三联生活周刊:超级黑客“幽灵”

http://www.sina.com.cn 2007年03月08日 17:27 三联生活周刊

  2007年2月3日,“幽灵”在武汉被网警抓获,将于近日被起诉。据警方介绍,这个25岁名叫李俊的武汉男孩仅有中专学历,他的绝大部分计算机知识来自于自学。在警方看来,这并不是个具备反社会情结的犯罪嫌疑人,对于这个梦想进入网络安全公司却因学历过低求职屡屡受挫的男孩而言,制作病毒牟利既是生存的需要,也是自我价值的体现和肯定的唯一方式。但他并不知道他已经背离了梦想,因为反病毒界有个约定俗成的行规,“如果一个人编写过病毒,那他永远也不能在反病毒界内立足”。

  记者 李翊 特约记者 陈光灿

  网络狙击

  2007年1月9日,“熊猫烧香”病毒在网络上疯狂爆发,一些损失惨重的企业和互联网用户开始在网络上发出通缉令,重金悬赏追查“熊猫烧香”病毒的制作者。

  2006年11月14日,国内最大的网络安全公司之一的瑞星公司反病毒工程师们发现了这种新病毒,反病毒工程师们将其命名为“尼姆亚”。其实,在瑞星公司捕获“尼姆亚”病毒之前一个月,卡卡网络社区反病毒论坛的版主mopery拿到了一个病毒样本,它才是“熊猫烧香”的原始版本

  “‘幽灵’是一个可怕的超级黑客,他对我们几乎了如指掌,经常进出卡卡社区反病毒论坛——他正躲在幕后不断地窥视着我们。”mopery以“幽灵”一词来称呼对手、“熊猫烧香”病毒的制造者,在现实生活中,mopery是福建一名年仅17岁的学生。“其实,真正意义上的黑客是一些技术探求者,他们会探寻系统或软件的漏洞,并积极配合软件厂商修补漏洞。对于一些开源软件,一些真正意义上的黑客是不断去完善这些代码,找到他们的问题,甚至一些黑客还会参与到软件的编写中,使软件更稳定、安全。只是目前,黑客的定义已经被歪曲。很多还在上学的孩子,通过从一些网站下载并使用一些所谓的黑客工具就自诩为黑客。其实很多的黑客工具使用起来很傻瓜化,基本不需要有多么高深的电脑知识。”瑞星反病毒软件工程师史禹说。

  反病毒工程师们将病毒解剖后,看到了一段信息:“whboy”。“whboy”这个名字,对于病毒研究者有不一般的含义。2004年,whboy发布了其创作的病毒“武汉男孩”,一年后该病毒被江民列入2005年十大病毒。

  在史禹看来,“熊猫烧香”病毒的技术含量并不高,传播方式的改变是它最具危害性的原因,“借助局域网天女散花,借助门户网站星火燎原,借助U盘死灰复燃,是它的主要传播途径。举例说,如果网站编辑们的电脑被感染了,通过他们,熊猫烧香的病毒就会挂在网站的所有网页上,凡是访问此网站的网友们会全部中招”。

  “熊猫烧香”现身网络后,在短短120多天里,出现了多个变种。Mopery介绍说,“第一个版本是普普通通的病毒,就感染了可执行文件,传播手段都用上了,在后续的版本上增加了对下载木马、盗号木马之类、还有感染网页以后等的一些变化,就一直在那里变,有的时候感染可执行文件,有的时候感染网页类的文件,下载木马从挂上去以后就一直用,用到最后一个版本。中‘熊猫’,绝对会下木马”。

  “熊猫烧香”变种后,代码中除了whboy字样外又多了一行汉字:“武汉男孩感染下载者。”在“熊猫烧香”迅速向全国扩散时,网友农夫、艾玛等一批反病毒高手开始在mopery的联合下加入“杀猫”大军,每天分析该病毒新变种,同时在卡卡社区反病毒论坛上不断更新详细的病毒分析报告,并请团队中的人写了专杀工具。“杀猫”大军的举动吸引了武汉男孩的注意,他开始在病毒中留言。

  在2007年1月初的一份病毒变种中,留言更新为:“感谢mopery对此木马的关注。”随后,“武汉男孩”在1月5日的病毒留言中感谢名单上添加上了艾玛的名字。1月15日,武汉男孩还在留言中和反毒者taylor77打起了招呼:“taylor77,不知道找我啥事啊?”同时,武汉男孩在病毒留言中得意地宣称:“我制作的病毒已经‘满城尽烧国宝香’。”1月19日晚,“熊猫烧香”最后一次更新,发布者写下临别赠语:“在此对各位中过此木马的网友和各位网管人员表示深深的歉意!对不起,你们辛苦了!”

  在这场网络狙击中,武汉男孩一直和“杀猫”大军玩着猫和老鼠的游戏,由于很难用技术手段追踪到武汉男孩,“杀猫”大军无法从源头上遏止“熊猫烧香”。

  落网

  网络狙击的终结者是现实生活中的网警。

  今年1月,湖北省仙桃市公安局局域网办理第二代身份证时中了“熊猫烧香”病毒。1月中旬,湖北网监部门根据公安部公共信息网络安全监察局的部署,对“熊猫烧香”制作者开展调查。1月24日,仙桃警方正式立案,案件代号为“122案件”。2月3日晚21时,回出租屋取东西的“武汉男孩”——25岁的李俊被网警抓获。

  直到李俊落网,网警才发现,他们曾6次与李俊擦肩而过。信息安全业内人士表示,与以往许多病毒都在拼命隐藏作者身份的做法不同,“熊猫烧香”的作者显得过于明目张胆,不仅主动销售源代码给他人,而且在病毒软件内部嵌入了自己的照片和QQ号码,这些行为都暴露了他的身份。正因此,网警们一直以为这是个极其嚣张的犯罪嫌疑人,在追捕过程中,对于出租屋附近的高档酒店,衣着讲究的年轻人比较注意,以至于忽略了衣着普通、习惯于在小饭馆打发一日三餐的李俊。

  李俊出生在武汉新洲区阳逻镇一个普通工人家庭,他的父母都是湖北省娲石股份有限公司下属水泥厂工人,李俊小时候很爱动脑筋,给他买回的玩具小汽车,他常常拆开后又重新组装。上初中时,他的英语和数理化成绩很好,但是文科成绩很差,由于偏科严重,升高中时,他的考分只能上三类高中。由于家里经济条件不好,母亲考虑到他还有一个弟弟正在上学,就劝李俊放弃上高中的机会,进入公司下属的娲石技术学校学习。虽然很不情愿,李俊还是去了技校,学习水泥工艺专业。据技校吴副校长回忆,李俊在当时技校的同学中属于比较优秀的学生,理科成绩好,沉静内向,虽然个子高出同龄人一头,却从不欺负小同学。2000年他毕业时,由于实习出色,被推荐本厂下属的武汉化工建材有限公司工作。

  据李俊自己的描述,他是在1999年开始接触电脑的,由于家里没有电脑,学习电脑知识主要是靠泡网吧自学。对电脑日益浓厚的兴趣使得李俊越来越不喜欢当时的工作,他曾对父亲说,我不喜欢做塑钢形材,你能不能帮我换个有前途的工作?两年后一天,公司通知李俊的父亲,李俊不辞而别。从这时开始,家人里就很少看见他,只是偶尔在电话里问起,知道李俊在武汉打工,帮人开过车,还做过网吧网管,后来在武汉电脑城帮人组装电脑,月薪700元。李俊的母亲说:“家里人很少问他做什么,只相信他不会做坏事,因为他平时很老实的,尽管他不爱说话,但从不惹是生非。”

  2004年,在家境富裕的好友雷磊的资助下,李俊多次上北京、下广州找IT行业的工作,尤其钟情于网络安全公司,金山和瑞星都去过。但由于只有中专技校文凭,学的还是与计算机毫无关联的水泥工艺,连应聘的资格都没有。李俊的弟弟李明说,哥哥对自己的期望是能当一名好老师,“因为老师是受人尊敬的职业”,每次提起外出求职的经历总是气得脸色发白。这也成为李俊编写病毒的原因之一。然而,颇具戏剧性的是,李俊在技校时的一位同班女生在深圳工作一段时间后抱着试试看的心理大胆跳槽进了一家IT公司,现在是一名月收入6500元的研发软件工程师。

  现实生活中沉默内向、网络中个性张扬,强烈的反差集于李俊一身。据警方介绍,最初,李俊制作的只是盗取QQ号密码的木马,用密码来向号码主人换取10个QQ币,后来有网友找他买木马,好奇和好玩的念头被赚钱的想法取代,他于2003年编写过“武汉男生”病毒,2005年编写了“武汉男生2005”病毒以及“QQ尾巴”病毒,2006年10月16日,李俊应网友之邀制作“熊猫烧香”病毒。这种病毒除了带有病毒的所有特性外,还具有强烈的商业目的:可以暗中盗取用户游戏账号、QQ账号,以供出售牟利,还可以控制受感染电脑,将其变为“网络僵尸”,暗中访问一些按访问流量付费的网站,从而获利。部分变种中还含有盗号木马。李俊以自己出售和由他人代卖的方式,每次要价3000元,将该病毒销售给120余人,非法获利10万余元。经病毒购买者进一步传播,该病毒的各种变种在网上大面积传播。

  作为瑞星公司的官方论坛,卡卡社区主要供网民讨论反病毒技术等,社区的网友来自各行各业,有学生,也有已经工作的非IT行业人士,这里是李俊经常光顾的地方,将战场放置此地,李俊自己也承认,“是想炫耀技术”。为了保证技术,李俊过着非常简单的生活,他和一条名叫“皮皮”的小狗生活在与别人合租的两居室内,除了与网友交易就是在家看书自学。他被抓获后,从他住所查获的与计算机有关的书籍装满了一辆农用三轮车。

发表评论
爱问(iAsk.com)
不支持Flash
 
不支持Flash
不支持Flash