湖北省公安厅１２日宣布，根据统一部署，湖北网监在浙江等１０省公安机关的配合下，一举侦破了制作传播“熊猫烧香”计算机病毒案，抓获李俊（男，２５岁，武汉新洲区人）、雷磊（男，２５岁，武汉新洲区人）等６名犯罪嫌疑人。据悉，这是我国破获的国内首例制作计算机病毒的大案。

    据介绍，２００６年底，我国互联网上大规模爆发“熊猫烧香”病毒及其变种，该病毒通过多种方式进行传播，并将感染的所有程序文件改成熊猫举着三根香的模样，同时该病毒还具有盗取用户游戏账号、ＱＱ账号等功能。

    该病毒传播速度快，危害范围广，截至案发，已有上百万个人用户、网吧及企业局域网用户遭受感染和破坏。在《２００６年度中国大陆地区电脑病毒疫情和互联网安全报告》的十大病毒排行中一举成为“毒王”。

    今年１月中旬，湖北省网监部门根据公安部的部署，对“熊猫烧香”病毒的制作者展开调查。

    据李俊交代，其于２００６年１０月１６日编写了“熊猫烧香”病毒并在网上广泛传播，并且还以自己出售和由他人代卖的方式，在网络上将该病毒销售给１２０余人，非法获利１０万余元。此外，李俊还于２００３年编写了“武汉男生”病毒、２００５年编写了“武汉男生２００５”病毒及“ＱＱ尾巴”病毒。

    另外，本案另几个重要犯罪嫌疑人雷磊、王磊、叶培新、张顺、王哲通过改写、传播“熊猫烧香”等病毒，构建“僵尸网络”，通过盗窃各种游戏和ＱＱ账号等方式非法牟利。

伪造ICP露出马脚
事件背后还隐藏着更为复杂的利益集团

作者曾绞尽脑汁自我隐藏

    ２月１２日，肆虐中国互联网的熊猫烧香病毒宣告侦破，在当天晚间，接近该案专案小组的知情人士披露了抓捕内幕。

    据透露，尽管病毒作者绞尽脑汁进行自我隐藏，不过还是在互联网上留下了很多蛛丝马迹。“其实这类病毒的作者往往以赚钱为目的，总是会留下线索。”专案小组选择从互联网上的一些社区信息、域名注册信息开始入手。

    该人士表示，目前在多个相关病毒的代码里都写着ＷｈＢｏｙ，其中就包括大名鼎鼎的熊猫烧香，流氓软件５１ＶＣ，以及一些腾讯ＱＱ、网游传奇账号密码盗窃的木马软件。“这些木马的代码、传播以及爆发手法都极为相似”。

    “举个例子来说，５１．ｖｃ的网站上写着ＩＣＰ证是：鲁ＩＣＰ证００５２４８号。”知情人士表示，专案小组当即查明这是一个伪造的ＩＣＰ证，通过有关渠道查到另一个网站ｗｗｗ．５１ｐｍ．ｏｒｇ也是使用了这个伪造的ＩＣＰ证。

    专案小组在掌握了上述信息后，立即着手寻找上述网站注册者，而这些人也就是这些病毒的作者或者幕后指使的关联人物。

多种追踪方式使黑手现身

    知情人士表示，上述例子只是侦破手段中的一种方法，“事实上，在侦破过程中采用了多方面信息相互印证的办法。”据介绍，目前互联网上有多种追踪方式，对于大规模传播的病毒而言，幕后黑手几乎无法藏身。

    信息安全业内人士表示，技术上锁定并取证后，再通过调查其背后商业目的方法入手分析，一般都能发现蛛丝马迹。更何况熊猫烧香的作者显得过于明目张胆。

    据悉，此次有关部门抓捕病毒作者，因为熊猫烧香的病毒不仅自己扩散传播，还主动销售源代码给其他盗窃团伙，这些种种行为都暴露了他自身的身份。

    “这个病毒是通过入侵网站并挂上木马来实现传播的，还盗取用户有价值的虚拟账户。除此之外，这个团伙还销售病毒源码牟利，其影响的规模非常巨大，社会影响极为恶劣。”
接近专案小组的知情人士表示。

    “这背后也许还隐藏着更为复杂的利益集团，这些都还没有最终浮出水面。”

“熊猫烧香”
变身“金猪报喜”

    上海计算机病毒防范服务中心昨日发布病毒警报，“熊猫烧香”病毒又现新变种——“金猪报喜”，中毒电脑所有应用程序的图标变为一只报喜的金猪。它不但导致被感染系统瘫痪，还试图感染区域网内其他机器，形成大规模扩散，危害程度明显升高。

    据介绍，这个病毒采用“金猪”头像作为图标，诱使计算机用户运行。该病毒运行后，会把自身复制为ｓｐｐｏｏｌｓｖ．ｅｘｅ病毒文件，同时修改注册表，实现随开机自动启动。此外，它会有频率地搜寻并终止各个杀毒软件的进程等相关信息。

    此外，它还会感染扩展名为ｅｘｅ、ｐｉｆ、ｃｏｍ、ｓｒｃ的文件，将金猪头像粘贴上去，被感染的电脑将是“金猪满圈”，当应用程序图标变成讨喜的“金猪报喜”时，也意味着整个系统几近崩溃。

    专家介绍，这种病毒破坏力很强，给用户的电脑系统造成巨大的危害，将导致大量应用软件无法应用，而且还会试图感染区域网内其他机器，造成大规模扩散。