湖北省公安厅12日宣布，根据统一部署，湖北网监在浙江、山东、广西、天津、广东、四川、江西、云南、新疆、河南等地公安机关的配合下，一举侦破了制作传播“熊猫烧香”病毒案，抓获李俊(男，25岁，武汉新洲区人)、雷磊(男，25岁，武汉新洲区人)等8名犯罪嫌疑人。这是我国破获的国内首例制作计算机病毒的大案。 

    “熊猫烧香”简介 

    “熊猫烧香”病毒是一个能在电脑操作系统上运行的蠕虫病毒。采用“熊猫烧香”头像作为图标。它的变种会感染EXE可执行文件，被病毒感染的文件图标均变为“熊猫烧香”。该病毒会在中毒电脑中所有的网页文件尾部添加病毒代码。 

    [事件危害]上百万电脑用户深受其害 

    据介绍，2006年底，我国互联网上大规模爆发熊猫烧香病毒及其变种，该病毒通过多种方式进行传播，并将感染的所有程序文件改成熊猫举着三炷香的模样，同时该病毒还具有盗取用户游戏账号、QQ账号等功能。该病毒传播速度快，危害范围广，截至案发为止，已有上百万个人用户、网吧及企业局域网用户遭受感染和破坏，引起社会各界高度关注。《瑞星2006安全报告》将其列为十大病毒之首，在《2006年度中国大陆地区电脑病毒疫情和互联网安全报告》的十大病毒排行中一举成为“毒王”。 

    [侦破内幕]作者的求财动机提供破案线索 

    在湖北省公安厅宣布成功侦破熊猫烧香病毒案当晚，接近该案专案小组的知情人士透露抓捕内幕。这是迄今为止，我国侦破的国内首例制作计算机病毒的大案。 

    接近该案的知情人士透露，公安部从去年10月底就开始关注熊猫烧香病毒，“它的传播面大，影响面广而且特别恶劣。”尽管病毒作者绞尽脑汁进行自我隐藏，不过在锁定目标的过程中，还是在互联网上留下了很多蛛丝马迹。“其实这类病毒的作者往往以赚钱为目的，总是会留下线索。”专案小组选择从互联网上的一些社区信息、域名注册信息开始入手。 

    该人士表示，目前多个相关病毒的代码里都写着whboy，其中就包括大名鼎鼎的熊猫烧香、流氓软件51.vc以及一些腾讯QQ、网游传奇账号密码盗窃的木马软件。“这些木马的代码、传播以及爆发手法都极为相似”，专案小组初步判断为同一人所为，决定并案侦查。 

    “举个例子来说，51.vc的网站上写着ICP证是：鲁ICP证005248号。”知情人士表示，专案小组当即查明这是一个伪造的ICP证，通过有关渠道查到另一个网站www.51pm.org也是使用了这个伪造的ICP证。尽管当时该网站已不能访问，但可以搜索引擎的快照功能回溯该站点网页，其内容和51.vc完全一样。专案小组在掌握了上述信息后，立即着手寻找51.vc或51pm.org注册者，而这些人也就是这些病毒的作者或者幕后指使的关联人物。 

    知情人士表示，上述例子只是侦破手段中的一种方法，“事实上，在侦破过程中采用了多方面信息相互印证的办法。”据介绍，目前互联网上有多种追踪方式，对于大规模传播的病毒而言，幕后黑手几乎无法藏身。 

    信息安全业内人士表示，技术上锁定并取证后，再通过调查其背后商业目的的方法入手分析，一般都能发现蛛丝马迹。尤其是熊猫烧香与以往许多病毒都在拼命隐藏作者身份的做法不同，熊猫烧香的作者显得过于明目张胆。据悉，此次有关部门抓捕病毒作者，是因为熊猫烧香的病毒作者不仅自己扩散传播，还主动销售源代码给其他盗窃团伙，种种行为都暴露了他的身份。 

    “这个病毒是通过入侵网站并挂上木马来实现传播，并盗取用户有价值的虚拟账户。除此之外，这个团伙还销售病毒源代码牟利，其影响的规模非常大，社会影响极为恶劣。”接近专案小组的知情人士表示，“不仅是他们一个病毒团伙在传播，还有大量团伙一起传播。” 

    “这背后也许还隐藏着更为复杂的利益集团，这些都还没有最终浮出水面。” 

    反病毒人士与“熊猫烧香”作者网上对战纪实 

    “熊猫”体内暗藏留言 

    在“熊猫烧香”大肆肆虐期间，反病毒工程师透露，“熊猫烧香”的作者并非无迹可寻，在解剖病毒过程中，他们发现了留在病毒内的一些神秘留言。在这些留言里，“熊猫烧香”的作者自称whboy———“武汉男孩”。 

    mopery是卡卡社区反病毒论坛的版主，也是一名反病毒高手。 

    2006年10月中旬，mopery接到网友求助。在帮忙解决电脑故障的过程中，他拿到了一个病毒样本，它就是“熊猫烧香”的原始版本。 

    将病毒“解剖”之后，在繁复的程序代码中，mopery看到了一段与程序无关的信息，其中有一行字母：“whboy”。 

    “whboy”这个名字，对于病毒研究者有着不一般的含义。2004年，whboy即发布了其创作的病毒“武汉男孩”，那是一种通过QQ传播的盗号木马，因为其变种的疯狂和传播的广泛，一年后，被江民反病毒中心列入2005年十大病毒之列。 

    此后，whboy还在一些病毒论坛和黑客论坛发帖，表示可以提供盗取QQ号服务，但不久后便销声匿迹，直至“熊猫”出现。 

    在“熊猫烧香”的变种中，每隔一段时间，作者都有意在病毒中留下whboy字样。“他主要给我们这些分析病毒的人看，普通用户看不到代码。” 

    民间程序高手解析熊猫烧香形成危害原因 

    病毒简单却有雪崩效应 

    “农夫”介绍说，“熊猫烧香”病毒是采用捆绑的原理进行感染的，这种技术并不高明，可以打个比方，如果把正常的文件看成一杯白开水，这种病毒就像油，感染的时候就好比把油倒进白开水中，可以很清楚的看到油浮在上面，水在下面。要把病毒清理出去也很简单，就是以这个分界线为界，把病毒那一边的数据全部搬走就可以了。 

    [回放] 

    发作 2006年11月 

    小小“熊猫”毒害电脑 

    瑞星反病毒专家介绍说，“熊猫烧香”其实是“尼姆亚”病毒的新变种，最早出现在2006年的11月。该病毒会在中毒电脑中所有的网页文件尾部添加病毒代码。一些网站编辑人员的电脑如果被该病毒感染，上传网页到网站后，就会导致用户浏览网站时也被感染。 

    蠕虫除了通过Web网站感染计算机用户之外，还会在一些企业内部局域网中迅速传播，在极短时间之内就可以感染很多台计算机系统，中毒电脑上会出现“熊猫烧香”图案。中毒电脑会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象，最终导致整个局域网络瘫痪，无法正常工作。 

    疯狂 2007年1月22日 

    数百万台电脑被感染 

    “熊猫烧香”病毒疯狂攻击计算机用户，截至1月22日，据不完全统计，已有数百万台电脑被感染。而“熊猫烧香”的变种已超过50个。杀毒软件提供商“金山毒霸”客户服务中心有关人士称，1月下旬，有关该病毒的咨询量占了73%，而且多以北京、广州、上海等大城市为主。 

    1月24日，“熊猫烧香”病毒的攻击重点转向企业局域网和网站。据悉，由于这些网站的浏览量非常大，致使“熊猫烧香”病毒的感染范围非常广，中毒企业和政府机构已经超过千家，其中不乏金融、税务、能源等关系到国计民生的重要单位。 

    通缉 2007年1月下旬 

    网友“悬红”10万美元 

    谁制造了“熊猫烧香”？他意欲何为？在“熊猫烧香”肆虐期间，关于作者身份的种种猜测流传于互联网上。1月下旬，在百度“熊猫烧香”贴吧中，数百名深受“熊猫”所害的网民发帖“通缉”病毒制造者，更有网民声称开出10万美元的悬赏花红。 

    变种 2007年 2月11日 

    变身“金猪”继续作恶 

    一个“熊猫烧香”病毒的最新变种在互联网上大量出现，这个病毒名为“尼姆亚变种CB(Worm.Nimaya.cb)”，其危害与“熊猫烧香”病毒类似，只是被病毒感染的文件图标由“熊猫烧香”变成了一只“金猪”。瑞星反病毒反木马一周播报(2007.02.12-02.18)将其列为本周关注病毒。 

    “尼姆亚变种CB”是一个能在WIN9X/NT/2000/XP/2003系统上运行的蠕虫病毒。这个病毒采用“金猪”头像作为图标，诱使计算机用户运行。该变种会感染计算机上的EXE可执行文件，被病毒感染的文件图标均变为“金猪”。同时，受感染的计算机还会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。这一病毒还会在中毒电脑中所有的网页文件尾部添加病毒代码。一些网站编辑人员的电脑如果被该病毒感染，上传网页到网站后，就会导致用户浏览这些网站时也被病毒感染。