[提要] 湖北網監在浙、魯、桂、津、粵、川、閩、雲、新、豫等地警方的配合下，偵破了「熊貓燒香」病毒案，抓獲李俊等6名嫌犯。25歲的李俊曾多次到北京、廣州找IT方面的工作，尤其鍾情於網絡安全公司，但均未成功。為了發洩不滿，同時抱著賺錢的目的，李俊開始編寫病毒……

　　記者吳昌華劉長風李波濤通訊員公宣曾幾何時，一隻頷首敬香的熊貓成為無數電腦用戶噩夢般的記憶：上百萬個人用戶、網吧及企業局域網用戶遭受感染和破壞，損失難以估量，《瑞星2006安全報告》將其列為十大病毒之首，《2006年度中國大陸地區電腦病毒疫情和互聯網安全報告》稱其為「毒王」。

　　湖北省公安廳12日宣佈：根據統一部署，湖北網監在浙、魯、桂、津、粵、川、閩、雲、新、豫等地警方的配合下，一舉偵破了製作傳播「熊貓燒香」病毒案，抓獲李俊等6名嫌犯。
這是我國破獲的國內首例製作計算機病毒的大案。

　　關山出租屋內抓獲「武漢男孩」

　　今年1月，仙桃市公安局局域網辦理第二身份證時中了「熊貓燒香」病毒。與此同時，位於仙桃市的「江漢熱線」不幸感染「熊貓燒香」，網絡癱瘓。

　　1月中旬，湖北網監部門根據公安部公共信息網絡安全監察局的部署，對「熊貓燒香」製作者開展調查。1月24日，仙桃警方正式立案，案件代號為「122案件」。對比此前出現的「武漢男孩」病毒，兩種病毒程序編碼類似，警方推測可能系一人所為。

　　1月31日，湖北省公安廳網監總隊召開仙桃、武漢、宜昌、荊門等地網監部門負責人會議，部署合力開展案件偵破，成立了指揮領導小組與偵破專班。湖北省公安廳網監總隊徐雲峰博士對該病毒已追蹤多時。在網監總隊統一部署下，網警運用多種網絡技術手段和偵查手段，2月1日查找到犯罪嫌疑人所在地——武漢關山的一棟兩層樓房內的出租屋。偵破專班對該出租屋實行24小時監控。

　　2月3日晚9時許，一男子回該出租屋取東西，被警方抓獲，此人正是「熊貓燒香」製作者李俊。李俊交待了其製作「熊貓燒香」病毒牟利的經過，並交出了其銷售病毒的下線。李俊供稱，回出租屋取東西的目的是準備外逃。警方同時抓獲另一名涉案人員雷磊。

　　「網絡天才」沒唸過大學

　　「他是網絡天才。」昨日，省網監總隊有關專家如此描述李俊。李俊，男，25歲，新洲區陽邏街人，曾在某電腦城工作；雷磊，男，25歲，是李俊的同鄉兼同學，兩人中專畢業後一起參加網絡技術職業培訓班。

　　2004年畢業後，李俊曾多次上北京、下廣州找IT方面的工作，尤其鍾情於網絡安全公司，但均未成功。為了發洩不滿，同時抱著賺錢的目的，李俊開始編寫病毒，2003年曾編寫過「武漢男生」病毒，2005年編寫了「武漢男生2005」病毒及「QQ尾巴」病毒。抓獲李俊和雷磊後，警方乘勝追擊，又抓獲王磊（男，22歲，山東威海人）、葉培新（男，21歲，浙江溫州人）、張順（男，23歲，浙江麗水人）、王哲（男，24歲，湖北仙桃人）等4名改裝、傳播「熊貓燒香」病毒的嫌疑人，這些人通過改寫、傳播「熊貓燒香」等病毒，構建「殭屍網絡」，通過盜竊各種遊戲和QQ賬號等方式非法牟利。目前這6人均已被警方刑拘。

　　「熊貓燒香」一份賣3000元

　　李俊交代，他於2006年10月16日編寫了「熊貓燒香」。這是一種超強病毒，感染病毒的電腦會在硬盤的所有網頁文件上附加病毒。如果被感染的是網站編輯電腦，通過中毒網頁病毒就可能附身在網站所有網頁上，訪問中毒網站時網民就會感染病毒。「熊貓燒香」感染過天涯社區等門戶網站。

　　「熊貓燒香」除了帶有病毒的所有特性外，還具有強烈的商業目的：可以暗中盜取用戶遊戲賬號、QQ賬號，以供出售牟利，還可以控制受感染電腦，將其變為「網絡殭屍」，暗中訪問一些按訪問流量付費的網站，從而獲利。部分變種中還含有盜號木馬。

　　李俊以自己出售和由他人代賣的方式，每次要價3000元，將該病毒銷售給120餘人，非法獲利10萬餘元。經病毒購買者進一步傳播，該病毒的各種變種在網上大面積傳播，據估算，被「熊貓燒香」病毒控制的「網絡殭屍」數以百萬計，其訪問按訪問流量付費的網站，一年下來累計可獲利上千萬元。

　　「武漢男孩」太囂張

　　——知情人士披露偵破內幕

　　據接近該案的知情人士透露，「熊貓燒香」作者在互聯網上留下了很多蛛絲馬跡。專案小組選擇了從互聯網上的一些社區信息、域名註冊信息開始入手。鑑於在多個病毒代碼裡都寫著whboy，包括「熊貓燒香」、流氓軟件51VC等，其代碼、傳播以及爆發手法都極為相似，專案小組決定併案偵查。

　　「舉個例子來說，51.vc的網站上寫著ICP證是：魯ICP證005248號。」專案小組當即查明這是一個偽造的ICP證，通過有關渠道查到另一個網站www.51pm.org也是使用了這個偽造的ICP證。儘管當時該網站已不能訪問，但可以搜索引擎的快照功能回溯該站點網頁，其內容和51.vc完全一樣。專案小組在掌握了上述信息後，立即著手尋找51.vc或51pm.org註冊者，而這些人也就是這些病毒的作者或者幕後指使的關聯人物。

　　知情人士表示，上述例子只是偵破手段中的一種方法，事實上，目前互聯網上有多種追蹤方式，對於大規模傳播的病毒而言，幕後黑手幾乎無法藏身。信息安全業內人士表示，熊貓燒香與以往許多病毒都在拚命隱藏作者身份的做法不同，「熊貓燒香」的作者顯得過於明目張膽，還主動銷售源代碼給他人，這些行為都暴露了他的身份。（馬城金磊）

　　雷磊「高科技犯罪」讓親屬驚訝

　　據介紹他和李俊關係一直很好

　　荊楚網 （楚天都市報）（記者葉寧 張屏 通訊員陳光燦後方統籌胡勇謀）昨晚12時許，記者驅車來到新洲陽邏長山村窩子灣，敲開雷磊家門。據村民介紹，雷磊父母都是做工程的個體戶。雷磊叔叔雷軍華說，雷磊初中畢業後因成績不好沒有考上高中，就上了一所中專，人很聰明，懂點電腦。

　　雷軍華說，4日下午5時許，他接到了仙桃市第二看守所的電話，遂和雷磊父親趕到仙桃送了生活費和衣物，當時還不知道雷磊犯的究竟是何罪。今天網上傳出消息後，村裡鬧得沸沸揚揚，他趕到網吧親自看過，很驚訝侄兒居然涉嫌如此「高科技犯罪」。窩子灣隊長介紹說，雷磊是獨生子，很瘦，一直在漢口打工，每年都會回家幾次，很少出門，性格內向，偶爾開著父親的轎車在村裡逛逛。已婚，孩子才一歲。李俊未婚，與雷磊平時很要好，經常串門。

　　「熊貓」兇猛

　　2006年11月14日「蜜罐」中發現「熊貓」

　　2006年11月14日，瑞星公司反病毒工程師們發現了一種新病毒。大家將病毒移到一台與網絡隔離的電腦上，運行病毒之後，屏幕上出現了一排排的熊貓圖案，熊貓們手持三炷香，合十作揖。反病毒工程師們將其命名為「尼姆亞」。其實，在瑞星公司捕獲「尼姆亞」病毒之前一個月，卡卡網絡社區反病毒論壇的版主mopery拿到了一個病毒樣本，它才是「熊貓燒香」的原始版本。

　　2007年1月9日「熊貓燒香」瘋狂爆發

　　2006年12月中旬，「熊貓燒香」進入急速變種期。2007年1月7日，國家計算機病毒應急處理中心發出「熊貓燒香」的緊急預警。1月9日，「熊貓燒香」全國性暴發。

　　小江是黑龍江一家網吧的網管。1月9日，他打開網吧的電腦，屏幕上佈滿了「熊貓燒香」圖標，系統崩潰。同一天，北京一家IT公司電腦全部感染 「熊貓燒香」，正在研發中的軟件毀於一旦。同一天晚上，北京的一家報社裡，技術人員們東奔西跑，幾十名編輯記者都在等待著他們清除「熊貓燒香」……這一天感染的電腦用戶達數十萬。

　　「熊貓」並未就此止步，它繼續四處「燒香」，並且愈演愈烈。1月22日，國家計算機病毒應急處理中心再次發出警報，在全國通緝「熊貓燒香」。

　　2007年1月中上旬「武漢男孩」留言挑釁

　　反病毒工程師們將病毒解剖之後，看到了一段信息：「whboy」。「whboy」這個名字，對於病毒研究者有著不一般的含義。2004年， whboy發佈了其創作的病毒「武漢男孩」，一年後該病毒被江民列入2005年十大病毒。「熊貓燒香」變種後，代碼中除了whboy字樣外又多了一行漢字：「武漢男孩感染下載者。」此時，mopery和網友艾瑪加入抗擊「熊貓燒香」的大軍當中，吸引了「武漢男孩」的注意。

　　在1月初的一份病毒變種中，留言再次更新：「感謝mopery對此木馬的關注。」隨後，「武漢男孩」在1月5日的病毒留言中感謝名單上添加了艾瑪的名字。

　　1月15日，武漢男孩還在留言中和反毒者taylor77打起了招呼：「taylor77，不知道找我啥事啊？」並且戲言：「我製作的病毒已經 『滿城盡燒國寶香』。」1月19日晚，「熊貓燒香」最後一次更新，發佈者寫下臨別贈語：「在此對各位中過此木馬的網友和各位網管人員表示深深的歉意！對不起，你們辛苦了！」

　　觀點

　　破壞計算機信息系統可能處5年以上有期徒刑

　　荊楚網（楚天都市報）（記者胡勇謀）湖北省刑事辯護專業委員會王萬雄委員說，製造「熊貓燒香」病毒的嫌疑人涉嫌破壞計算機信息系統罪。王萬雄說，《刑法》規定，故意製作、傳播計算機病毒等破壞性程序，影響計算機系統正常運行，後果嚴重的行為，屬破壞計算機信息系統罪。他說，「熊貓燒香」病毒的製造者是典型的故意製作、傳播計算機病毒等破壞性程序，影響計算機系統正常運行，後果特別嚴重的行為。《刑法》規定，犯此罪後果嚴重的，處5年以下有期徒刑或者拘役；後果特別嚴重的，處5年以上有期徒刑。

　　苦中作樂網友忙「創作」

　　「熊貓燒香」在讓眾多網民叫苦不迭的同時，也引發了一場聲勢浩大的網絡創作熱潮，由唐詩宋詞、流行歌曲到電影對白、原創漫畫，改編「作品」瀰漫網絡。

　　唐詩版：李白成「受災大戶」

　　貓撲大雜燴的《熊貓燒香題詩三百首》，短短幾天內幾十首當代「唐詩」迅速出籠。崔顥《黃鶴樓》被改成：熊貓已被格式化，此地空餘白硬盤。熊貓一去不復返，網民硬盤空悠悠。熊貓燒燒三炷香，系統萋萋EXE。重要資料何處是，可惡熊貓使人愁。李白成為「受災大戶」。「李白開機將上網，忽聞機內熊貓聲。殺毒軟件千千萬，不及我貓三炷香!」《將進酒》也慘遭篡改，其中一個版本說：「君不見熊貓之香網上來，系統崩潰不復回。君不見殺毒軟件沒辦法，朝如青絲暮成靶。雖被感染須盡歡，莫使微機空對月。」「與君香一炷，請君為我傾耳聽。系統文件不足貴，但願熊貓不更新。古來病毒皆寂寞，唯有熊貓留其名。」李煜的《虞美人》成為《貓美人》，而「熊貓燒香，無處話淒涼。」「滿機熊貓關不住，三支高香出牆來。」「千般病毒有盡時，此香綿綿無絕期。」等諸如之類的絕句讓人忍俊不禁。

　　歌詞版：篡改《菊花台》

　　《兩隻蝴蝶》得到了惡搞網友的喜愛。「親愛的你慢慢燒，小心前面瑞星的解藥。親愛的你別後退，卡巴斯基會讓你沉醉。……我和你纏纏綿綿片片燒，飛越這網線永相隨。等到熊貓起香灰落成堆，能陪你一起死機也無悔。」《兩隻老虎》變成了：「熊貓燒香，熊貓燒香，燒得high，燒得high。一支燒壞系統，一支燒壞電腦，真厲害，真厲害!」《歌聲與微笑》則唱道：「明天明天這熊貓，燒遍海角天涯，燒遍海角天涯。明天明天這熊貓，殺毒軟件害怕，殺毒軟件害怕。」最讓人叫絕的當屬改編的《滿城盡帶黃金甲》主題曲《菊花台》，極為形象地表現了中毒者的無奈。「你的淚光，柔弱中帶傷。滿屏的熊貓香，刪除過往。熊貓猖狂，點上三根香，是誰在電腦前冰冷地絕望。貓慢慢拜，暗黃色的香。我癱坐椅子上，精神錯亂，路在何方，誰為我思量，冷風吹亂憔悴模樣。熊貓拜，三根香，你的笑容已泛黃。重裝又重裝，我心裡在發慌。江民殺，瑞星除，你的影子剪不斷，徒留我在機旁神傷。」(綜合《京華時報》《信息時報》等報導)

熊貓燒香  還有詩 & 成名曲
真是佩服創詞創曲者
卡卡社區好像瑞星大本營

熊貓燒香相關的搞笑詩、詞太多了，呵呵，網友的創作不錯

不过跟當年CIH一樣嚴重說  不過寫病毒的如果跟防毒商合作 一定會大賺一筆

這種傳聞 好像時有所聞

不過現在網路變得好發達..現在上網感覺裝多少防毒 跟防火牆似乎都沒有用說..

廠商都說自己是最好的

有一樣嚴重嗎????我到認為沒有CIH嚴重,因為CIH與熊貓燒香是不同型的病毒~!!

熊貓燒香不會感染系統重要執行程式~CIH會重刷BIOS,系統直接崩潰~!!

CIH倒是被當時認為非常高級的病毒~!!

[ 本帖最後由 黑衣~魂 於 2007-2-13 14:27 編輯 ]

不應該用"網路天才"這種形容冠在他頭上
這會誤導心智尚未成熟者
美化/包裝犯罪行為
看來兩岸媒體一樣糟糕

熊貓燒香詩曲，創作的不錯，真搞笑
反應中毒無奈、無助

我同意你的說法確實如此~!!

會誤導心智不成熟的人~對於網路犯罪的價值觀~!!

我還看到對岸改詩詞呢~!!!現在壞人終於抓到嚕,可以消消氣嚕~!

不過當時CIH也是蠻有名的說  針對名聲來說

不過我不知道這個病毒那麼毒喔

CIH會重刷BIOS,系統直接崩潰

Taiwan NO.1有沒有比較"高級"啊 .

這個是元老級病毒..

說句題外話 新的微軟系統 還沒有出包嗎？

因為號稱最安全的作業系統

很早就出包了,有幾個重大漏洞都微軟還在"研究"中 .

不過Vista能相容的程式太少了,裝下去根本就是好看而已 .

Vista也有相容性設定，可試試看設定為相容於XP，有些軟體的確可以用...

很多軟體要經改版才能安裝在Vista
那病毒也要這樣嗎^^

引用:

原帖由 伙計 於 2007-2-13 19:43 發表
很多軟體要經改版才能安裝在Vista
那病毒也要這樣嗎^^

的確,Kaspersky之前已經有偵測到全球第一隻專攻64位元的威脅,某些部分有改寫,但是攻擊方式還是一樣的 .