本文目录一览:
如何查杀局域网?
近段时间,看到社区上不少会员因此而不知所措,不得不简要说明一下。希望以后再因此求助的会员,会自己动手搜索一下,看到这个帖子,也就不用再惊慌了。
所谓Hack.SuspiciousAni,其实就是利用微软MS07-017中的动态光标处理漏洞的畸形ANI文件,一般由被挂马的网页的相关恶意代码下载。
该漏洞存在于系统关键文件user32.dll中。当用户进入带有相关恶意代码的网页时,浏览器将会把这种畸形ANI文件下载到本机临时文件夹中,并依照网页脚本执行,将其设置为浏览此页面时鼠标的光标图案。如果这整个过程完成,则对于没有打上MS07-017补丁的电脑,此漏洞将被触发,黑客将可远程执行任意代码(一般是下载木马)。
针对此情况,瑞星把这种畸形ANI文件列入查杀范围,命名Hack.SuspiciousAni。
有了瑞星监控的电脑上,当用户的浏览器打开带有相关恶意代码的网页,将畸形ANI文件下载到本机临时文件夹中时,瑞星文件监控和(或)网页监控将报警,提示发现Hack.SuspiciousAni。如果该文件在被下载到临时文件夹时即被瑞星查出,一般处理结果为“清除成功”,而如果该文件在被浏览器调用过程中被发现,瑞星一般将跳过相关代码并提示用户必须“重启电脑后删除文件”。无论是哪种情况,此畸形ANI文件都将不起作用,也就不会下载真正的病毒木马了。
然而有时就因为“重启后删除”这个提示,有可能会令不明就理的用户们十分紧张。因为他们会发现,重启后再扫描时,瑞星仍然会提示……
其实如果仅仅就这个“病毒”本身而言,处理方法非常简单:
关闭浏览器,然后清空IE临时文件夹。
但是,如果浏览任何网页都会出现此报毒提示,那么真正的根源就不在Hack.SuspiciousAni本身了,详情请看下面的补充说明。
另外,由于MS07-017漏洞目前被黑客在网页挂马上利用得比较频繁,强烈建议用户到windows update上打上相关补丁,补丁详情可参考;artid =8292648或直接参考- 017.mspx
4月24日补充:
这个帖子出来之后,又发现新情况:
某些病毒(如http: //forum.ikaka.com/topic.asp?board=28artid=8302447中所述的病毒),利用ARP欺骗等手段,在用户收到的网络数据包中自动插入iframe代码,代码指向利用MS07-017漏洞的网址。使得中毒用户,以及局域网中受到此中毒电脑的欺骗攻击的用户,在上任意网站的时候,均会出现Hack.SuspiciousAni的报警。
如果用户上任意网站时都会出现Hack.SuspiciousAni的报警,即可能属于这种情况,必须采取的措施:
1.无论如何先把补丁打上。
2.查实是自己的电脑中了毒,还是别人的电脑中毒后攻击自己。
如果是自己的电脑中了毒,应及时处理;如果是别人的电脑中毒后攻击自己,应联系相关网管人员协调处理。
对于此类情况,用户要有清醒的头脑,因为这类情况下,Hack.SuspiciousAni只不过是一种“表现”,而绝不是病毒的实质,死盯着Hack.SuspiciousAni这个病毒名是没有意义的。
如果还不明白,再举一例:
威金病毒会下载“落雪”木马。如果杀毒软件对“落雪”木马报毒并清除,但是却没有查到或杀不净威金病毒,那么,“落雪”木马仍然会被一次又一次地下载下来。于是就造成了用户“落雪木马杀不死”的错觉。这种状况,对于落雪木马本身来说,的确是“重复中毒”。只不过,如何找到根由,杜绝“重复中毒”,相对于落雪木马本身的查杀来说,就又是另外一个问题了。
如何处理Hack.SuspiciousAni,是一码事,如何处理自动导致连接恶意这种网页的病毒,又是另一码事。就像下载器和被下载的木马,其功能和原理都是“可分”的。所以请绝对不要把两者混淆在一起。
其他解释,请参考;artid=8302368第12楼的有关回复(声明,不接受该楼主的所谓BS,因为你没有权利BS任何人。还是mopery的那句话“我们这群人,做了这么多,得到的是什么……中毒的,带着 “心”来求助,否则免谈!”)
熊猫病毒真可恶!能查出来是谁制作的?
熊猫烧香病毒幕后黑手曝光 曾造2005十大病毒这是一波电脑病毒蔓延的狂潮。在两个多月的时间里,数百万电脑用户被卷将进去,那只憨态可掬、颔首敬香的“熊猫”除而不尽,成为人们噩梦般的记忆。
反病毒工程师们将它命名为“尼姆亚”。它还有一个更通俗的名字———“熊猫烧香”。它迅速化身数百种,不断入侵个人电脑,感染门户网站,击溃企业数据系统……它的蔓延考问着网络的公共安全,同时引发了一场虚拟世界里“道”与“魔”的较量。反病毒工程师和民间反病毒人士纷纷投身其中。
1月19日,一个最新的“熊猫烧香”变种病毒出现。病毒作者宣称,这将是“熊猫烧香”最后一次更新。
这场历时两个多月的较量结束了吗?
“蜜罐”中发现病毒
2006年11月14日,中关村瑞星公司总部14楼。
一群反病毒工程师围着一台与网络隔绝的电脑。随着鼠标点动,数百个熊猫图标出现在屏幕上。这是工程师们当天捕获的病毒,命名为“尼姆亚”。
史瑀是瑞星公司研发部病毒组的反病毒工程师。他每天的工作就是,和数十名伙伴一起捕捉网上流传的病毒,然后将病毒“拆”开,研究其内部结构后,升级瑞星的病毒库。
当天下午,一名用户向他们提交了一份病毒样本。随后,他们又在病毒组的“蜜罐”内,发现了该病毒的踪影。
“蜜罐”是病毒组设立在互联网上的一些防卫性孱弱的服务器,工程师们故意在服务器上设置多种漏洞,诱使病毒侵入。“就像猎人做的沾满蜜糖的陷阱,专门吸引猎物上钩。”
从“蜜罐”里提取病毒后,史瑀和同事们将病毒移到公司14楼的一台与网络隔离的电脑上,这里是病毒的“解剖台”。
“运行病毒之后,系统所有的图标都变成了熊猫。”史瑀眼前的屏幕上,出现了一排排的熊猫图案,熊猫们手持三炷香,合十作揖。
经过分析,工程师们发现,在病毒卡通化的外表下,隐藏着巨大的传染潜力,它的传染模式和杀伤手段,与风行一时的“威金”病毒十分相像。瑞星公司随即发布病毒预警。
病毒蔓延涌向全国
“最开始的‘尼姆亚’不算厉害。”史瑀说,随着病毒作者的不断更新,它的破坏力和传染力也随之上升。
2006年11月底,“尼姆亚”只有不到十个变种,然而12月开始,病毒作者从数日一更新,变为一日数更新,它的变种数量成倍上升。这时候,“熊猫烧香”已经取代了“尼姆亚”这个名字。
12月中旬,“熊猫烧香”进入急速变种期,在几次大面积暴发之后,“熊猫烧香”成为众多电脑用户谈之色变的词汇。
圣诞节过后,“熊猫烧香”版本已达到近百个。
史瑀说,去年12月下旬,国内近千家大型企业感染“熊猫烧香”,向瑞星求助。“当病毒变种和感染人群超过一定数量时,病毒的传播就会以几何方式增长。”
12月26日,金山毒霸全球反病毒监测中心发布“熊猫烧香”正疯狂作案的病毒预警。
27日,江民科技发布关于“熊猫烧香”的紧急病毒警报。
2007年1月7日,国家计算机病毒应急处理中心紧急预警,“通过对互联网络的监测发现,一伪装成‘熊猫烧香’图案的蠕虫病毒传播,已有很多企业局域网遭受该蠕虫的感染。”
1月9日,“熊猫烧香”继续蔓延,开始向全国范围的电脑用户涌去。
这一天,“熊猫烧香”迎来了一次全国性的大规模暴发,它的的变种数量定格在306个。
各地用户纷纷中招
小江是黑龙江省一家网吧的网管。1月9日到1月10日的两天间,他所在的网吧内空空荡荡,并无顾客,打开网吧的40多台电脑,屏幕上布满了“熊猫烧香”图标,系统崩溃,无法运行。
“毒是9日早晨中的,一开始只是一台机器,我杀毒时候,局域网内其他机器陆续中招。”小江说。
同一天早晨,在北京一家IT公司工作的刘先生上班后发现,公司近30台电脑全部感染“熊猫烧香”,病毒破坏了电脑内的程序文件,并删除了电脑备份,公司正在研发中的半成品软件毁于一旦。
刘先生愤怒之下却又无奈。在年度总结报告中,他特意加上了一条:“以后重要程序必须备份,防范类似‘熊猫烧香’的流氓病毒。”
同一天晚上,北京的一家报社里,技术人员们东奔西跑,几十名编辑记者都在等待着他们清除电脑里的“熊猫烧香”。
1月10日,上海一家台资公司的员工张先生打开电脑,迎接他的是一排排拱手举香的熊猫。环顾四周,他发现同事们脸上有同样的惊诧表情。整整一天,公司业务陷于瘫痪。
……
根据瑞星公司提供的“熊猫烧香”病毒用户求助数据,仅1月9日一天,瑞星用户向公司求助的人数已达1016人次,11日达到1002人次。因为是选择性求助,并仅限于瑞星杀毒软件的正版用户,这个数据只是冰山一角。
据了解,1月9日感染的电脑用户达数十万。其中北京、上海等电脑用户较集中的城市成为“重灾区”。
“熊猫”并未就此止步,它继续四处“烧香”。随着变种的不断增多,病毒洪潮蔓延无休,并且愈演愈烈。
截至目前,“熊猫烧香”病毒变种已达416个,受感染电脑用户达到数百万台。
1月22日,国家计算机病毒应急处理中心再次发出警报,在全国范围内通缉“熊猫烧香”。
门户网站遭遇感染
1月24日,北京市政府信息工作办公室在官方网站上设立了“熊猫烧香”病毒专题,其中撰文称:“一种伪装成‘熊猫烧香’图案的病毒正在疯狂作案……目前已有多家企业局域网和网站遭受重创,多数网民也深受其害。”
“熊猫烧香”因何难退?
“‘熊猫烧香’和以往的病毒不同,它采用了一种新的传播手段。”史瑀说,传统的蠕虫病毒是通过一台中毒电脑传至局域网内其他电脑,而“熊猫烧香”在整合了所有可利用的传播漏洞之外,还可以通过网站传播。
感染“熊猫烧香”的电脑,会在硬盘的所有网页文件上附加病毒。“如果被感染的是网站编辑和记者的电脑,那么通过中毒的网页,‘熊猫烧香’就可能附身在网站的所有网页上。”史瑀说,访问这种中毒的网站时,网民就会感染“熊猫烧香”病毒。
从传统的点对点,到现在的点对面,“熊猫烧香”借助中毒网站的惊人访问量急速传播。
据反病毒工程师称,他们曾监控到,“熊猫烧香”感染过天涯社区、硅谷动力、pconline等门户网站,在暴风影音等知名软件的下载链接中也曾有“熊猫烧香”附身的痕迹。同时,“熊猫烧香”还可借助搜索引擎进行病毒传播。
“借助局域网天女散花,借助门户网站星火燎原,借助U盘死灰复燃。”史瑀说,“熊猫烧香”的三项主要传播方式,成为病毒难以退去的主要原因。
反毒人士抗击病毒
史瑀说,自去年圣诞节之后,瑞星公司病毒组就开始不断加班,每当“熊猫烧香”发布新变种,工程师们就立即采集样本,解剖病毒,并升级相应的专杀工具。“这段时间里,通宵熬夜就有4次。”
“‘熊猫烧香’技术谈不上高超,主要依赖于作者不断疯狂地更新,它更新,我们就随之更新专杀工具。”史瑀说,“熊猫烧香”善于利用新漏洞,比如1月8日的变种就利用了QQ一项最新的安全漏洞。
“熊猫烧香”诞生至今,病毒版本修改了400余次,史瑀和同事们开发的专杀工具也升级了10余次。
除杀毒软件公司外,散布在网民中的“反毒高手”在抗击“熊猫烧香”中同样发挥了重要作用。
在卡卡网络社区的反病毒论坛上,云集着不少电脑高手,他们大都是业余编程爱好者,时常一起研究杀毒技术。“熊猫烧香”刚现身,就引起了他们的注意。
2006年10月底,在瑞星公司尚未捕获“熊猫烧香”病毒时,程序高手“农夫”就已经拿到了当时的“熊猫烧香”病毒样本,并编写了专杀工具。此后,每当“熊猫烧香”发布变种时,反病毒论坛的网友mopery和艾玛等人,就会写一份详细的变种分析报告,指出病毒的危险性和新特性。
“其实民间的杀毒高手很多。”史瑀说,他自己以前就是一名民间高手,高中时代起就爱好研究病毒,大学毕业后被杀毒软件公司招募。所以,他现在经常会浏览一些著名技术论坛,如果民间高手有一些好的想法,病毒组也会借鉴。
史瑀说,他手头掌握着一张“底牌”———“未知病毒查杀”。他说,这种杀毒办法可以判断病毒的“家族特征”,只要变种符合一系列特征,专杀工具就能有效查杀。
史瑀介绍了这种新专杀工具的工作原理,但他要求记者报道时隐藏该项内容,“让病毒作者知道了就麻烦了,这是我们取胜的杀手锏。”
一场未结束的战争
1月19日,“熊猫烧香”发布了一个新的变种,病毒作者同时宣称,这将是“熊猫烧香”最后一次更新。
消息传来,在卡卡社区上,饱受“熊猫烧香”折磨的网民们一片雀跃。高兴之余,他们开始反思得失。
在反病毒论坛上,网友tom2000发表了一篇名为《熊猫启示录———风波过后的反思》帖子,文中称:“以后有多少新的病毒/木马会借鉴熊猫的经验呢?一切才刚刚开始!”
业内专家认为,中国的互联网处于起步初期,大部分网民缺乏最基本的网络安全防范知识,也缺少良好的上网习惯。安全意识的薄弱,给病毒大面积传播带来可乘之机。同时,随着计算机在各个行业的普及,病毒造成的损害也将越来越严重。
1月24日下午,反病毒工程师们又发现了一种新型病毒,这种病毒和“熊猫烧香”十分相似,工程师怀疑它是“熊猫烧香”作者创作的新版本病毒。
这种病毒会把受感染用户电脑上的所有图标换成一个男子的头像,在头像的眼睛位置是两个电灯泡。
反病毒工程师们担心的是,“灯泡男子”会不会成为“熊猫烧香”的接班人。
“这是一场看不见硝烟的战争,对我们而言,战争还在继续。”史瑀说。
谁制造了“熊猫烧香”?他意欲何为?在“熊猫烧香”肆虐期间,关于作者身份的种种猜测流传于互联网上。在百度“熊猫烧香”贴吧中,数百名深受“熊猫”所害的网民发帖“通缉”病毒制造者,更有网民声称开出10万美元的悬赏花红。
昨天,反病毒工程师向记者透露,“熊猫烧香”的作者并非无迹可寻,在解剖病毒过程中,他们发现了留在病毒内的一些神秘留言。在这些留言里,“熊猫烧香”的作者自称whboy———“武汉男孩”。
“熊猫”体内暗藏留言
mopery是卡卡社区反病毒论坛的版主,也是一名反病毒高手。
2006年10月中旬,mopery接到网友求助。在帮忙解决电脑故障的过程中,他拿到了一个病毒样本,它就是“熊猫烧香”的原始版本。
将病毒“解剖”之后,在繁复的程序代码中,mopery看到了一段与程序无关的信息,其中有一行字母:“whboy”。
“whboy”这个名字,对于病毒研究者有着不一般的含义。2004年,whboy即发布了其创作的病毒“武汉男孩”,那是一种通过QQ传播的盗号木马,因为其变种的疯狂和传播的广泛,一年后,被江民反病毒中心列入2005年十大病毒之列。
此后,whboy还在一些病毒论坛和黑客论坛发帖,表示可以提供盗取QQ号服务,但不久后便销声匿迹,直至“熊猫”出现。
mopery对“熊猫烧香”进行了认真分析。他发现,这种病毒并不拥有最厉害的技术,却拥有最成熟的传播手段。
mopery对“熊猫烧香”产生了浓厚的兴趣,他联系了另一名民间反病毒高手农夫,在2006年10月25日推出了第一款专杀工具:尼姆亚蠕虫专杀。
“第一只熊猫没什么威力,厉害的是后面的变种。”mopery说,从发现第一版“熊猫烧香”后,一个月内,它的变种就达到了十几种。
在这些变种中,每隔一段时间,作者都有意在病毒中留下whboy字样。“他主要给我们这些分析病毒的人看,普通用户看不到代码。”
随着变种增多,反病毒人士在连续解剖病毒的同时,开始期待更多留言出现。
病毒内部列出“鸣谢单位”
2006年12月初,“熊猫烧香”变种加速,代码中除了whboy字样外,又多了一行汉字:“武汉男孩感染下载者。”随着变种的增多,代码内附带的信息也越来越多。
此时,mopery和艾玛已经加入抗击“熊猫烧香”的大军当中。他们分析熊猫的新变种,并在卡卡社区反病毒论坛上,贴出一份份详细的病毒分析报告。
他们的举动,吸引了病毒作者“武汉男孩”的注意力。在1月初一份病毒变种中,神秘留言再次更新。
“感谢mopery对此木马的关注。”留言中新添的这句话,让mopery啼笑皆非。随后,武汉男孩似乎迷恋上了这种病毒内部列出“鸣谢单位”的模式,在1月5日的病毒留言中,感谢名单上添加了艾玛的名字。1月9日,感谢名单中又多了杀毒高手“海色之月”的名字,文末还添加了一句“服了……艾玛…… ”
此后,武汉男孩开始频繁用这种方式与对手“交流”。
1月15日,武汉男孩还在留言中和反毒者taylor77打起了招呼:“taylor77,不知道找我啥事啊?”并且戏言:“我制作的病毒已经‘满城尽烧国宝香’。”
网络世界高手对决一个月
1月16日,武汉男孩发布了新的病毒变种,反毒者们习惯称之为“艾玛”版本。因为在这个病毒内部的留言中,写了22次艾玛的名字。
1月19日晚,“熊猫烧香”发布了最后一次更新。这个版本可称为传染手段最全面的版本。
在“熊猫烧香”的最后一个版本中,武汉男孩写下了临别赠语:“在此对各位中过此木马的网友和各位网管人员表示深深的歉意!对不起,你们辛苦了!mopery,很想和你们交流下!某某原因,我想还是算了!”
面对“熊猫烧香”停止更新的消息,反病毒工程师史瑀显得很平静:“我们希望熊猫风波就此结束,但是武汉男孩有失言的先例。总之他只要更新,我们就奉陪到底。”
对于持续对决一个多月,却不知藏身何处的武汉男孩,mopery的赠言是:“我希望他能好好利用自己的技术来服务广大网民,而不是给网民带来痛苦。”
“武汉男孩”身份存仨版本
虽然武汉男孩表示不再更新“熊猫烧香”,但这场席卷全国的病毒狂潮却余波难平。网民们纷纷猜测武汉男孩的真实身份。
经调查,目前在业内人士中,关于武汉男孩的身份有三种猜测。其一,武汉男孩是一名15岁的武汉少年,证据是网络上流传的他和反毒者农夫的QQ对话。其二,武汉男孩是桂林一家软件公司的副总裁,曾编写过流氓软件,消息来源是反病毒论坛。其三,武汉男孩是国内杀毒软件公司的员工,故意编写病毒,促销相应的杀毒产品。
为核证传言,记者分别采访了mopery和瑞星公司反病毒工程师史瑀。
mopery称,经过他和农夫的核证,证实流传的QQ聊天片断的主人公,是另外一种病毒的作者,而非武汉男孩。至于公司副总的说法,属空穴来风。
作为杀毒软件公司的员工,史瑀说,每次大型病毒流传后,总有各种对杀毒软件公司不利的传言,但杀毒软件界的程序员不会编写病毒、扰乱网络。他反问道:“流感病毒是医生制作的么?”
mopery和史瑀都表示,从留言的内容和程序代码来看,武汉男孩是一位有丰富病毒编写经验的熟手,经常浏览卡卡社区反病毒论坛,随时关注mopery等人的病毒分析。卡卡社区有59万余名会员,武汉男孩一定身在其中,但这个范围却再难缩小。“武汉男孩本身精通网络技术和入侵技术,通过他上网的痕迹追查真身很难实现。”mopery说。
“熊猫烧香”带有商业目的
史瑀说,他们经过分析认为,“熊猫烧香”带有强烈的商业目的,“用户感染病毒后,会从后台点击国外的网站,部分变种中含有盗号木马,病毒作者可借此牟利。”
“现在的病毒作者和上世纪90年代的不同,他们不再以炫耀技术为目的,而是带有明确商业目的,病毒和流氓软件界限越来越模糊了。”史瑀说。
昨天下午,瑞星公司工作人员表示,已将病毒作者的相关证据和病毒特性提交给国家计算机病毒应急处理中心。国家计算机病毒应急处理中心工作人员称,关于这场“熊猫烧香”病毒风暴,受波及的电脑数字以及造成的经济损失等相关数据,目前正在统计,将于近日在其主页上公布。
关于是否向公安机关报案,这名工作人员表示,目前不便透露。
“我相信总有一天会见到武汉男孩真面目的。”mopery说
李俊 被捕过程
瘦高个子的李俊,上身穿着看守所的黄色背心,一直低着头。2月14日,记者在湖北省仙桃市看守所见到了这名“熊猫烧香”病毒的制造者。
在和记者交谈的过程中,李俊一直只用简短的话语作答。
李俊父母都曾在当地一家水泥厂工作。在父母的劝说下,初中毕业的李俊没有继续上高中,而是上了这家水泥厂的技术学校。因为在当时看来,进了这所学校,以后就业会很容易。
技校毕业后,李俊在水泥厂工作了一段时间,当时的厂长这样评价李俊:“只知道闷头干活儿,不投机取巧,是一个老实人。”但最后李俊还是离开了这家水泥厂。
当时网络开始普及,街上开了好几家网吧,在泡网吧的过程中李俊发现自己的兴趣在于电脑,之后他就到了武汉一家电脑城打工。
离开水泥厂后,李俊也曾到广东等地的IT企业找和电脑有关的工作,但没有学历的他根本找不到职位,“用人单位不问也不看实际能力,只看学历。”
据李俊自己介绍,最初他设计病毒只是出于好奇和好玩,但网上不断有人找他定做病毒。
李俊本人养狗,比较喜爱动物。而网上流传的那个憨憨的熊猫烧香形象在他看来相当可爱,便将其用来做自己病毒的“形象代言人”。但对于“熊猫”造成的严重后果,李俊一开始并没有预计到,“没想到传播速度会这么快”。
李俊账户里的钱曾高达40多万元,白天睡觉、晚上上网的他并不经常出去玩,但见起网友来,他出手非常大方,经常飞机来飞机去,最多曾一天消费上万元。警方在其住处查获一大叠飞机票。
5个小时完成专杀软件,表示“以后要做对社会有贡献的人”
看到事情闹大了,李俊有点儿害怕,又编制了一个杀毒程序,想把病毒都杀掉,但编好后不敢挂在网上,怕警察顺藤摸瓜暴露了自己。但他知道警察肯定要来抓自己,甚至想过到在新疆开网吧的朋友处躲避。
在看押期间,他用了5个小时的时间,把这个杀毒程序完善成了一个专杀软件,通过在民警手机上的反复实验,杀毒效果非常好。目前,这个专杀软件已在网上公布,供被感染者免费下载。
在编写专杀软件的时候,李俊特别写上了一段话,对自己造成的负面影响表示歉意。
问及将来的打算,李俊低着头小声地说:“以后要做对社会有贡献的人。”
在家人眼中,李俊孝顺、老实、讲义气
李俊和另一名本案的犯罪嫌疑人雷磊,家乡都在阳逻,距离武汉有一个多小时的车程。他俩制作的“熊猫烧香”,在阳逻已经路人皆知。当地很多人包括年轻人并不知道电脑病毒是怎么回事,他们只知道这两个伢“厉害、聪明”。
当记者来到李俊家采访时,他的母亲并不高兴。这些天她家里受到不少媒体的“轰炸”,有媒体还把李俊和他弟弟的照片登在了报纸上。李俊的母亲担心儿子的后半生怎么过,“以后还要娶媳妇啊”。
李俊的父母是当地水泥厂的退休职工。因为经济拮据,父亲现在还在另一家水泥厂打工,母亲在自家门前摆了一个饮食摊点。李俊21岁的弟弟从四川某高校音乐学院毕业,正准备到广州打工。这两天,李俊的父母饭吃得很少,睡眠也不好。
在母亲的眼里,李俊小时候,从不和别人打架,很老实。有一次邻居家把积木借给李俊玩,到了晚上,李俊吵着要按时还给邻居。弟弟小时候被别人欺负,李俊让弟弟不要和别人罗嗦,不要去还击。而且李俊讲义气,结交了不少朋友。
李俊小时候动手能力很强,旧收音机和旧手表之类的东西,李俊都能把它们拆了再装好。
李俊也从不与父母顶嘴,很听话,很孝顺,正因为如此,才在家人的劝说下,上了水泥厂的技术学校。不过家人对他去武汉打工之后的事情,就不怎么了解了,他们到现在还不懂电脑病毒是怎么回事。
他们觉得,因为李俊没有读过多少书,不懂法,所以才走上这一步。弟弟一再强调,自己的哥哥不是什么天才,只是很普通的一个人。
当雷磊家所在阳逻镇长山村窝子湾生产队的雷队长听到雷磊被捕的消息后,至今都疑惑不解:这个家道殷实的孩子怎么可能去犯罪?就在几天前,雷磊还开车回来为村里结婚的新人帮忙。
据他介绍,雷磊的父母是当地的个体户,开了一家机械厂,家里有几辆车,雷磊本人开了一辆本田车。在邻居的眼里,雷磊是个非常聪明的人,见到长辈很客气,为人处事也很不错。
另外,有些熟悉的人说,两人在上初中时,经常打游戏机,而且很厉害,都能一次通关到底。
老师回忆,班里给家庭困难的同学捐款,李俊捐的最多
湖北省娲石技术学校的副校长胡毅,怎么也没有想到,元旦时肆虐学校局域网的病毒“熊猫烧香”,竟然出自他曾经的学生李俊之手。在他眼里,李俊是一个头脑聪明,品行不错的好学生。
李俊是该校1998级机械专业的学生。胡毅还清晰记得,娲石水泥厂化建分厂招了4个学生,其中就有李俊,当时招生的标准就是品行好、成绩好、技术过硬。
据他回忆,李俊在技校读书的时候,非常好学,每次面对理科方面的提问,反应都特别快,学习成绩很优秀。有一次班里给一位家庭困难的同学捐款,李俊捐的最多。另外在他印象中,李俊不爱好体育运动。
“可惜了、可惜了”,胡毅一直这样说,他怎么也想不通,本来在学校里一个很好的孩子,到了社会上怎么会变成这样了,是不是受到了不公正、不公平的待遇。
中间人王磊一个多月赚了十几万元
“我一直在等你们来抓我”,看到警察的时候,还在上网的王磊特别的镇定甚至显得有点轻松,他说:“我心头的一块石头终于落了地。”
王磊,男,1985年生,山东威海人,无业,学过厨师。在病毒传播的整个链条中,王磊是个中间人的角色,他和写病毒的人、盗号的人、买卖装备的人都很熟。他负责将被“熊猫烧香”病毒感染后、被控制的“肉鸡”卖出去,所得收入和李俊五五分成。一个多月的时间,王磊就赚了十几万元,他喜滋滋地用这笔钱买了一辆吉普车。
“做厨师太累。用身体养活自己,还不如用大脑养活自己。”王磊对利用电脑病毒牟利的行业很清楚,知道里面有很大的“暴利”。
据办案民警介绍,当警方赶到王磊家里的时候,王磊和他的父母正坐在炕上,当时王磊正目不转睛地盯着电脑屏幕,跟“下线”进行交易。见民警进屋,王磊立即隐藏和自己相关的交易证据。
警方到来之前,王磊一家人正在开心地聊天,看到民警突然到来,一家人感到非常意外。尤其是王磊的母亲,当时情绪异常激动,对着民警大哭大喊:“为什么?这是为什么啊?我的儿子到底怎么啦?”同时,他的父亲也连连质问民警“王磊出什么事了”。不过,王磊显得很平静,淡淡地对母亲说:“不说了,不说了,快帮我把衣服穿起来。”
王磊还告诉办案的民警,“做这行的人很多,我被抓了是我运气不好。”
2004年11月,熊猫第一次来袭。“最开始‘尼姆亚’(反病毒工程师们最初将‘熊猫烧香’命名为‘尼姆亚’)不算厉害。”瑞星病毒组工程师史瑀说,随着病毒作者的不断更新,它的破坏力和传染力也随之上升。
2006年11月底,“尼姆亚”只有不到十个变种,12月开始,病毒从数日一更新,变为一日数更新,变种数量成倍上升。
这时候,“熊猫烧香”已经取代了“尼姆亚”这个名字。
12月中旬,“熊猫烧香”进入急速变种期,在几次大面积爆发之后,“熊猫烧香”成为众多电脑用户谈之色变的词汇。圣诞节过后,“熊猫烧香”版本已达到近百个。
1月9日,“熊猫烧香”迎来了一次全国性的大规模爆发,它的变种数量定格在306个。
金山毒霸客服中心有关“熊猫烧香”的日咨询量高达73%,感染用户以北京、广州、上海等大型城市为主。截至目前,“熊猫烧香”病毒变种已达416个,受感染电脑用户达到数百万台。
“熊猫烧香”因何难退
史瑀说,传统蠕虫病毒通过一台中毒电脑传至局域网内其他电脑,而“熊猫烧香”还可以通过网站传播。
感染“熊猫烧香”电脑,会在硬盘所有网页文件上附加病毒。
“如果被感染的是网站编辑和记者的电脑,那么通过中毒网页,‘熊猫烧香’可附身在网站的所有网页上。”史瑀说,访问这种中毒的网站时,网民就会感染“熊猫烧香”病毒。
从传统的“点对点”,到现在的“点对面”,“熊猫烧香”借助中毒网站的访问量传播。
据工程师们称,他们曾监控到,“熊猫烧香”感染过天涯社区、硅谷动力、pconline等门户网站,在暴风影音等知名软件的下载链接中也曾有“熊猫烧香”附身的痕迹。
同时,“熊猫烧香”还可借助搜索引擎进行传播。
病毒内部列出“鸣谢单位”
mopery是卡卡社区反病毒论坛的版主,也是一名反病毒高手。
2006年10月中,mopery接到网友求助。在帮忙解决电脑故障的过程中,他拿到了一个病毒样本,它就是“熊猫烧香”的原始版本。
在繁复的程序代码中,mopery看到了一段与程序无关的信息,其中有一行字母——whboy。
“whboy”这个名字,对于病毒研究者有着不一般的含义。
2004年,whboy发布了其创作的病毒“武汉男孩”,那是一种通过QQ传播的盗号木马,因为其变种的疯狂和传播的广泛,一年后,被江民反病毒中心列入2005年十大病毒之列。
此后,whboy还在一些病毒论坛和黑客论坛发帖,表示可以提供盗取QQ号服务,但不久后便销声匿迹,直至“熊猫”出现。
2006年12月初,“熊猫烧香”变种加速。随着变种增多,代码内附带信息也越来越多。
随后,武汉男孩似乎迷恋上了这种病毒内部列出“鸣谢单位”的模式,在1月5日的病毒留言中,感谢名单上添加了艾玛的名字。1月9日,感谢名单中又多了杀毒高手“海色之月”的名字,文末还添加了一句“服了……艾玛……”此后,武汉男孩开始频繁用这种方式与对手“交流”。
1月15日,武汉男孩还在留言中和反毒者taylor77打起了招呼:“我制作的病毒已经‘满城尽烧国宝香’。”
在“熊猫烧香”的最后一个版本中,武汉男孩写下了临别赠语,“在此对各位中过木马的网友和各位网管人员表示深深的歉意!对不起,你们辛苦了!”
一场未结束的战争
对于“武汉男孩”的身份有着很多猜测,民间反毒高手Mopery及瑞星反毒工程师史瑀均表示,“从留言的内容和程序代码来看,武汉男孩是一位有丰富病毒编写经验的熟手”,“武汉男孩本身精通网络技术和入侵技术,通过他上网的痕迹追查真身很难实现。
1月19日,“熊猫烧香”发布了一个新的变种,病毒作者宣称,这将是“熊猫烧香”最后一次更新。
1月24日下午,反病毒工程师们又发现了一种新型病毒,这种病毒和“熊猫烧香”十分相似,工程师怀疑它是“熊猫烧香”作者创作的新版本病毒。
这种病毒会把受感染用户电脑上的所有图标换成一个男子的头像,在头像的眼睛位置是两个电灯泡。反病毒工程师们担心的是,“灯泡男子”会成为“熊猫烧香”的接班人。
------------------------------------------------------------------------------
------------------------------------------------------------------------------
弟弟:哥哥说这病毒没什么大不了
弟弟李明比李俊小3岁。去年7月从西南民族大学音乐教育专业毕业后在四川成都上班。在家里,李明偶尔提起最近他和同学的电脑都中过“熊猫烧香”病毒。李俊听说后却一改以往的内向和谦卑,不屑一顾地笑了:“这病毒没什么大不了。”李明当时并没想到,哥哥就是“熊猫烧香”的始作俑者。李明说,李俊上小学时是游戏高手,经常一个游戏币在游戏室里泡一下午。因为花不了多少钱,父母并没有过多过问。他在读技校时学会了上网李明说,李俊数学和英语非常优秀,但没能考上高中,进了水泥厂自办的一所技校(现已改名为“娲石职业技术学校”)。问及李俊,在此工作20多年的老校工吴爹爹无论如何也记不起这样一个叫李俊的孩子不打架,学习成绩一般,家境一般,不谈女朋友,他实在太普通了。但就是在这所学校里,李俊学会了上网,也从此走进了他的“病毒人生”天天泡在网吧里,玩游戏,聊QQ,就像当年所有的网虫一样。哥哥说钱要靠自己挣当记者说,李俊这几年玩电脑挣的钱可买一座别墅时,李明先不信,然后喃喃地说,哥哥从没给过他零花钱,“有点小气”。李明的记忆中,李俊从不找父母要钱花。李俊2000年到武汉一家电脑城打工后,自己有了收入,但很少给家人钱花。李俊不沾酒,偶尔抽抽烟。请亲朋吃饭,一般在路边小餐馆点二三十元钱的菜,“够吃就行!”有人说,李明是你弟弟,应该给点零花钱。李俊总是很严肃地解释,“钱要靠自己挣!挣不到钱的人,是无能的人。”
李俊的父母一直在阳逻一水泥厂上班,前几年双双下岗,妈妈做了个小推车在街上卖早点,爸爸在一家私人瓦厂打工。李俊母亲姓陈,今年52岁。陈妈妈说,李俊小时候喜欢玩电脑,没事就到网吧玩,看儿子爱电脑,就给他买了一台电脑。“还说他不出去惹祸,每天就只知道在家上网,哪晓得他搞出这大的事来。”陈妈妈说,小俊的同龄人,很多喜欢在外面打架、喝酒,可小俊从不参与。陈妈妈不停流泪,嘴里唠叨着:“不给他买电脑就好了。”
父亲:一家人团不了年了
昨日下午,记者准备结束采访时,爸爸李宏安骑着摩托车下班回来了。李爸爸说,小俊出事后,他送了一床棉絮到看守所,本来想看看小俊,可是被拒绝了。“我们都想看他一眼。”李爸爸说,小俊自去市区打工后,就很少回家,一年也回不了一次,眼看要过年了,小俊的弟弟也从四川回来了,一家人在一起团个年,现在这愿望破灭了。
阳逻民警:李俊没有前科
李俊涉嫌制造“熊猫烧香”病毒案在阳逻被传得沸沸扬扬,有人谣传李俊从小就无法无天。对此,阳逻街水陆街派出所的负责人王振兴介绍,他是从报纸上得知李俊是当地人的。民警调出李俊的档案后发现,此前,李俊没有任何违法犯罪记录。民警走访调查后评论,“李俊是典型的高智商疑犯,不打架不斗殴,为人很低调,不张扬。”
曾多次到京穗网络安全公司谋职未果;湖北仙桃警方称“毒王”李俊是“网络天才但不懂法”
昨日,在湖北仙桃市公安局看守所“熊猫烧香”的制造者李俊说,编写病毒先开始只为了看看自己所学知识是否有用,证明自己编程技术扎实,后来发现售卖病毒可以赚钱,于是才向他们转让病毒。
昨日,仙桃市公安局局长称:“李俊是网络方面的天才,但他并不懂法,至今都不了解为什么传播网络病毒是违法行为。”
电脑专家会诊锁定李俊
1月31日下午,湖北省厅抽调6名网监精英和专门从国家计算机病毒应急处理中心赶来的1名专家,对该案进行专案研讨。网警获取了确定犯罪嫌疑人“武汉男生”的身份信息。“武汉男生”又名“小俊”,男,25岁左右,身高1.75米,网名为“DAVE”。根据“小俊”上网账户资料,警方锁定“小俊”。
2月3日下午,外勤组在出租屋抓获了“小俊”的弟弟李明,17时左右,警方从侦查中获悉,犯罪嫌疑人要潜逃。19时左右,回出租屋取东西的李俊被控制。
“网络天才”写毒牟利
“他是网络天才。”12日,省厅网监总队有关专家如此描述李俊。2004年毕业后,李俊曾多次到北京、广州等地寻找IT方面的工作,尤其钟情于网络安全公司,但均未成功。为了发泄不满,同时抱着赚钱的目的,李俊开始编写病毒,2003年曾编写过“武汉男生”病毒,2005年编写了“武汉男生2005”病毒及“QQ尾巴”病毒。
李俊以自己出售和由他人代卖的方式,每次要价500-1000元不等,将该病毒销售给120余人,获利10万余元。据估算,被“熊猫烧香”病毒控制的“网络僵尸”数以百万计,其访问按访问流量付费的网站,一年下来累计可获利上千万元。
“典型反社会人格障碍”
“李俊的这种行为,是由其破坏心理、畸形的价值观和侥幸心理共同影响造成的,这是典型的反社会人格障碍。”湖北警官学院犯罪心理学教研室主任徐俊文称。
李俊母亲说,小俊没读什么书,上技校的时候就非常喜欢电脑,怕他在外面学坏,家里就给他买了台电脑。
“不给他买电脑就好了。”陈妈妈流泪唠叨着。
才看了网友牛仔裤的“拯救“熊猫烧香”男孩李俊!”
我也想说说我的看法,本人文笔不好,见量!
对于[熊猫烧香]大家都因该知道了,制作者李俊,确实是一个人才,只可惜没用在正路上,天下黑客何其多?高手又有多少?在李俊之上的人又有多少牛仔裤兄可知道??
首先我想对你的观点提出点看法。你说中国几大杀毒软件都没能攻克熊猫烧香,就说他们是垃圾,是骗钱的! 不知你听说过这句俗话没:“不怕贼偷就怕贼惦记”。再好的防备也有疏漏的时候。防毒也好做毒也好,都是通过代码做出来的,代码就如人一般有千万个摸样,不可能只要安装了一个杀毒软件就可以一辈子不被病毒侵入了啊。要不还需要每天对杀毒软件进行升级做什么? 升级就意味着每天都有新毒的产生!
然后你说到:他自己怎么5个小时就能写出杀熊猫的代码!我的天啊,你懂不懂电脑?懂不懂写程序?自己写的破坏性程序当然会很了解 就能对证下药啊~就好象你把东西放那里你自己最清楚嘛~~~不信的话我就建议你以后不要用其他杀毒软件,直接拿他写的代码做杀毒软件杀别的毒看看!看能找出几个毒来!?
再者,你们觉得他好本事好厉害,但是你想没想过那些被病毒侵入造成损失的人?人家几万几百万的掉银子,你却在一边说风凉话,把他当偶像。
牛仔裤的原文说到:“假如你缺乏安全意识的话,不能、也不愿意堵上自家敞开的大门,那么很可能会有好奇的人进来坐坐,当然,碰上调皮或心眼坏的客人,会给你制造点混乱,把你需要的东西给藏起来、挪个地方、甚至盗走你的东西。作为主人,你不找建筑商理论,为什么要给自己家留道没有锁的门?为什么自己不买把锁把门锁好?却抓住进来坐坐的人不放,这是什么理论?主人为什么不反思一下自己的疏忽呢?你敞开大门,至少有“诱惑犯罪”的嫌疑;就象妓女诱惑嫖客,最后却只抓嫖客一样。”
我觉得这话真有点歪道理了,好比我踩你的脚还怪你怎么长了脚害我踩了你一样。
(牛仔裤)“假如不是媒体的跟风炒作,假如媒体不写什么“有人愿意出10万美金缉拿“熊猫烧香”的作者”的话,能引起那么多人的重视吗?那些所谓的“网警”眼看下了不台了,无奈之下也只能去有所作为了。如果说“熊猫烧香”造成了网络恐慌,媒体有推卸不了的责任。李俊如果被判有罪的话,那么把李俊推上审判台的正是媒体的推波助澜。 ”
我觉得你又说偏了,不是网警下不了台,而且根本没有下不了台这么回事。人之长情我搞的定就搞,搞不定当然请高手来搞咯!难道还任由他去搞破坏不成?媒体不报道谁的话谁会知道有人愿意出10万美金缉拿“熊猫烧香”的作者?如果李俊那时候还有点人性的话就因该知道事情的严重,及早收手将功补过了。
不过有一点你说的对,中国的教育体制问题确实暴露出很严重的问题。这不能不说是个弊端,是逼迫天才走向犯罪的原因,但这不是放他的理由。想必大家都知道黑客和红客的区别,他完全可以一边搞点网络维护一边读书或者打工,我不相信他不搞病毒就会饿死?如果这都可以放的话,那么谁能保证下一个怀才不遇的李俊,王俊或者赵俊不会也模仿他,搞破坏来找工作。那样的话又会有多少公司被黑,多少人从中获利?那么网络还有安全吗?
我不清楚他是被判什么刑法,但犯法就要受罚,这是分不开的。他在做的时候就因该想到后果,确实他是天才,这大家都该承认,可惜是黑客那边的天才,他缺乏理性的认识。其实惩罚他对他也没什么坏处,至少他出了名,至少他的才华被世人肯定。只是希望他不要放弃自己的梦想,好好改造,毕竟敢做敢当,敢于认识错误敢于承担责任才是爷们的表现!!
我不相信到了今天还会有软件公司会对他说:“你只有中学文化,你不行”了。祝愿他出来后能用自己正义的双手敲出一行行属于自己的软件王国。
时间急促,随便侃侃,说的不好的地方见量。其实罚于不罚个人有个人看法,只是法律是死的,侵犯了他人的生命财产安全就该罚``呵呵!
附录:李俊写在专杀工具中的一段话(编者有删节)
各位网友:
你们好!我是熊猫烧香的第一版作者。
我真的没有想到熊猫烧香在短短的两个月竟然疯狂感染到这个地步,真的是我的不对,或许真的是我低估了网络的力量,它的散播速度是我想不到的!对于所有中毒的网友、企业来说,可能是一个很大的打击,我对此表示深深的歉意!很对不起!
我要解释一些事情,有人说熊猫烧香更改熊猫的图标是我在诋毁大熊猫!这里我要解释下,这是绝对没有的事情,完全是出于这个图片比较让我个人喜欢,才会用的!
还有关于变种,我写这个的初衷也是这个,纯粹是为了编程研究,对于出了这么多变种,我是根本想不到的,这个责任也不全是在我的!还有人说熊猫病毒写出来是商业目的!这个完全是无稽之谈。我在这里承诺,本人是绝对没有更新过任何变种!
还有人说我是个心理变态,我在前面已经说了,感染的速度,变种的数量是我所料想不到的。还有,我写这个病毒的初衷完全是为了编程研究,对于这个评论,我也就不多说什么了!
这是我写的一个专杀程序,肯定是比不上专业级的杀毒软件了,但是我想这是我最后能给大家做的事情了。
熊猫走了,是结束吗?不是的,网络永远没有安全的时候,或许在不久,会有很多更厉害的病毒出来!所以我在这里提醒大家,提高网络安全意识,并不是你应该注意的,而是你必须懂得和去做的一些事情!
再一次表示深深的歉意,同时我发出这个专杀,愿能给大家带来帮助!
我很佩服他的..呵呵. 虽然不是什么专业级别的病毒,但由杀毒厂商的应对能力来看, 国内的这些杀毒厂商的技术也不过如此~!
我被黑客攻击了,所有的资料都没了。。。该怎么办啊?
很像中了“敲诈者”
如果没有太重要的东西,建议,重新下载,或者用一楼的方法,回复一下。
安装防火墙,用好的杀毒软件,自动升级系统漏洞补丁。这样能降低你的电脑的安全隐患。
熊猫病毒是谁做出来的
病毒作者留名“武汉男孩”
谁制造了“熊猫烧香”?他意欲何为?在“熊猫烧香”肆虐期间,关于作者身份的种种猜测流传于互联网上。
在某网站“熊猫烧香”贴吧中,数百名深受“熊猫”所害的网民发帖“通缉”病毒制造者,更有网民声称开出10万美元的悬赏花红。
昨天(25日),反病毒工程师向记者透露,“熊猫烧香”的作者并非无迹可寻,在解剖病毒过程中,他们发现了留在病毒内的一些神秘留言。在这些留言里,“熊猫烧香”的作者自称whboy———“武汉男孩”。
“熊猫”体内暗藏留言
mopery是卡卡社区反病毒论坛的版主,也是一名反病毒高手。
2006年10月中旬,mopery接到网友求助。在帮忙解决电脑故障的过程中,他拿到了一个病毒样本,它就是“熊猫烧香”的原始版本。
将病毒“解剖”之后,在繁复的程序代码中,mopery看到了一段与程序无关的信息,其中有一行字母:“whboy”。
“whboy”这个名字,对于病毒研究者有着不一般的含义。2004年,whboy即发布了其创作的病毒“武汉男孩”,那是一种通过QQ传播的盗号木马,因为其变种的疯狂和传播的广泛,一年后,被江民反病毒中心列入2005年十大病毒之列。
此后,whboy还在一些病毒论坛和黑客论坛发帖,表示可以提供盗取QQ号服务,但不久后便销声匿迹,直至“熊猫”出现。
mopery对“熊猫烧香”进行了认真分析。他发现,这种病毒并不拥有最厉害的技术,却拥有最成熟的传播手段。
mopery对“熊猫烧香”产生了浓厚的兴趣,他联系了另一名民间反病毒高手农夫,在2006年10月25日推出了第一款专杀工具:尼姆亚蠕虫专杀。
“第一只熊猫没什么威力,厉害的是后面的变种。”mopery说,从发现第一版“熊猫烧香”后,一个月内,它的变种就达到了十几种。
在这些变种中,每隔一段时间,作者都有意在病毒中留下whboy字样。“他主要给我们这些分析病毒的人看,普通用户看不到代码。”
随着变种增多,反病毒人士在连续解剖病毒的同时,开始期待更多留言出现。
病毒内部列出“鸣谢单位”
2006年12月初,“熊猫烧香”变种加速,代码中除了whboy字样外,又多了一行汉字:“武汉男孩感染下载者。”随着变种的增多,代码内附带的信息也越来越多。
此时,mopery和艾玛已经加入抗击“熊猫烧香”的大军当中。他们分析熊猫的新变种,并在卡卡社区反病毒论坛上,贴出一份份详细的病毒分析报告。
他们的举动,吸引了病毒作者“武汉男孩”的注意力。在1月初一份病毒变种中,神秘留言再次更新。
“感谢mopery对此木马的关注。”留言中新添的这句话,让mopery啼笑皆非。随后,武汉男孩似乎迷恋上了这种病毒内部列出“鸣谢单位”的模式,在1月5日的病毒留言中,感谢名单上添加了艾玛的名字。1月9日,感谢名单中又多了杀毒高手“海色之月”的名字,文末还添加了一句“服了……艾玛…… ”
此后,武汉男孩开始频繁用这种方式与对手“交流”。
1月15日,武汉男孩还在留言中和反毒者taylor77打起了招呼:“taylor77,不知道找我啥事啊?”并且戏言:“我制作的病毒已经‘满城尽烧国宝香’。”