病毒作者牟利途徑關系圖(圖片來源:安全焦點核心成員tombkeeper)
新浪科技訊 2月12日消息,肆虐中國互聯網的熊貓燒香病毒宣告偵破,在當天晚間,接近該案專案小組的知情人士向新浪科技獨家披露了抓捕內幕。這是迄今為止,我國破獲的國內首例制作計算機病毒的大案。
湖北省公安廳今日下午對外宣布,湖北省網絡監察處在浙江、山東、廣西、天津、廣東、四川、江西、云南、新疆、河南等地公安機關的配合下,一舉偵破了制作傳播“熊貓燒香”病毒案,并抓獲8名犯罪嫌疑人。
接近該案的知情人士透露,公安部從去年10月底就開始關注熊貓燒香病毒,“它的傳播面特別大,影響面廣而且特別惡劣。”盡管病毒作者擁有絞盡腦汁進行自我隱藏,不過在鎖定目標的過程中,還是在互聯網上留下了很多蛛絲馬跡。“其實這類病毒的作者往往以賺錢為目的,總是會留下線索。”專案小組選擇從互聯網上的一些社區信息、域名注冊信息開始入手。
該人士表示,目前在多個相關 病毒都的代碼里寫著WhBOY,其中就包括大名鼎鼎的 熊貓燒香,流氓軟件51VC,以及一些騰訊QQ、網游傳奇賬號密碼盜竊的木馬軟件。“這些木馬的代碼、傳播以及爆發手法都極為相似”,專案小組初步判斷為同一人所為,決定并案偵查。
“舉個例子來說,51.vc的網站上寫著ICP證是:魯ICP證005248號。”知情人士表示,專案小組當即查明這是一個偽造的ICP證,通過有關渠道查到另一個網站www.51pm.org也是使用了這個偽造的ICP證。盡管當時該網站已不能訪問,但可以搜索引擎的快照功能回溯該站點網頁,其內容和51.vc完全一樣。專案小組在掌握了上述信息后,立即著手尋找51.vc或51pm.org注冊者,而這些人也就是這些病毒的作者、或者幕后指使的關聯人物。
知情人士表示,上述例子只是偵破手段中的一種方法,“事實上,在偵破過程中采用了多方面信息相互印證的辦法。”據介紹,目前互聯網上有多種追蹤方式,對于大規模傳播的病毒而言,幕后黑手幾乎無法藏身。
最早對熊貓燒香病毒進行查殺的超級巡警軟件曾被誤認為是幕后黑手,今日晚間新浪科技在專訪該軟件總負責人董志強時,他表示現在真相都已經大白,感到十分欣慰。“超級巡警也曾向國家有關部門提交過熊貓燒香的技術資料。”董志強表示,當時也希望這些技術資料能夠在追查病毒作者方面起到足夠的作用。
信息安全業內人士表示,技術上鎖定并取證后,再通過調查其背后商業目的的方法入手分析,一般都能發現蛛絲馬跡。尤其是熊貓燒香與以往許多病毒都在拼命隱藏作者身份的做法不同,熊貓燒香的作者顯得過于明目張膽。據悉,此次有關部門抓捕病毒作者,因為熊貓燒香的病毒不僅自己擴散傳播,還主動銷售源代碼給其它盜竊團伙,這些種種行為都暴露了他自身的身份。
“這個病毒是通過入侵網站并掛上木馬來實現傳播,并盜取用戶有價值的虛擬賬戶的。除此之外,這個團伙還銷售病毒源碼牟利,其影響的規模非常巨大,社會影響極為惡劣。”接近專案小組的知情人士表示。“不僅是他們一個病毒團伙在傳播,而是有大量團伙一起傳播。”
“這背后也許還隱藏著更為復雜的利益集團,這些都還沒有最終浮出水面。”(馬城 金磊)
|
打印本頁
