兩個(gè)月前,Mopery開始了這場幾乎沒有任何勝算的戰(zhàn)爭。他把他的對(duì)手稱為“幽靈”,因?yàn)樗麩o法獲知這個(gè)人的背景,也不知道這個(gè)人最終要做什么。他唯一能確定的是,在這個(gè)寒冷的冬天,“幽靈”用他自己制作的如同北京的沙塵暴一樣猛烈的病毒——“熊貓燒香”,不斷沖擊著中國的互聯(lián)網(wǎng)用戶。
他的戰(zhàn)場位于瑞星卡卡反病毒論壇。
狙擊武漢男孩
“幽靈是一個(gè)可怕的超級(jí)黑客,他對(duì)我們幾乎了如指掌,經(jīng)常進(jìn)出卡卡社區(qū)反病毒論壇——他正躲在幕后不斷地窺視著我們!盡opery對(duì)記者說。
Mopery是一名反病毒高手,瑞星卡卡社區(qū)反病毒論壇的版主。通過研究,Mopery發(fā)現(xiàn)了病毒內(nèi)的一些留言,留言中,幽靈自稱Whboy——“武漢男孩”。
“‘熊貓燒香’非常難以預(yù)防,因?yàn)樗褂昧艘环N新的傳播方式!比鹦欠床《拒浖こ處熓番r說,與普通病毒不同的是,“熊貓燒香”可以利用網(wǎng)站來傳播!叭绻W(wǎng)站編輯們的電腦被感染了,通過他們,熊貓燒香的病毒就會(huì)掛在網(wǎng)站的所有網(wǎng)頁上,凡是訪問此網(wǎng)站的網(wǎng)友會(huì)全部中招!
“借助局域網(wǎng)天女散花,借助門戶網(wǎng)站星火燎原,借助U盤死灰復(fù)燃,這是它的主要傳播途徑。”史瑀說。
在“熊貓燒香”迅速向全國擴(kuò)散的時(shí)候,農(nóng)夫、艾瑪?shù)纫慌床《靖呤珠_始在mopery的聯(lián)合下加入“殺貓”大軍,每天分析該病毒的新變種,同時(shí)在卡卡社區(qū)反病毒論壇上,不斷更新詳細(xì)的病毒分析報(bào)告。
“殺貓”大軍的舉動(dòng)吸引了武漢男孩的注意,他開始在病毒中留言。在1月初的熊貓病毒變種代碼中,除了whboy字樣外,又多了一行字:“感謝mopery對(duì)此木馬的關(guān)注!边@讓mopery啼笑皆非。
隨后,武漢男孩開始在每一個(gè)更新的病毒內(nèi)部列出“鳴謝單位”留言。在1月5日的病毒留言中,艾瑪?shù)拿稚狭烁兄x名單。1月15日,武漢男孩和反毒者taylor77打招呼:“taylor77,不知道找我啥事。俊蓖瑫r(shí),武漢男孩得意洋洋的宣稱:“我制作的病毒已經(jīng)‘滿城盡燒國寶香’!
據(jù)不同消息說,“熊貓燒香”造訪過天涯社區(qū)、pconline、硅谷動(dòng)力等門戶網(wǎng)站,在暴風(fēng)影音等知名軟件的下載鏈接中也曾出現(xiàn)過“熊貓燒香”的魅影。
來自金山毒霸客服中心的統(tǒng)計(jì)顯示,截至目前,“熊貓燒香”病毒變種已達(dá)416個(gè),受感染電腦用戶達(dá)到數(shù)百萬臺(tái)。
Mopery告訴記者,通過他和農(nóng)夫的追蹤了解,武漢男孩就隱藏在卡卡社區(qū)59萬會(huì)員中間,但這個(gè)范圍卻無法再進(jìn)一步縮小。從留言的內(nèi)容和程序代碼來看,武漢男孩是一位有豐富病毒編寫經(jīng)驗(yàn)的熟手,經(jīng)常瀏覽卡卡社區(qū)反病毒論壇,隨時(shí)關(guān)注mopery等人更新的病毒分析。
“武漢男孩精通入侵技術(shù),通過他上網(wǎng)的痕跡來追查很難實(shí)現(xiàn)!眒opery有些無奈。
1月22日,國家計(jì)算機(jī)病毒應(yīng)急處理中心發(fā)出警報(bào),在全國范圍內(nèi)通緝“熊貓燒香”的發(fā)布者。
“燒香”求財(cái)
“現(xiàn)在的制作計(jì)算機(jī)病毒的黑客們并不像上世紀(jì)90年代以炫耀技術(shù)為主,他們往往帶有強(qiáng)烈的商業(yè)目的!笔番r介紹,黑客們慣用的手法是將編寫好的病毒通過郵件、惡意網(wǎng)站等傳播出去,用戶中毒后,便可以盜取其網(wǎng)絡(luò)銀行密碼或游戲裝備來賺錢。
如史瑀和mopery所判斷,“熊貓燒香”背后的勢(shì)力已經(jīng)開始逐步現(xiàn)身。用戶中“熊貓燒香”后,病毒會(huì)自動(dòng)下載一些病毒木馬,這些木馬病毒會(huì)盜取網(wǎng)游、網(wǎng)銀密碼等,目前網(wǎng)上已經(jīng)發(fā)現(xiàn)了盜竊網(wǎng)游設(shè)備產(chǎn)銷一條龍的產(chǎn)業(yè)鏈。
江民公司的反病毒工程師告訴記者,“熊貓燒香”的作者已經(jīng)開始通過幾家地下網(wǎng)站公開銷售網(wǎng)絡(luò)游戲的裝備,“他們這些網(wǎng)站可以稱為是盜號(hào)、買賣一條龍,熊貓燒香的背景遠(yuǎn)沒有那么簡單!
記者隨即點(diǎn)開了殺毒公司提供的網(wǎng)址,但發(fā)現(xiàn)已經(jīng)“無法訪問”。據(jù)悉,目前這些地下網(wǎng)站已經(jīng)發(fā)現(xiàn)被人調(diào)查,紛紛關(guān)閉了網(wǎng)站,或換個(gè)名字重新注冊(cè)。
騰訊客服中心人員表示,隨著肆虐的“熊貓”,他們已經(jīng)接到了大批用戶QQ號(hào)被盜的反映,而被盜的號(hào)碼正在網(wǎng)上被秘密拍賣;盛大、九城、金山等網(wǎng)絡(luò)公司則表示,熊貓出現(xiàn)以來,眾多網(wǎng)絡(luò)游戲玩家的一些高級(jí)裝備已經(jīng)被大批量盜走。商業(yè)報(bào)道[biz.icxo.com]而這些裝備正通過某種渠道被倒賣;網(wǎng)絡(luò)銀行用戶也同樣,一些中毒的用戶在毫不知情的情況下錢被偷偷取光,網(wǎng)絡(luò)銀行服務(wù)中心近日來的投訴日漸增多。
此外,武漢男孩還劫持了無數(shù)的中毒用戶,這些中毒的計(jì)算機(jī)被稱為“肉雞”,由眾多肉雞組成的網(wǎng)絡(luò)被稱為“僵尸網(wǎng)絡(luò)”,武漢男孩可以隨意控制這個(gè)網(wǎng)絡(luò),而這可以為某些網(wǎng)站帶來巨大的點(diǎn)擊率,但前提是“你得付得起價(jià)錢”。
“通過以上手段,目前武漢男孩至少賺了100萬!”一位反毒工程師說。
1月19日晚,“熊貓燒香”發(fā)布更新時(shí),武漢男孩寫下了臨別贈(zèng)語:“在此對(duì)各位中過此木馬的網(wǎng)友和各位網(wǎng)管人員表示深深的歉意!對(duì)不起,你們辛苦了!mopery,很想和你交流一下!某某原因,我想還是算了!”
但武漢男孩并沒有信守諾言,1月30日晚,“熊貓燒香”的最新變種“金豬殺手”重現(xiàn)江湖,被感染的電腦中除了熊貓成群,還金豬滿圈。
“黑客技術(shù)就像一把尖刀,在警察手里是個(gè)好工具,落在歹徒手里就是一個(gè)作案工具!眒opery有些無奈,他至今還在尋覓武漢男孩的蹤跡。
|