[转载]熊猫烧香病毒幕后黑手曝光 网络世界高手对决一个月
信息来源:《京华时报》这是一波电脑病毒蔓延的狂潮.在两个多月的时间里,数百万电脑用户被卷将进去,那只憨态可掬、颔首敬香的“熊猫”除而不尽,成为人们噩梦般的记忆.
反病毒工程师们将它命名为“尼姆亚”.它还有一个更通俗的名字———“熊猫烧香”.它迅速化身数百种,不断入侵个人电脑,感染门户网站,击溃企业数据系统……它的蔓延考问着网络的公共安全,同时引发了一场虚拟世界里“道”与“魔”的较量.反病毒工程师和民间反病毒人士纷纷投身其中.
1月19日,一个最新的“熊猫烧香”变种病毒出现。病毒作者宣称,这将是“熊猫烧香”最后一次更新。
这场历时两个多月的较量结束了吗?
“蜜罐”中发现病毒
2006年11月14日,中关村瑞星公司总部14楼。
一群反病毒工程师围着一台与网络隔绝的电脑。随着鼠标点动,数百个熊猫图标出现在屏幕上。这是工程师们当天捕获的病毒,命名为“尼姆亚”。
史瑀是瑞星公司研发部病毒组的反病毒工程师。他每天的工作就是,和数十名伙伴一起捕捉网上流传的病毒,然后将病毒“拆”开,研究其内部结构后,升级瑞星的病毒库。
当天下午,一名用户向他们提交了一份病毒样本。随后,他们又在病毒组的“蜜罐”内,发现了该病毒的踪影。
“蜜罐”是病毒组设立在互联网上的一些防卫性孱弱的服务器,工程师们故意在服务器上设置多种漏洞,诱使病毒侵入。“就像猎人做的沾满蜜糖的陷阱,专门吸引猎物上钩。”
从“蜜罐”里提取病毒后,史瑀和同事们将病毒移到公司14楼的一台与网络隔离的电脑上,这里是病毒的“解剖台”。
“运行病毒之后,系统所有的图标都变成了熊猫。”史瑀眼前的屏幕上,出现了一排排的熊猫图案,熊猫们手持三炷香,合十作揖。
经过分析,工程师们发现,在病毒卡通化的外表下,隐藏着巨大的传染潜力,它的传染模式和杀伤手段,与风行一时的“威金”病毒十分相像。瑞星公司随即发布病毒预警。
病毒蔓延涌向全国
“最开始的‘尼姆亚’不算厉害。”史瑀说,随着病毒作者的不断更新,它的破坏力和传染力也随之上升。
2006年11月底,“尼姆亚”只有不到十个变种,然而12月开始,病毒作者从数日一更新,变为一日数更新,它的变种数量成倍上升。这时候,“熊猫烧香”已经取代了“尼姆亚”这个名字。
12月中旬,“熊猫烧香”进入急速变种期,在几次大面积暴发之后,“熊猫烧香”成为众多电脑用户谈之色变的词汇。
圣诞节过后,“熊猫烧香”版本已达到近百个。
史瑀说,去年12月下旬,国内近千家大型企业感染“熊猫烧香”,向瑞星求助。“当病毒变种和感染人群超过一定数量时,病毒的传播就会以几何方式增长。”
12月26日,金山毒霸全球反病毒监测中心发布“熊猫烧香”正疯狂作案的病毒预警。
27日,江民科技发布关于“熊猫烧香”的紧急病毒警报。
2007年1月7日,国家计算机病毒应急处理中心紧急预警,“通过对互联网络的监测发现,一伪装成‘熊猫烧香’图案的蠕虫病毒传播,已有很多企业局域网遭受该蠕虫的感染。”
1月9日,“熊猫烧香”继续蔓延,开始向全国范围的电脑用户涌去。
这一天,“熊猫烧香”迎来了一次全国性的大规模暴发,它的的变种数量定格在306个。
各地用户纷纷中招
小江是黑龙江省一家网吧的网管。1月9日到1月10日的两天间,他所在的网吧内空空荡荡,并无顾客,打开网吧的40多台电脑,屏幕上布满了“熊猫烧香”图标,系统崩溃,无法运行。
“毒是9日早晨中的,一开始只是一台机器,我杀毒时候,局域网内其他机器陆续中招。”小江说。
同一天早晨,在北京一家IT公司工作的刘先生上班后发现,公司近30台电脑全部感染“熊猫烧香”,病毒破坏了电脑内的程序文件,并删除了电脑备份,公司正在研发中的半成品软件毁于一旦。
刘先生愤怒之下却又无奈。在年度总结报告中,他特意加上了一条:“以后重要程序必须备份,防范类似‘熊猫烧香’的流氓病毒。”
同一天晚上,北京的一家报社里,技术人员们东奔西跑,几十名编辑记者都在等待着他们清除电脑里的“熊猫烧香”。
1月10日,上海一家台资公司的员工张先生打开电脑,迎接他的是一排排拱手举香的熊猫。环顾四周,他发现同事们脸上有同样的惊诧表情。整整一天,公司业务陷于瘫痪。
……
根据瑞星公司提供的“熊猫烧香”病毒用户求助数据,仅1月9日一天,瑞星用户向公司求助的人数已达1016人次,11日达到1002人次。因为是选择性求助,并仅限于瑞星杀毒软件的正版用户,这个数据只是冰山一角。
据了解,1月9日感染的电脑用户达数十万。其中北京、上海等电脑用户较集中的城市成为“重灾区”。
“熊猫”并未就此止步,它继续四处“烧香”。随着变种的不断增多,病毒洪潮蔓延无休,并且愈演愈烈。
截至目前,“熊猫烧香”病毒变种已达416个,受感染电脑用户达到数百万台。
1月22日,国家计算机病毒应急处理中心再次发出警报,在全国范围内通缉“熊猫烧香”。
门户网站遭遇感染
1月24日,北京市政府信息工作办公室在官方网站上设立了“熊猫烧香”病毒专题,其中撰文称:“一种伪装成‘熊猫烧香’图案的病毒正在疯狂作案……目前已有多家企业局域网和网站遭受重创,多数网民也深受其害。”
“熊猫烧香”因何难退?
“‘熊猫烧香’和以往的病毒不同,它采用了一种新的传播手段。”史瑀说,传统的蠕虫病毒是通过一台中毒电脑传至局域网内其他电脑,而“熊猫烧香”在整合了所有可利用的传播漏洞之外,还可以通过网站传播。
感染“熊猫烧香”的电脑,会在硬盘的所有网页文件上附加病毒。“如果被感染的是网站编辑和记者的电脑,那么通过中毒的网页,‘熊猫烧香’就可能附身在网站的所有网页上。”史瑀说,访问这种中毒的网站时,网民就会感染“熊猫烧香”病毒。
从传统的点对点,到现在的点对面,“熊猫烧香”借助中毒网站的惊人访问量急速传播。
据反病毒工程师称,他们曾监控到,“熊猫烧香”感染过天涯社区、硅谷动力、pconline等门户网站,在暴风影音等知名软件的下载链接中也曾有“熊猫烧香”附身的痕迹。同时,“熊猫烧香”还可借助搜索引擎进行病毒传播。
“借助局域网天女散花,借助门户网站星火燎原,借助U盘死灰复燃。”史瑀说,“熊猫烧香”的三项主要传播方式,成为病毒难以退去的主要原因。
反毒人士抗击病毒
史瑀说,自去年圣诞节之后,瑞星公司病毒组就开始不断加班,每当“熊猫烧香”发布新变种,工程师们就立即采集样本,解剖病毒,并升级相应的专杀工具。“这段时间里,通宵熬夜就有4次。”
“‘熊猫烧香’技术谈不上高超,主要依赖于作者不断疯狂地更新,它更新,我们就随之更新专杀工具。”史瑀说,“熊猫烧香”善于利用新漏洞,比如1月8日的变种就利用了QQ一项最新的安全漏洞。
“熊猫烧香”诞生至今,病毒版本修改了400余次,史瑀和同事们开发的专杀工具也升级了10余次。
除杀毒软件公司外,散布在网民中的“反毒高手”在抗击“熊猫烧香”中同样发挥了重要作用。
在卡卡网络社区的反病毒论坛上,云集着不少电脑高手,他们大都是业余编程爱好者,时常一起研究杀毒技术。“熊猫烧香”刚现身,就引起了他们的注意。
2006年10月底,在瑞星公司尚未捕获“熊猫烧香”病毒时,程序高手“农夫”就已经拿到了当时的“熊猫烧香”病毒样本,并编写了专杀工具。此后,每当 “熊猫烧香”发布变种时,反病毒论坛的网友mopery和艾玛等人,就会写一份详细的变种分析报告,指出病毒的危险性和新特性。
“其实民间的杀毒高手很多。”史瑀说,他自己以前就是一名民间高手,高中时代起就爱好研究病毒,大学毕业后被杀毒软件公司招募。所以,他现在经常会浏览一些著名技术论坛,如果民间高手有一些好的想法,病毒组也会借鉴。
史瑀说,他手头掌握着一张“底牌”———“未知病毒查杀”。他说,这种杀毒办法可以判断病毒的“家族特征”,只要变种符合一系列特征,专杀工具就能有效查杀。
史瑀介绍了这种新专杀工具的工作原理,但他要求记者报道时隐藏该项内容,“让病毒作者知道了就麻烦了,这是我们取胜的杀手锏。”
一场未结束的战争
1月19日,“熊猫烧香”发布了一个新的变种,病毒作者同时宣称,这将是“熊猫烧香”最后一次更新。
消息传来,在卡卡社区上,饱受“熊猫烧香”折磨的网民们一片雀跃。高兴之余,他们开始反思得失。
在反病毒论坛上,网友tom2000发表了一篇名为《熊猫启示录———风波过后的反思》帖子,文中称:“以后有多少新的病毒/木马会借鉴熊猫的经验呢?一切才刚刚开始!”
业内专家认为,中国的互联网处于起步初期,大部分网民缺乏最基本的网络安全防范知识,也缺少良好的上网习惯。安全意识的薄弱,给病毒大面积传播带来可乘之机。同时,随着计算机在各个行业的普及,病毒造成的损害也将越来越严重。
1月24日下午,反病毒工程师们又发现了一种新型病毒,这种病毒和“熊猫烧香”十分相似,工程师怀疑它是“熊猫烧香”作者创作的新版本病毒。
这种病毒会把受感染用户电脑上的所有图标换成一个男子的头像,在头像的眼睛位置是两个电灯泡。
反病毒工程师们担心的是,“灯泡男子”会不会成为“熊猫烧香”的接班人。
“这是一场看不见硝烟的战争,对我们而言,战争还在继续。”史瑀说。
谁制造了“熊猫烧香”?他意欲何为?在“熊猫烧香”肆虐期间,关于作者身份的种种猜测流传于互联网上。在百度“熊猫烧香”贴吧中,数百名深受“熊猫”所害的网民发帖“通缉”病毒制造者,更有网民声称开出10万美元的悬赏花红。
昨天,反病毒工程师向记者透露,“熊猫烧香”的作者并非无迹可寻,在解剖病毒过程中,他们发现了留在病毒内的一些神秘留言。在这些留言里,“熊猫烧香”的作者自称whboy———“武汉男孩”。
“熊猫”体内暗藏留言
mopery是卡卡社区反病毒论坛的版主,也是一名反病毒高手。
2006年10月中旬,mopery接到网友求助。在帮忙解决电脑故障的过程中,他拿到了一个病毒样本,它就是“熊猫烧香”的原始版本。
将病毒“解剖”之后,在繁复的程序代码中,mopery看到了一段与程序无关的信息,其中有一行字母:“whboy”。
“whboy”这个名字,对于病毒研究者有着不一般的含义。2004年,whboy即发布了其创作的病毒“武汉男孩”,那是一种通过QQ传播的盗号木马,因为其变种的疯狂和传播的广泛,一年后,被江民反病毒中心列入2005年十大病毒之列。
此后,whboy还在一些病毒论坛和黑客论坛发帖,表示可以提供盗取QQ号服务,但不久后便销声匿迹,直至“熊猫”出现。
mopery对“熊猫烧香”进行了认真分析。他发现,这种病毒并不拥有最厉害的技术,却拥有最成熟的传播手段。
mopery对“熊猫烧香”产生了浓厚的兴趣,他联系了另一名民间反病毒高手农夫,在2006年10月25日推出了第一款专杀工具:尼姆亚蠕虫专杀。
“第一只熊猫没什么威力,厉害的是后面的变种。”mopery说,从发现第一版“熊猫烧香”后,一个月内,它的变种就达到了十几种。
在这些变种中,每隔一段时间,作者都有意在病毒中留下whboy字样。“他主要给我们这些分析病毒的人看,普通用户看不到代码。”
随着变种增多,反病毒人士在连续解剖病毒的同时,开始期待更多留言出现。
病毒内部列出“鸣谢单位”
2006年12月初,“熊猫烧香”变种加速,代码中除了whboy字样外,又多了一行汉字:“武汉男孩感染下载者。”随着变种的增多,代码内附带的信息也越来越多。
此时,mopery和艾玛已经加入抗击“熊猫烧香”的大军当中。他们分析熊猫的新变种,并在卡卡社区反病毒论坛上,贴出一份份详细的病毒分析报告。
他们的举动,吸引了病毒作者“武汉男孩”的注意力。在1月初一份病毒变种中,神秘留言再次更新。
“感谢mopery对此木马的关注。”留言中新添的这句话,让mopery啼笑皆非。随后,武汉男孩似乎迷恋上了这种病毒内部列出“鸣谢单位”的模式,在1月5日的病毒留言中,感谢名单上添加了艾玛的名字。1月9日,感谢名单中又多了杀毒高手“海色之月”的名字,文末还添加了一句“服了……艾玛…… ”
此后,武汉男孩开始频繁用这种方式与对手“交流”。
1月15日,武汉男孩还在留言中和反毒者taylor77打起了招呼:“taylor77,不知道找我啥事啊?”并且戏言:“我制作的病毒已经‘满城尽烧国宝香’。”
网络世界高手对决一个月
1月16日,武汉男孩发布了新的病毒变种,反毒者们习惯称之为“艾玛”版本。因为在这个病毒内部的留言中,写了22次艾玛的名字。
1月19日晚,“熊猫烧香”发布了最后一次更新。这个版本可称为传染手段最全面的版本。
在“熊猫烧香”的最后一个版本中,武汉男孩写下了临别赠语:“在此对各位中过此木马的网友和各位网管人员表示深深的歉意!对不起,你们辛苦了!mopery,很想和你们交流下!某某原因,我想还是算了!”
面对“熊猫烧香”停止更新的消息,反病毒工程师史瑀显得很平静:“我们希望熊猫风波就此结束,但是武汉男孩有失言的先例。总之他只要更新,我们就奉陪到底。”
对于持续对决一个多月,却不知藏身何处的武汉男孩,mopery的赠言是:“我希望他能好好利用自己的技术来服务广大网民,而不是给网民带来痛苦。”
“武汉男孩”身份存仨版本
虽然武汉男孩表示不再更新“熊猫烧香”,但这场席卷全国的病毒狂潮却余波难平。网民们纷纷猜测武汉男孩的真实身份。
经调查,目前在业内人士中,关于武汉男孩的身份有三种猜测。其一,武汉男孩是一名15岁的武汉少年,证据是网络上流传的他和反毒者农夫的QQ对话。其二,武汉男孩是桂林一家软件公司的副总裁,曾编写过流氓软件,消息来源是反病毒论坛。其三,武汉男孩是国内杀毒软件公司的员工,故意编写病毒,促销相应的杀毒产品。
为核证传言,记者分别采访了mopery和瑞星公司反病毒工程师史瑀。
mopery称,经过他和农夫的核证,证实流传的QQ聊天片断的主人公,是另外一种病毒的作者,而非武汉男孩。至于公司副总的说法,属空穴来风。
作为杀毒软件公司的员工,史瑀说,每次大型病毒流传后,总有各种对杀毒软件公司不利的传言,但杀毒软件界的程序员不会编写病毒、扰乱网络。他反问道:“流感病毒是医生制作的么?”
mopery和史瑀都表示,从留言的内容和程序代码来看,武汉男孩是一位有丰富病毒编写经验的熟手,经常浏览卡卡社区反病毒论坛,随时关注mopery 等人的病毒分析。卡卡社区有59万余名会员,武汉男孩一定身在其中,但这个范围却再难缩小。“武汉男孩本身精通网络技术和入侵技术,通过他上网的痕迹追查真身很难实现。”mopery说。
“熊猫烧香”带有商业目的
史瑀说,他们经过分析认为,“熊猫烧香”带有强烈的商业目的,“用户感染病毒后,会从后台点击国外的网站,部分变种中含有盗号木马,病毒作者可借此牟利。”
“现在的病毒作者和上世纪90年代的不同,他们不再以炫耀技术为目的,而是带有明确商业目的,病毒和流氓软件界限越来越模糊了。”史瑀说。
昨天下午,瑞星公司工作人员表示,已将病毒作者的相关证据和病毒特性提交给国家计算机病毒应急处理中心。国家计算机病毒应急处理中心工作人员称,关于这场“熊猫烧香”病毒风暴,受波及的电脑数字以及造成的经济损失等相关数据,目前正在统计,将于近日在其主页上公布。
关于是否向公安机关报案,这名工作人员表示,目前不便透露。
“我相信总有一天会见到武汉男孩真面目的。”mopery说。
■链接
计算机信息系统安全保护条例
第二十三条故意输入计算机病毒以及其他有害数据危害计算机信息系统安全的,或者未经许可出售计算机信息系统安全专用产品的,由公安机关处以警告或者对个人处以 5000元以下的罚款、对单位处以15000元以下的罚款;有违法所得的,除予以没收外,可以处以违法所得1至3倍的罚款。
第二十四条 违反本条例的规定,构成违反治安管理行为的,依照《中华人民共和国治安管理处罚条例》的有关规定处罚;构成犯罪的,依法追究刑事责任。 熊猫烧香病毒作者年收入可赚一座别墅
作者:未知 来源:未知 发布时间:2007-1-30 14:41:52 发布人:clc
据了解,熊猫烧香本身就是一种下载程序,会在指定的网站下载后门、木马、各种盗号程序。据了解,目前已经转入盗销一条龙的几家网站已经有所警觉,几家网站都已经采取了应对措施。2006年5月“证券大盗”木马病毒作者一审被判无期徒刑,而“熊猫烧香”病毒的真相何时会水落石出.
盗号产销一条龙现身网上,一年收入可赚一座别墅
本报讯 (记者 焦集瑩) “就在很多人怀疑熊猫烧香病毒是一个15岁武汉男孩制作的时候,它背后的黑势力近日已经现身,网上已经发现了产销一条龙盗窃销售网游设备的产业链。”昨日,江民公司反病毒工程师向记者“报料”,称已经发现了近期疯狂肆虐的“熊猫烧香”幕后势力的痕迹。
反病毒工程师向记者展示的一份证据显示,在他们截获的病毒中,已经发现“熊猫烧香”的作者通过[url]http://www.[/url]*****qq.com等几家地下网站公开销售网络游戏的装备,“他们这些网站可以称为是盗号、买卖一条龙,现在看来熊猫烧香的背景远没有那么简单。”反病毒工程师告诉记者。
据了解,熊猫烧香本身就是一种下载程序,会在指定的网站下载后门、木马、各种盗号程序。
记者随后访问被杀毒公司侦查到的几个网络连接,但却均显示“无法访问”,对此反病毒工程师称“现在打不开只能说是这个病毒作者开始警惕了,只要作者愿意,一年可以靠卖盗窃产品赚一座别墅。”
据了解,目前已经转入盗销一条龙的几家网站已经有所警觉,几家网站都已经采取了应对措施。而之前,几家杀毒公司都已经向公安机关报案。
据反病毒专家介绍,近期熊猫烧香的新变种中,病毒作者还在病毒体中留下了“超级巡警终于火了”的言论,因此有不少网友怀疑此次“熊猫烧香”病毒是由“超级巡警”软件提供方幕后推动。但该说法并未得到国内几家杀毒公司的肯定,称目前除了病毒体中的那句留言尚未有太多证据显示是该团体在幕后推动。
自2005年以来,计算机病毒作者常常以获取经济利益为目标,之前出现的网银大盗、证券大盗、游戏大盗、QQ大盗等都是如此,而这些都已经触犯了我国的刑法。2006年5月“证券大盗”木马病毒作者一审被判无期徒刑,而“熊猫烧香”病毒的真相何时会水落石出,本报将继续关注。 我现在严重怀疑中国的写新闻报告的人有精神幻想症! HAHA`
不是一般的精神不正常!
思维大开阔了,他们那群人不做程序员真实可惜了! [s:35] 怎么解决这个病毒啊 今天看到报道说,这个病毒有了新变种:金猪贺岁
真是层出不穷!汗 不奇怪了,马上不猪年了吗。。。。。。 又是熊猫....一个普通的文件型病毒反映那么大,怀疑有炒作的嫌疑? [s:68]
熊猫是蠕虫吗?差远了 [s:39]
BS记者 [quote][b]引用第2楼[i]keri[/i]于[i]2007-01-30 16:10[/i]发表的[/b]:
我现在严重怀疑中国的写新闻报告的人有精神幻想症![/quote]
为什么啊?每行每业都有它浪漫的一面。 我们会司还有一个机子中了熊猫,这病毒就是厉害
备份文件全部删除
! [quote][b]引用第9楼[i]zhang84414[/i]于[i]2007-02-06 14:40[/i]发表的[/b]:
我们会司还有一个机子中了熊猫,这病毒就是厉害
备份文件全部删除
![/quote]
我同学的机器也中了熊猫,我用系统还原就给恢复了。可能是你中的那个变种比较厉害吧! 新鲜,这个病毒作者有意思~~
看来不一定也不知道那个是真的!!! 熊猫烧香电脑病毒案在湖北告破 抓获8名疑犯
[url]http://news.163.com/07/0212/18/375CM2PJ0001121M.html[/url]
2007-02-12 18:34:46 来源: 国际在线(北京) 网友评论 203 条 进入论坛
湖北公安厅今日宣布“熊猫烧香”病毒案告破,抓获8名犯罪嫌疑人,病毒制作者李俊称其通过销售该病毒获利10万余元。
新华社武汉2月12日电 湖北省公安厅12日宣布,根据统一部署,湖北网监在浙江、山东、广西、天津、广东、四川、江西、云南、新疆、河南等地公安机关的配合下,一举侦破了制作传播“熊猫烧香”病毒案,抓获李俊(男,25岁,武汉新洲区人)、雷磊(男,25岁,武汉新洲区人)等8名犯罪嫌疑人。这是我国破获的国内首例制作计算机病毒的大案。
据介绍,2006年底,我国互联网上大规模爆发“熊猫烧香”病毒及其变种,该病毒通过多种方式进行传播,并将感染的所有程序文件改成熊猫举着三根香的模样,同时该病毒还具有盗取用户游戏账号、QQ账号等功能。该病毒传播速度快,危害范围广,截至案发为止,已有上百万个人用户、网吧及企业局域网用户遭受感染和破坏,引起社会各界高度关注。《瑞星2006安全报告》将其列为十大病毒之首,在《2006年度中国大陆地区电脑病毒疫情和互联网安全报告》的十大病毒排行中一举成为“毒王”。
今年1月中旬,湖北省网监部门根据公安部公共信息网络安全监察局的部署,对“熊猫烧香”病毒的制作者开展调查。经查,熊猫烧香病毒的制作者为湖北省武汉市李俊,据李俊交代,其于2006年10月16日编写了“熊猫烧香”病毒并在网上广泛传播,并且还以自己出售和由他人代卖的方式,在网络上将该病毒销售给120余人,非法获利10万余元。经病毒购买者进一步传播,导致该病毒的各种变种在网上大面积传播,对互联网用户计算机安全造成了严重破坏。李俊还于2003年编写了“武汉男生”病毒、2005年编写了“武汉男生2005”病毒及“QQ尾巴”病毒。另外,本案另有几个重要犯罪嫌疑人雷磊(男,25岁,武汉新洲区人)、王磊(男,22岁,山东威海人)、叶培新(男,21岁,浙江温州人)、张顺(男,23岁,浙江丽水人)、王哲(男,24岁,湖北仙桃人)通过改写、传播“熊猫烧香”等病毒,构建“僵尸网络”,通过盗窃各种游戏和QQ账号等方式非法牟利。
目前,李俊、雷磊等8名犯罪嫌疑人已被刑事拘留。(国际在线) 记者:方政军 写病毒的下场....... 接近该案的知情人士透露,公共安全专家部从去年10月底就开始关注熊猫烧香病毒,“它的传播面特别大,影响面广而且特别恶劣。”尽管病毒作者拥有绞尽脑汁进行自我隐藏,不过在锁定目标的过程中,还是在互联网上留下了很多蛛丝马迹。“其实这类病毒的作者往往以赚钱为目的,总是会留下线索。”专案小组选择从互联网上的一些社区信息、域名注册信息开始入手。
该人士表示,目前在多个相关病毒都的代码里写着WhBOY,其中就包括大名鼎鼎的熊猫烧香,流氓软件51VC,以及一些腾讯QQ、网游传奇账号密码盗窃的木马软件。“这些木马的代码、传播以及爆发手法都极为相似”,专案小组初步判断为同一人所为,决定并案侦查。
“举个例子来说,51.vc的网站上写着ICP证是:鲁ICP证005248号。”知情人士表示,专案小组当即查明这是一个伪造的ICP证,通过有关渠道查到另一个网站[url]www.51pm.org[/url]也是使用了这个伪造的ICP证。尽管当时该网站已不能访问,但可以搜索引擎的快照功能回溯该站点网页,其内容和51.vc完全一样。专案小组在掌握了上述信息后,立即着手寻找51.vc或51pm.org注册者,而这些人也就是这些病毒的作者、或者幕后指使的关联人物。
知情人士表示,上述例子只是侦破手段中的一种方法,“事实上,在侦破过程中采用了多方面信息相互印证的办法。”据介绍,目前互联网上有多种追踪方式,对于大规模传播的病毒而言,幕后黑手几乎无法藏身。
最早对熊猫烧香病毒进行查杀的超级巡警软件曾被误认为是幕后黑手,今日晚间新浪科技在专访该软件总负责人董志强时,他表示现在真相都已经大白,感到十分欣慰。“超级巡警也曾向国家有关部门提交过熊猫烧香的技术资料。”董志强表示,当时也希望这些技术资料能够在追查病毒作者方面起到足够的作用。
信息安全业内人士表示,技术上锁定并取证后,再通过调查其背后商业目的的方法入手分析,一般都能发现蛛丝马迹。尤其是熊猫烧香与以往许多病毒都在拼命隐藏作者身份的做法不同,熊猫烧香的作者显得过于明目张胆。据悉,此次有关部门抓捕病毒作者,因为熊猫烧香的病毒不仅自己扩散传播,还主动销售源代码给其它盗窃团伙,这些种种行为都暴露了他自身的身份。
“这个病毒是通过入侵网站并挂上木马来实现传播,并盗取用户有价值的虚拟账户的。除此之外,这个团伙还销售病毒源码牟利,其影响的规模非常巨大,社会影响极为恶劣。”接近专案小组的知情人士表示。“不仅是他们一个病毒团伙在传播,而是有大量团伙一起传播。”
“这背后也许还隐藏着更为复杂的利益集团,这些都还没有最终浮出水面。” 病毒技术就是不一样。。。快研究下。。 我没中过... 最新消息:熊猫烧香电脑病毒案在湖北告破 抓获8名疑犯
http://news.xinhuanet.com/tech/2007-02/13/content_5732748.htm 偶们湖北就是出人才嘛~~~偶也想搞 几个~~HOHO~~~ 已经破获了 主犯已经被抓了 其实 挺佩服这种自己编出程序的高手 还是被抓鸟 [s:34] 呵呵,这是中国进步的表现 我什么时候才有他们哪样的技术呀?
好羡慕他们呀! 其实也不是很难,用Delphi写的,没用任何高深的隐藏技术。
如果是我的话,我尽量隐藏中病毒的痕迹!~ 太厉害了呀。 写作的人 夸张了点 [quote][b]引用第24楼[i]流转[/i]于[i]2007-02-16 18:12[/i]发表的[/b]:
其实也不是很难,用Delphi写的,没用任何高深的隐藏技术。
如果是我的话,我尽量隐藏中病毒的痕迹!~[/quote]
本来就是为了张扬,不然给你换个熊猫的图标为啥呢? [s:38] [s:35] 现在的年代~学习黑客有前途 也是没办法,都是为了生存,谁不想过得好点,做病毒也是为了生存 几百年前地事了啊!!!~这个和下载者没什么区别!!!~~~ [s:264] [s:264] [s:264] [s:264] 我也想试一下哦```呵呵` 可惜了~技术~
黑客技术,就是双刃剑~
需要如何去使用?
这取决于什么?
这个圈子里~已经渗透了太多的商业性~
黑客精神没有变,而是我们的信仰发生了变化~ 唉`````
不要过分相信媒体的报道` 生存指导信仰............. 媒体的东西总有点那个的,呵呵 太想出风头的缘故 支持支持你`` 偶像~~~
绝对的偶像!!
如果他能把这些技术用到小日本身上的话,
那就更完美了~~ 我靠,天才就这样被毁了,,去黑黑美国呀?台湾呀!肯定没有人管你的!!浪费了 [s:265]
页:
[1]