解密“熊猫烧香”案背后的网络病毒产业链
事件始末
“熊猫烧香”肆虐网络“电脑天才”玩火自焚
■“熊猫烧香”病毒个人用户感染者已经高达几百万
“熊猫烧香”病毒是继cih之后危害中国最严重的病毒,国内数家权威病毒监测机构将其列为十大病毒之首。据有关专家介绍,它是一种用delphi工具编写的蠕虫病毒,由于用户被感染之后,可执行文件的文件图标全部改成了“一只熊猫手捧三支香”的新图标,“熊猫烧香”因此而得名。这一病毒能中止大量的反病毒软件和防火墙软件进程,并可以通过网页浏览、局域网共享及u盘等多种途径快速传播,受感染的计算机会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏乃至被删除等现象。
“熊猫烧香”病毒自2006年12月初开始暴发,到今年1月中旬,据初步统计,目前“熊猫烧香”病毒变种数已达90多个,国内多家门户网站被种植这一病毒,个人用户感染者已经高达几百万。这一病毒还在互联网上引起恐慌,网民在各论坛上跟帖发表评论545万余条。一些损失惨重的企业和网民还发出重金悬赏追查“熊猫烧香”制作者的“通缉令”。国内外一些主要的安全软件商还展开了舌战,纷纷指责对方软件杀毒能力低下。
■5名涉嫌贩卖传播病毒的骨干分子被缉拿归案
今年1月24日,湖北省仙桃市公安局对“熊猫烧香”案正式立案调查。1月31日,公安部抽调精干技术力量指导办案,并要求“各省市一盘棋、多警种一股绳”。2月3日,仙桃警方在武汉市抓获病毒制造者李俊。
此后十天内,仙桃公安干警在浙江、山东、广西、天津、广东、四川、江西、云南、新疆、河南等地公安机关的支持配合下,昼夜奔袭,连续作战,将王磊、张顺、叶培新、王哲、雷磊等5名涉嫌贩卖传播病毒的骨干分子缉拿归案。
■“熊猫烧香”病毒制造者自白
2月14日下午,当记者在湖北省仙桃市第一看守所与“熊猫烧香”病毒制造者李俊面对面时,感觉他相貌平平,表情木讷,看不出有何过人之处。
“我是1999年开始接触电脑的,学习电脑知识也主要是靠泡网吧。”李俊垂着头低声说,“最初我设计病毒只是好奇和好玩,后来有网友找我买木马,我看靠这个能赚钱,就……”
身高1.75米的李俊剃着光头,身穿黄色马甲,略显颓废。他说:“开始,我也预计不出会有什么后果,没想到后果这么严重,事情闹得这么大,慢慢就害怕起来,所以后来就编制杀毒程序,想把病毒都杀掉,但编好后不敢挂在网上,怕警察找到我。”
李俊在杀毒软件上留了一句话:“我真的很抱歉,给大家造成了负面影响与损失。”
李俊今年25岁,武汉市新洲区人。他中专毕业后,曾到广东等地的it企业应聘,但一直没能如愿。后来,李俊到武汉市电脑城打工,月工资约1000元。
“熊猫烧香”病毒问世后,总计不到一个月时间,李俊就牟利十几万元。李俊把钱存在银行卡里,很少出去玩。办案民警告诉记者,他的钱主要用来到外地见网友。
牟利探秘
病毒购买者长叹:“这是个比房地产来钱还快的暴利产业”
■警方解读病毒产业链的每一环都有不同的牟利方式
李俊只是计算机病毒产业链的发端,整条产业链制造、贩卖、交易、传播、使用“一条龙”,环环相扣,最终祸害网络用户,牟取经济利益。据警方披露,少数地方甚至形成了计算机病毒产业群。
据警方介绍,在“熊猫烧香”案中,产业链的每一环都有不同的牟利方式。病毒制造者有两种方式,一是“卖病毒”,按购买者的要求在病毒程序中填上“指定网址”后把病毒出售;二是“卖肉机”,因中毒而被病毒制造者控制的计算机被称为“肉机”,“肉机”的资料信息随时可被窃取,“卖肉机”就是转让控制权。
病毒购买者的牟利方式主要是“卖流量”,由于病毒程序中预设了“指定网址”,而这个“指定网址”设置了木马程序,中毒的计算机只要一上网,就会被强制性地牵到这个“指定网址”上,自动下载木马程序,将这台计算机的相关信息资料传给购买者,这些信息资料被称为“信”,病毒购买者往往会将某一“指定网址”的“获信权”出售,根据访问流量收取费用。在“熊猫烧香”案中,目前警方发现的“信”绝大部分是网民的聊天及游戏工具的账号与密码,以及各种游戏装备。
下一环是“拆信人”,他们将获取的资料信息通过网上交易平台出售给普通网民。“拆信人”往往不需要专业电脑技术,只需要花时间在网上交易。据警方透露,目前在海南省儋州市、浙江省丽水市等地方,已出现成群结伙的“拆信人”,有的团伙达50多人,有的不仅盗卖游戏装备,还通过发布虚假广告等手段直接诈骗钱财。
据仙桃市公安局网监大队大队长万正敏介绍,李俊将“熊猫烧香”病毒写完后,通过qq群发布出售“熊猫烧香”病毒的消息,先后在网上以每个病毒500元至1000元的价格出售约20套。李俊的同学雷磊是“熊猫烧香”病毒的第一个销售者,今年1月24日,雷磊替李俊卖了2000台“肉机”。
浙江省丽水市的张顺专事病毒贩卖传播,与李俊接洽上后,先是每天给李俊账上汇3500元,后来每天汇6000元,直至被抓捕前,总计不到一个月时间,李俊就牟利至少15万元。张顺本人则通过“卖流量”获利数十万元。
山东省威海市的王磊是“熊猫烧香”病毒的主要购买和传播者之一。他本是厨师,但自己琢磨,“用身体养活自己,还不如用大脑养活自己”,不惜铤而走险,以身试法。他贩卖“熊猫烧香”病毒不足一个月,赚的钱就已购买了一辆吉普车。
被抓获后,22岁的王磊仰天长叹:“这是个比房地产来钱还快的暴利产业!”
“熊猫烧香”病毒案再次敲响了网络安全的警钟。面对猖獗蔓延的计算机病毒,从公安机关到普遍用户,从制度建设到技术手段,绝不能掉以轻心,迫切需要进一步提高预防和打击能力。
湖北省公安厅副厅长黄洪认为,近年来,利用互联网和手机短信等手段,进行制造与传播计算机病毒、盗取银行账号、诈骗、赌博、非法融资等新形式犯罪行为急剧增多。对此应保持高度警觉性,绝不能因为这些行为在虚拟世界进行而对其隐忍宽恕。随着电子政务、网上办公、网上交易等的普及,互联网已成为人们政治、经济、文化生活的重要组成部分,扰乱网络秩序就是扰乱社会秩序,必须坚决打击,严惩不贷。
值得注意的是,目前在打击新形式犯罪中还存在着立案难、取证难、定罪难等难题。比如,虚拟资产在现实中难以认定价值,定盗窃罪没有依据。受害者有权利提起民事诉讼请求,但操作上还是有些困难,包括收集证据、赔偿的标准和计算方法,目前我国立法上并没有作出统一的规定。广大网民和单位用户还需要进一步强化安全意识。“熊猫烧香”病毒制造者李俊对记者说,国内网友普遍缺乏网络安全意识,管理密码设置简单,对系统软件也不经常打补丁进行维护,极易受到攻击。
■杀毒专家揭秘最根本获利点是盗取游戏账号,然后出售获利
“熊猫烧香”制造者李俊及其同伙被湖北警方抓获后,一条网络病毒产业链浮现在公众视野。这条黑色产业链是怎样运转,又是如何牟利的?昨天,本报记者采访江民杀毒软件公司策划部总经理曹凌翔,以期揭开它的面纱。
“从多年的经验判断,网络病毒产业链最根本的获利点还是通过病毒中的木马程序盗取游戏账号,然后出售获利。”曹凌翔说。他告诉记者,由于近年来网络游戏的火爆,一些网络游戏中的虚拟装备、金钱,在网上也成为有价商品,有的网络装备,一件就可以卖到几千元。
一些病毒制造者将病毒贩卖给购买者,利用病毒中的盗号功能,获取其他网上玩家的账号、密码,然后盗取他们的网上虚拟装备,再通过游戏服务器转卖,获取不当收益。据介绍,一般在一个病毒制造产业链中,有负责病毒制造的,有负责病毒变种升级的,还有负责病毒销售的。最终购买病毒的人,通过交易平台将虚拟物品变成现金,这是获利最丰的一环。有些人甚至能因此一夜暴富。
那么病毒制造者是通过什么方式来销售病毒的?据曹凌翔介绍,以前在很多下载网站都可以找到出售网络病毒的链接,由于近年来各大网站加强了管理,现在只有一些小网站上还有销售病毒的现象。“至于销售病毒后如何收钱,这对于病毒制造者来说并不难做到。一般购买者可以首先下载一个病毒的试用版,如果觉得好用,就将钱打进账号,然后通过网上链接或者电子邮箱获得病毒。”他说。
记者在百度搜索“木马发生器”一词后发现,竟有337000个相关网页,其中不少为出售或下载木马生成器的网站。很多网站甚至公开号称,可以轻松窃取网络游戏账号、密码等。
记者从警方得知,在这一系列链条中,如果单单是制造病毒并在网上传播,则触犯了我国《刑法》中的“非法侵入计算机信息系统”和“非法破坏计算机信息系统”两项罪名。如果是通过病毒盗取网上账号、密码获利,则触犯的是“盗窃罪”。据了解,从2004年至今,网上银行大盗、网上证券大盗通过病毒盗取金钱的案件在我国屡有发生,通过病毒盗窃游戏账号、密码的案件则更频繁。
最后曹凌翔提醒广大网民,只有通过正版的杀毒软件或警方网站公布的专杀程序才是最安全的杀毒方法。他们发现,目前在网上自称是病毒制造者编写的专杀工具全部是假的,有些还隐藏有其他病毒。“现在李俊公布专杀工具的实际意义已经不大,因为这个‘熊猫烧香’的源代码早被成功破译,如果这个病毒继续在网上发作,则很有可能是知道源代码的人继续制造变种的结果。”曹凌翔说。
观点交锋
“熊猫烧香”制造者能不能将功补过?
■对于李俊网友的态度也迥然不同
惋惜派
“网络天才”的失足令人痛心
更遗憾的是,面对求职方面的小小挫折与打击,自知自己有才的李俊不是坚持不懈等待、寻找发挥才能的机会,而是选择了铤而走险,选择了用极端的方式来报复社会。太没耐心了,太急功近利了,大好的聪明头脑太可惜了……
稍微坚持一点点、一下,今后还怕找不上一份非常体面、收入丰厚的工作?
宽容派
给“熊猫烧香”主犯一个将功赎罪机会!
“熊猫烧香”的严重危害不用多说,对肇事者严惩也是应当的。但是,据报道说,犯罪嫌疑人是出于“好玩”的初衷;这些嫌疑人大都是年轻人,主犯李俊、雷磊都是25岁,其他几名嫌疑人更只有二十一二岁。现在,主犯李俊又在铁窗里编出了杀毒软件,尽可能最大程度减少“熊猫烧香”的危害。这些,应该作为量刑时考虑的因素。在法律许可的范围里,对可塑性很强的年轻人应该尽可能给予宽容。
人才不代表人品,但对有才华的人还是应该正确引导。
严惩派
应该严惩不贷!
这种有才无德的人对社会造成了这么大的经济损失,不严惩怎能体现法律的威严?同时也能起到杀一儆百的效果。
没有起码的道德感时,技术越高对社会的危害越大!应该严惩不贷!
■是拍手称快还是痛定思痛?
“熊猫烧香”的作者虽然已被抓获,但由此所反映出的社会现象尤其值得我们关注。业内专家认为,目前,网络犯罪出现了一些新的变化,青少年利用黑客技术以及编写计算机病毒实施网络攻击的行为已经十分严重,病毒制作者的年龄在逐年减小,越来越多的初、高中生和大学生加入到制作和传播计算机病毒的队伍,借以显示自己高超的技术能力。而由于互联网虚拟特性,使许多人心存侥幸,认为凭借自己的反网络侦查技术根本不可能被人发现,这也使得网络犯罪日益猖狂,严重影响了互联网的安全。
为什么那么多的年轻人,而且其中不乏有才华的程序员,会前赴后继地走上这条不归路呢?或许有人说归根到底在于现在盗版太盛行,程序员无法获得应得的回报,于是为了生计被迫走上犯罪道路。其实这并不是一些程序员走上编写病毒之路的合理解释,归根到底还是这些人的人生观和价值观偏离了正常的轨道,快速致富,一夜成名的思想左右了他们的行为。
从事程序员工作本身就意味着要忍受寂寞和诱惑,如果因为一时得不到承认转而走向反面,这说明他本身就不适合从事这个职业。当你拥有的能力越大时,你的责任也就越大。应该把自己的聪明才智用到为社会创造价值上来,应该明白,创造比破坏更有技术难度,更能体现自身价值和实力。
■“熊猫烧香”已被注册
据《城市快报》报道,“熊猫烧香”可以说是2006年年末到2007年年初最受人们关注的电脑病毒了,更有网络人士称之为这个时间段的“毒王”。日前,“熊猫烧香”已被长春市某网络公司技术部经理王小东申请注册。
2月8日,记者在长春市工商局的商标注册申请受理证明上看到:“根据《工商法》和《〈商标法〉实施条例》有关规定,此商标(‘熊猫烧香’图像)已正式向国家工商行政管理总局商标局提出注册申请,特此证明。”
记者在证明书上看到,王小东将商标的用途定义在玩具、智能玩具、玩具娃娃、玩具车、拼图玩具方面,他和朋友希望能通过自己的“熊猫烧香”产品,让大家一看到“熊猫烧香”的图像,首先想到的就是可爱的熊猫,而不是杀伤力极强的电脑病毒。
