|
2月12日消息����,肆虐中國互聯(lián)網(wǎng)的熊貓燒香病毒案偵破工作告一段落���,在當(dāng)天晚間,接近該案專案小組的知情人士向新浪科技獨(dú)家披露了抓捕內(nèi)幕��。這是迄今為止,我國破獲的國內(nèi)首例制作計(jì)算機(jī)病毒的大案�。 湖北省公安廳今日下午對外宣布,湖北省網(wǎng)絡(luò)監(jiān)察處在浙江�、山東、廣西���、天津���、廣東、四川���、江西�、云南��、新疆���、河南等地公安機(jī)關(guān)的配合下��,一舉偵破了制作傳播“熊貓燒香”病毒案�,并抓獲8名犯罪嫌疑人����。
接近該案的知情人士透露����,公安部從去年10月底就開始關(guān)注熊貓燒香病毒�,“它的傳播面特別大,影響面廣而且特別惡劣��������!北M管病毒作者擁有絞盡腦汁進(jìn)行自我隱藏�����,不過在鎖定目標(biāo)的過程中����,還是在互聯(lián)網(wǎng)上留下了很多蛛絲馬跡����������!捌鋵(shí)這類病毒的作者往往以賺錢為目的,總是會留下線索�����!睂0感〗M選擇從互聯(lián)網(wǎng)上的一些社區(qū)信息、域名注冊信息開始入手�����。
該人士表示�����,目前在多個相關(guān)病毒都的代碼里寫著WhBOY�,其中就包括大名鼎鼎的熊貓燒香,流氓軟件51VC����,以及一些騰訊QQ、網(wǎng)游傳奇賬號密碼盜竊的木馬軟件�。“這些木馬的代碼�、傳播以及爆發(fā)手法都極為相似”,專案小組初步判斷為同一人所為,決定并案偵查���。
“舉個例子來說��,51.vc的網(wǎng)站上寫著ICP證是:魯ICP證005248號����!敝槿耸勘硎��,專案小組當(dāng)即查明這是一個偽造的ICP證����,通過有關(guān)渠道查到另一個網(wǎng)站www.51pm.org也是使用了這個偽造的ICP證��。盡管當(dāng)時該網(wǎng)站已不能訪問�����,但可以搜索引擎的快照功能回溯該站點(diǎn)網(wǎng)頁�����,其內(nèi)容和51.vc完全一樣��。專案小組在掌握了上述信息后,立即著手尋找51.vc或51pm.org注冊者����,而這些人也就是這些病毒的作者、或者幕后指使的關(guān)聯(lián)人物�����。 
病毒作者牟利途徑關(guān)系圖(圖片來源:安全焦點(diǎn)核心成員tombkeeper)
知情人士表示���,上述例子只是偵破手段中的一種方法,“事實(shí)上�����,在偵破過程中采用了多方面信息相互印證的辦法�������!睋(jù)介紹��,目前互聯(lián)網(wǎng)上有多種追蹤方式�����,對于大規(guī)模傳播的病毒而言,幕后黑手幾乎無法藏身���。
最早對熊貓燒香病毒進(jìn)行查殺的超級巡警軟件曾被誤認(rèn)為是幕后黑手��,今日晚間新浪科技在專訪該軟件總負(fù)責(zé)人董志強(qiáng)時��,他表示現(xiàn)在真相都已經(jīng)大白����,感到十分欣慰�。“超級巡警也曾向國家有關(guān)部門提交過熊貓燒香的技術(shù)資料�。”董志強(qiáng)表示�����,當(dāng)時也希望這些技術(shù)資料能夠在追查病毒作者方面起到足夠的作用���。
信息安全業(yè)內(nèi)人士表示�����,技術(shù)上鎖定并取證后����,再通過調(diào)查其背后商業(yè)目的的方法入手分析,一般都能發(fā)現(xiàn)蛛絲馬跡��。尤其是熊貓燒香與以往許多病毒都在拼命隱藏作者身份的做法不同����,其作者顯得過于明目張膽。據(jù)悉�,此次有關(guān)部門抓捕病毒作者��,因?yàn)樾茇垷愕牟《静粌H自己擴(kuò)散傳播��,還主動銷售源代碼給其它盜竊團(tuán)伙���,這些種種行為都暴露了他自身的身份����。
“這個病毒是通過入侵網(wǎng)站并掛上木馬來實(shí)現(xiàn)傳播�����,然后盜取用戶有價值的虛擬賬戶。除此之外�,這個團(tuán)伙還銷售病毒源碼牟利,其規(guī)模非常巨大�����,社會影響極為惡劣�。”接近專案小組的知情人士表示����。“不僅是他們一個病毒團(tuán)伙在傳播�����,而是有大量團(tuán)伙一起傳播�����!
“這背后也許還隱藏著更為復(fù)雜的利益集團(tuán)����,這些都還沒有最終浮出水面��������!
熱門報(bào)道: 直擊吳海軍史上最深入演講:我為什么要賺錢���? 輝煌2006 改變IT的力量 華碩板卡王俊人:兄弟爬山 各自努力
|
