继CIH之后危害中国最严重病毒之一熊猫烧香《3C周刊》上期出版了在台湾地震后,微软Windows系统安全补丁更新缓慢,导致“熊猫烧香”病毒泛滥的报道之后,许多读者纷纷向记者反映,其实“熊猫烧香”病毒的危害远不止于此。本期我们接下来再详细探究“熊猫烧香”病毒的来龙去脉和背后的不解之谜。 作者究竟是不是“武汉男孩”? 在“熊猫烧香”病毒流行之初,某防毒软件厂商就在病毒代码内找到一个与功能无关的词语:“wh鄄boy”。这是作者的签名,是“武汉男孩”的中英文混合缩写。whboy曾经是病毒界一个响当当的人物,早在2004年就创造了一种通过QQ传播的盗号木马病毒,因为该病毒变种的疯狂和传播的广泛,一年后,被防毒软件厂商列入2005年十大病毒之一。 此后,whboy还在一些地下的病毒论坛和黑客论坛发帖,表示可以提供盗取QQ号服务,但不久后便销声匿迹,直至“熊猫烧香”病毒的出现才重现江湖。 到了2006年12月初,“熊猫烧香”病毒的变种开始增多,代码中除了“whboy”字样外,又多了一行汉字:“武汉男孩感染下载者”。随着变种的增多,代码内附带的信息也越来越多。1月15日,whboy还在网上留言调戏受害者:“我制作的病毒已经‘满城尽烧国宝香’。”因此,人们不仅断定“熊猫烧香”病毒就是武汉男孩所为,并且有防毒软件厂商声称该作者利用病毒“年收入可赚一座别墅”。 在深入分析了“熊猫烧香”病毒代码后,反病毒专家发现病毒会感染网页文件,会在网页中加入一段代码,把网页转向这个网址(www.****.com/worm.htm)。经记者追踪,该网站注册信息显示注册人来自武汉,这更让人相信熊猫烧香”病毒始作俑者就是“武汉男孩”的说法。 “熊猫烧香”病毒究竟想干什么? 在12月至1月19日的一个月时间里,“熊猫烧香”作者多次发布更新版的变种病毒,每一次都针对以前设计的不完善进行修改,最后一个版本可以说是把能想到的感染破坏手段都应用上了。他为什么要如此辛劳地研制病毒程序呢?防毒软件专家经过分析认为,“熊猫烧香”带有强烈的商业目的,“用户感染病毒后,会从后台点击国外的网站,部分变种中含有盗号木马,病毒作者可借此牟利”。 日前,有关方面已将病毒作者的相关证据和病毒特性提交给国家计算机病毒应急处理中心。国家计算机病毒应急处理中心工作人员称,关于这场“熊猫烧香”病毒风暴,受波及的电脑数量以及造成的经济损失等相关数据目前正在统计中,将于近日公布。据业内人士估计,这可能是继CIH之后,对中国电脑用户影响最严重的病毒,而且传播手段之狠,破坏之严重是大家始料不及的。 另有一些业内人士认为,“熊猫烧香”病毒最初的设计目的主要是针对日文操作系统进行严重破坏,而在其他语言Windows上主要是传染,但由于设计不当导致在中文Windows下也破坏严重。该病毒是由Delphi5语言所编写的,并且一份据称是“熊猫烧香”病毒的源代码正在互联网上散播,任何人只要利用Google或者Baidu等搜索工具都可以轻易获得。这似乎也能解释为什么“熊猫烧香”病毒在最近两周内变种数量激增的原因,因为很多编程爱好者都可以藉此制造出病毒变种。 有防毒软件工程师认为,这份源代码并非最初的“熊猫烧香”病毒源代码,但是对于想制造病毒的人来说,也有相当的技术参考价值。不管怎么说,“熊猫烧香”病毒已经在许多单位的局域网(LAN)中泛滥,而记者粗略调查了一下,电脑用户中招的概率超过20%。而各防毒软件公司,如瑞星、金山等,提供的免费专杀工具解决了大部分人的问题,但仍有相当部分用户最终不得不以重新安装Windows系统来解决。
“熊猫烧香”,是由李俊制作并肆虐网络的一款电脑病毒,熊猫烧香跟灰鸽子不同,是一款拥有自动传播、自动感染硬盘能力和强大的破坏能力的病毒,它不但能感染系统中exe,com,pif,src,html,asp等文件,它还能终止大量的反病毒软件进程并且会删除扩展名为gho的文件(该类文件是一系统备份工具“GHOST”的备份文件,删除后会使用户的系统备份文件丢失)。
被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。2006年10月16日由25岁的湖北武汉新洲区人李俊编写,2007年1月初肆虐网络,它主要通过下载的文件传染。2007年2月12日,湖北省公安厅宣布,李俊以及其同伙共8人已经落网,这是中国警方破获的首例计算机病毒大案。2014年,张顺、李俊被法院以开设赌场罪分别判处有期徒刑五年和三年,并分别处罚金20万元和8万元。
中文名
熊猫烧香
外文名
Worm.WhBoy.cw
程序类别
蠕虫病毒
感染系统
Win9x/NT/2000/ME/XP/2003/Vista
制作人
李俊
快速
导航
运行过程特点原理传播方法影响危害应对方案
发展沿革
2006年12月,一种被称为“尼姆亚”新型病毒在互联网上大规模爆发。
2006年12月份—2007年1月30日,变种数已达90多个,个人用户感染熊猫烧香的已经高达几百万,企业用户感染数还在继续上升[1]。
2007年1月7日,国家计算机病毒应急处理中心发出“熊猫烧香”的紧急预警。
2007年1月9日,湖北仙桃市公安局接报,该市“江汉热线”不幸感染“熊猫烧香”病毒而致网络瘫痪。
2007年1月31日下午,各路专家齐聚省公安厅,对“1·22”案进行“会诊”,同时成立联合工作专班。
2007年2月3日,回出租屋取东西准备潜逃的李俊被当场抓获。随后将其同伙雷磊抓获归案。[2]
2007年9月24日,“熊猫烧香”计算机病毒制造者及主要传播者李俊等4人,被湖北省仙桃市人民法院以破坏计算机信息系统罪判处李俊有期徒刑四年、王磊有期徒刑二年六个月、张顺有期徒刑二年、雷磊有期徒刑一年,并判决李俊、王磊、张顺的违法所得予以追缴,上缴国库;被告人李俊有立功表现,依法可以从轻处罚。[2]
2012年1月29日,金山毒霸反病毒中心称:“熊猫烧香”化身“金猪报喜”,危害指数再度升级。[3]
2013年6月,据浙江省丽水市人民政府官方微博“丽水发布”提供的消息称,“熊猫烧香”病毒制造者张顺、李俊因设立“金元宝棋牌”网络赌场,非法敛财数百万元,已经被丽水市莲都区检察院批准逮捕。
运行过程
磁盘感染
熊猫烧香病毒对系统中所有除了盘符为A,B的磁盘类型为DRⅣE_REMOTE,DRⅣE_FⅨED的磁盘进行文件遍历感染
熊猫烧香
注:不感染文件大小超过10MB以上的
(病毒将不感染如下目录的文件):
Microsoft Frontpage
Movie Maker
MSN Gamin Zone
Common Files
Windows NT
Recycled
System Volume Information
Documents and Settings
……
(病毒将不感染文件名如下的文件):
setup.exe
病毒将使用两类感染方式应对不同后缀的文件名进行感染
1)二进制可执行文件(后缀名为:EXE,SCR,PIF,COM): 将感染目标文件和病毒溶合成一个文件(被感染文件贴在病毒文件尾部)完成感染.
2)脚本类(后缀名为:htm,html,asp,php,jsp,aspx): 在这些脚本文件尾加上如下链接(下边的页面存在安全漏洞):
iframe src=/iframe
在感染时会删除这些磁盘上的后缀名为.GHO的Ghost备份文件
生成文件
病毒建立一个计时器,以6秒为周期在磁盘的根目录下生成setup.exe(病毒本身)autorun.inf,并利用AutoRun Open关联使病毒在用户点击被感染
熊猫烧香是由李俊制作并肆虐网络的一款电脑病毒,是变种的蠕虫病毒。2006年12月开始,变种数达90多个,个人用户感染熊猫烧香的高达几百万,企业用户感染数也在迅猛增加,造成了严重的个人损失与企业损失。
熊猫烧香是一种经过多次变种的蠕虫病毒变种,2006年10月16日由25岁的中国湖北武汉新洲区人李俊编写,2007年1月初肆虐网络,它主要透过下载的档案传染。 病毒名称:熊猫烧香 ,Worm.WhBoy.(金山称),Worm.Nimaya. (瑞星称)
病毒别名:尼姆亚,武汉男生,后又化身为“金猪报喜”,国外称“熊猫烧香”
危险级别:★★★★★
病毒类型:蠕虫病毒,能够终止大量的反病毒软件和防火墙软件进程。
影响系统:Win 9x/ME、Win 2000/NT、Win XP、Win 2003 、Win Vista
发现时间:2006年10月16日
来源地:中国武汉东湖高新技术开发区关山 该病毒作者是李俊,武汉新洲区人,25岁。据他的家人以及朋友介绍,他在初中时英语和数学成绩都很不错,但还是没能考上高中,中专在娲石职业技术学校就读,学习的是水泥工艺专业,毕业后曾上过网络技术职业培训班,他朋友讲他是“自学成才,他的大部分电脑技术都是看书自学的”。2004年李俊到北京、广州的网络安全公司求职,但都因学历低的原因遭拒,于是他开始抱着报复社会以及赚钱的目的编写病毒了。他曾在2003年编写了病毒“武汉男生”,2005年他还编写了病毒QQ尾巴,并对“武汉男生”版本更新成为“武汉男生2005”。
此次传播的“熊猫烧香”病毒,作者李俊是先将此病毒在网络中卖给了120余人,每套产品要价500~1000元人民币,每日可以收入8000元左右,最多时一天能赚1万余元人民币,作者李俊因此直接非法获利10万余元。然后由这120余人对此病毒进行改写处理并传播出去的,这120余人的传播造成100多万台计算机感染此病毒,他们将盗取来的网友网络游戏以及QQ帐号进行出售牟利,并使用被病毒感染沦陷的机器组成“僵尸网络”为一些网站带来流量。
2007年2月12日湖北省公安厅12日宣布,根据统一部署,湖北网监在浙江、山东、广西、天津、广东、四川、江西、云南、新疆、河南等地公安机关的配合下,一举侦破了制作传播“熊猫烧香”病毒案,抓获病毒作者李俊。这是中国警方破获的首例计算机病毒大案。其他重要犯罪嫌疑人:雷磊(男,25岁,武汉新洲区人)、王磊(男,22岁,山东威海人)、叶培新(男,21岁,浙江温州人)、张顺(男,23岁,浙江丽水人)、王哲(男,24岁,湖北仙桃人)通过改写、传播“熊猫烧香”等病毒,构建“僵尸网络”,通过盗窃各种游戏账号等方式非法牟利。 这是中国近些年来,发生比较严重的一次蠕虫病毒发作。影响较多公司,造成较大的损失。且对于一些疏于防范的用户来说,该病毒导致较为严重的损失。由于此病毒可以盗取用户名与密码,因此,带有明显的牟利目的。所以,作者才有可能将此病毒当作商品出售,与一般的病毒制作者只是自娱自乐、或显示威力、或炫耀技术有很大的不同。另,制作者李俊在被捕后,在公安的监视下,又在编写解毒软件。
2007年9月24日,湖北省仙桃市人民法院一审以破坏计算机信息系统罪判处李俊有期徒刑四年、王磊有期徒刑二年六个月、张顺有期徒刑二年、雷磊有期徒刑一年,并判决李俊、王磊、张顺的违法所得予以追缴
记得当年流行熊猫烧香的时候,真是十分的恐怖,我估计他在全世界病都应该排名第二吧,第一的就是那著名的宏病毒啊,愿意烧主板
灰鸽子”是一款集多种控制方法于一体隐蔽性极强的木马病毒,一旦用户电脑不幸感染了灰鸽子,黑客或不法份子便可以在电脑进行绝大多数操作,可以监控我们的一举一动,要窃取我们的帐号、网银、文件轻而易举。
“熊猫烧香”,这是一个感染型的蠕虫病毒,它能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件,使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。
破坏系统。
我来说两句