熊貓燒香病毒黑手曝光 曾造05十大病毒

這是一波電腦病毒蔓延的狂潮。在兩個多月的時間裡，數百萬電腦用戶被卷將進去，那隻憨態可掬、頷首敬香的「熊貓」除而不盡，成為人們噩夢般的記憶。
反病毒工程師們將它命名為「尼姆亞」。它還有一個更通俗的名字———「熊貓燒香」。
它迅速化身數百種，不斷入侵個人電腦，感染門戶網站，擊潰企業數據系統……它的蔓延考問著網路的公共安全，同時引發了一場虛擬世界里「道」與「魔」的較量。反病毒工程師和民間反病毒人士紛紛投身其中。
1月19日，一個最新的「熊貓燒香」變種病毒出現。病毒作者宣稱，這將是「熊貓燒香」最後一次更新。
這場歷時兩個多月的較量結束了嗎？
「蜜罐」中發現病毒
2006年11月14日，中關村瑞星公司總部14樓。
一群反病毒工程師圍著一台與網路隔絕的電腦。隨著滑鼠點動，數百個熊貓圖標出現在屏幕上。這是工程師們當天捕獲的病毒，命名為「尼姆亞」。
史瑀是瑞星公司研發部病毒組的反病毒工程師。他每天的工作就是，和數十名夥伴一起捕捉網上流傳的病毒，然後將病毒「拆」開，研究其內部結構后，升級瑞星的病毒庫。
當天下午，一名用戶向他們提交了一份病毒樣本。隨後，他們又在病毒組的「蜜罐」內，發現了該病毒的蹤影。
「蜜罐」是病毒組設立在互聯網上的一些防衛性孱弱的伺服器，工程師們故意在伺服器上設置多種漏洞，誘使病毒侵入。「就像獵人做的沾滿蜜糖的陷阱，專門吸引獵物上鉤。」
從「蜜罐」里提取病毒后，史瑀和同事們將病毒移到公司14樓的一台與網路隔離的電腦上，這裡是病毒的「解剖台」。
「運行病毒之後，系統所有的圖標都變成了熊貓。」史瑀眼前的屏幕上，出現了一排排的熊貓圖案，熊貓們手持三炷香，合十作揖。
經過分析，工程師們發現，在病毒卡通化的外表下，隱藏著巨大的傳染潛力，它的傳染模式和殺傷手段，與風行一時的「威金」病毒十分相像。瑞星公司隨即發布病毒預警。

病毒蔓延湧向全國
「最開始的『尼姆亞』不算厲害。」史瑀說，隨著病毒作者的不斷更新，它的破壞力和傳染力也隨之上升。
2006年11月底，「尼姆亞」只有不到十個變種，然而12月開始，病毒作者從數日一更新，變為一日數更新，它的變種數量成倍上升。這時候，「熊貓燒香」已經取代了「尼姆亞」這個名字。
12月中旬，「熊貓燒香」進入急速變種期，在幾次大面積暴發之後，「熊貓燒香」成為眾多電腦用戶談之色變的辭彙。
聖誕節過後，「熊貓燒香」版本已達到近百個。
史瑀說，去年12月下旬，國內近千家大型企業感染「熊貓燒香」，向瑞星求助。「當病毒變種和感染人群超過一定數量時，病毒的傳播就會以幾何方式增長。」
12月26日，金山毒霸全球反病毒監測中心發布「熊貓燒香」正瘋狂作案的病毒預警。
27日，江民科技發布關於「熊貓燒香」的緊急病毒警報。
2007年1月7日，國家計算機病毒應急處理中心緊急預警，「通過對互聯網路的監測發現，一偽裝成『熊貓燒香』圖案的蠕蟲病毒傳播，已有很多企業區域網遭受該蠕蟲的感染。」
1月9日，「熊貓燒香」繼續蔓延，開始向全國範圍的電腦用戶涌去。
這一天，「熊貓燒香」迎來了一次全國性的大規模暴發，它的的變種數量定格在306個。
各地用戶紛紛中招
小江是黑龍江省一家網吧的網管。1月9日到1月10日的兩天間，他所在的網吧內空空蕩蕩，並無顧客，打開網吧的40多台電腦，屏幕上布滿了「熊貓燒香」圖標，系統崩潰，無法運行。
「毒是9日早晨中的，一開始只是一台機器，我殺毒時候，區域網內其他機器陸續中招。」小江說。
同一天早晨，在北京一家IT公司工作的劉先生上班后發現，公司近30台電腦全部感染「熊貓燒香」，病毒破壞了電腦內的程序文件，並刪除了電腦備份，公司正在研發中的半成品軟體毀於一旦。
劉先生憤怒之下卻又無奈。在年度總結報告中，他特意加上了一條：「以後重要程序必須備份，防範類似『熊貓燒香』的流氓病毒。」
同一天晚上，北京的一家報社裡，技術人員們東奔西跑，幾十名編輯記者都在等待著他們清除電腦里的「熊貓燒香」。
1月10日，上海一家台資公司的員工張先生打開電腦，迎接他的是一排排拱手舉香的熊貓。環顧四周，他發現同事們臉上有同樣的驚詫表情。整整一天，公司業務陷於癱瘓。
……
根據瑞星公司提供的「熊貓燒香」病毒用戶求助數據，僅1月9日一天，瑞星用戶向公司求助的人數已達1016人次，11日達到1002人次。因為是選擇性求助，並僅限於瑞星殺毒軟體的正版用戶，這個數據只是冰山一角。
據了解，1月9日感染的電腦用戶達數十萬。其中北京、上海等電腦用戶較集中的城市成為「重災區」。
「熊貓」並未就此止步，它繼續四處「燒香」。隨著變種的不斷增多，病毒洪潮蔓延無休，並且愈演愈烈。
截至目前，「熊貓燒香」病毒變種已達416個，受感染電腦用戶達到數百萬台。
1月22日，國家計算機病毒應急處理中心再次發出警報，在全國%

一場未結束的戰爭
1月19日，「熊貓燒香」發布了一個新的變種，病毒作者同時宣稱，這將是「熊貓燒香」最後一次更新。
消息傳來，在卡卡社區上，飽受「熊貓燒香」折磨的網民們一片雀躍。高興之餘，他們開始反思得失。
在反病毒論壇上，網友tom2000發表了一篇名為《熊貓啟示錄———風波過後的反思》帖子，文中稱：「以後有多少新的病毒/木馬會借鑒熊貓的經驗呢？一切才剛剛開始！」
業內專家認為，中國的互聯網處於起步初期，大部分網民缺乏最基本的網路安全防範知識，也缺少良好的上網習慣。安全意識的薄弱，給病毒大面積傳播帶來可乘之機。同時，隨著計算機在各個行業的普及，病毒造成的損害也將越來越嚴重。
1月24日下午，反病毒工程師們又發現了一種新型病毒，這種病毒和「熊貓燒香」十分相似，工程師懷疑它是「熊貓燒香」作者創作的新版本病毒。
這種病毒會把受感染用戶電腦上的所有圖標換成一個男子的頭像，在頭像的眼睛位置是兩個電燈泡。
反病毒工程師們擔心的是，「燈泡男子」會不會成為「熊貓燒香」的接班人。
「這是一場看不見硝煙的戰爭，對我們而言，戰爭還在繼續。」史瑀說。
誰製造了「熊貓燒香」？他意欲何為？在「熊貓燒香」肆虐期間，關於作者身份的種種猜測流傳於互聯網上。在百度「熊貓燒香」貼吧中，數百名深受「熊貓」所害的網民發帖「通緝」病毒製造者，更有網民聲稱開出10萬美元的懸賞花紅。
昨天，反病毒工程師向記者透露，「熊貓燒香」的作者並非無跡可尋，在解剖病毒過程中，他們發現了留在病毒內的一些神秘留言。在這些留言里，「熊貓燒香」的作者自稱whboy———「武漢男孩」。

「熊貓」體內暗藏留言
mopery是卡卡社區反病毒論壇的版主，也是一名反病毒高手。
2006年10月中旬，mopery接到網友求助。在幫忙解決電腦故障的過程中，他拿到了一個病毒樣本，它就是「熊貓燒香」的原始版本。
將病毒「解剖」之後，在繁複的程序代碼中，mopery看到了一段與程序無關的信息，其中有一行字母：「whboy」。
「whboy」這個名字，對於病毒研究者有著不一般的含義。2004年，whboy即發布了其創作的病毒「武漢男孩」，那是一種通過QQ傳播的盜號木馬，因為其變種的瘋狂和傳播的廣泛，一年後，被江民反病毒中心列入2005年十大病毒之列。
此後，whboy還在一些病毒論壇和黑客論壇發帖，表示可以提供盜取QQ號服務，但不久后便銷聲匿跡，直至「熊貓」出現。
mopery對「熊貓燒香」進行了認真分析。他發現，這種病毒並不擁有最厲害的技術，卻擁有最成熟的傳播手段。
mopery對「熊貓燒香」產生了濃厚的興趣，他聯繫了另一名民間反病毒高手農夫，在2006年10月25日推出了第一款專殺工具：尼姆亞蠕蟲專殺。
「第一隻熊貓沒什麼威力，厲害的是後面的變種。」mopery說，從發現第一版「熊貓燒香」后，一個月內，它的變種就達到了十幾種。
在這些變種中，每隔一段時間，作者都有意在病毒中留下whboy字樣。「他主要給我們這些分析病毒的人看，普通用戶看不到代碼。」
隨著變種增多，反病毒人士在連續解剖病毒的同時，開始期待更多留言出現。
病毒內部列出「鳴謝單位」
2006年12月初，「熊貓燒香」變種加速，代碼中除了whboy字樣外，又多了一行漢字：「武漢男孩感染下載者。」隨著變種的增多，代碼內附帶的信息也越來越多。
此時，mopery和艾瑪已經加入抗擊「熊貓燒香」的大軍當中。他們分析熊貓的新變種，並在卡卡社區反病毒論壇上，貼出一份份詳細的病毒分析報告。
他們的舉動，吸引了病毒作者「武漢男孩」的注意力。在1月初一份病毒變種中，神秘留言再次更新。
「感謝mopery對此木馬的關注。」留言中新添的這句話，讓mopery啼笑皆非。隨後，武漢男孩似乎迷戀上了這種病毒內部列出「鳴謝單位」的模式，在1月5日的病毒留言中，感謝名單上添加了艾瑪的名字。1月9日，感謝名單中又多了殺毒高手「海色之月」的名字，文末還添加了一句「服了……艾瑪…… 」
此後，武漢男孩開始頻繁用這種方式與對手「交流」。
1月15日，武漢男孩還在留言中和反毒者taylor77打起了招呼：「taylor77，不知道找我啥事啊？」並且戲言：「我製作的病毒已經『滿城盡燒國寶香』。」

網路世界高手對決一個月
1月16日，武漢男孩發布了新的病毒變種，反毒者們習慣稱之為「艾瑪」版本。因為在這個病毒內部的留言中，寫了22次艾瑪的名字。
1月19日晚，「熊貓燒香」發布了最後一次更新。這個版本可稱為傳染手段最全面的版本。
在「熊貓燒香」的最後一個版本中，武漢男孩寫下了臨別贈語：「在此對各位中過此木馬的網友和各位網管人員表示深深的歉意！對不起，你們辛苦了！mopery，很想和你們交流下！某某原因，我想還是算了！」
面對「熊貓燒香」停止更新的消息，反病毒工程師史瑀顯得很平靜：「我們希望熊貓風波就此結束，但是武漢男孩有失言的先例。總之他只要更新，我們就奉陪到底。」
對於持續對決一個多月，卻不知藏身何處的武漢男孩，mopery的贈言是：「我希望他能好好利用自己的技術來服務廣大網民，而不是給網民帶來痛苦。」
「武漢男孩」身份存仨版本
雖然武漢男孩表示不再更新「熊貓燒香」，但這場席捲全國的病毒狂潮卻餘波難平。網民們紛紛猜測武漢男孩的真實身份。
經調查，目前在業內人士中，關於武漢男孩的身份有三種猜測。其一，武漢男孩是一名15歲的武漢少年，證據是網路上流傳的他和反毒者農夫的QQ對話。其二，武漢男孩是桂林一家軟體公司的副總裁，曾編寫過流氓軟體，消息來源是反病毒論壇。其三，武漢男孩是國內殺毒軟體公司的員工，故意編寫病毒，促銷相應的殺毒產品。
為核證傳言，記者分別採訪了mopery和瑞星公司反病毒工程師史瑀。
mopery稱，經過他和農夫的核證，證實流傳的QQ聊天片斷的主人公，是另外一種病毒的作者，而非武漢男孩。至於公司副總的說法，屬空穴來風。
作為殺毒軟體公司的員工，史瑀說，每次大型病毒流傳后，總有各種對殺毒軟體公司不利的傳言，但殺毒軟體界的程序員不會編寫病毒、擾亂網路。他反問道：「流感病毒是醫生製作的么？」
mopery和史瑀都表示，從留言的內容和程序代碼來看，武漢男孩是一位有豐富病毒編寫經驗的熟手，經常瀏覽卡卡社區反病毒論壇，隨時關注mopery等人的病毒分析。卡卡社區有59萬餘名會員，武漢男孩一定身在其中，但這個範圍卻再難縮小。「武漢男孩本身精通網路技術和入侵技術，通過他上網的痕迹追查真身很難實現。」mopery說。
「熊貓燒香」帶有商業目的
史瑀說，他們經過分析認為，「熊貓燒香」帶有強烈的商業目的，「用戶感染病毒后，會從後台點擊國外的網站，部分變種中含有盜號木馬，病毒作者可藉此牟利。」
「現在的病毒作者和上世紀90年代的不同，他們不再以炫耀技術為目的，而是帶有明確商業目的，病毒和流氓軟體界限越來越模糊了。」史瑀說。
昨天下午，瑞星公司工作人員表示，已將病毒作者的相關證據和病毒特性提交給國家計算機病毒應急處理中心。國家計算機病毒應急處理中心工作人員稱，關於這場「熊貓燒香」病毒風暴，受波及的電腦數字以及造成的經濟損失等相關數據，目前正在統計，將於近日在其主頁上公布。
關於是否向公安機關報案，這名工作人員表示，目前不便透露。
「我相信總有一天會見到武漢男孩真面目的。」mopery說。
■鏈接
計算機信息系統安全保護條例
第二十三條 故意輸入計算機病毒以及其他有害數據危害計算機信息系統安全的，或者未經許可出售計算機信息系統安全專用產品的，由公安機關處以警告或者對個人處以5000元以下的罰款、對單位處以15000元以下的罰款；有違法所得的，除予以沒收外，可以處以違法所得1至3倍的罰款。
第二十四條 違反本條例的規定，構成違反治安管理行為的，依照《中華人民共和國治安管理處罰條例》的有關規定處罰；構成犯罪的，依法追究刑事責任。