏洞补丁。

  4、安装杀毒软件,并及时升级病毒库

  5、QQ用户请下载安装最新版本的QQ软件,已发现多起恶意网站利用QQ漏洞传播熊猫蠕虫的现象。

  6、使用U盘等移动设备交换文件时,要开启杀毒软件的实时监控,或先用杀毒软件扫描,并关闭自动播放功能。