熊猫烧香是一种经过多次变种的计算机蠕虫病毒,年10月16日由25岁的中国湖北武汉新洲区人李俊编写,年1月初肆虐中国大陆网络,它主要透过网络下载的文件植入计算机系统。
使用Windows系统的用户中毒后,后缀名为.exe的文件无法执行,并且文件的图标会变成熊猫举着三根烧着的香的图案。,但不具有Win32.Parite的特征,不会感染操作系统的可执行文件。[2]而扩展名为.gho的赛门铁克公司软件NortonGhost的系统磁盘备份文件也会被病毒自动检测并删除;大多数知名的网络安全公司的杀毒软件以及防火墙会被病毒强制结束进程,甚至会出现蓝屏、频繁重启的情况,病毒还利用Windows/XP系统共享漏洞以及用户的弱口令如系统管理员密码为空,不少安全防范意识低的网吧以及局域网环境全部计算机遭到此病毒的感染。同时病毒执行后在各盘释放autorun.inf以及病毒体自身,造成中毒者硬盘磁盘分区以及U盘、移动硬盘等可移动磁盘均无法正常打开。[3]
由于此病毒具有在htm、html、asp、php、jsp、aspx等格式的网页文件中使用HTML的iframe标记元素嵌入病毒网页代码的能力,所以网页设计制作工作者的机器一旦中毒,那么使用过低版本或未更新安全补丁的Windows系列操作系统的网友访问他们设计的网站均会中此病毒。[4]
未必所有杀毒软件都可以识别及阻挡“熊猫烧香”
李俊创建了病毒更新服务器,在更新最勤时一天要对病毒更新升级8次,与俄罗斯反病毒软件卡巴斯基反病毒库每3小时更新一次的更新速度持平,所以凭借更新的速度杀毒软件很难识别此计算机病毒的多种变种。
病毒案件的侦破与病毒作者
有人通过对此毒脱壳后的特征码分析发现有“whboy”的标志,而此标识也曾出现在年的一只病毒“武汉男生”上,所以该病毒也被称为“武汉男生”,通过查看李俊的早期作品可以看到他的QQ号码以及他创建的网站信息,有了这些信息,侦破案件的湖北公共信息网络安全监察的工作就容易了许多。
该病毒作者是李俊(年-),武汉新洲区人,据他的家人以及朋友介绍,他在初中时英语和数学成绩都很不错,但还是没能考上高中,中专在娲石职业技术学校就读,学习的是水泥工艺专业,毕业后曾上过网络技术职业培训班,他朋友讲他是“自学成才,他的大部分电脑技术都是看书自学的”。
年李俊到北京、广州的网络安全公司求职,但都因学历低的原因遭拒,于是他开始抱着报复社会以及赚钱的目的编写病毒了。
他曾在年编写了病毒“武汉男生”
年他还编写了病毒QQ尾巴,并对“武汉男生”版本更新成为“武汉男生”。
此次传播的“熊猫烧香”病毒,作者李俊是先将此病毒在网络中卖给了余人,每套产品要价~元人民币,每日可以收入元左右,最多时一天能赚1万余元人民币,作者李俊因此直接非法获利10万余元。然后由这余人对此病毒进行改写处理并传播出去的,这余人的传播造成多万台计算机感染此病毒,他们将盗取来的网友网络游戏以及QQ帐号进行出售牟利,并使用被病毒感染沦陷的机器组成“僵尸网络”为一些网站带来流量。