誰是"熊貓燒香"幕後殺手?作者留名:武漢男孩
反毒人員在“解剖”病毒後,發現裏面的留言。 本報記者 劉軍 攝
誰製造了“熊貓燒香”?他意欲何為?在“熊貓燒香”肆虐期間,關於作者身份的種種猜測流傳於互聯網上。在百度“熊貓燒香”貼吧中,數百名深受“熊貓”所害的網民發帖“通緝”病毒製造者,更有網民聲稱開出10萬美元的懸賞花紅。
昨天,反病毒工程師向記者透露,“熊貓燒香”的作者並非無跡可尋,在解剖病毒過程中,他們發現了留在病毒內的一些神秘留言。在這些留言裏,“熊貓燒香”的作者自稱whboy———“武漢男孩”。
“熊貓”體內暗藏留言
mopery是卡卡社區反病毒論壇的版主,也是一名反病毒高手。
2006年10月中旬,mopery接到網友求助。在幫忙解決電腦故障的過程中,他拿到了一個病毒樣本,它就是“熊貓燒香”的原始版本。
將病毒“解剖”之後,在繁復的程式代碼中,mopery看到了一段與程式無關的資訊,其中有一行字母:“whboy”。
“whboy”這個名字,對於病毒研究者有著不一般的含義。2004年,whboy即發佈了其創作的病毒“武漢男孩”,那是一種透過QQ傳播的盜號木馬,因為其變種的瘋狂和傳播的廣泛,一年後,被江民反病毒中心列入2005年十大病毒之列。
此後,whboy還在一些病毒論壇和黑客論壇發帖,表示可以提供盜取QQ號服務,但不久後便銷聲匿跡,直至“熊貓”出現。
mopery對“熊貓燒香”進行了認真分析。他發現,這種病毒並不擁有最厲害的技術,卻擁有最成熟的傳播手段。
mopery對“熊貓燒香”產生了濃厚的興趣,他聯繫了另一名民間反病毒高手農夫,在2006年10月25日推出了第一款專殺工具:尼姆亞蠕蟲專殺。
“第一隻熊貓沒什么威力,厲害的是後面的變種。”mopery說,從發現第一版“熊貓燒香”後,一個月內,它的變種就達到了十幾種。
在這些變種中,每隔一段時間,作者都有意在病毒中留下whboy字樣。“他主要給我們這些分析病毒的人看,普通用戶看不到代碼。”
隨著變種增多,反病毒人士在連續解剖病毒的同時,開始期待更多留言出現。
病毒內部列出“鳴謝單位”
2006年12月初,“熊貓燒香”變種加速,代碼中除了whboy字樣外,又多了一行漢字:“武漢男孩感染下載者。”隨著變種的增多,代碼內附帶的資訊也越來越多。
此時,mopery和艾瑪已經加入抗擊“熊貓燒香”的大軍當中。他們分析熊貓的新變種,並在卡卡社區反病毒論壇上,貼出一份份詳細的病毒分析報告。
他們的舉動,吸引了病毒作者“武漢男孩”的注意力。在1月初一份病毒變種中,神秘留言再次更新。
“感謝mopery對此木馬的關注。”留言中新添的這句話,讓mopery啼笑皆非。隨後,武漢男孩似乎迷戀上了這種病毒內部列出“鳴謝單位”的模式,在1月5日的病毒留言中,感謝名單上添加了艾瑪的名字。1月9日,感謝名單中又多了殺毒高手“海色之月”的名字,文末還添加了一句“服了……艾瑪…… ”
此後,武漢男孩開始頻繁用這種方式與對手“交流”。
1月15日,武漢男孩還在留言中和反毒者taylor77打起了招呼:“taylor77,不知道找我啥事啊?”並且戲言:“我製作的病毒已經‘滿城盡燒國寶香’。”
網路世界高手對決一個月
1月16日,武漢男孩發佈了新的病毒變種,反毒者們習慣稱之為“艾瑪”版本。因為在這個病毒內部的留言中,寫了22次艾瑪的名字。
1月19日晚,“熊貓燒香”發佈了最後一次更新。這個版本可稱為傳染手段最全面的版本。
在“熊貓燒香”的最後一個版本中,武漢男孩寫下了臨別贈語:“在此對各位中過此木馬的網友和各位網管人員表示深深的歉意!對不起,你們辛苦了!mopery,很想和你們交流下!某某原因,我想還是算了!”
面對“熊貓燒香”停止更新的消息,反病毒工程師史瑀顯得很平靜:“我們希望熊貓風波就此結束,但是武漢男孩有失言的先例。總之他只要更新,我們就奉陪到底。”
對於持續對決一個多月,卻不知藏身何處的武漢男孩,mopery的贈言是:“我希望他能好好利用自己的技術來服務廣大網民,而不是給網民帶來痛苦。”
“武漢男孩”身份存仨版本
雖然武漢男孩表示不再更新“熊貓燒香”,但這場席捲全國的病毒狂潮卻餘波難平。網民們紛紛猜測武漢男孩的真實身份。
經調查,目前在業內人士中,關於武漢男孩的身份有三種猜測。其一,武漢男孩是一名15歲的武漢少年,證據是網路上流傳的他和反毒者農夫的QQ對話。其二,武漢男孩是桂林一家軟體公司的副總裁,曾編寫過流氓軟體,消息來源是反病毒論壇。其三,武漢男孩是國內殺毒軟體公司的員工,故意編寫病毒,促銷相應的殺毒產品。
為核證傳言,記者分別採訪了mopery和瑞星公司反病毒工程師史瑀。
mopery稱,經過他和農夫的核證,證實流傳的QQ聊天片斷的主人公,是另外一種病毒的作者,而非武漢男孩。至於公司副總的說法,屬空穴來風。
作為殺毒軟體公司的員工,史瑀說,每次大型病毒流傳後,總有各種對殺毒軟體公司不利的傳言,但殺毒軟體界的程式員不會編寫病毒、擾亂網路。他反問道:“流感病毒是醫生製作的么?”
mopery和史瑀都表示,從留言的內容和程式代碼來看,武漢男孩是一位有豐富病毒編寫經驗的熟手,經常瀏覽卡卡社區反病毒論壇,隨時關注mopery等人的病毒分析。卡卡社區有59萬餘名會員,武漢男孩一定身在其中,但這個範圍卻再難縮小。“武漢男孩本身精通網路技術和入侵技術,透過他上網的痕跡追查真身很難實現。”mopery說。
“熊貓燒香”帶有商業目的
史瑀說,他們經過分析認為,“熊貓燒香”帶有強烈的商業目的,“用戶感染病毒後,會從後臺點擊國外的網站,部分變種中含有盜號木馬,病毒作者可借此牟利。”
“現在的病毒作者和上世紀90年代的不同,他們不再以炫耀技術為目的,而是帶有明確商業目的,病毒和流氓軟體界限越來越模糊了。”史瑀說。
昨天下午,瑞星公司工作人員表示,已將病毒作者的相關證據和病毒特性提交給國家計算機病毒應急處理中心。國家計算機病毒應急處理中心工作人員稱,關於這場“熊貓燒香”病毒風暴,受波及的電腦數位以及造成的經濟損失等相關資料,目前正在統計,將於近日在其主頁上公佈。
關於是否向公安機關報案,這名工作人員表示,目前不便透露。
“我相信總有一天會見到武漢男孩真面目的。”mopery說。
■鏈結
計算機資訊系統安全保護條例
第二十三條 故意輸入計算機病毒以及其他有害資料危害計算機資訊系統安全的,或者未經許可出售計算機資訊系統安全專用產品的,由公安機關處以警告或者對個人處以5000元以下的罰款、對單位處以15000元以下的罰款;有違法所得的,除予以沒收外,可以處以違法所得1至3倍的罰款。
第二十四條 違反本條例的規定,構成違反治安管理行為的,依照《中華人民共和國治安管理處罰條例》的有關規定處罰;構成犯罪的,依法追究刑事責任。
