熊貓燒香
技術名稱 | Worm.Whboy |
---|---|
別名 | 尼姆亞、武漢男孩、威金 |
分類 | 電腦蠕蟲 |
感染系統 | Windows |
發現時間 | 2006年10月16日 |
來源地 | 中華人民共和國武漢東湖高新技術開發區關山 |
作者 | 李俊 |
熊貓燒香是一種經過多次變種的電腦蠕蟲病毒,2006年10月16日由25歲的湖北省武漢市新洲區人李俊編寫,2007年1月初肆虐中國大陸網路,它主要透過網路下載的檔案植入電腦系統。
2007年2月12日,湖北省公安廳宣布,李俊以及其同夥共8人落網。
病毒特徵
[編輯]使用Windows系統的使用者中毒後,字尾名為.exe的檔案無法執行,並且檔案的圖示會變成熊貓舉著三根燒著的香的圖案。[1],但不具有Win32.Parite的特徵,不會感染作業系統的可執行檔。[2] 而副檔名為.gho
的賽門鐵克公司軟體Norton Ghost的系統磁碟備份檔案也會被病毒自動檢測並刪除;大多數知名的網路安全公司的防毒軟體以及防火牆會被病毒強制結束行程,甚至會出現藍白畫面、頻繁重新啟動的情況,病毒還利用Windows2000/XP系統共享漏洞以及使用者的弱口令如系統管理員密碼為空,不少安全防範意識低的網咖以及區域網路環境全部電腦遭到此病毒的感染。同時病毒執行後在各盤釋放autorun.inf以及病毒體自身,造成中毒者硬碟磁碟分割區以及USB隨身碟、行動硬碟等抽取式磁碟均無法正常打開。[3]
由於此病毒具有在htm、html、asp、php、jsp、aspx等格式的網頁檔案中使用HTML的iframe標記元素嵌入病毒網頁代碼的能力,所以網頁設計製作工作者的機器一旦中毒,那麼使用過低版本或未更新安全更新程式的Windows系列作業系統的使用者訪問他們設計的網站均會中此病毒[4]。
為了防止自己的病毒被防毒軟體攔截,李俊建立了病毒更新伺服器。在更新最勤時一天要對病毒更新升級8次[5],與俄羅斯反病毒軟體卡巴斯基反病毒庫每3小時更新一次的更新速度持平,所以憑藉更新的速度防毒軟體很難辨識此電腦病毒的多種變種。
病毒案件的偵破與病毒作者
[編輯]有人通過對此毒脫殼後的特徵碼分析發現有「whboy」的標識[6],而此標識也曾出現在2004年的一隻病毒「武漢男生」上,所以該病毒也被稱為「武漢男生」,通過檢視李俊的早期作品可以看到他的QQ號碼以及他建立的網站資訊,有了這些資訊,偵破案件的湖北網警的工作就容易了許多。
該病毒作者是李俊(1982年-)[7],武漢新洲區人。據他的家人以及朋友介紹,他在初中時英語和數學成績都很不錯,但還是沒能考上高中。中專在媧石職業技術學校學習水泥工藝專業,畢業後曾上過網路技術職業培訓班。據他的朋友所說,他是「自學成才,他的大部分電腦技術都是看書自學的」[8]。2004年李俊到北京、廣州的網路安全公司求職,但都因學歷低的原因遭拒,於是他開始抱著報復社會以及賺錢的目的編寫病毒了。他曾在2003年編寫了病毒「武漢男生」,2005年他還編寫了病毒QQ尾巴,並對「武漢男生」版本更新成為「武漢男生2005」。
此次傳播的「熊貓燒香」病毒,作者李俊是先將此病毒在網路中賣給了120餘人,每套產品要價500~1000元人民幣,每日可以收入8000元左右,最多時一天能賺1萬餘元人民幣,作者李俊因此直接非法獲利10萬餘元。然後由這120餘人對此病毒進行覆寫處理並傳播出去的,這120餘人的傳播造成100多萬台電腦感染此病毒,他們將盜取來的網友網路遊戲以及QQ帳號進行出售牟利,並使用被病毒感染淪陷的機器組成「殭屍網路」為一些網站帶來流量。[9]
被逮捕的幾位重要犯罪嫌疑人資料:
姓名 | 性別 | 到案年齡 | 住所 | 出生 |
---|---|---|---|---|
李俊 | 男 | 25歲 | 武漢新洲區人 | 1982年(41—42歲) |
雷磊 | 男 | 25歲 | 武漢新洲區人 | 1982年(41—42歲) |
王磊 | 男 | 22歲 | 山東威海人 | 1985年(38—39歲) |
葉培新 | 男 | 21歲 | 浙江溫州人 | 1986年(37—38歲) |
張順 | 男 | 23歲 | 浙江麗水人 | 1984年(39—40歲) |
王哲 | 男 | 24歲 | 湖北仙桃人 | 1983年(40—41歲) |
2007年9月24日,湖北省仙桃市人民法院一審以破壞電腦資訊系統罪判處李俊有期徒刑四年、王磊有期徒刑二年六個月、張順有期徒刑二年、雷磊有期徒刑一年,並判決李俊、王磊、張順的違法所得予以追繳[10]。
熊貓燒香作者李俊出獄後,於2010年開始經營一家企業網路安全軟體公司[11]。然而2013年6月13日晚,據「麗水發布」官方微博訊息,「熊貓燒香」病毒製造者張順、李俊在浙江麗水設立網路賭場,斂財數百萬元,已被當地檢察機關批捕。該事件發生在2013年初,涉案者共17人[12]。2015年中,李俊再次出獄。[13]
參考文獻
[編輯]- ^ 熊猫烧香动态图. [2007-02-14]. (原始內容存檔於2007-02-18).
- ^ 反病毒专家:感染“熊猫烧香”不要重装系统. [2007-02-14]. (原始內容存檔於2012-08-05).
- ^ 熊猫烧香使用弱口令以及利用微软自动播放功能. [2007-02-14]. (原始內容存檔於2012-07-14).
- ^ 警惕“熊猫烧香”疯狂蔓延:熊猫烧香病毒防杀专题. 愛好者. [2024-01-01]. (原始內容存檔於2007-02-14).
- ^ 李俊效仿安全厂商的做法,设立病毒自动升级服务器,曾在一天之中升级8次. [2007-02-14]. (原始內容存檔於2007-02-16).
- ^ 文件末签名“WhBoy”. [2007-02-14]. (原始內容存檔於2008-12-04).
- ^ 作者李俊在押時的相片(頁面存檔備份,存於網際網路檔案館)
- ^ 李俊朋友称李俊是“自学成才”. [2007-02-14]. (原始內容存檔於2007-02-17).
- ^ 揭密“熊猫烧香”背后不为人知的牟利网络. [2007-02-14]. (原始內容存檔於2007-02-16).
- ^ 張先國. “熊猫烧香”病毒制造者一审被判刑. 新華網. 2012-07-21 [2024-01-01]. (原始內容存檔於2012-07-21).
- ^ 熊猫烧香制造者李俊出狱后开软件公司. [2010-09-08]. (原始內容存檔於2010-06-14).
- ^ 网络涉赌,“熊猫烧香”病毒制作者李俊再度入狱. IT之家. [2013-06-18]. (原始內容存檔於2013-06-18).
- ^ 李俊的人生病毒:靠熊猫烧香成毒王 网赌7000万二进宫. [2018-04-03]. (原始內容存檔於2018-04-03).
參閱
[編輯]外部連結
[編輯]新聞報道:
專殺工具: