华西都市报：“熊猫烧香”刑拘6黑客

　　□湖北破案，始作俑者获利10万余元，6人被抓并被刑拘□它曾破坏上百万用户，是我国破获的国内首例病毒大案

　　中国网友密切关注的2006年毒王“熊猫烧香”，其背后隐藏的黑客产业链终被曝光———昨天下午，湖北省公安厅宣布，根据统一部署，湖北网监在浙江、山东、广西、天津、广东、四川、江西、云南、新疆、河南等地公安机关密切配合下，一举侦破了制作传播“熊猫烧香”病毒案，抓获并刑事拘留李俊(男，25岁，武汉新洲区人)、雷磊(男，25岁，武汉新洲区人)等6名犯罪嫌疑人。这是我国破获的国内首例制作计算机病毒的大案。据悉，已有上百万个人用户、网吧及企业局域网用户被“熊猫烧香”破坏。

　　作案：盗窃账号非法牟利

　　据熊猫烧香病毒的制作者李俊交代，其于2006年10月16日编写了“熊猫烧香”病毒程序并在网上广泛传播，还以自己出售和由他人代卖的方式，将该病毒销售给120余人，非法获利10万余元。经病毒购买者的二度传播，导致该病毒的各种变种在网上大面积泛滥，严重破坏了计算机用户的安全。李俊还于2003年编写了“武汉男生”病毒、2005年编写了“武汉男生2005”病毒及“QQ尾巴”病毒。另外，本案另有几个重要犯罪嫌疑人雷磊(男，25岁，武汉新洲区人)、王磊(男，22岁，山东威海人)、叶培新(男，21岁，浙江温州人)、张顺(男，23岁，浙江丽水人)、王哲(男，24岁，湖北仙桃人)通过改写、传播“熊猫烧香”等病毒，构建“僵尸网络”，通过盗窃各种游戏和QQ账号非法牟利。

　　专家：熊猫烧香毒性极强

　　国内著名反病毒软件瑞星的专家昨晚透露，“熊猫烧香”病毒及其变种于2006年底在我国互联网上大规模爆发。该病毒将感染的所有程序文件改成熊猫举着三根香的模样，不但可以对用户系统进行破坏，导致大量应用软件无法使用，还具有盗取用户游戏账号、QQ账号等功能。该病毒传播速度快，危害范围广，甚至变身为“金猪”等多个变种。《瑞星2006安全报告》将其列为去年十大病毒之首。

　　令人惊讶的是，精通入侵技术的“熊猫烧香”病毒制作者还与公众玩起了对抗游戏。瑞星反病毒论坛的版主Mopery曾通过研究发现了病毒内的一些留言，留言中，幽灵自称Wh-boy———“武汉男孩”。而且每出一个变种版本，病毒内的留言就会更换，甚至在留言中向关注这一病毒的安全专家“打招呼”。

　　警报：黑客产业链兴起

　　更值得警惕的是，以往倾向于单打独斗炫耀技术的黑客，开始结伙形成网络盗窃产业链，有组织地盗取网游用户账号、盗取装备，这个圈子一般是由两条线组成，一条专门负责技术也就是获取装备，一条负责销售通过前者获取的装备换取利益。“熊猫烧香”只不过是其中的典型代表。

　　瑞星反病毒专家称，通过“编写病毒—攻击网站植入病毒—感染用户(机器被黑客控制，构成僵尸网络Botnet)—窃取用户资料—在网上出售”这一系列环节，可以给黑客团伙带来巨大的经济利益。有的黑客团伙甚至在国外叫卖被病毒感染的机器(俗称“肉鸡”)的控制权，国外黑客则可利用这些机器攻击网站，敲诈网站所有者，或发送垃圾邮件，获取经济效益。

　　“黑色的产业链将盗取的虚拟财产转化为现实中可流通的货币，又反过来为病毒的制作者、传播者和攻击成果的收取者提供更大的资金支持。2006年电脑病毒呈爆炸式增长，偷、骗、抢成为三大特征。”反病毒专家表示，围剿这样的盗窃产业链将成为今年重中之重。记者罗曙驰

　　相关新闻

　　春节前后4招防病毒

　　瑞星、金山等国内反病毒软件巨头昨天都发出警示，称

情人节和春节前后已成为病毒高发期，通过电子邮件和QQ等发送的病毒猖獗，用户浏览邮件和上QQ，很容易丢失其账户和密码。

　　“情人节快到了，特意点了一首曲子送给你。还给你语音留言了呢！用手机拨打下面的数字听听看，12590再加6958146，别浪费我一番心意，否则我恨你哦。”“这是送给你的情人节

贺卡，到×××.com去看一下啊。”反病毒专家提醒，如果你在QQ或是MSN中收到类似消息，千万别轻信，这可能是不法分子利用盗号病毒(比如QQ尾巴病毒)等盗取QQ号后，然后冒充好友发送欺诈信息，一些不良SP厂商就有利用QQ消息骗取钱财的前科。用户使用手机拨打与点播信息相对应的电话号码后，很快就收到点播的相关短信息。然而资费高达2元/分钟，外加通话费，听完一首歌曲，至少也要十几块钱。

　　建议用户采取四项措施防范病毒：第一，安装

杀毒软件并注意及时升级；第二，上网的时候应该打开杀毒软件的所有实时监控功能；第三，利用杀毒软件的“漏洞扫描”弥补系统漏洞；第四，收到陌生人发送的电子邮件、QQ文件等，一定要用杀毒软件扫描后再打开。

　　记者 罗曙驰

　　知情人士披露破案内幕

　　自己制毒传毒还明目张胆卖钱

　　肆虐中国互联网的“熊猫烧香”病毒宣告侦破，在12日晚间，接近该案专案小组的知情人士向新浪科技披露了抓捕内幕。该知情人士透露，公安部从去年10月底就开始关注熊猫烧香病毒。尽管病毒作者绞尽脑汁进行自我隐藏，不过还是在互联网上留下了很多蛛丝马迹。“其实这类病毒的作者往往以赚钱为目的，总是会留下线索。”专案小组选择从互联网上的一些社区信息、域名注册信息开始入手。

　　该人士表示，目前在多个相关病毒的代码里写着WhBOY，其中就包括大名鼎鼎的熊猫烧香、流氓软件51VC、以及一些腾讯QQ、网游传奇账号密码盗窃的木马软件。“这些木马的代码、传播以及爆发手法都极为相似”，专案小组初步判断为同一人所为，决定并案侦查。知情人士表示，“事实上，在侦破过程中采用了多方面信息相互印证的办法。”据介绍，目前互联网上有多种追踪方式，对于大规模传播的病毒而言，幕后黑手几乎无法藏身。

　　信息安全业内人士表示，技术上锁定并取证后，再通过调查其背后商业目的的方法入手分析，一般都能发现蛛丝马迹。尤其是熊猫烧香与以往许多病毒都在拼命隐藏作者身份的做法不同，熊猫烧香的作者显得过于明目张胆。据悉，此次有关部门抓捕病毒作者，因为熊猫烧香的病毒不仅自己扩散传播，还主动销售源代码给其他盗窃团伙，这些种种行为都暴露了他自身的身份。

　　“这个病毒是通过入侵网站并挂上木马来实现传播，并盗取用户有价值的虚拟账户的。除此之外，这个团伙还销售病毒源码牟利，其影响的规模非常巨大，社会影响极为恶劣。”接近专案小组的知情人士表示，“不仅是他们一个病毒团伙在传播，而是有大量团伙一起传播。”

　　马城 金磊