两个月前,Mopery开始了这场几乎没有任何胜算的战争。
他把他的对手称为“幽灵”,因为他无法获知这个人的背景,也不知道这个人最终要做什么。他唯一能确定的是,在这个寒冷的冬天,“幽灵”用他自己制作的如同北京的沙尘暴一样猛烈的病毒——“熊猫烧香”,不断冲击着中国的互联网用户。
他的战场位于瑞星卡卡反病毒论坛。
狙击武汉男孩
“幽灵是一个可怕的超级黑客,他对我们几乎了如指掌,经常进出卡卡社区反病毒论坛——他正躲在幕后不断地窥视着我们。”Mopery对记者说。
Mopery是一名反病毒高手,瑞星卡卡社区反病毒论坛的版主。通过研究,Mopery发现了病毒内的一些留言,留言中,幽灵自称Whboy——“武汉男孩”。
“‘熊猫烧香’非常难以预防,因为它使用了一种新的传播方式。”瑞星反病毒软件工程师史瑀说,与普通病毒不同的是,“熊猫烧香”可以利用网站来传播。“如果网站编辑们的电脑被感染了,通过他们,熊猫烧香的病毒就会挂在网站的所有网页上,凡是访问此网站的网友会全部中招。”
“借助局域网天女散花,借助门户网站星火燎原,借助U盘死灰复燃,这是它的主要传播途径。”史瑀说。
在“熊猫烧香”迅速向全国扩散的时候,农夫、艾玛等一批反病毒高手开始在mopery的联合下加入“杀猫”大军,每天分析该病毒的新变种,同时在卡卡社区反病毒论坛上,不断更新详细的病毒分析报告。
“杀猫”大军的举动吸引了武汉男孩的注意,他开始在病毒中留言。在1月初的熊猫病毒变种代码中,除了whboy字样外,又多了一行字:“感谢mopery对此木马的关注。”这让mopery啼笑皆非。
随后,武汉男孩开始在每一个更新的病毒内部列出“鸣谢单位”留言。在1月5日的病毒留言中,艾玛的名字上了感谢名单。1月15日,武汉男孩和反毒者taylor77打招呼:“taylor77,不知道找我啥事啊?”同时,武汉男孩得意洋洋的宣称:“我制作的病毒已经‘满城尽烧国宝香’。”
据不同消息说,“熊猫烧香”造访过天涯社区、pconline、硅谷动力等门户网站,在暴风影音等知名软件的下载链接中也曾出现过“熊猫烧香”的魅影。
来自金山毒霸客服中心的统计显示,截至目前,“熊猫烧香”病毒变种已达416个,受感染电脑用户达到数百万台。
Mopery告诉记者,通过他和农夫的追踪了解,武汉男孩就隐藏在卡卡社区59万会员中间,但这个范围却无法再进一步缩小。从留言的内容和程序代码来看,武汉男孩是一位有丰富病毒编写经验的熟手,经常浏览卡卡社区反病毒论坛,随时关注mopery等人更新的病毒分析。
“武汉男孩精通入侵技术,通过他上网的痕迹来追查很难实现。”mopery有些无奈。
1月22日,国家计算机病毒应急处理中心发出警报,在全国范围内通缉“熊猫烧香”的发布者。
“烧香”求财
“现在的制作计算机病毒的黑客们并不像上世纪90年代以炫耀技术为主,他们往往带有强烈的商业目的。”史瑀介绍,黑客们惯用的手法是将编写好的病毒通过邮件、恶意网站等传播出去,用户中毒后,便可以盗取其网络银行密码或游戏装备来赚钱。
如史瑀和mopery所判断,“熊猫烧香”背后的势力已经开始逐步现身。用户中“熊猫烧香”后,病毒会自动下载一些病毒木马, 这些木马病毒会盗取网游、网银密码等,目前网上已经发现了盗窃网游设备产销一条龙的产业链。
江民公司的反病毒工程师告诉记者,“熊猫烧香”的作者已经开始通过几家地下网站公开销售网络游戏的装备,“他们这些网站可以称为是盗号、买卖一条龙,熊猫烧香的背景远没有那么简单。”
记者随即点开了杀毒公司提供的网址,但发现已经“无法访问”。据悉,目前这些地下网站已经发现被人调查,纷纷关闭了网站,或换个名字重新注册。
腾讯客服中心人员表示,随着肆虐的“熊猫”,他们已经接到了大批用户QQ号被盗的反映,而被盗的号码正在网上被秘密拍卖;盛大、九城、金山等网络公司则表示,熊猫出现以来,众多网络游戏玩家的一些高级装备已经被大批量盗走。而这些装备正通过某种渠道被倒卖;网络银行用户也同样,一些中毒的用户在毫不知情的情况下钱被偷偷取光,网络银行服务中心近日来的投诉日渐增多。
此外,武汉男孩还劫持了无数的中毒用户,这些中毒的计算机被称为“肉鸡”,由众多肉鸡组成的网络被称为“僵尸网络”,武汉男孩可以随意控制这个网络,而这可以为某些网站带来巨大的点击率,但前提是“你得付得起价钱”。
“通过以上手段,目前武汉男孩至少赚了100万!”一位反毒工程师说。
1月19日晚,“熊猫烧香”发布更新时,武汉男孩写下了临别赠语:“在此对各位中过此木马的网友和各位网管人员表示深深的歉意!对不起,你们辛苦了!mopery,很想和你交流一下!某某原因,我想还是算了!”
但武汉男孩并没有信守诺言,1月30日晚,“熊猫烧香”的最新变种“金猪杀手”重现江湖,被感染的电脑中除了熊猫成群,还金猪满圈。
“黑客技术就像一把尖刀,在警察手里是个好工具,落在歹徒手里就是一个作案工具。”mopery有些无奈,他至今还在寻觅武汉男孩的踪迹。
[本贴已被 作者 于 2007年02月03日 20时28分24秒 编辑过][/COLOR][/ALIGN] |