圖:反毒人員在“解剖”病毒后,發(fā)現(xiàn)里面的留言。 本報(bào)記者 劉軍 攝
誰(shuí)制造了“熊貓燒香”?他意欲何為?在“熊貓燒香”肆虐期間,關(guān)于作者身份的種種猜測(cè)流傳于互聯(lián)網(wǎng)上。在百度“熊貓燒香”貼吧中,數(shù)百名深受“熊貓”所害的網(wǎng)民發(fā)帖“通緝”病毒制造者,更有網(wǎng)民聲稱開出10萬(wàn)美元的懸賞花紅。
昨天,反病毒工程師向記者透露,“熊貓燒香”的作者并非無(wú)跡可尋,在解剖病毒過(guò)程中,他們發(fā)現(xiàn)了留在病毒內(nèi)的一些神秘留言。在這些留言里,“熊貓燒香”的作者自稱whboy———“武漢男孩”。
“熊貓”體內(nèi)暗藏留言
mopery是卡卡社區(qū)反病毒論壇的版主,也是一名反病毒高手。
2006年10月中旬,mopery接到網(wǎng)友求助。在幫忙解決電腦故障的過(guò)程中,他拿到了一個(gè)病毒樣本,它就是“熊貓燒香”的原始版本。
將病毒“解剖”之后,在繁復(fù)的程序代碼中,mopery看到了一段與程序無(wú)關(guān)的信息,其中有一行字母:“whboy”。
“whboy”這個(gè)名字,對(duì)于病毒研究者有著不一般的含義。2004年,whboy即發(fā)布了其創(chuàng)作的病毒“武漢男孩”,那是一種通過(guò)QQ傳播的盜號(hào)木馬,因?yàn)槠渥兎N的瘋狂和傳播的廣泛,一年后,被江民反病毒中心列入2005年十大病毒之列。
此后,whboy還在一些病毒論壇和黑客論壇發(fā)帖,表示可以提供盜取QQ號(hào)服務(wù),但不久后便銷聲匿跡,直至“熊貓”出現(xiàn)。
mopery對(duì)“熊貓燒香”進(jìn)行了認(rèn)真分析。他發(fā)現(xiàn),這種病毒并不擁有最厲害的技術(shù),卻擁有最成熟的傳播手段。
mopery對(duì)“熊貓燒香”產(chǎn)生了濃厚的興趣,他聯(lián)系了另一名民間反病毒高手農(nóng)夫,在2006年10月25日推出了第一款專殺工具:尼姆亞蠕蟲專殺。
“第一只熊貓沒什么威力,厲害的是后面的變種。”mopery說(shuō),從發(fā)現(xiàn)第一版“熊貓燒香”后,一個(gè)月內(nèi),它的變種就達(dá)到了十幾種。
在這些變種中,每隔一段時(shí)間,作者都有意在病毒中留下whboy字樣。“他主要給我們這些分析病毒的人看,普通用戶看不到代碼。”
隨著變種增多,反病毒人士在連續(xù)解剖病毒的同時(shí),開始期待更多留言出現(xiàn)。
病毒內(nèi)部列出“鳴謝單位”
2006年12月初,“熊貓燒香”變種加速,代碼中除了whboy字樣外,又多了一行漢字:“武漢男孩感染下載者。”隨著變種的增多,代碼內(nèi)附帶的信息也越來(lái)越多。
此時(shí),mopery和艾瑪已經(jīng)加入抗擊“熊貓燒香”的大軍當(dāng)中。他們分析熊貓的新變種,并在卡卡社區(qū)反病毒論壇上,貼出一份份詳細(xì)的病毒分析報(bào)告。
他們的舉動(dòng),吸引了病毒作者“武漢男孩”的注意力。在1月初一份病毒變種中,神秘留言再次更新。
“感謝mopery對(duì)此木馬的關(guān)注。”留言中新添的這句話,讓mopery啼笑皆非。隨后,武漢男孩似乎迷戀上了這種病毒內(nèi)部列出“鳴謝單位”的模式,在1月5日的病毒留言中,感謝名單上添加了艾瑪?shù)拿帧?月9日,感謝名單中又多了殺毒高手“海色之月”的名字,文末還添加了一句“服了……艾瑪…… ”
此后,武漢男孩開始頻繁用這種方式與對(duì)手“交流”。
1月15日,武漢男孩還在留言中和反毒者taylor77打起了招呼:“taylor77,不知道找我啥事啊?”并且戲言:“我制作的病毒已經(jīng)‘滿城盡燒國(guó)寶香’。”
網(wǎng)絡(luò)世界高手對(duì)決一個(gè)月
1月16日,武漢男孩發(fā)布了新的病毒變種,反毒者們習(xí)慣稱之為“艾瑪”版本。因?yàn)樵谶@個(gè)病毒內(nèi)部的留言中,寫了22次艾瑪?shù)拿帧?/P>
1月19日晚,“熊貓燒香”發(fā)布了最后一次更新。這個(gè)版本可稱為傳染手段最全面的版本。
在“熊貓燒香”的最后一個(gè)版本中,武漢男孩寫下了臨別贈(zèng)語(yǔ):“在此對(duì)各位中過(guò)此木馬的網(wǎng)友和各位網(wǎng)管人員表示深深的歉意!對(duì)不起,你們辛苦了!mopery,很想和你們交流下!某某原因,我想還是算了!”
面對(duì)“熊貓燒香”停止更新的消息,反病毒工程師史瑀顯得很平靜:“我們希望熊貓風(fēng)波就此結(jié)束,但是武漢男孩有失言的先例。總之他只要更新,我們就奉陪到底。”
對(duì)于持續(xù)對(duì)決一個(gè)多月,卻不知藏身何處的武漢男孩,mopery的贈(zèng)言是:“我希望他能好好利用自己的技術(shù)來(lái)服務(wù)廣大網(wǎng)民,而不是給網(wǎng)民帶來(lái)痛苦。”
“武漢男孩”身份存仨版本
雖然武漢男孩表示不再更新“熊貓燒香”,但這場(chǎng)席卷全國(guó)的病毒狂潮卻余波難平。網(wǎng)民們紛紛猜測(cè)武漢男孩的真實(shí)身份。
經(jīng)調(diào)查,目前在業(yè)內(nèi)人士中,關(guān)于武漢男孩的身份有三種猜測(cè)。其一,武漢男孩是一名15歲的武漢少年,證據(jù)是網(wǎng)絡(luò)上流傳的他和反毒者農(nóng)夫的QQ對(duì)話。其二,武漢男孩是桂林一家軟件公司的副總裁,曾編寫過(guò)流氓軟件,消息來(lái)源是反病毒論壇。其三,武漢男孩是國(guó)內(nèi)殺毒軟件公司的員工,故意編寫病毒,促銷相應(yīng)的殺毒產(chǎn)品。
為核證傳言,記者分別采訪了mopery和瑞星公司反病毒工程師史瑀。
mopery稱,經(jīng)過(guò)他和農(nóng)夫的核證,證實(shí)流傳的QQ聊天片斷的主人公,是另外一種病毒的作者,而非武漢男孩。至于公司副總的說(shuō)法,屬空穴來(lái)風(fēng)。
作為殺毒軟件公司的員工,史瑀說(shuō),每次大型病毒流傳后,總有各種對(duì)殺毒軟件公司不利的傳言,但殺毒軟件界的程序員不會(huì)編寫病毒、擾亂網(wǎng)絡(luò)。他反問(wèn)道:“流感病毒是醫(yī)生制作的么?”
mopery和史瑀都表示,從留言的內(nèi)容和程序代碼來(lái)看,武漢男孩是一位有豐富病毒編寫經(jīng)驗(yàn)的熟手,經(jīng)常瀏覽卡卡社區(qū)反病毒論壇,隨時(shí)關(guān)注mopery等人的病毒分析。卡卡社區(qū)有59萬(wàn)余名會(huì)員,武漢男孩一定身在其中,但這個(gè)范圍卻再難縮小。“武漢男孩本身精通網(wǎng)絡(luò)技術(shù)和入侵技術(shù),通過(guò)他上網(wǎng)的痕跡追查真身很難實(shí)現(xiàn)。”mopery說(shuō)。
“熊貓燒香”帶有商業(yè)目的
史瑀說(shuō),他們經(jīng)過(guò)分析認(rèn)為,“熊貓燒香”帶有強(qiáng)烈的商業(yè)目的,“用戶感染病毒后,會(huì)從后臺(tái)點(diǎn)擊國(guó)外的網(wǎng)站,部分變種中含有盜號(hào)木馬,病毒作者可借此牟利。”
“現(xiàn)在的病毒作者和上世紀(jì)90年代的不同,他們不再以炫耀技術(shù)為目的,而是帶有明確商業(yè)目的,病毒和流氓軟件界限越來(lái)越模糊了。”史瑀說(shuō)。
昨天下午,瑞星公司工作人員表示,已將病毒作者的相關(guān)證據(jù)和病毒特性提交給國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心。國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心工作人員稱,關(guān)于這場(chǎng)“熊貓燒香”病毒風(fēng)暴,受波及的電腦數(shù)字以及造成的經(jīng)濟(jì)損失等相關(guān)數(shù)據(jù),目前正在統(tǒng)計(jì),將于近日在其主頁(yè)上公布。
關(guān)于是否向公安機(jī)關(guān)報(bào)案,這名工作人員表示,目前不便透露。
“我相信總有一天會(huì)見到武漢男孩真面目的。”mopery說(shuō)。
相關(guān)鏈接 “熊貓燒香”整體解決方案
金山
金山毒霸2007對(duì)“熊貓燒香”已經(jīng)具備免疫能力,金山毒霸反病毒專家建議及時(shí)安裝正版金山毒霸并升級(jí)到最新版本進(jìn)行查殺。在服務(wù)期內(nèi)的毒霸用戶,將會(huì)通過(guò)金山毒霸的主動(dòng)實(shí)時(shí)升級(jí)功能,自動(dòng)升級(jí)到最新版本,實(shí)現(xiàn)對(duì)“熊貓燒香”的免疫。對(duì)于沒有安裝殺毒軟件的電腦用戶,可以登錄到http://tool.duba.net/zhuansha/253.shtml免費(fèi)下載金山的“熊貓燒香”專殺工具。
瑞星
安裝殺毒軟件和瑞星卡卡3.1的用戶,可將軟件升級(jí),并在上網(wǎng)時(shí)打開網(wǎng)頁(yè)實(shí)時(shí)監(jiān)控。同時(shí),瑞星已經(jīng)發(fā)布針對(duì)該病毒的專殺工具,并對(duì)該工具不斷升級(jí)。因此,沒有安裝殺毒軟件的用戶,還可以登錄http://it.rising.com.cn/Channels/Service/index.shtml免費(fèi)下載使用“熊貓燒香”專殺工具。
江民
江民建議已安裝江民殺毒軟件的用戶將殺毒軟件升級(jí)到最新病毒庫(kù),并對(duì)電腦進(jìn)行全盤查殺。未安裝殺毒軟件的用戶,也可登錄到http://www.jiangmin.com/download/zhuansha04.htm下載安裝江民“熊貓燒香”專殺工具,可以有效清除病毒和修復(fù)被感染文件。
|
打印本頁(yè)
