打印

[转载]熊猫烧香案侦破始末：100G数据中揪出病毒制造者

eviloctal

团队执行官

Rank: 8 Rank: 8

E.S.T社区执行帐号

帖子: 9833
精华: 769
积分: 40415
阅读权限: 200
性别: 男
在线时间: 3978 小时
注册时间: 2004-7-4
最后登录: 2008-10-11

发短消息
加为好友
当前离线

楼主大中小发表于 2007-12-19 12:57 只看该作者

[转载]熊猫烧香案侦破始末：100G数据中揪出病毒制造者

信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

就在去年的这个时候，一种被称为“熊猫烧香”网络病毒突袭了全国数以万计的计算机用户。该案四犯构成破坏计算机信息系统罪，主犯李俊被湖北省仙桃市人民法院一审判处4年有期徒刑，从犯王磊、张顺、雷磊三人分别被判处两年半、两年和一年有期徒刑。记者日前经过一番艰难采访，终于了解到“熊猫烧香”案侦破全过程。

“熊猫烧香”电脑瘫痪

2007年1月中旬，湖北省仙桃某行政单位一台办公电脑中毒瘫痪，请网监民警前去帮忙修理，网监民警刚一修好，该台电脑马上又出现中毒症状，原来里面的病毒不能杀灭干净。

事情还没了结，该市江汉热线信息中心向公安局报案：中心服务器大面积感染病毒，技术人员不能修复，中心工作被迫全面停摆。网监民警查看发现感染症状与先前办公电脑中毒的情况几乎一样，电脑屏幕上都出现了一只熊猫手捧三炷香的图案。

此时这种病毒已在全国泛滥，人们形象地叫它“熊猫烧香”病毒。1月24日，仙桃市公安局决定立案侦察。

网监大队民警破译了部分“熊猫烧香”的病毒代码，发现病毒编写者在一些病毒程序后署上了“Whboy”或“武汉男孩”的落款。这成为侦破案件唯一的线索。

百兆数据中查“武汉男孩”

“武汉男孩”是何许人？在后续的侦查中民警发现，作案者十分狂妄，敢跟专业人士挑战，在病毒程序的升级版后留言“感谢某某对我的病毒的关注”等挑战书。

通过大量的资料比对，民警从自己的资料库中发现，在2005年，一个署名“武汉男孩”的人曾编写过“QQ尾巴”计算机病毒在网上传播。这两个“武汉男孩”是否同一个人呢？网监大队民警通过调取成千上万条上网记录(至少有100G的数据量)，终于有了一个肯定的答案：从编写病毒的特征码和写作方式来看，两个“武汉男孩”有惊人的相似之处，应该是同一个人。

1月30日，仙桃网监部门发现“武汉男孩”的上网地址大多在武汉，并找到了他留在网上的一张照片！

2007年1月31日湖北省公安厅分管网监工作的副厅长黄洪主持一保密会议，公安部国家计算机病毒应急中心专家参加了会议，至此，“熊猫烧香”案上升为全国公安机关的大案！

2月1日，所有线索都指向武汉市武昌洪山区一幢四层楼二楼左边的出租屋。屋内的情况被摸清楚：里面现租住着三个人，有两台电脑，有网线。在三个人中，一个叫李俊的男青年引起了侦察员的注意，他与“武汉男孩”的特征十分相似。

从网络到现实四犯落网

2月2日，公安部门对出租屋开始24小时监控。2月3日，民警发现李俊用化名在网上和一个新疆人说，他发现有点不对劲，要出去躲一躲。指挥部决定：屋内蹲守。民警潜入出租屋。下午2点左右，有人进了出租屋。民警马上将其控制。经审问，方知他是李俊的弟弟，对该案并不知情。

2月3日下午6时，指挥部对李俊进行了技术定位，发现他没有跑出包围圈。但此时的李俊也许发现了什么问题，不停地在外围兜圈子。

晚上8点40分，李俊终于返回出租屋，蹲守民警立即将他控制。

经突审，李俊承认了他就是“熊猫烧香”的制作者“武汉男孩”。李俊供称：他与同伙雷磊早在1月下旬就感到势头不对，已离开了出租屋，在武汉某宾馆开了一个房打听动静，现在感到风声越来越紧，回出租屋就是收拾东西准备外逃。抓捕组随即在宾馆将雷磊擒获。

2月4日晚，仙桃网监民警兵分三路，分别对网名“才子”的王磊、张顺以及两名参与传播病毒的重要嫌疑对象进行追捕。

2月8日，“熊猫烧香”案主要犯罪嫌疑人全部归案，至此，民警们才知道，他们侦破的是全国第一起故意制作和传播计算机病毒犯罪的案件。

曾几何时，有人对我说：装B遭雷劈。我说：去你妈的。于是，这个人又对我说：如果再说脏话，上帝会惩罚你的。我说：我操上帝。结论：彪悍的人生不需要上帝。