這是一波電腦病毒蔓延的狂潮.在兩個多月的時間里,數百萬電腦用戶被卷將進去,那只憨態可掬、頷首敬香的“熊貓”除而不盡,成為人們噩夢般的記憶.
反病毒工程師們將它命名為“尼姆亞”.它還有一個更通俗的名字———“熊貓燒香”.它迅速化身數百種,不斷入侵個人電腦,感染門戶網站,擊潰企業數據系統……它的蔓延考問著網絡的公共安全,同時引發了一場虛擬世界里“道”與“魔”的較量.反病毒工程師和民間反病毒人士紛紛投身其中.
1月19日,一個最新的“熊貓燒香”變種病毒出現。病毒作者宣稱,這將是“熊貓燒香”最后一次更新。
這場歷時兩個多月的較量結束了嗎?
“蜜罐”中發現病毒
2006年11月14日,中關村瑞星公司總部14樓。
一群反病毒工程師圍著一臺與網絡隔絕的電腦。隨著鼠標點動,數百個熊貓圖標出現在屏幕上。這是工程師們當天捕獲的病毒,命名為“尼姆亞”。
史瑀是瑞星公司研發部病毒組的反病毒工程師。他每天的工作就是,和數十名伙伴一起捕捉網上流傳的病毒,然后將病毒“拆”開,研究其內部結構后,升級瑞星的病毒庫。
當天下午,一名用戶向他們提交了一份病毒樣本。隨后,他們又在病毒組的“蜜罐”內,發現了該病毒的蹤影。
“蜜罐”是病毒組設立在互聯網上的一些防衛性孱弱的服務器,工程師們故意在服務器上設置多種漏洞,誘使病毒侵入。“就像獵人做的沾滿蜜糖的陷阱,專門吸引獵物上鉤。”
從“蜜罐”里提取病毒后,史瑀和同事們將病毒移到公司14樓的一臺與網絡隔離的電腦上,這里是病毒的“解剖臺”。
“運行病毒之后,系統所有的圖標都變成了熊貓。”史瑀眼前的屏幕上,出現了一排排的熊貓圖案,熊貓們手持三炷香,合十作揖。
經過分析,工程師們發現,在病毒卡通化的外表下,隱藏著巨大的傳染潛力,它的傳染模式和殺傷手段,與風行一時的“威金”病毒十分相像。瑞星公司隨即發布病毒預警。
病毒蔓延涌向全國
“最開始的‘尼姆亞’不算厲害。”史瑀說,隨著病毒作者的不斷更新,它的破壞力和傳染力也隨之上升。
2006年11月底,“尼姆亞”只有不到十個變種,然而12月開始,病毒作者從數日一更新,變為一日數更新,它的變種數量成倍上升。這時候,“熊貓燒香”已經取代了“尼姆亞”這個名字。
12月中旬,“熊貓燒香”進入急速變種期,在幾次大面積暴發之后,“熊貓燒香”成為眾多電腦用戶談之色變的詞匯。
圣誕節過后,“熊貓燒香”版本已達到近百個。
史瑀說,去年12月下旬,國內近千家大型企業感染“熊貓燒香”,向瑞星求助。“當病毒變種和感染人群超過一定數量時,病毒的傳播就會以幾何方式增長。”
12月26日,金山毒霸全球反病毒監測中心發布“熊貓燒香”正瘋狂作案的病毒預警。
27日,江民科技發布關于“熊貓燒香”的緊急病毒警報。
2007年1月7日,國家計算機病毒應急處理中心緊急預警,“通過對互聯網絡的監測發現,一偽裝成‘熊貓燒香’圖案的蠕蟲病毒傳播,已有很多企業局域網遭受該蠕蟲的感染。”
1月9日,“熊貓燒香”繼續蔓延,開始向全國范圍的電腦用戶涌去。
這一天,“熊貓燒香”迎來了一次全國性的大規模暴發,它的的變種數量定格在306個。
各地用戶紛紛中招
小江是黑龍江省一家網吧的網管。1月9日到1月10日的兩天間,他所在的網吧內空空蕩蕩,并無顧客,打開網吧的40多臺電腦,屏幕上布滿了“熊貓燒香”圖標,系統崩潰,無法運行。
“毒是9日早晨中的,一開始只是一臺機器,我殺毒時候,局域網內其他機器陸續中招。”小江說。
同一天早晨,在北京一家IT公司工作的劉先生上班后發現,公司近30臺電腦全部感染“熊貓燒香”,病毒破壞了電腦內的程序文件,并刪除了電腦備份,公司正在研發中的半成品軟件毀于一旦。
劉先生憤怒之下卻又無奈。在年度總結報告中,他特意加上了一條:“以后重要程序必須備份,防范類似‘熊貓燒香’的流氓病毒。”
同一天晚上,北京的一家報社里,技術人員們東奔西跑,幾十名編輯記者都在等待著他們清除電腦里的“熊貓燒香”。
1月10日,上海一家臺資公司的員工張先生打開電腦,迎接他的是一排排拱手舉香的熊貓。環顧四周,他發現同事們臉上有同樣的驚詫表情。整整一天,公司業務陷于癱瘓。
……
根據瑞星公司提供的“熊貓燒香”病毒用戶求助數據,僅1月9日一天,瑞星用戶向公司求助的人數已達1016人次,11日達到1002人次。因為是選擇性求助,并僅限于瑞星殺毒軟件的正版用戶,這個數據只是冰山一角。
據了解,1月9日感染的電腦用戶達數十萬。其中北京、上海等電腦用戶較集中的城市成為“重災區”。
“熊貓”并未就此止步,它繼續四處“燒香”。隨著變種的不斷增多,病毒洪潮蔓延無休,并且愈演愈烈。
截至目前,“熊貓燒香”病毒變種已達416個,受感染電腦用戶達到數百萬臺。
1月22日,國家計算機病毒應急處理中心再次發出警報,在全國范圍內通緝“熊貓燒香”。
門戶網站遭遇感染
1月24日,北京市政府信息工作辦公室在官方網站上設立了“熊貓燒香”病毒專題,其中撰文稱:“一種偽裝成‘熊貓燒香’圖案的病毒正在瘋狂作案……目前已有多家企業局域網和網站遭受重創,多數網民也深受其害。”
“熊貓燒香”因何難退?
“‘熊貓燒香’和以往的病毒不同,它采用了一種新的傳播手段。”史瑀說,傳統的蠕蟲病毒是通過一臺中毒電腦傳至局域網內其他電腦,而“熊貓燒香”在整合了所有可利用的傳播漏洞之外,還可以通過網站傳播。
感染“熊貓燒香”的電腦,會在硬盤的所有網頁文件上附加病毒。“如果被感染的是網站編輯和記者的電腦,那么通過中毒的網頁,‘熊貓燒香’就可能附身在網站的所有網頁上。”史瑀說,訪問這種中毒的網站時,網民就會感染“熊貓燒香”病毒。
從傳統的點對點,到現在的點對面,“熊貓燒香”借助中毒網站的驚人訪問量急速傳播。
據反病毒工程師稱,他們曾監控到,“熊貓燒香”感染過天涯社區、硅谷動力、pconline等門戶網站,在暴風影音等知名軟件的下載鏈接中也曾有“熊貓燒香”附身的痕跡。同時,“熊貓燒香”還可借助搜索引擎進行病毒傳播。
“借助局域網天女散花,借助門戶網站星火燎原,借助U盤死灰復燃。”史瑀說,“熊貓燒香”的三項主要傳播方式,成為病毒難以退去的主要原因。
反毒人士抗擊病毒
史瑀說,自去年圣誕節之后,瑞星公司病毒組就開始不斷加班,每當“熊貓燒香”發布新變種,工程師們就立即采集樣本,解剖病毒,并升級相應的專殺工具。“這段時間里,通宵熬夜就有4次。”
“‘熊貓燒香’技術談不上高超,主要依賴于作者不斷瘋狂地更新,它更新,我們就隨之更新專殺工具。”史瑀說,“熊貓燒香”善于利用新漏洞,比如1月8日的變種就利用了QQ一項最新的安全漏洞。
“熊貓燒香”誕生至今,病毒版本修改了400余次,史瑀和同事們開發的專殺工具也升級了10余次。
除殺毒軟件公司外,散布在網民中的“反毒高手”在抗擊“熊貓燒香”中同樣發揮了重要作用。
在卡卡網絡社區的反病毒論壇上,云集著不少電腦高手,他們大都是業余編程愛好者,時常一起研究殺毒技術。“熊貓燒香”剛現身,就引起了他們的注意。
2006年10月底,在瑞星公司尚未捕獲“熊貓燒香”病毒時,程序高手“農夫”就已經拿到了當時的“熊貓燒香”病毒樣本,并編寫了專殺工具。此后,每當 “熊貓燒香”發布變種時,反病毒論壇的網友mopery和艾瑪等人,就會寫一份詳細的變種分析報告,指出病毒的危險性和新特性。
“其實民間的殺毒高手很多。”史瑀說,他自己以前就是一名民間高手,高中時代起就愛好研究病毒,大學畢業后被殺毒軟件公司招募。所以,他現在經常會瀏覽一些著名技術論壇,如果民間高手有一些好的想法,病毒組也會借鑒。
史瑀說,他手頭掌握著一張“底牌”———“未知病毒查殺”。他說,這種殺毒辦法可以判斷病毒的“家族特征”,只要變種符合一系列特征,專殺工具就能有效查殺。
史瑀介紹了這種新專殺工具的工作原理,但他要求記者報道時隱藏該項內容,“讓病毒作者知道了就麻煩了,這是我們取勝的殺手锏。”
一場未結束的戰爭
1月19日,“熊貓燒香”發布了一個新的變種,病毒作者同時宣稱,這將是“熊貓燒香”最后一次更新。
消息傳來,在卡卡社區上,飽受“熊貓燒香”折磨的網民們一片雀躍。高興之余,他們開始反思得失。
在反病毒論壇上,網友tom2000發表了一篇名為《熊貓啟示錄———風波過后的反思》帖子,文中稱:“以后有多少新的病毒/木馬會借鑒熊貓的經驗呢?一切才剛剛開始!”
業內專家認為,中國的互聯網處于起步初期,大部分網民缺乏最基本的網絡安全防范知識,也缺少良好的上網習慣。安全意識的薄弱,給病毒大面積傳播帶來可乘之機。同時,隨著計算機在各個行業的普及,病毒造成的損害也將越來越嚴重。
1月24日下午,反病毒工程師們又發現了一種新型病毒,這種病毒和“熊貓燒香”十分相似,工程師懷疑它是“熊貓燒香”作者創作的新版本病毒。
這種病毒會把受感染用戶電腦上的所有圖標換成一個男子的頭像,在頭像的眼睛位置是兩個電燈泡。
反病毒工程師們擔心的是,“燈泡男子”會不會成為“熊貓燒香”的接班人。
“這是一場看不見硝煙的戰爭,對我們而言,戰爭還在繼續。”史瑀說。
誰制造了“熊貓燒香”?他意欲何為?在“熊貓燒香”肆虐期間,關于作者身份的種種猜測流傳于互聯網上。在百度“熊貓燒香”貼吧中,數百名深受“熊貓”所害的網民發帖“通緝”病毒制造者,更有網民聲稱開出10萬美元的懸賞花紅。
昨天,反病毒工程師向記者透露,“熊貓燒香”的作者并非無跡可尋,在解剖病毒過程中,他們發現了留在病毒內的一些神秘留言。在這些留言里,“熊貓燒香”的作者自稱whboy———“武漢男孩”。
“熊貓”體內暗藏留言
mopery是卡卡社區反病毒論壇的版主,也是一名反病毒高手。
2006年10月中旬,mopery接到網友求助。在幫忙解決電腦故障的過程中,他拿到了一個病毒樣本,它就是“熊貓燒香”的原始版本。
將病毒“解剖”之后,在繁復的程序代碼中,mopery看到了一段與程序無關的信息,其中有一行字母:“whboy”。
“whboy”這個名字,對于病毒研究者有著不一般的含義。2004年,whboy即發布了其創作的病毒“武漢男孩”,那是一種通過QQ傳播的盜號木馬,因為其變種的瘋狂和傳播的廣泛,一年后,被江民反病毒中心列入2005年十大病毒之列。
此后,whboy還在一些病毒論壇和黑客論壇發帖,表示可以提供盜取QQ號服務,但不久后便銷聲匿跡,直至“熊貓”出現。
mopery對“熊貓燒香”進行了認真分析。他發現,這種病毒并不擁有最厲害的技術,卻擁有最成熟的傳播手段。
mopery對“熊貓燒香”產生了濃厚的興趣,他聯系了另一名民間反病毒高手農夫,在2006年10月25日推出了第一款專殺工具:尼姆亞蠕蟲專殺。
“第一只熊貓沒什么威力,厲害的是后面的變種。”mopery說,從發現第一版“熊貓燒香”后,一個月內,它的變種就達到了十幾種。
在這些變種中,每隔一段時間,作者都有意在病毒中留下whboy字樣。“他主要給我們這些分析病毒的人看,普通用戶看不到代碼。”
隨著變種增多,反病毒人士在連續解剖病毒的同時,開始期待更多留言出現。
病毒內部列出“鳴謝單位”
2006年12月初,“熊貓燒香”變種加速,代碼中除了whboy字樣外,又多了一行漢字:“武漢男孩感染下載者。”隨著變種的增多,代碼內附帶的信息也越來越多。
此時,mopery和艾瑪已經加入抗擊“熊貓燒香”的大軍當中。他們分析熊貓的新變種,并在卡卡社區反病毒論壇上,貼出一份份詳細的病毒分析報告。
他們的舉動,吸引了病毒作者“武漢男孩”的注意力。在1月初一份病毒變種中,神秘留言再次更新。
“感謝mopery對此木馬的關注。”留言中新添的這句話,讓mopery啼笑皆非。隨后,武漢男孩似乎迷戀上了這種病毒內部列出“鳴謝單位”的模式,在1月5日的病毒留言中,感謝名單上添加了艾瑪的名字。1月9日,感謝名單中又多了殺毒高手“海色之月”的名字,文末還添加了一句“服了……艾瑪…… ”
此后,武漢男孩開始頻繁用這種方式與對手“交流”。
1月15日,武漢男孩還在留言中和反毒者taylor77打起了招呼:“taylor77,不知道找我啥事啊?”并且戲言:“我制作的病毒已經‘滿城盡燒國寶香’。”
網絡世界高手對決一個月
1月16日,武漢男孩發布了新的病毒變種,反毒者們習慣稱之為“艾瑪”版本。因為在這個病毒內部的留言中,寫了22次艾瑪的名字。
1月19日晚,“熊貓燒香”發布了最后一次更新。這個版本可稱為傳染手段最全面的版本。
在“熊貓燒香”的最后一個版本中,武漢男孩寫下了臨別贈語:“在此對各位中過此木馬的網友和各位網管人員表示深深的歉意!對不起,你們辛苦了!mopery,很想和你們交流下!某某原因,我想還是算了!”
面對“熊貓燒香”停止更新的消息,反病毒工程師史瑀顯得很平靜:“我們希望熊貓風波就此結束,但是武漢男孩有失言的先例。總之他只要更新,我們就奉陪到底。”
對于持續對決一個多月,卻不知藏身何處的武漢男孩,mopery的贈言是:“我希望他能好好利用自己的技術來服務廣大網民,而不是給網民帶來痛苦。”
“武漢男孩”身份存仨版本
雖然武漢男孩表示不再更新“熊貓燒香”,但這場席卷全國的病毒狂潮卻余波難平。網民們紛紛猜測武漢男孩的真實身份。
經調查,目前在業內人士中,關于武漢男孩的身份有三種猜測。其一,武漢男孩是一名15歲的武漢少年,證據是網絡上流傳的他和反毒者農夫的QQ對話。其二,武漢男孩是桂林一家軟件公司的副總裁,曾編寫過流氓軟件,消息來源是反病毒論壇。其三,武漢男孩是國內殺毒軟件公司的員工,故意編寫病毒,促銷相應的殺毒產品。
為核證傳言,記者分別采訪了mopery和瑞星公司反病毒工程師史瑀。
mopery稱,經過他和農夫的核證,證實流傳的QQ聊天片斷的主人公,是另外一種病毒的作者,而非武漢男孩。至于公司副總的說法,屬空穴來風。
作為殺毒軟件公司的員工,史瑀說,每次大型病毒流傳后,總有各種對殺毒軟件公司不利的傳言,但殺毒軟件界的程序員不會編寫病毒、擾亂網絡。他反問道:“流感病毒是醫生制作的么?”
mopery和史瑀都表示,從留言的內容和程序代碼來看,武漢男孩是一位有豐富病毒編寫經驗的熟手,經常瀏覽卡卡社區反病毒論壇,隨時關注mopery 等人的病毒分析。卡卡社區有59萬余名會員,武漢男孩一定身在其中,但這個范圍卻再難縮小。“武漢男孩本身精通網絡技術和入侵技術,通過他上網的痕跡追查真身很難實現。”mopery說。
“熊貓燒香”帶有商業目的
史瑀說,他們經過分析認為,“熊貓燒香”帶有強烈的商業目的,“用戶感染病毒后,會從后臺點擊國外的網站,部分變種中含有盜號木馬,病毒作者可借此牟利。”
“現在的病毒作者和上世紀90年代的不同,他們不再以炫耀技術為目的,而是帶有明確商業目的,病毒和流氓軟件界限越來越模糊了。”史瑀說。
昨天下午,瑞星公司工作人員表示,已將病毒作者的相關證據和病毒特性提交給國家計算機病毒應急處理中心。國家計算機病毒應急處理中心工作人員稱,關于這場“熊貓燒香”病毒風暴,受波及的電腦數字以及造成的經濟損失等相關數據,目前正在統計,將于近日在其主頁上公布。
關于是否向公安機關報案,這名工作人員表示,目前不便透露。
“我相信總有一天會見到武漢男孩真面目的。”mopery說。
■鏈接
計算機信息系統安全保護條例
第二十三條故意輸入計算機病毒以及其他有害數據危害計算機信息系統安全的,或者未經許可出售計算機信息系統安全專用產品的,由公安機關處以警告或者對個人處以 5000元以下的罰款、對單位處以15000元以下的罰款;有違法所得的,除予以沒收外,可以處以違法所得1至3倍的罰款。
第二十四條 違反本條例的規定,構成違反治安管理行為的,依照《中華人民共和國治安管理處罰條例》的有關規定處罰;構成犯罪的,依法追究刑事責任。
消息原載《京華時報》