熊貓燒香案偵破內幕：25歲疑犯因求職受挫作案

　　曾幾何時，一隻頷首敬香的熊貓成爲無數電腦用戶噩夢般的記憶：上百萬個人用戶、網吧及企業局域網用戶遭受感染和破壞，損失難以估量，《瑞星2006安全報告》將其列爲十大病毒之首，《2006年度中國大陸地區電腦病毒疫情和互聯網安全報告》稱其爲“毒王”。

　　湖北省公安廳12日宣佈：根據統一部署，湖北網監在浙、魯、桂、津、粵、川、閩、雲、新、豫等地警方的配合下，一舉偵破了製作傳播“熊貓燒香”病毒案，抓獲李俊等6名嫌犯。這是我國破獲的國內首例製作計算機病毒的大案。

　　關山出租屋內抓獲“武漢男孩”

　　今年1月，仙桃市公安局局域網辦理第二身份證時中了“熊貓燒香”病毒。與此同時，位於仙桃市的“江漢熱線”不幸感染“熊貓燒香”，網絡癱瘓。1月中旬，湖北網監部門根據公安部公共信息網絡安全監察局的部署，對“熊貓燒香”製作者開展調查。1月24日，仙桃警方正式立案，案件代號爲“122案件”。對比此前出現的“武漢男孩”病毒，兩種病毒程序編碼類似，警方推測可能系一人所爲。1月31日，湖北省公安廳網監總隊召開仙桃、武漢、宜昌、荊門等地網監部門負責人會議，部署合力開展案件偵破，成立了指揮領導小組與偵破專班。湖北省公安廳網監總隊徐雲峯博士對該病毒已追蹤多時。在網監總隊統一部署下，網警運用多種網絡技術手段和偵查手段，2月1日查找到犯罪嫌疑人所在地——武漢關山的一棟兩層樓房內的出租屋。偵破專班對該出租屋實行24小時監控。2月3日晚9時許，一男子回該出租屋取東西，被警方抓獲，此人正是“熊貓燒香”製作者李俊。李俊交待了其製作“熊貓燒香”病毒牟利的經過，並交出了其銷售病毒的下線。李俊供稱，回出租屋取東西的目的是準備外逃。警方同時抓獲另一名涉案人員雷磊。

　　“網絡天才”沒念過大學

　　“他是網絡天才。”昨日，省網監總隊有關專家如此描述李俊。李俊，男，25歲，新洲區陽邏街人，曾在某電腦城工作；雷磊，男，25歲，是李俊的同鄉兼同學，兩人中專畢業後一起參加網絡技術職業培訓班。2004年畢業後，李俊曾多次上北京、下廣州找IT方面的工作，尤其鍾情於網絡安全公司，但均未成功。爲了發泄不滿，同時抱着賺錢的目的，李俊開始編寫病毒，2003年曾編寫過“武漢男生”病毒，2005年編寫了“武漢男生2005”病毒及“QQ尾巴”病毒。抓獲李俊和雷磊後，警方乘勝追擊，又抓獲王磊(男，22歲，山東威海人)、葉培新(男，21歲，浙江溫州人)、張順(男，23歲，浙江麗水人)、王哲(男，24歲，湖北仙桃人)等4名改裝、傳播“熊貓燒香”病毒的嫌疑人，這些人通過改寫、傳播“熊貓燒香”等病毒，構建“殭屍網絡”，通過盜竊各種遊戲和QQ賬號等方式非法牟利。目前這6人均已被警方刑拘。

　　“熊貓燒香”一份賣3000元

　　李俊交代，他於2006年10月16日編寫了“熊貓燒香”。這是一種超強病毒，感染病毒的電腦會在硬盤的所有網頁文件上附加病毒。如果被感染的是網站編輯電腦，通過中毒網頁病毒就可能附身在網站所有網頁上，訪問中毒網站時網民就會感染病毒。“熊貓燒香”感染過天涯社區等門戶網站。“熊貓燒香”除了帶有病毒的所有特性外，還具有強烈的商業目的：可以暗中盜取用戶遊戲賬號、QQ賬號，以供出售牟利，還可以控制受感染電腦，將其變爲“網絡殭屍”，暗中訪問一些按訪問流量付費的網站，從而獲利。部分變種中還含有盜號木馬。李俊以自己出售和由他人代賣的方式，每次要價3000元，將該病毒銷售給120餘人，非法獲利10萬餘元。經病毒購買者進一步傳播，該病毒的各種變種在網上大面積傳播，據估算，被“熊貓燒香”病毒控制的“網絡殭屍”數以百萬計，其訪問按訪問流量付費的網站，一年下來累計可獲利上千萬元。

　　“武漢男孩”太囂張

　　——知情人士披露偵破內幕

　　據接近該案的知情人士透露，“熊貓燒香”作者在互聯網上留下了很多蛛絲馬跡。專案小組選擇了從互聯網上的一些社區信息、域名註冊信息開始入手。鑑於在多個病毒代碼裏都寫着whboy，包括“熊貓燒香”、流氓軟件51VC等，其代碼、傳播以及爆發手法都極爲相似，專案小組決定併案偵查。“舉個例子來說，51.vc的網站上寫着ICP證是：魯ICP證005248號。”專案小組當即查明這是一個僞造的ICP證，通過有關渠道查到另一個網站www.51pm.org也是使用了這個僞造的ICP證。儘管當時該網站已不能訪問，但可以搜索引擎的快照功能回溯該站點網頁，其內容和51.vc完全一樣。專案小組在掌握了上述信息後，立即着手尋找51.vc或51pm.org註冊者，而這些人也就是這些病毒的作者或者幕後指使的關聯人物。知情人士表示，上述例子只是偵破手段中的一種方法，事實上，目前互聯網上有多種追蹤方式，對於大規模傳播的病毒而言，幕後黑手幾乎無法藏身。信息安全業內人士表示，熊貓燒香與以往許多病毒都在拼命隱藏作者身份的做法不同，“熊貓燒香”的作者顯得過於明目張膽，還主動銷售源代碼給他人，這些行爲都暴露了他的身份。(馬城金磊)

　　雷磊“高科技犯罪”讓親屬驚訝

　　據介紹他和李俊關係一直很好

　　昨晚12時許，記者驅車來到新洲陽邏長山村窩子灣，敲開雷磊家門。據村民介紹，雷磊父母都是做工程的個體戶。雷磊叔叔雷軍華說，雷磊初中畢業後因成績不好沒有考上高中，就上了一所中專，人很聰明，懂點電腦。雷軍華說，4日下午5時許，他接到了仙桃市第二看守所的電話，遂和雷磊父親趕到仙桃送了生活費和衣物，當時還不知道雷磊犯的究竟是何罪。今天網上傳出消息後，村裏鬧得沸沸揚揚，他趕到網吧親自看過，很驚訝侄兒居然涉嫌如此“高科技犯罪”。窩子灣隊長介紹說，雷磊是獨生子，很瘦，一直在漢口打工，每年都會回家幾次，很少出門，性格內向，偶爾開着父親的轎車在村裏逛逛。已婚，孩子才一歲。李俊未婚，與雷磊平時很要好，經常串門。

　　“熊貓”兇猛

　　2006年11月14日“蜜罐”中發現“熊貓”

　　2006年11月14日，瑞星公司反病毒工程師們發現了一種新病毒。大家將病毒移到一臺與網絡隔離的電腦上，運行病毒之後，屏幕上出現了一排排的熊貓圖案，熊貓們手持三炷香，合十作揖。反病毒工程師們將其命名爲“尼姆亞”。其實，在瑞星公司捕獲“尼姆亞”病毒之前一個月，卡卡網絡社區反病毒論壇的版主mopery拿到了一個病毒樣本，它纔是“熊貓燒香”的原始版本。

　　2007年1月9日“熊貓燒香”瘋狂爆發

　　2006年12月中旬，“熊貓燒香”進入急速變種期。2007年1月7日，國家計算機病毒應急處理中心發出“熊貓燒香”的緊急預警。1月9日，“熊貓燒香”全國性暴發。小江是黑龍江一家網吧的網管。1月9日，他打開網吧的電腦，屏幕上佈滿了“熊貓燒香”圖標，系統崩潰。同一天，北京一家IT公司電腦全部感染“熊貓燒香”，正在研發中的軟件毀於一旦。同一天晚上，北京的一家報社裏，技術人員們東奔西跑，幾十名編輯記者都在等待着他們清除“熊貓燒香”……這一天感染的電腦用戶達數十萬。“熊貓”並未就此止步，它繼續四處“燒香”，並且愈演愈烈。1月22日，國家計算機病毒應急處理中心再次發出警報，在全國通緝“熊貓燒香”。

　　2007年1月中上旬“武漢男孩”留言挑釁

　　反病毒工程師們將病毒解剖之後，看到了一段信息：“whboy”。“whboy”這個名字，對於病毒研究者有着不一般的含義。2004年，whboy發佈了其創作的病毒“武漢男孩”，一年後該病毒被江民列入2005年十大病毒。“熊貓燒香”變種後，代碼中除了whboy字樣外又多了一行漢字：“武漢男孩感染下載者。”此時，mopery和網友艾瑪加入抗擊“熊貓燒香”的大軍當中，吸引了“武漢男孩”的注意。在1月初的一份病毒變種中，留言再次更新：“感謝mopery對此木馬的關注。”隨後，“武漢男孩”在1月5日的病毒留言中感謝名單上添加了艾瑪的名字。1月15日，武漢男孩還在留言中和反毒者taylor77打起了招呼：“taylor77，不知道找我啥事啊？”並且戲言：“我製作的病毒已經‘滿城盡燒國寶香’。”1月19日晚，“熊貓燒香”最後一次更新，發佈者寫下臨別贈語：“在此對各位中過此木馬的網友和各位網管人員表示深深的歉意！對不起，你們辛苦了！”

　　觀點

　　破壞計算機信息系統可能處5年以上有期徒刑

　　湖北省刑事辯護專業委員會王萬雄委員說，製造“熊貓燒香”病毒的嫌疑人涉嫌破壞計算機信息系統罪。王萬雄說，《刑法》規定，故意製作、傳播計算機病毒等破壞性程序，影響計算機系統正常運行，後果嚴重的行爲，屬破壞計算機信息系統罪。他說，“熊貓燒香”病毒的製造者是典型的故意製作、傳播計算機病毒等破壞性程序，影響計算機系統正常運行，後果特別嚴重的行爲。《刑法》規定，犯此罪後果嚴重的，處5年以下有期徒刑或者拘役；後果特別嚴重的，處5年以上有期徒刑。

　　苦中作樂網友忙“創作”

　　“熊貓燒香”在讓衆多網民叫苦不迭的同時，也引發了一場聲勢浩大的網絡創作熱潮，由唐詩宋詞、流行歌曲到電影對白、原創漫畫，改編“作品”瀰漫網絡。

　　唐詩版：李白成“受災大戶”

　　貓撲大雜燴的《熊貓燒香題詩三百首》，短短几天內幾十首當代“唐詩”迅速出籠。崔顥《黃鶴樓》被改成：熊貓已被格式化，此地空餘白硬盤。熊貓一去不復返，網民硬盤空悠悠。熊貓燒燒三炷香，系統萋萋EXE。重要資料何處是，可惡熊貓使人愁。李白成爲“受災大戶”。“李白開機將上網，忽聞機內熊貓聲。殺毒軟件千千萬，不及我貓三炷香!”《將進酒》也慘遭篡改，其中一個版本說：“君不見熊貓之香網上來，系統崩潰不復回。君不見殺毒軟件沒辦法，朝如青絲暮成靶。雖被感染須盡歡，莫使微機空對月。”“與君香一炷，請君爲我傾耳聽。系統文件不足貴，但願熊貓不更新。古來病毒皆寂寞，唯有熊貓留其名。”李煜的《虞美人》成爲《貓美人》，而“熊貓燒香，無處話淒涼。”“滿機熊貓關不住，三支高香出牆來。”“千般病毒有盡時，此香綿綿無絕期。”等諸如之類的絕句讓人忍俊不禁。

　　歌詞版：篡改《菊花臺》

　　《兩隻蝴蝶》得到了惡搞網友的喜愛。“親愛的你慢慢燒，小心前面瑞星的解藥。親愛的你別後退，卡巴斯基會讓你沉醉。……我和你纏纏綿綿片片燒，飛越這網線永相隨。等到熊貓起香灰落成堆，能陪你一起死機也無悔。”《兩隻老虎》變成了：“熊貓燒香，熊貓燒香，燒得high，燒得high。一支燒壞系統，一支燒壞電腦，真厲害，真厲害!”《歌聲與微笑》則唱道：“明天明天這熊貓，燒遍海角天涯，燒遍海角天涯。明天明天這熊貓，殺毒軟件害怕，殺毒軟件害怕。”最讓人叫絕的當屬改編的《滿城盡帶黃金甲》主題曲《菊花臺》，極爲形象地表現了中毒者的無奈。“你的淚光，柔弱中帶傷。滿屏的熊貓香，刪除過往。熊貓猖狂，點上三根香，是誰在電腦前冰冷地絕望。貓慢慢拜，暗黃色的香。我癱坐椅子上，精神錯亂，路在何方，誰爲我思量，冷風吹亂憔悴模樣。熊貓拜，三根香，你的笑容已泛黃。重裝又重裝，我心裏在發慌。江民殺，瑞星除，你的影子剪不斷，徒留我在機旁神傷。”