“熊猫”俯首——全国首例制作传播计算机病毒案侦破纪实
这是一波电脑病毒蔓延的狂潮。
在两个多月的时间里,数百万电脑用户被卷了进去,那只憨态可掬、颔首敬香的“熊猫”除而不尽,它迅速化身数百种,不断入侵个人电脑,感染门户网站,击溃企业数据系统……在几次大面积暴发之后,“熊猫烧香”成为众多电脑用户谈之色变的词汇。《瑞星2006安全报告》将其列为十大病毒之首,《2006年度中国大陆地区电脑病毒疫情和互联网安全报告》称其为“毒王”。
它的蔓延拷问着网络的公共安全,同时引发了一场虚拟世界里“道”与“魔”的较量。
2月12日,这场特殊的较量终见分晓,湖北省公安厅对外宣布:“熊猫烧香”始作俑者已被抓获归案,这起由公安部统一部署督办,副厅长黄洪亲自指挥,省公安厅网监总队具体组织协调,仙桃市公安局主侦,武汉、宜昌、荆门等地公安机关网监部门配侦的全国首例制作、传播计算机病毒大案顺利告破!
“熊猫烧香”肆虐互联网
2006年12月,一种神秘的新型病毒开始在互联网上大规模爆发,许多企业局域网、网吧和个人电脑遭受重创。该病毒通过多种方式传播,染上此种病毒之后,电脑屏幕上会出现一排排的熊猫图案,熊猫们手持三炷香,合十作揖。反病毒工程师们将其命名为“尼姆亚”。
至12月中旬,“熊猫烧香”进入急速变种期。今年1月7日,国家计算机病毒应急处理中心发出“熊猫烧香”的紧急预警。
1月9日,仙桃市公安局接报,该市“江汉热线”不幸感染“熊猫烧香”病毒而致网络瘫痪,貌似忠厚的“熊猫”就这样进入了警方视野。1月中旬,省厅网监总队根据公安部公共信息网络安全监察局的部署,开始组织对“熊猫烧香”制作者开展调查。
对于警方的介入,“熊猫”懵然不觉,它继续四处“烧香”,并且愈演愈烈。1月22日,国家计算机病毒应急处理中心再次发出警报,在全国通缉“熊猫烧香”。
据调查,病毒作者在病毒中加入了代码“WHBOY”(武汉男孩),因此警方猜测病毒作者可能是一网名为“武汉男孩”的人。经初步核实,仙桃市网监大队于1月24日正式立案,并命名其为“‘1.22’制作传播计算机病毒案”。
追踪,如影随形
这是国内制作计算机病毒的第一案,公安部公共信息网络安全监察局和湖北省公安厅副厅长黄洪对此高度重视,要求湖北网监部门要不惜一切代价,拿下此案。
1月31日下午,省公安厅从武汉、宜昌、荆门等地抽调6名网监精英和专门从国家计算机病毒应急处理中心赶来的专家,以及仙桃市公安局网监大队民警齐聚省公安厅,对“1.22”案进行专案研讨,共商对策。专案侦察工作领导小组和联合工作专班同时宣告成立。
在省厅统一部署下,仙桃网警运用多种网络技术手段和方法,获取了确定犯罪嫌疑人“武汉男生”的身份信息。“武汉男生”又名“小俊”,男,25岁左右,身高1.75米,网名为“DAVE”。根据“小俊”上网账户资料,警方将目标锁定在一个叫做罗某的人,此人居住在武汉市武昌区关山某居民楼。专班人员现场发现,此地为一出租屋,罗某租住在第二层右边的一个三居室,房主称,此屋由罗某于2006年2月租下,现住有罗某、其女友,以及一个被其称为“师傅”的人。根据房主的描述和警方掌握的嫌疑人照片,专班人员确定,罗某的师傅就是“小俊”!
2月3日上午,负责24小时监视“小俊”房屋的外勤组传来消息,出租屋内所有人都彻夜未归。警方进一步调查发现,犯罪嫌疑人已多日未回出租屋住宿。种种迹象表明,犯罪嫌疑人可能有所警觉。公安厅网监总队立即召开紧急研讨会,专班人员对目前的形势及抓捕利弊进行了反复权衡,一致认为必须立即实施抓捕以免贻误战机,并制定了详细的抓捕方案和审讯方案。黄洪副厅长一声令下,抓捕工作迅速展开。
当日下午16时左右,外勤组在出租屋抓获了“小俊”的弟弟李某,据其提供,“小俊”真名叫李俊。17时左右,警方从侦察中获悉,犯罪嫌疑人要潜逃外地!网监总队立即向武汉市机场、火车站、长途汽车站等各个进出口岸发出协查通报。19时左右,从在出租屋蹲点守候的工作组传来消息,回出租屋取东西准备潜逃的李俊被当场抓获。警方从李俊身上找到了一张武昌晶都宾馆的门卡,指挥部急令由武汉市公安局网监处组成的机动抓捕专班赶往宾馆,于当晚将其同伙雷磊抓获归案。
“网络天才”写毒牟利
“他是网络天才。”12日,省厅网监总队有关专家如此描述李俊。犯罪嫌疑人李俊今年25岁,是武汉市新洲区阳逻街人,中专毕业后参加过网络技术职业培训班,曾在某电脑城工作;同为25岁的同伙雷磊是其同乡兼同学,两人关系较好。
2004年毕业后,李俊曾多次到北京、广州等地寻找IT方面的工作,尤其钟情于网络安全公司,但均未成功。为了发泄不满,同时抱着赚钱的目的,李俊开始编写病毒,2003年曾编写过“武汉男生”病毒,2005年编写了“武汉男生2005”病毒及“QQ尾巴”病毒。
李俊交代,他
于2006年10月16日编写了“熊猫烧香”。这是一种超强病毒,感染病毒的电脑会在硬盘的所有网页文件上附加病毒。如果被感染的是网站编辑电脑,通过中毒网页病毒就可能附身在网站所有网页上,访问中毒网站时网民就会感染病毒。“熊猫烧香”感染过天涯社区等门户网站。“熊猫烧香”除了带有病毒的所有特性外,还具有强烈的商业目的:可以暗中盗取用户游戏账号、QQ账号,以供出售牟利,还可以控制受感染电脑,将其变为“网络僵尸”,暗中访问一些按访问流量付费的网站,从而获利。部分变种中还含有盗号木马。
于2006年10月16日编写了“熊猫烧香”。这是一种超强病毒,感染病毒的电脑会在硬盘的所有网页文件上附加病毒。如果被感染的是网站编辑电脑,通过中毒网页病毒就可能附身在网站所有网页上,访问中毒网站时网民就会感染病毒。“熊猫烧香”感染过天涯社区等门户网站。“熊猫烧香”除了带有病毒的所有特性外,还具有强烈的商业目的:可以暗中盗取用户游戏账号、QQ账号,以供出售牟利,还可以控制受感染电脑,将其变为“网络僵尸”,暗中访问一些按访问流量付费的网站,从而获利。部分变种中还含有盗号木马。
李俊以自己出售和由他人代卖的方式,每次要价500-1000元不等,将该病毒销售给120余人,非法获利10万余元。经病毒购买者进一步传播,该病毒的各种变种在网上大面积传播,据估算,被“熊猫烧香”病毒控制的“网络僵尸”数以百万计,其访问按访问流量付费的网站,一年下来累计可获利上千万元。
抓获李俊和雷磊后,警方乘胜追击,又抓获王磊(男,22岁,山东威海人)、叶培新(男,21岁,浙江温州人)、张顺(男,23岁,浙江丽水人)、王哲(男,24岁,湖北仙桃人)等4名改写、传播“熊猫烧香”病毒的嫌疑人,这些人通过改写、传播“熊猫烧香”病毒,构建“僵尸网络”,通过盗窃各种游戏和QQ账号等方式非法牟利。
有关法律专家称,“熊猫烧香”病毒的制造者是典型的故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的行为。根据《刑法》规定,犯此罪后果严重的,处5年以下有期徒刑或者拘役;后果特别严重的,处5年以上有期徒刑。
目前主要犯罪嫌疑人均已被仙桃警方刑拘,等待他们的将是法律的严惩。
——仙桃市公共信息网络安全监察大队
仙桃市公共信息网络安全监察大队
名字挺NB的,这次出名了