湖北省公安厅12日宣布,根据统一部署,湖北网监在浙江、山东、广西、天津、广东、四川、 江西、云南、新疆、河南等地公安机关的配合下,一举侦破了制作传播“熊猫烧香”病毒案,抓获李俊(男,25岁,武汉新洲区人)、雷磊(男,25岁,武汉新 洲区人)等8名犯罪嫌疑人.这是我国破获的国内首例制作计算机病毒的大案.
据介绍,2006年底,我国互联网上大 规模爆发“熊猫烧香”病毒及其变种,该病毒通过多种方式进行传播,并将感染的所有程序文件改成熊猫举着三根香的模样,同时该病毒还具有盗取用户游戏账号、 QQ账号等功能.该病毒传播速度快,危害范围广,截至案发为止,已有上百万个人用户、网吧及企业局域网用户遭受感染和破坏,引起社会各界高度关注.《瑞星 2006安全报告》将其列为十大病毒之首,在《2006年度中国大陆地区电脑病毒疫情和互联网安全报告》的十大病毒排行中一举成为“毒王”.
今年1月中旬,湖北省网监部门根据公安部公共信息网络安全监察局的部署,对“熊猫烧香”病毒的制作者开展调查.经查,熊猫烧香病毒的制作者为湖北省武汉 市李俊,据李俊交代,其于2006年10月16日编写了“熊猫烧香”病毒并在网上广泛传播,并且还以自己出售和由他人代卖的方式,在网络上将该病毒销售给 120余人,非法获利10万余元.经病毒购买者进一步传播,导致该病毒的各种变种在网上大面积传播,对互联网用户计算机安全造成了严重破坏.
李 俊还于 2003年编写了“武汉男生”病毒、2005年编写了“武汉男生2005”病毒及“QQ尾巴”病毒.另外,本案另有几个重要犯罪嫌疑人雷磊(男,25岁, 武汉新洲区人)、王磊(男,22岁,山东威海人)、叶培新(男,21岁,浙江温州人)、张顺(男,23岁,浙江丽水人)、王哲(男,24岁,湖北仙桃人) 通过改写、传播“熊猫烧香”等病毒,构建“僵尸网络”,通过盗窃各种游戏和QQ账号等方式非法牟利.
目前,李俊、雷磊等8名犯罪嫌疑人已被刑事拘留
接近该案的知情人士透露,公安部从去年10月底就开始关注熊猫烧香病毒,“它的传播面特别大,影响面广而且特别恶劣。”尽管病毒作者拥有绞尽脑汁进 行自我隐藏,不过在锁定目标的过程中,还是在互联网上留下了很多蛛丝马迹。“其实这类病毒的作者往往以赚钱为目的,总是会留下线索。”专案小组选择从互联 网上的一些社区信息、域名注册信息开始入手。
该人士表示,目前在多个相关病毒都的代码里写着WhBOY,其中就包括大名鼎鼎的熊猫烧香,流氓软件51VC,以及一些腾讯QQ、网游传奇账号密码盗窃的木马软件。“这些木马的代码、传播以及爆发手法都极为相似”,专案小组初步判断为同一人所为,决定并案侦查。
“举个例子来说,51.vc的网站上写着ICP证是:鲁ICP证005248号。”知情人士表示,专案小组当即查明这是一个伪造的ICP证,通 过有关渠道查到另一个网站www.51pm.org也是使用了这个伪造的ICP证。尽管当时该网站已不能访问,但可以搜索引擎的快照功能回溯该站点网页, 其内容和51.vc完全一样。专案小组在掌握了上述信息后,立即着手寻找51.vc或51pm.org注册者,而这些人也就是这些病毒的作者、或者幕后指 使的关联人物。
知情人士表示,上述例子只是侦破手段中的一种方法,“事实上,在侦破过程中采用了多方面信息相互印证的办法。”据介绍,目前互联网上有多种追踪方式,对于大规模传播的病毒而言,幕后黑手几乎无法藏身。
最早对熊猫烧香病毒进行查杀的超级巡警软件曾被误认为是幕后黑手,今日晚间新浪科技在专访该软件总负责人董志强时,他表示现在真相都已经大白, 感到十分欣慰。“超级巡警也曾向国家有关部门提交过熊猫烧香的技术资料。”董志强表示,当时也希望这些技术资料能够在追查病毒作者方面起到足够的作用。
信息安全业内人士表示,技术上锁定并取证后,再通过调查其背后商业目的的方法入手分析,一般都能发现蛛丝马迹。尤其是熊猫烧香与以往许多病毒都 在拼命隐藏作者身份的做法不同,熊猫烧香的作者显得过于明目张胆。据悉,此次有关部门抓捕病毒作者,因为熊猫烧香的病毒不仅自己扩散传播,还主动销售源代 码给其它盗窃团伙,这些种种行为都暴露了他自身的身份。
“这个病毒是通过入侵网站并挂上木马来实现传播,并盗取用户有价值的虚拟账户的。除此之外,这个团伙还销售病毒源码牟利,其影响的规模非常巨大,社会影响极为恶劣。”接近专案小组的知情人士表示。“不仅是他们一个病毒团伙在传播,而是有大量团伙一起传播。”
“这背后也许还隐藏着更为复杂的利益集团,这些都还没有最终浮出水面。”
发表于 @ 2007年02月12日 21:08:00|评论(loading...)|编辑