反病毒工程師將其命名為Nimia。它還有壹個更通俗的名字——“熊貓燒香”。它很快化身成數百種,不斷入侵個人電腦,感染門戶網站,並摧毀企業數據系統...其傳播質疑網絡公共安全,同時引發虛擬世界“道”與“魔”的較量。反病毒工程師和民間反病毒人士都投身其中。
19年10月65438+出現了“熊貓燒香”的新變種病毒。病毒作者聲稱,這將是“熊貓燒香”的最後壹次更新。
這場持續了兩個多月的大賽結束了嗎?
在“蜜罐”中發現病毒
165438+2006年10月14,中關村瑞星公司總部14樓。
壹群反病毒工程師包圍了壹臺斷網的電腦。隨著鼠標點擊,數百個熊貓圖標出現在屏幕上。這是那天工程師捕獲的病毒,命名為“Nimia”。
石軍是瑞星公司R&D部病毒組的壹名反病毒工程師。他每天的工作就是和幾十個夥伴壹起抓網上流傳的病毒,然後“拆解”病毒,研究其內部結構,升級瑞星的病毒庫。
下午,壹名用戶向他們提交了壹份病毒樣本。後來,他們在病毒群的“蜜罐”裏發現了這種病毒。
“蜜罐”是病毒集團在互聯網上設置的壹個弱服務器。工程師故意在服務器上設置各種漏洞,誘導病毒入侵。“這就像獵人做的布滿蜂蜜的陷阱,吸引獵物上鉤。”
從“蜜罐”中提取病毒後,石軍和同事將病毒搬到公司14層壹臺與網絡隔離的電腦上,這就是病毒的“解剖臺”。
"運行病毒後,系統中的所有圖標都變成了熊貓."石軍面前的屏幕上,出現了壹排排熊貓圖案。熊貓手捧三支香,雙手合十鞠躬。
工程師經過分析發現,在該病毒的卡通外表下,隱藏著巨大的感染潛力,其感染方式和查殺手段與現在流行的“衛津”病毒非常相似。瑞星公司立即發布了病毒警告。
病毒蔓延到了全國。
“最初的Nimia並不是很強大。”石軍說,隨著病毒作者的不斷更新,其破壞力和傳染性也隨之增強。
2006年6月底11,尼米婭的變種不到十個。但從65438年6月+2月開始,病毒作者壹天更新壹天,變種數量成倍增長。此時,“熊貓燒香”已經取代了“尼瑪亞”這個名字。
5438年6月中旬+2月,《熊貓燒香》進入快速突變期。幾次大規模爆發後,“熊貓燒香”成為很多電腦用戶津津樂道的詞匯。
聖誕節過後,“熊貓燒香”的版本已經達到近百個。
石軍說,去年65438的2月下旬,國內近千家大型企業感染“熊貓燒香”,向瑞星求助。“當病毒變種和感染者數量超過壹定數量時,病毒的傳播會呈幾何級數增長。”
65438年2月26日,金山毒霸全球反病毒監測中心發布病毒預警,“熊貓燒香”正在瘋狂作案。
27日,姜敏科技發布了關於“熊貓燒香”的緊急病毒警報。
2007年6月7日,國家計算機病毒應急處理中心發布緊急預警。“通過對互聯網的監測,發現有壹種偽裝成‘熊貓燒香’的蠕蟲在傳播,很多企業局域網都已經被這種蠕蟲感染了。”
65438年10月9日,“熊貓燒香”繼續傳播,開始向全國電腦用戶泛濫。
這壹天,“熊貓燒香”迎來了全國性的大規模爆發,其品種數量定格在306種。
已經招募了來自世界各地的用戶
小江是黑龍江省壹家網吧的網管。從65438+10月9日到65438+10月10這兩天,他的網吧空無壹人,沒有顧客。當他打開網吧40多臺電腦時,屏幕上都是“熊貓燒香”圖標,系統崩潰無法運行。
“病毒是在九號早上。壹開始只是壹臺機器。我殺毒的時候,局域網其他機器陸續中招。”小姜說。
同壹天上午,在北京壹家IT公司工作的劉先生發現,公司近30臺電腦全部感染了“熊貓燒香”。病毒破壞了電腦中的程序文件並刪除了電腦備份,正在開發的半成品軟件被破壞。
劉先生憤怒卻又無奈。在年度總結報告中,他特意補充道:“以後重要程序壹定要備份,防止‘熊貓燒香’之類的流氓病毒。”
同壹天晚上,在北京的壹家報社裏,技術人員在四處奔波,幾十名編輯記者在等著他們清除電腦裏的“熊貓燒香”。
6月65438+10月10日,上海壹家臺資公司的員工張先生打開電腦,迎接他的是壹排排上香的熊貓。環顧四周,他發現他的同事們臉上都有同樣驚訝的表情。整整壹天,公司的業務都處於癱瘓狀態。
……
根據瑞星公司提供的“熊貓燒香”病毒用戶求助數據,瑞星公司的求助用戶已經達到1016,6月9日為11002。因為是選擇性求助,而且只限於瑞星殺毒軟件的正版用戶,這個數據只是冰山壹角。
據了解,65438年6月9日,數十萬電腦用戶被感染。其中,北京、上海等電腦用戶集中的城市成為“重災區”。
“熊貓”並沒有就此止步。它繼續到處燒香。隨著種類的增多,洪超病毒無休止地蔓延,並且愈演愈烈。
截至目前,“熊貓燒香”病毒已有416變種,感染電腦用戶數百萬。
65438+10月22日,國家計算機病毒應急處理中心再次發出警報,全國通緝壹只熊貓燒香。
門戶網站被感染。
65438年10月24日,北京市政府新聞辦在官網開設了“熊貓燒香”病毒專題,作者在專題中稱:“壹種偽裝成“熊貓燒香”圖案的病毒正在瘋狂作案...目前很多企業局域網和網站都受到了重創,大部分網民也深受其害。”
為什麽“熊貓燒香”難退?
“‘熊貓燒香’不同於以往的病毒,它采用了新的傳播手段。”石軍說,傳統的蠕蟲病毒是通過中毒的電腦傳播到局域網內的其他電腦上,而“熊貓燒香”除了整合壹切可以利用的通信漏洞,還可以通過網站傳播。
感染了“熊貓燒香”的電腦會將病毒附加到硬盤上的所有網頁文件中。“如果是網站編輯和記者的電腦被感染,那麽通過中毒頁面,‘熊貓燒香’可能會附著在網站的所有頁面上。”石軍說,網民在訪問這個中毒網站時,會感染“熊貓燒香”病毒。
從傳統的點對點到現在的點對點,“熊貓燒香”隨著中毒網站驚人的訪問量迅速傳播開來。
據反病毒工程師介紹,他們監測到“熊貓燒香”已經感染了天涯社區、矽谷動力、pconline等門戶網站,暴風影音等知名軟件的下載鏈接中也出現了“熊貓燒香”的痕跡。同時,“熊貓燒香”還可以借助搜索引擎傳播病毒。
“借助局域網,借助門戶,星星之火可以燎原,借助優盤。”石軍表示,“熊貓燒香”的三種主要傳播方式成為病毒難以退潮的主要原因。
禁毒人對抗病毒。
石軍說,從去年聖誕節開始,瑞星公司的病毒團隊就壹直在加班。每當“熊貓燒香”新變種發布,工程師們就立即采集樣本,解剖病毒,升級相應的查殺工具。“這段時間,有4次熬夜。”
“‘熊貓燒香’的技術並不高超,主要靠作者持續的瘋狂更新。更新的時候,我們會更新查殺工具。”石軍說,“熊貓燒香”善於利用新的漏洞。比如65438+10月8日的變種,就利用了QQ最新的安全漏洞。
從“熊貓燒香”誕生至今,病毒版本已經修改了400多次,石軍和同事開發的查殺工具也升級了10多次。
除了殺毒軟件公司,散落在網民中的“殺毒專家”也在打擊“熊貓燒香”中發揮了重要作用。
在卡卡網上社區的反病毒論壇裏,有很多計算機專家,大部分是業余程序員,他們經常壹起研究反病毒技術。“熊貓燒香”壹出現,就引起了他們的註意。
5438年6月底+2006年10月,瑞星公司還沒有捕獲到“熊貓燒香”病毒的時候,程序員“農夫”就已經獲取了當時病毒的樣本,並編制了專門的查殺工具。此後,每當“熊貓燒香”發布壹個變種,mopery、Emma等反病毒論壇用戶都會撰寫壹份詳細的變種分析報告,指出該病毒的危險性和新特點。
"事實上,民間有很多殺毒專家."石軍說,他自己以前也是民俗專家。他從高中就愛研究病毒,大學畢業後被殺毒軟件公司招聘。所以他現在經常瀏覽壹些著名的技術論壇,如果民間專家有壹些好的想法,病毒組也會借鑒。
石軍說,他有“底牌”——“未知病毒查殺”。他說,這種殺毒方法可以判斷病毒的“家族特征”。只要變種滿足壹系列特征,查殺工具就能有效查殺。
宣石介紹了這種新型殺人工具的工作原理,但他要求記者在報道時隱瞞內容。“病毒作者知道了會很麻煩,這是我們的殺手鐧。”
未完成的戰爭
65438+10月19,“熊貓燒香”發布了新變種,病毒作者還聲稱這將是“熊貓燒香”的最後壹次更新。
消息傳來,在卡卡社區,被“熊貓燒香”折磨的網友們滿心歡喜。高興之余,他們開始反思得失。
在反病毒論壇中,網友tom2000發表了壹篇名為《熊貓天啟——風暴過後的反思》的帖子,帖子中寫道:“未來有多少新型病毒/木馬會借鑒熊貓的經歷?壹切才剛剛開始!”
業內專家認為,我國互聯網處於起步階段,大多數網民缺乏最基本的網絡安全知識和良好的上網習慣。安全意識薄弱,給病毒大面積傳播帶來了機會。同時,隨著計算機在各行業的普及,病毒帶來的危害也會越來越嚴重。
65438年10月24日下午,反病毒工程師發現了壹種新病毒,與“熊貓燒香”非常相似。工程師懷疑是《熊貓燒香》作者制造的新版本病毒。
該病毒會將被感染用戶電腦上的所有圖標替換為壹個人頭,在人頭的眼睛位置有兩個燈泡。
反病毒工程師擔心的是“燈泡人”會不會成為“熊貓燒香”的接班人。
“這是壹場看不到的戰爭。對我們來說,戰爭還在繼續。”衛詩說。
《熊貓燒香》是誰拍的?他想要什麽?在“熊貓燒香”沸沸揚揚的時期,網絡上流傳著關於作者身份的各種猜測。在百度的“熊貓燒香”貼吧裏,數百名飽受“熊貓燒香”之苦的網友發帖“通緝”病毒制造者,有網友聲稱提供65438+萬美元的懸賞獎金。
昨日,反病毒工程師向記者透露,“熊貓燒香”的作者並非無影無蹤。在解剖病毒的過程中,他們發現了病毒中留下的壹些神秘信息。在這些留言中,《熊貓燒香》的作者自稱wh Boy——“武漢男孩”。
“熊貓”的身體裏隱藏著信息。
Mopery是卡卡社區反病毒論壇的版主,也是反病毒專家。
5438年6月中旬+2006年10月,mopery接到網友求助。在幫助解決電腦故障的過程中,他拿到了壹個病毒樣本,是“熊貓燒香”的原版。
“解剖”病毒後,在復雜的程序代碼中,mopery看到了壹段與程序無關的信息,其中有壹行字母:“whboy”。
“whboy”這個名字對於病毒研究者來說有著不同尋常的意義。2004年,whboy發布了其病毒“武漢男孩”,這是壹種通過QQ傳播的盜號木馬。壹年後,由於它的瘋狂和廣泛傳播,被姜敏反病毒中心列為2005年十大病毒之壹。
此後,whboy還在壹些病毒論壇和黑客論壇上發帖,稱可以提供盜取QQ號碼的服務,但很快就銷聲匿跡了,直到“熊貓”出現。
Mopery對“熊貓燒香”做了細致的分析。他發現,這種病毒沒有最強大的技術,卻有最成熟的傳播手段。
Mopery對“熊貓燒香”產生了興趣。他聯系了另壹個農民,他是反病毒專家。2006年6月25日,推出首款查殺工具:Nimya蠕蟲查殺。
"第壹只熊貓沒有力量,但後來的變種很強大."莫佩裏說,第壹版“熊貓燒香”被發現後,壹個月內其品種就達到了十幾個。
在這些變種中,每隔壹段時間,作者有意在病毒中留下whboy這個詞。“他主要是給我們分析病毒的人看,普通用戶是看不到代碼的。”
隨著品種的增多,反病毒的人在不斷解剖病毒的同時,也開始期待更多的消息。
該病毒列出了“確認單元”
16年2月初,“熊貓燒香”變種加速。代碼裏除了whboy兩個字,還有壹行漢字:“武漢男孩感染下載器。”隨著品種的增加,越來越多的信息附加在代碼上。
此時,mopery和Emma已經加入了反對“熊貓燒香”的大軍。他們對熊貓新品種進行了分析,並在卡卡社區反病毒論壇上發布了詳細的病毒分析報告。
他們的舉動引起了病毒作者“武漢男孩”的註意。在65438+10月初的壹次病毒變種中,神秘消息再次更新。
"感謝莫佩裏關註這匹特洛伊馬."留言裏新加的這句話讓mopery哭笑不得。隨後,武漢男孩似乎迷戀上了病毒裏面羅列“感謝單位”的模式。在65438+10月5日的病毒短信裏,艾瑪的名字被加入了感謝名單。65438年10月9日感謝將“海月”的名字加入殺毒專家名單。文章結尾的那句“我服氣...艾瑪……”已添加。
此後,武漢男生頻頻用這種方式與對手“交流”。
65438+10月15,武漢男生在壹條消息裏問候緝毒的Taylor 77:“Taylor 77,不知道妳找我有什麽事?”並開玩笑說:“我做的病毒已經燒遍了全城的國寶。”
網絡世界大師賽壹個月。
16年10月16日,武漢男生發布了壹種新的病毒變種,禁毒人員習慣稱之為“艾瑪”版。因為在這個病毒裏面的消息裏,艾瑪的名字被寫了22次。
65438+10月19日晚,“熊貓燒香”發布了最後壹次更新。這個版本堪稱感染手段最全面的版本。
在《熊貓燒香》的最後壹個版本中,武漢男孩寫下了告別詞:“向聽過這匹特洛伊馬的網友和網絡管理員表示深深的歉意!對不起,妳辛苦了!悶悶不樂,我真的想和妳談談!出於某種原因,我想我還是算了吧!”
面對“熊貓燒香”停止更新的消息,反病毒工程師石軍顯得很淡定:“我們希望熊貓風波到此結束,但武漢男孩有失言的先例。總之,只要他更新,我們就陪他到最後。”
對於這個已經戰鬥了壹個多月,卻不知道躲在哪裏的武漢男孩,mopery的寄語是:“希望他能利用好自己的技術,為廣大網友服務,而不是給網友帶來痛苦。”
“武漢男孩”身份的三種版本
雖然武漢男孩表示不會更新《熊貓燒香》,但這場席卷全國的病毒狂潮的余波卻難以平息。網友紛紛猜測武漢小夥的真實身份。
經過調查,業內人士對武漢男生的身份有三種猜測。壹、武漢男孩是15年的武漢少年。證據就是網上流傳的他和緝毒農民的QQ對話。其次,武漢男孩是桂林壹家軟件公司的副總。他曾經寫過流氓軟件,出處是反病毒論壇。第三,武漢男孩是國內某殺毒軟件公司員工,故意編寫病毒,推廣相應的殺毒產品。
為核實傳聞,記者分別采訪了mopery和瑞星公司反病毒工程師石軍。
莫佩裏說,經過他和那個農民的核實,確認流傳的QQ聊天剪輯的主角是另壹個病毒的作者,而不是那個武漢男孩。至於公司副總的說法,更是毫無根據。
作為壹家殺毒軟件公司的員工,石軍說,每次大的病毒傳播,總有對殺毒軟件公司不利的謠言,但殺毒軟件行業的程序員不會寫病毒,擾亂網絡。他問:“流感病毒是醫生制造的嗎?”
mopery和石軍都表示,從留言內容和程序代碼來看,武漢男孩是壹名資深人士,有豐富的病毒編寫經驗。他經常瀏覽卡卡社區反病毒論壇,隨時關註mopery等人的病毒分析。卡卡社區有59萬多會員,武漢男生肯定在其中,但這個範圍很難縮小。“武漢男孩本身精通網絡技術和入侵技術,很難通過他的網上痕跡追查到他的真實身份。”莫佩裏說。
“熊貓燒香”有商業目的。
石軍說,經過分析,他們認為“熊貓燒香”有很強的商業目的。“用戶感染病毒後,會從後臺點擊國外網站,有些變種含有盜號木馬,病毒作者可以從中獲利。”
“現在的病毒編寫者和90年代的不壹樣了,他們不再以炫耀技術為目的,而是有了明確的商業目的。病毒和流氓軟件的界限越來越模糊。”衛詩說。
昨天下午,瑞星公司工作人員表示,已將病毒作者的相關證據和病毒特征提交給國家計算機病毒應急處理中心。國家計算機病毒應急處理中心工作人員表示,目前正在統計“熊貓燒香”病毒風暴的相關數據、受影響的電腦數量以及造成的經濟損失,將於近期在其主頁上公布。
對於是否向公安機關報案,該工作人員表示目前不方便透露。
“我相信有壹天我會看到武漢男孩的真面目。”莫佩裏說。
■鏈接
計算機信息系統安全保護條例
第二十三條故意進口計算機病毒和其他有害數據,危害計算機信息系統安全的,或者未經許可銷售計算機信息系統安全專用產品的,由公安機關給予警告,或者對個人處5000元以下罰款,對單位處15000元罰款;有違法所得的,除沒收外,可並處違法所得0至3倍的罰款。
第二十四條違反本條例規定,構成違反治安管理行為的,依照《中華人民共和國治安管理處罰條例》的有關規定處罰;構成犯罪的,依法追究刑事責任。