边制作传播 “熊猫烧香”及其变种,边忙着同反病毒高手公开PK,“武汉男生”在中国首例制作传播计算机病毒大案里,成了第一男主角。
在看押期间,李俊花5个小时做了一款专杀工具,放到网上供被感染者免费下载,并特别写上了一段话,对自己造成的负面影响表示歉意
李俊交代,自己通过出售和由他人代卖的方式,在网络上将该病毒销售给120余人,非法获利10余万元。据统计,2006年一年内新增计算机病毒达23万种,相当于以往所有病毒的总和。
从去年10月16日李俊将自己编写的第一个版本“熊猫烧香”病毒传到网上,到2月3日他被缉拿归案,只有104天。25岁的李俊在这104天里给数百万网民上演了一出近年来最具观赏性的网络病毒秀,同时也成为中国首例制作传播计算机病毒大案的第一男主角。
“武汉男生”
在李俊的老家武汉市新洲区阳逻街,他并不是一个引人注目的人。除了小学时可以只用一个游戏币就能在游戏室里泡一下午,他几乎没有给街坊留下任何印象。日子就这样在游戏室懒洋洋的午后里慢慢消逝,李俊除了数学和英语好些,其他科目成绩平平,初中毕业没有考上高中,进了父母所在的阳逻某水泥厂自办的技校(后来叫娲石职业技术学校)。
和传说中那个“从小就无法无天”的高科技罪犯完全不同,李俊不打架不斗殴,做人低调,成绩一般,没有女朋友,不沾酒,偶尔抽一点烟,父母双双下岗,妈妈做了个小推车在街上卖早点,爸爸在一家私人瓦厂打工,最大的爱好就是窝在家里鼓捣妈妈省吃俭用买给他的电脑。
中专毕业后,李俊像其他同学一样上了网络技术职业培训班,然后到市里的电脑城上班,一个月的薪水是大约1000元。和别人不同的是,他一直在偷偷写病毒。2003年国庆,李俊写出了“武汉男生”病毒,计算机被该病毒感染后,病毒每隔15秒就会寻找当前已经打开的QQ发送消息窗口,找到后自动利用QQ发送一条消息给所有QQ联系人,消息类型一般是“我的相片……看看(某网站网址)”,一旦收到此消息的用户点击了该网站的链接,就会感染病毒。在这个病毒中,李俊第一次嵌入了自己的代号:whboy。
“武汉男生”同其他的聊天木马一起,成为2003年网民的一大心病。2004年,对自己的技术信心十足的李俊开始多次去北京和上海等大城市,想找一份在网络安全公司的工作,但因为学历不够,屡屡受挫。抱着“赚点钱”的想法,回到武汉的李俊又开始写病毒了,2005年,他制造了“武汉男生2005"病毒及“QQ尾巴”病毒,还在一些病毒论坛和黑客论坛发贴,表示可以提供QQ盗号服务,着实赚了些小钱,而且没有暴露身份。于是,他又兴起南下深圳去找工作的念头。
2006年8月,“湖北师范大学计算机应用专业的学生”、但因为“在学校小有名气而没有拿到毕业证”的李俊来到深圳,先后去腾讯等知名企业求职,但因为没有毕业证和长相“土里土气”被拒绝。李俊“感到伤感和郁闷”,暗暗下定决心要“回去开发一个病毒,把你们全干掉。一定要让你们知道我的厉害。”
PK秀
10月16日,李俊制作出第一个版本的“熊猫烧香”,并在小范围内散布。 10月28日,经过在朋友的电脑上模拟了多个防病毒软件环境,像正规软件一样跑了好几天的软件分析测试后,李俊认为“熊猫烧香”可以结束“beta”,拿得出手了,而且突发奇想,想像瑞星的小狮子一样给自己的病毒加个可爱的小动物形象,在弃用了猪和猫后,流行歌曲《求佛》激发了他的灵感:“当月光洒在我的脸上/我想我就快变了模样/有一种叫做撕心裂肺的汤/喝了它有神奇的力量/闭上眼看见天堂/那是藏着你笑的地方/我躲开无数个猎人的枪/赶走坟墓爬出的忧伤/为了你,我变成狼人模样/为了你,染上了疯狂……”
11月1日,李俊最终决定“熊猫是国宝,我的程序也是国宝”,选用了QQ上流行的表情“熊猫烧香”来作为他这款“力作”的形象代言人。这天正好是周末,李俊挑了这个特别的日子,来到深圳华强北商业街振兴路的热火网吧,把事先准备好的闪存插入机器,将“熊猫烧香”公布到网上。
就在李俊刚刚放出“熊猫烧香”的10月中旬,瑞星卡卡社区反病毒论坛版主mopery也拿到了网友机器里的“熊猫烧香”病毒样本,也就是“熊猫烧香”的原始版本。经过反编译,他发现病毒代码中嵌着的一行无关信息:whboy,而这则是2005年十大病毒“武汉男生”的关键特征,“武汉男生”是否真的卷土重来了?mopery将自己的病毒分析报告发到网上,并和另一位网友“农夫”联手,在10月25日推出了第一款专杀工具:尼姆亚蠕虫专杀。
李俊注意到了卡卡论坛的反应,觉得这“很有意思”。何不继续将“熊猫烧香”升级,和这些反病毒高手PK一下,证明一下自己的水平不比他们这些有文凭的人差呢?11月6日开始,李俊在一周内对“熊猫烧香”进行了十多次升级;接下来的一周,他甚至将病毒更新了近30次,甚至“连自己都中招了”,“终于有了一点成就的快感”。
12月初,按捺不住得意之情的李俊忍不住在病毒中加入一行汉字:“武汉男孩感染下载者”作为“鸣谢”。随后李俊的“鸣谢”越来越长,mopery和其他两位高手“艾玛”、“海色之月”也赫然在列,1月15日,李俊甚至在留言中和另一位高手taylor77寒暄:“taylor77,不知道找我啥事啊?”在1月16日更新的病毒版本里,李俊甚至提到了22次艾玛的名字。
1月19日,李俊在发布了一个更新更厉害的变种后决定“暂时不玩了”, 他知道自己已经触犯了《刑法》,担心 "后半辈子牢底坐穿就枉费我苦修二十来年”, 不过自己制作的病毒已经“满城尽烧国宝香”,过段时间还要让它金猪拜年,他打算将此作为“熊猫烧香”的最后一次更新,并留言道:“在此对各位中过此木马的网友和各位网管人员表示深深的歉意!对不起,你们辛苦了!mopery,很想和你们交流下!某某原因,我想还是算了!”。
“商业模式”
同上世纪的病毒作者不同,李俊花了这么多时间精力做“熊猫烧香”,可不仅仅是为了炫耀技术,和反毒高手玩玩游戏而已。李俊打造的“熊猫烧香”技术含量并不高,但却在传播方式设计上下足了功夫,同时通过大量制造变种规避杀毒软件的查杀,力求在尽可能的条件下抵达更多用户的PC。而这一切的目的都是为了一个字:钱。
作为“武汉男生”和“QQ尾巴”的作者,李俊深谙新病毒的两种“商业模式”:一是“卖病毒”,通过QQ群发售“熊猫烧香”病毒源码,填入需要买家指定的强制访问网址,以便买家自己通过网站的木马盗取自己想要的聊天工具账号和游戏账号及装备,这些资料被称为“信”,而买家通过出售网站的“获信权”按流量收费,称为“卖流量”,再通过“拆信人” 借助网上交易平台把“信”卖给普通网民;二是“卖肉机”,被病毒控制的僵尸PC被称为“肉机” ,通过自己发展的“下线”将肉机的控制权直接出售获利。
1月24日,李俊成功通过“下线”——自己的同学雷磊卖出了2000台“肉机”,并先后卖出了大约20套病毒源码,每套从500至1000元不等。 在不到一个月的时间里,他借此牟利至少15万元,他的客户也跟着发了笔横财:浙江丽水的买家张顺赚了几十万,山东威海的厨师王磊赚了一辆吉普车。用王磊的话说:“这是个比房地产来钱还快的暴利产业!”
赚了钱的李俊把钱存在银行卡里,很少出去玩。警方透露,他的钱主要用来去外地见网友,甚至连弟弟也不知道就是他制造了大名鼎鼎的“熊猫烧香”。
落网
就在李俊“智斗”反毒高手的同时,“熊猫烧香”这款入选“2006十大病毒”之首的“毒王”也逐渐进入警方视野。1月7日,国家计算机病毒应急处理中心发出“熊猫烧香”紧急预警。1月9日,湖北省仙桃市公安局接报,该市网站 “江汉热线”因染毒导致网络瘫痪,1月中旬,湖北省厅网监总队根据公安部公共信息网络安全监察局的部署,开始对“熊猫烧香”制作者开展调查。1月22日,国家计算机病毒应急处理中心在全国通缉“熊猫烧香”。 1月24日,仙桃市公安局网监大队对“1·22制作传播计算机病毒案” 正式立案。
1月31日下午,湖北省公安厅从各地市抽调的六名网监精英和国家计算机病毒应急处理中心的专家到位,与仙桃网监大队成立专案侦查工作领导小组和联合工作专班,查出“武汉男生”又名“小俊”,男,25 岁左右,身高1.75米,网名为“DAVE"。2月3日上午,负责24小时监视“小俊”的外勤组报告犯罪嫌疑人已多日未回出租屋住宿,警方决定开始抓捕行动,并在当天将李俊和同伙雷磊抓获归案。
李俊在押期间写出了一个简单的“熊猫烧香”专杀工具,并在网上公布了一封自白书,在信中辩解“熊猫烧香”出发点只是“编程研究”,不会破坏文件,自己与诸多变种无关,并且低估了网络的散播速度。他还澄清“使用图标出于个人喜欢而并非诋毁大熊猫”,表示:“希望安全软件公司不要吹嘘、相互诋毁、相互炒作,尽力做出让人们信赖的好安全软件!……熊猫走了,是结束吗?不是的,网络永远没有安全的时候,或许在不久,会有很多更厉害的病毒出来!所以我在这里提醒大家,提高网络安全意识,并不是你应该注意的,而是你必须懂得和去做的一些事情!”