我想把我的老鼠变成熊猫烧香。
反病毒工程师将其命名为Nimia。它还有一个更通俗的名字——“熊猫烧香”。它很快化身成数百种,不断入侵个人电脑,感染门户网站,并摧毁企业数据系统...其传播质疑网络公共安全,同时引发虚拟世界“道”与“魔”的较量。反病毒工程师和民间反病毒人士都投身其中。
19年10月65438+出现了“熊猫烧香”的新变种病毒。病毒作者声称,这将是“熊猫烧香”的最后一次更新。
这场持续了两个多月的大赛结束了吗?
在“蜜罐”中发现病毒
165438+2006年10月14,中关村瑞星公司总部14楼。
一群反病毒工程师包围了一台断网的电脑。随着鼠标点击,数百个熊猫图标出现在屏幕上。这是那天工程师捕获的病毒,命名为“Nimia”。
石军是瑞星公司R&D部病毒组的一名反病毒工程师。他每天的工作就是和几十个伙伴一起抓网上流传的病毒,然后“拆解”病毒,研究其内部结构,升级瑞星的病毒库。
下午,一名用户向他们提交了一份病毒样本。后来,他们在病毒群的“蜜罐”里发现了这种病毒。
“蜜罐”是病毒集团在互联网上设置的一个弱服务器。工程师故意在服务器上设置各种漏洞,诱导病毒入侵。“这就像猎人做的布满蜂蜜的陷阱,吸引猎物上钩。”
从“蜜罐”中提取病毒后,石军和同事将病毒搬到公司14层一台与网络隔离的电脑上,这就是病毒的“解剖台”。
"运行病毒后,系统中的所有图标都变成了熊猫."石军面前的屏幕上,出现了一排排熊猫图案。熊猫手捧三支香,双手合十鞠躬。
工程师经过分析发现,在该病毒的卡通外表下,隐藏着巨大的感染潜力,其感染方式和查杀手段与现在流行的“卫津”病毒非常相似。瑞星公司立即发布了病毒警告。
病毒蔓延到了全国。
“最初的Nimia并不是很强大。”石军说,随着病毒作者的不断更新,其破坏力和传染性也随之增强。
2006年6月底11,尼米娅的变种不到十个。但从65438年6月+2月开始,病毒作者一天更新一天,变种数量成倍增长。此时,“熊猫烧香”已经取代了“尼玛亚”这个名字。
5438年6月中旬+2月,《熊猫烧香》进入快速突变期。几次大规模爆发后,“熊猫烧香”成为很多电脑用户津津乐道的词汇。
圣诞节过后,“熊猫烧香”的版本已经达到近百个。
石军说,去年65438的2月下旬,国内近千家大型企业感染“熊猫烧香”,向瑞星求助。“当病毒变种和感染者数量超过一定数量时,病毒的传播会呈几何级数增长。”
65438年2月26日,金山毒霸全球反病毒监测中心发布病毒预警,“熊猫烧香”正在疯狂作案。
27日,姜敏科技发布了关于“熊猫烧香”的紧急病毒警报。
2007年6月7日,国家计算机病毒应急处理中心发布紧急预警。“通过对互联网的监测,发现有一种伪装成‘熊猫烧香’的蠕虫在传播,很多企业局域网都已经被这种蠕虫感染了。”
65438年10月9日,“熊猫烧香”继续传播,开始向全国电脑用户泛滥。
这一天,“熊猫烧香”迎来了全国性的大规模爆发,其品种数量定格在306种。
已经招募了来自世界各地的用户
小江是黑龙江省一家网吧的网管。从65438+10月9日到65438+10月10这两天,他的网吧空无一人,没有顾客。当他打开网吧40多台电脑时,屏幕上都是“熊猫烧香”图标,系统崩溃无法运行。
“病毒是在九号早上。一开始只是一台机器。我杀毒的时候,局域网其他机器陆续中招。”小姜说。
同一天上午,在北京一家IT公司工作的刘先生发现,公司近30台电脑全部感染了“熊猫烧香”。病毒破坏了电脑中的程序文件并删除了电脑备份,正在开发的半成品软件被破坏。
刘先生愤怒却又无奈。在年度总结报告中,他特意补充道:“以后重要程序一定要备份,防止‘熊猫烧香’之类的流氓病毒。”
同一天晚上,在北京的一家报社里,技术人员在四处奔波,几十名编辑记者在等着他们清除电脑里的“熊猫烧香”。
6月65438+10月10日,上海一家台资公司的员工张先生打开电脑,迎接他的是一排排上香的熊猫。环顾四周,他发现他的同事们脸上都有同样惊讶的表情。整整一天,公司的业务都处于瘫痪状态。
……
根据瑞星公司提供的“熊猫烧香”病毒用户求助数据,瑞星公司的求助用户已经达到1016,6月9日为11002。因为是选择性求助,而且只限于瑞星杀毒软件的正版用户,这个数据只是冰山一角。
据了解,65438年6月9日,数十万电脑用户被感染。其中,北京、上海等电脑用户集中的城市成为“重灾区”。
“熊猫”并没有就此止步。它继续到处烧香。随着种类的增多,洪超病毒无休止地蔓延,并且愈演愈烈。
截至目前,“熊猫烧香”病毒已有416变种,感染电脑用户数百万。
65438+10月22日,国家计算机病毒应急处理中心再次发出警报,全国通缉一只熊猫烧香。
门户网站被感染。
65438年10月24日,北京市政府新闻办在官网开设了“熊猫烧香”病毒专题,作者在专题中称:“一种伪装成“熊猫烧香”图案的病毒正在疯狂作案...目前很多企业局域网和网站都受到了重创,大部分网民也深受其害。”
为什么“熊猫烧香”难退?
“‘熊猫烧香’不同于以往的病毒,它采用了新的传播手段。”石军说,传统的蠕虫病毒是通过中毒的电脑传播到局域网内的其他电脑上,而“熊猫烧香”除了整合一切可以利用的通信漏洞,还可以通过网站传播。
感染了“熊猫烧香”的电脑会将病毒附加到硬盘上的所有网页文件中。“如果是网站编辑和记者的电脑被感染,那么通过中毒页面,‘熊猫烧香’可能会附着在网站的所有页面上。”石军说,网民在访问这个中毒网站时,会感染“熊猫烧香”病毒。
从传统的点对点到现在的点对点,“熊猫烧香”随着中毒网站惊人的访问量迅速传播开来。
据反病毒工程师介绍,他们监测到“熊猫烧香”已经感染了天涯社区、硅谷动力、pconline等门户网站,暴风影音等知名软件的下载链接中也出现了“熊猫烧香”的痕迹。同时,“熊猫烧香”还可以借助搜索引擎传播病毒。
“借助局域网,借助门户,星星之火可以燎原,借助优盘。”石军表示,“熊猫烧香”的三种主要传播方式成为病毒难以退潮的主要原因。
禁毒人对抗病毒。
石军说,从去年圣诞节开始,瑞星公司的病毒团队就一直在加班。每当“熊猫烧香”新变种发布,工程师们就立即采集样本,解剖病毒,升级相应的查杀工具。“这段时间,有4次熬夜。”
“‘熊猫烧香’的技术并不高超,主要靠作者持续的疯狂更新。更新的时候,我们会更新查杀工具。”石军说,“熊猫烧香”善于利用新的漏洞。比如65438+10月8日的变种,就利用了QQ最新的安全漏洞。
从“熊猫烧香”诞生至今,病毒版本已经修改了400多次,石军和同事开发的查杀工具也升级了10多次。
除了杀毒软件公司,散落在网民中的“杀毒专家”也在打击“熊猫烧香”中发挥了重要作用。
在卡卡网上社区的反病毒论坛里,有很多计算机专家,大部分是业余程序员,他们经常一起研究反病毒技术。“熊猫烧香”一出现,就引起了他们的注意。
5438年6月底+2006年10月,瑞星公司还没有捕获到“熊猫烧香”病毒的时候,程序员“农夫”就已经获取了当时病毒的样本,并编制了专门的查杀工具。此后,每当“熊猫烧香”发布一个变种,mopery、Emma等反病毒论坛用户都会撰写一份详细的变种分析报告,指出该病毒的危险性和新特点。
"事实上,民间有很多杀毒专家."石军说,他自己以前也是民俗专家。他从高中就爱研究病毒,大学毕业后被杀毒软件公司招聘。所以他现在经常浏览一些著名的技术论坛,如果民间专家有一些好的想法,病毒组也会借鉴。
石军说,他有“底牌”——“未知病毒查杀”。他说,这种杀毒方法可以判断病毒的“家族特征”。只要变种满足一系列特征,查杀工具就能有效查杀。
宣石介绍了这种新型杀人工具的工作原理,但他要求记者在报道时隐瞒内容。“病毒作者知道了会很麻烦,这是我们的杀手锏。”
未完成的战争
65438+10月19,“熊猫烧香”发布了新变种,病毒作者还声称这将是“熊猫烧香”的最后一次更新。
消息传来,在卡卡社区,被“熊猫烧香”折磨的网友们满心欢喜。高兴之余,他们开始反思得失。
在反病毒论坛中,网友tom2000发表了一篇名为《熊猫天启——风暴过后的反思》的帖子,帖子中写道:“未来有多少新型病毒/木马会借鉴熊猫的经历?一切才刚刚开始!”
业内专家认为,我国互联网处于起步阶段,大多数网民缺乏最基本的网络安全知识和良好的上网习惯。安全意识薄弱,给病毒大面积传播带来了机会。同时,随着计算机在各行业的普及,病毒带来的危害也会越来越严重。
65438年10月24日下午,反病毒工程师发现了一种新病毒,与“熊猫烧香”非常相似。工程师怀疑是《熊猫烧香》作者制造的新版本病毒。
该病毒会将被感染用户电脑上的所有图标替换为一个人头,在人头的眼睛位置有两个灯泡。
反病毒工程师担心的是“灯泡人”会不会成为“熊猫烧香”的接班人。
“这是一场看不到的战争。对我们来说,战争还在继续。”卫诗说。
《熊猫烧香》是谁拍的?他想要什么?在“熊猫烧香”沸沸扬扬的时期,网络上流传着关于作者身份的各种猜测。在百度的“熊猫烧香”贴吧里,数百名饱受“熊猫烧香”之苦的网友发帖“通缉”病毒制造者,有网友声称提供65438+万美元的悬赏奖金。
昨日,反病毒工程师向记者透露,“熊猫烧香”的作者并非无影无踪。在解剖病毒的过程中,他们发现了病毒中留下的一些神秘信息。在这些留言中,《熊猫烧香》的作者自称wh Boy——“武汉男孩”。
“熊猫”的身体里隐藏着信息。
Mopery是卡卡社区反病毒论坛的版主,也是反病毒专家。
5438年6月中旬+2006年10月,mopery接到网友求助。在帮助解决电脑故障的过程中,他拿到了一个病毒样本,是“熊猫烧香”的原版。
“解剖”病毒后,在复杂的程序代码中,mopery看到了一段与程序无关的信息,其中有一行字母:“whboy”。
“whboy”这个名字对于病毒研究者来说有着不同寻常的意义。2004年,whboy发布了其病毒“武汉男孩”,这是一种通过QQ传播的盗号木马。一年后,由于它的疯狂和广泛传播,被姜敏反病毒中心列为2005年十大病毒之一。
此后,whboy还在一些病毒论坛和黑客论坛上发帖,称可以提供盗取QQ号码的服务,但很快就销声匿迹了,直到“熊猫”出现。
Mopery对“熊猫烧香”做了细致的分析。他发现,这种病毒没有最强大的技术,却有最成熟的传播手段。
Mopery对“熊猫烧香”产生了兴趣。他联系了另一个农民,他是反病毒专家。2006年6月25日,推出首款查杀工具:Nimya蠕虫查杀。
"第一只熊猫没有力量,但后来的变种很强大."莫佩里说,第一版“熊猫烧香”被发现后,一个月内其品种就达到了十几个。
在这些变种中,每隔一段时间,作者有意在病毒中留下whboy这个词。“他主要是给我们分析病毒的人看,普通用户是看不到代码的。”
随着品种的增多,反病毒的人在不断解剖病毒的同时,也开始期待更多的消息。
该病毒列出了“确认单元”
16年2月初,“熊猫烧香”变种加速。代码里除了whboy两个字,还有一行汉字:“武汉男孩感染下载器。”随着品种的增加,越来越多的信息附加在代码上。
此时,mopery和Emma已经加入了反对“熊猫烧香”的大军。他们对熊猫新品种进行了分析,并在卡卡社区反病毒论坛上发布了详细的病毒分析报告。
他们的举动引起了病毒作者“武汉男孩”的注意。在65438+10月初的一次病毒变种中,神秘消息再次更新。
"感谢莫佩里关注这匹特洛伊马."留言里新加的这句话让mopery哭笑不得。随后,武汉男孩似乎迷恋上了病毒里面罗列“感谢单位”的模式。在65438+10月5日的病毒短信里,艾玛的名字被加入了感谢名单。65438年10月9日感谢将“海月”的名字加入杀毒专家名单。文章结尾的那句“我服气...艾玛……”已添加。
此后,武汉男生频频用这种方式与对手“交流”。
65438+10月15,武汉男生在一条消息里问候缉毒的Taylor 77:“Taylor 77,不知道你找我有什么事?”并开玩笑说:“我做的病毒已经烧遍了全城的国宝。”
网络世界大师赛一个月。
16年10月16日,武汉男生发布了一种新的病毒变种,禁毒人员习惯称之为“艾玛”版。因为在这个病毒里面的消息里,艾玛的名字被写了22次。
65438+10月19日晚,“熊猫烧香”发布了最后一次更新。这个版本堪称感染手段最全面的版本。
在《熊猫烧香》的最后一个版本中,武汉男孩写下了告别词:“向听过这匹特洛伊马的网友和网络管理员表示深深的歉意!对不起,你辛苦了!闷闷不乐,我真的想和你谈谈!出于某种原因,我想我还是算了吧!”
面对“熊猫烧香”停止更新的消息,反病毒工程师石军显得很淡定:“我们希望熊猫风波到此结束,但武汉男孩有失言的先例。总之,只要他更新,我们就陪他到最后。”
对于这个已经战斗了一个多月,却不知道躲在哪里的武汉男孩,mopery的寄语是:“希望他能利用好自己的技术,为广大网友服务,而不是给网友带来痛苦。”
“武汉男孩”身份的三种版本
虽然武汉男孩表示不会更新《熊猫烧香》,但这场席卷全国的病毒狂潮的余波却难以平息。网友纷纷猜测武汉小伙的真实身份。
经过调查,业内人士对武汉男生的身份有三种猜测。一、武汉男孩是15年的武汉少年。证据就是网上流传的他和缉毒农民的QQ对话。其次,武汉男孩是桂林一家软件公司的副总。他曾经写过流氓软件,出处是反病毒论坛。第三,武汉男孩是国内某杀毒软件公司员工,故意编写病毒,推广相应的杀毒产品。
为核实传闻,记者分别采访了mopery和瑞星公司反病毒工程师石军。
莫佩里说,经过他和那个农民的核实,确认流传的QQ聊天剪辑的主角是另一个病毒的作者,而不是那个武汉男孩。至于公司副总的说法,更是毫无根据。
作为一家杀毒软件公司的员工,石军说,每次大的病毒传播,总有对杀毒软件公司不利的谣言,但杀毒软件行业的程序员不会写病毒,扰乱网络。他问:“流感病毒是医生制造的吗?”
mopery和石军都表示,从留言内容和程序代码来看,武汉男孩是一名资深人士,有丰富的病毒编写经验。他经常浏览卡卡社区反病毒论坛,随时关注mopery等人的病毒分析。卡卡社区有59万多会员,武汉男生肯定在其中,但这个范围很难缩小。“武汉男孩本身精通网络技术和入侵技术,很难通过他的网上痕迹追查到他的真实身份。”莫佩里说。
“熊猫烧香”有商业目的。
石军说,经过分析,他们认为“熊猫烧香”有很强的商业目的。“用户感染病毒后,会从后台点击国外网站,有些变种含有盗号木马,病毒作者可以从中获利。”
“现在的病毒编写者和90年代的不一样了,他们不再以炫耀技术为目的,而是有了明确的商业目的。病毒和流氓软件的界限越来越模糊。”卫诗说。
昨天下午,瑞星公司工作人员表示,已将病毒作者的相关证据和病毒特征提交给国家计算机病毒应急处理中心。国家计算机病毒应急处理中心工作人员表示,目前正在统计“熊猫烧香”病毒风暴的相关数据、受影响的电脑数量以及造成的经济损失,将于近期在其主页上公布。
对于是否向公安机关报案,该工作人员表示目前不方便透露。
“我相信有一天我会看到武汉男孩的真面目。”莫佩里说。
■链接
计算机信息系统安全保护条例
第二十三条故意进口计算机病毒和其他有害数据,危害计算机信息系统安全的,或者未经许可销售计算机信息系统安全专用产品的,由公安机关给予警告,或者对个人处5000元以下罚款,对单位处15000元罚款;有违法所得的,除没收外,可并处违法所得0至3倍的罚款。
第二十四条违反本条例规定,构成违反治安管理行为的,依照《中华人民共和国治安管理处罚条例》的有关规定处罚;构成犯罪的,依法追究刑事责任。
在控制面板中选择鼠标。
然后是指针,
可以换图。
如果得不到图片,可以先毒死自己,用打印屏幕(删除符号后),然后切图,得到熊猫烧香的图片,按照上面那个人做,也可以先解码再得到。