湖北省公安厅昨日宣布,肆虐互联网的“熊猫烧香”电脑病毒大案告破,该病毒的原始制作者李俊及另5名嫌疑人落网。这是我国破获的国内首例制作计算机病毒的大案。
去年10月下旬以来,一种被命名为“熊猫烧香”的病毒在互联网上肆虐,该病毒通过多种方式传播,并将感染的所有程序文件改成熊猫举着3根香的模样。截至今年1月中旬,已有上百万个人用户、网吧及企业局域网用户遭受感染和破坏,引起社会各界高度关注。反病毒专家发现,病毒作者在病毒中加入代码“WHBOY”(武汉男孩),纷纷猜测病毒作者可能来自武汉。
今年1月22日,位于仙桃市的“江汉热线”网站因感染“熊猫烧香”病毒完全瘫痪,仙桃市网监立案侦查,省公安厅网监总队徐云峰博士参与破案。网警运用多种网络技术手段和侦查手段,终于查明制作“熊猫烧香”病毒的嫌疑人果然是“武汉男孩”——25岁的李俊。
2月3日,网警在武汉关山一出租屋,将刚从外面回来的李俊抓获,同时抓获另一涉案人员雷磊。经查,李俊,男,25岁,武汉新洲阳逻人;雷磊,男,25岁,李俊的同乡兼同学。两人中专毕业后一起参加网络技术职业培训班。2004年毕业后,李俊曾多次到北京、广州找IT方面的工作,但均未成功。为发泄心中不满,他开始尝试编写电脑病毒。通过编写“熊猫烧香”,李俊等人非法获利10万余元。
此后,网警将改装、传播“熊猫烧香”病毒的另4名嫌疑人抓获。目前,这6人均已被刑事拘留。
据警方介绍,李俊已供述了如何杀死熊猫烧香病毒的方法。
【相关报道】国内制作计算机病毒“熊猫烧香”案侦破
曾几何时,一只颔首敬香的熊猫成为无数电脑用户噩梦般的记忆:上百万个人用户、网吧及企业局域网用户遭受感染和破坏,损失难以估量,《瑞星2006安全报告》将其列为十大病毒之首,《2006年度中国大陆地区电脑病毒疫情和互联网安全报告》称其为“毒王”。湖北省公安厅12日宣布:根据统一部署,湖北网监在浙、鲁、桂、津、粤、川、闽、云、新、豫等地警方的配合下,一举侦破了制作传播“熊猫烧香”病毒案,抓获李俊等6名嫌犯。这是我国破获的国内首例制作计算机病毒的大案。
关山出租屋内抓获“武汉男孩”
今年1月,仙桃市公安局局域网办理第二身份证时中了“熊猫烧香”病毒。与此同时,位于仙桃市的“江汉热线”不幸感染“熊猫烧香”,网络瘫痪。
1月中旬,湖北网监部门根据公安部公共信息网络安全监察局的部署,对“熊猫烧香”制作者开展调查。1月24日,仙桃警方正式立案,案件代号为“122案件”。对比此前出现的“武汉男孩”病毒,两种病毒程序编码类似,警方推测可能系一人所为。
1月31日,湖北省公安厅网监总队召开仙桃、武汉、宜昌、荆门等地网监部门负责人会议,部署合力开展案件侦破,成立了指挥领导小组与侦破专班。
湖北省公安厅网监总队徐云峰博士对该病毒已追踪多时。在网监总队统一部署下,网警运用多种网络技术手段和侦查手段,2月1日查找到犯罪嫌疑人所在地——武汉关山的一栋两层楼房内的出租屋。
侦破专班对该出租屋实行24小时监控。2月3日晚9时许,一男子回该出租屋取东西,被警方抓获,此人正是“熊猫烧香”制作者李俊。李俊交待了其制作“熊猫烧香”病毒牟利的经过,并交出了其销售病毒的下线。李俊供称,回出租屋取东西的目的是准备外逃。警方同时抓获另一名涉案人员雷磊。
“网络天才”没念过大学
“他是网络天才。”昨日,省网监总队有关专家如此描述李俊。李俊,男,25岁,新洲区阳逻街人,曾在某电脑城工作;雷磊,男,25岁,是李俊的同乡兼同学,两人中专毕业后一起参加网络技术职业培训班。
2004年毕业后,李俊曾多次上北京、下广州找IT方面的工作,尤其钟情于网络安全公司,但均未成功。为了发泄不满,同时抱着赚钱的目的,李俊开始编写病毒,2003年曾编写过“武汉男生”病毒,2005年编写了“武汉男生2005”病毒及“QQ尾巴”病毒。
抓获李俊和雷磊后,警方乘胜追击,又抓获王磊(男,22岁,山东威海人)、叶培新(男,21岁,浙江温州人)、张顺(男,23岁,浙江丽水人)、王哲(男,24岁,湖北仙桃人)等4名改装、传播“熊猫烧香”病毒的嫌疑人,这些人通过改写、传播“熊猫烧香”等病毒,构建“僵尸网络”,通过盗窃各种游戏和QQ账号等方式非法牟利。目前这6人均已被警方刑拘。
“熊猫烧香”一份卖3000元
李俊交代,他于2006年10月16日编写了“熊猫烧香”。这是一种超强病毒,感染病毒的电脑会在硬盘的所有网页文件上附加病毒。如果被感染的是网站编辑电脑,通过中毒网页病毒就可能附身在网站所有网页上,访问中毒网站时网民就会感染病毒。“熊猫烧香”感染过天涯社区等门户网站。
“熊猫烧香”除了带有病毒的所有特性外,还具有强烈的商业目的:可以暗中盗取用户游戏账号、QQ账号,以供出售牟利,还可以控制受感染电脑,将其变为“网络僵尸”,暗中访问一些按访问流量付费的网站,从而获利。部分变种中还含有盗号木马。
李俊以自己出售和由他人代卖的方式,每次要价3000元,将该病毒销售给120余人,非法获利10万余元。经病毒购买者进一步传播,该病毒的各种变种在网上大面积传播,据估算,被“熊猫烧香”病毒控制的“网络僵尸”数以百万计,其访问按访问流量付费的网站,一年下来累计可获利上千万元。
雷磊“高科技犯罪”让亲属惊讶
据介绍他和李俊关系一直很好
昨晚12时许,记者驱车来到新洲阳逻长山村窝子湾,敲开雷磊家门。据村民介绍,雷磊父母都是做工程的个体户。
雷磊叔叔雷军华说,雷磊初中毕业后因成绩不好没有考上高中,就上了一所中专,人很聪明,懂点电脑。
雷军华说,4日下午5时许,他接到了仙桃市第二看守所的电话,遂和雷磊父亲赶到仙桃送了生活费和衣物,当时还不知道雷磊犯的究竟是何罪。今天网上传出消息后,村里闹得沸沸扬扬,他赶到网吧亲自看过,很惊讶侄儿居然涉嫌如此“高科技犯罪”。
窝子湾队长介绍说,雷磊是独生子,很瘦,一直在汉口打工,每年都会回家几次,很少出门,性格内向,偶尔开着父亲的轿车在村里逛逛。已婚,孩子才一岁。李俊未婚,与雷磊平时很要好,经常串门。
“熊猫”凶猛
2006年11月14日“蜜罐”中发现“熊猫”
2006年11月14日,瑞星公司反病毒工程师们发现了一种新病毒。大家将病毒移到一台与网络隔离的电脑上,运行病毒之后,屏幕上出现了一排排的熊猫图案,熊猫们手持三炷香,合十作揖。反病毒工程师们将其命名为“尼姆亚”。
其实,在瑞星公司捕获“尼姆亚”病毒之前一个月,卡卡网络社区反病毒论坛的版主mopery拿到了一个病毒样本,它才是“熊猫烧香”的原始版本。
2007年1月9日“熊猫烧香”疯狂爆发
2006年12月中旬,“熊猫烧香”进入急速变种期。2007年1月7日,国家计算机病毒应急处理中心发出“熊猫烧香”的紧急预警。1月9日,“熊猫烧香”全国性暴发。
小江是黑龙江一家网吧的网管。1月9日,他打开网吧的电脑,屏幕上布满了“熊猫烧香”图标,系统崩溃。同一天,北京一家IT公司电脑全部感染“熊猫烧香”,正在研发中的软件毁于一旦。同一天晚上,北京的一家报社里,技术人员们东奔西跑,几十名编辑记者都在等待着他们清除“熊猫烧香”……这一天感染的电脑用户达数十万。
“熊猫”并未就此止步,它继续四处“烧香”,并且愈演愈烈。1月22日,国家计算机病毒应急处理中心再次发出警报,在全国通缉“熊猫烧香”。
2007年1月中上旬“武汉男孩”留言挑衅
反病毒工程师们将病毒解剖之后,看到了一段信息:“whboy”。“whboy”这个名字,对于病毒研究者有着不一般的含义。2004年,whboy发布了其创作的病毒“武汉男孩”,一年后该病毒被江民列入2005年十大病毒。
“熊猫烧香”变种后,代码中除了whboy字样外又多了一行汉字:“武汉男孩感染下载者。”此时,mopery和网友艾玛加入抗击“熊猫烧香”的大军当中,吸引了“武汉男孩”的注意。在1月初的一份病毒变种中,留言再次更新:“感谢mopery对此木马的关注。”随后,“武汉男孩”在1月5日的病毒留言中感谢名单上添加了艾玛的名字。1月15日,武汉男孩还在留言中和反毒者taylor77打起了招呼:“taylor77,不知道找我啥事啊?”并且戏言:“我制作的病毒已经‘满城尽烧国宝香’。”
1月19日晚,“熊猫烧香”最后一次更新,发布者写下临别赠语:“在此对各位中过此木马的网友和各位网管人员表示深深的歉意!对不起,你们辛苦了!”