熊猫烧香病毒网上肆虐入侵百万台电脑(组图)

　　CCTV《法治在线》3月2日播出“第一现场-熊猫烧香”，以下是节目内容。引子：

　　解说：2006年岁末，一种神秘的新型病毒在互联网上大规模爆发，它入侵个人电脑、感染门户网站、击溃企业数据系统。

　　(一组中毒电脑画面)

　　采访：当时我们主机装了杀毒软件，杀不掉，非要重装系统。

　　个人电脑、网吧、甚至一些政府机关的电脑都中毒了

　　采访：我们现在拿到的这个病毒的变种是100多个，样本400多个

　　并不是说他的毒性多厉害，而是他的传播方式非常独特

　　解说：到2007年1月中旬，全国已有上百万台电脑、千余家企业网络相继中招，并且毒情仍不断蔓延。

　　采访：瑞星公司：仅1月9号那一天，瑞星用户向公司求助的人数已经达到1016人次

　　解说：由于其毒性强、传播快、变种多，它被认为是2006年的计算机病毒“毒王”。网民们将其称为“熊猫烧香”。

　　标题：“熊猫烧香”

　　记者 冀成海 摄像 宝明松

　　字幕：湖北省仙桃市

　　解说：仙桃市位于湖北省中部，距离九省通衢的武汉80公里，城区人口30万左右。2007年1月初，仙桃市“江汉热线”网站不幸遭到一种神秘病毒的袭击，电脑C盘中的.exe等系统文件几乎完全变成了一排排的熊猫图案，这只熊猫憨态可掬、双手合十、颔首敬香。中独后电脑运行速度随即变慢，出现系统蓝屏，自动重启、死机等症状，最终整个网站彻底瘫痪。与此同时，城区一家网吧的三十余台电脑也在短短两天内全部中招。

　　采访：网吧经营者：

　　先是有一台机器中病毒，然后就几台、几台中，全部机器都出现这种现象了，最后导致整个系统瘫痪，只好重做系统，就是影响了生意。

　　解说：而同样在2007年1月初，在北京，京华时报社局域网的电脑也同样中了这一图案为“熊猫烧香”的病毒，并且在很短时间内几乎导致整个系统崩溃，编辑记者们井然有序的工作被电脑病毒彻底打乱。

　　采访： 北京《京华时报》技术部工程师 赵岷

　　我们的几台服务器，基本上全都中毒了。

　　解说：作为报社技术部的工程师，赵岷决定对受到病毒感染的服务器，进行全方位杀毒，然而让他没有想到的是，杀毒后的服务器，在瞬间内再次被感染。而最终为了使局域网恢复正常，赵岷和他的同事付出了两天两夜的努力。

　　湖北省仙桃市公安局网监支队在接到报案后立即进行了调查，发现，在仙桃中了这种“熊猫烧香”病毒的其实远远上面提到的那两家，还包括一些企业的局域网和部分政府机构的电脑。

　　采访：教导员

　　症状就是修改图表，删除电脑备份文件……电脑无法正常工作

　　那么，这只憨态可掬、颔首敬香的熊猫到底有什么样的威力，令网络防火墙无能为力、杀毒软件也无法彻底杀除呢？

　　采访：仙桃市公安局网监支队 教导员 2414

　　病毒有这样一个功能，它进去以后，还会自动关闭你的杀毒软件，金山啊 瑞星啊，包括一些监控软件统统给你关闭掉，这是它比较厉害的一点。

　　侦察员在互联网上查询后发现，这一图案为“熊猫烧香”的病毒当时已在全国范围内爆发，而感染用户主要以北京、广州、上海等大城市为主。

　　片花

　　解说：仙桃警方侦查发现，这种“熊猫烧香”病毒其实在2006年11月就已经出现，只是在2007年1月份出现了大规模爆发的情况。根据相关报道显示，到1月中旬，全国已有上百万台电脑中毒，有近千余企业网络遭受袭击，其中不乏金融、税务、能源等关系国计民生的单位。

　　警方在获取病毒样本后，进行了分析，发现这种病毒应该说并不拥有最厉害的技术，它只是将各种成熟的病毒技术集合了起来，但却拥有最成熟的传播手段，比如通过u盘、移动硬盘、局域网传播，甚至可以通过互联网网页传播，所以危害性极大。

　　解说：根据“熊猫烧香”病毒的这些特点，警方迅速对这一病毒作出了判断：

　　字幕： 病毒类型：蠕虫病毒

　　中文名称：“熊猫烧香”

　　病毒长度：可变

　　危害等级：★★★★ (四星)

　　影响平台：WIN 9X/ME/NT/2000/2003/XP(WINDOWS 所有类型的操作系统)

　　解说：就在湖北仙桃警方对“熊猫烧香”病毒展开全面调查的同时，国内著名的杀毒软件公司瑞星、金山等企业，也在全力对付这只四处烧香的熊猫。2006年12月26号，金山毒霸全球反病毒检测中心发布“熊猫烧香”病毒正疯狂作案的病毒预警；第二天江民科技也发布紧急病毒警报；2007年1月7号，国家计算机病毒应急处理中心紧急预警，但是，“熊猫烧香”病毒却继续蔓延。1月9号这一天，“熊猫烧香”迎来了一次全国性的大规模爆发，由此引发的各种求助也此起彼伏。

　　采访：瑞星史瑀

　　从1月份开始，这个数量逐渐增加，1月初的时候，几百，到1月9号，10号的时候，已经到达上千。

　　解说：“熊猫烧香”已成为众多电脑用户谈之色变的词汇，在他们眼中那只憨态可掬的熊猫，早已没有任何可爱而言，有的只是唯恐避之不及。根据瑞星公司提供的“熊猫烧香”病毒用户求助数据，仅1月9号这一天，向瑞星公司求助的人数已达到1016人次；并且这个数据还仅限于瑞星杀毒软件的正版用户，所以只是冰山一角。由于“熊猫烧香”病毒波及面广、后果严重，随即被瑞星公司评为2006年度计算机病毒的“毒王”。

　　解说：针对“熊猫烧香”病毒的各种变种，瑞星、金山等杀毒软件厂商都及时升级自己的病毒库，供用户下载杀毒，并且有部分民间反病毒高手也积极加入进来，推出一些专杀工具。但很快他们发现，在杀毒软件升级的同时，“熊猫烧香”病毒也在升级，两者之间出现了对垒状态。

　　采访：民警 刘杰

　　杀毒软件升级，每一次升级对他的病毒来说就是一次毁灭，他就为了防止被其他的杀毒软件杀掉，必须把自己的病毒升级，这就导致目前为什么各大厂商对“熊猫烧香”杀不尽的一个原因，因为什么，你们杀毒软件在升级，本人对这个病毒也在升级，就像在装备竞赛一样。

　　解说：在这种正义与与邪恶的较量中，警方很快发现，部分“熊猫烧香”病毒的样本中，病毒作者竟开列出了鸣谢清单，对一些与他进行较量的民间反病毒高手表示谢意。

　　采访：民警 刘杰

　　有很多对话，就是和一些国内比较有名的反病毒人士，对话，在病毒里面。

　　这反映了他一个什么样的心理？

　　怎么说呢，应该是比较猖狂，也许这样做是为了显示自己的水平比较高，高人一等吧。

　　片花：

　　熊猫烧香肆虐

　　武汉男生现身

　　说：“熊猫烧香”病毒的作者并没有意识到，正在自己邪恶地让那只熊猫到处烧香之际，自己的种种猖狂之举也给警方的抓捕工作，留下了众多的蛛丝马迹。

　　采访：教导员 胡逢义 59：00

　　比如说他说我在哪里网上面看到谁，对我病毒的关注，非常感谢他的支持，这些话。然后呢，我们在到相应的网站去查这些，可以搜查得到。

　　解说：2007年1月31日下午，湖北省公安厅抽调武汉、荆门等地的网监精英和一名来自国家计算机病毒应急处理中心的专家，以及仙桃市网监大队的民警齐聚在湖北省公安厅，对“熊猫烧香”病毒进行会诊研究，并成立了联合工作小组。

　　专家们在对部分“熊猫烧香”的病毒样本进一步分析后，发现在每一个病毒样本中，病毒作者都留下了自己的签名 WHBOY，经过和其他证据相互印证，侦查人员很快判断出，这个WHBOY就是“武汉男生”的英文简写。

　　采访：刘杰

　　这个人在2004年我们就已经对他关注了。

　　解说：说到WHBOY，不只是警方，很多老网民对他都并不陌生，因为早在2004年他就以“武汉男生”为名写了一个通过QQ传播的盗号木马，因为其变种的方法和传播的广泛，曾被江民反病毒中心列入2005年十大病毒之列。但不久后，他便销声匿迹，直到“熊猫烧香”病毒出现。而“熊猫烧香”之所以危害如此之大，专业反病毒工程师认为，除了他在写病毒时综合了其他病毒的成熟技术外，最主要的是他在传播手段上的一大突破。

　　采访：瑞星史瑀

　　比如说网站编辑的计算机，他的所有页面都会加上病毒代码，如果这个页面被传到网站上，用户浏览这个网站的时候，就会感染这个病毒。

　　解说：警方通过侦查很快发现，这个武汉男生叫李俊，25岁，身高1.75米左右，武汉人。2月4日，警方在武汉市区的一个出租屋内将他抓获。

　　现场：

　　解说：在李俊凌乱不堪的房间内，警方发现了大量的电脑编程、黑客等方面的书籍。令警方感到意外的是，李俊说，写病毒是他干的，但把病毒搞出那么多变种的，却是另有其人。

　　片花：

　　李俊说，他在2006年10月份写出“熊猫烧香”病毒后，就开始通过网络向外出售，是那些购买者在买了“熊猫烧香”病毒之后，将其进行变种和传播的。

　　根据李俊的交代，在山东、河南、浙江、广西、四川、云南等地警方的配合下，涉嫌购买并传播“熊猫烧香”病毒的犯罪嫌疑人王磊、叶培新等4犯罪嫌疑人相继落网。

　　2月22号，涉嫌制作并传播“熊猫烧香”病毒最新变种“金猪报喜”病毒的犯罪嫌疑人薛庆也被湖北警方从云南个旧抓捕归案。

　　正文：

　　采访：犯罪嫌疑人 李俊

　　我就是把病毒卖给别人。

　　一般以什么样的价格？

　　一个一千元。

　　解说：根据李俊的交代，记者发现，这个有着三年写病毒历史的男孩，从开始写“熊猫烧香”病毒的那一刻起，就有着强烈的商业目的：出售、赚钱，同时这中间还夹杂着很强的虚荣心：炫耀自己技术的高超。

　　采访：李俊

　　记者：别人做病毒什么的，都是悄悄地隐藏起来，你这个病毒很特殊，就是在电脑里发，把一些文件全部都转成这样一个图案，为什么？

　　李俊：反正是别人用吧，我也没管他。

　　记者：你当初写的时候，你知道不知道会出现这样一个图案？

　　李俊：知道。

　　记者：故意的？

　　李俊：可能是故意的吧，反正没管他。

　　解说：那么，李俊这个25岁的男孩有着怎样的背景会促使他去写病毒，并写出了“熊猫烧香”这个使他一度自夸“满城尽烧国宝香”的“毒王”呢？

　　根据警方的审讯，李俊，中专学历，专业是机电一体化，曾在武汉等地的电脑城打过工，对网络安全和黑客技术有着很深的痴迷。李俊交代，他的电脑技术主要是通过自学而来，一是网上的各种黑客论坛，再就是相关的电脑书籍。这从警方抓获他时，堆放在屋内的成摞的各种编程、黑客类技术书籍就可窥一斑。

　　那么，普通电脑用户唯恐避之而不及的电脑病毒，怎么就会有人还要出高价购买呢？这背后又隐藏着怎样的利益链条？

　　采访：教导员

　　他写这个病毒的目的是为了控制那些中病毒的电脑，让你的电脑去定期访问他指定的一些网站，打个比喻电脑相当于一个房子，他把你房间的钥匙掌握了，他随时可以进来。

　　解说：这些被病毒发布者掌控了的电脑，他们自己形象地称之为“肉鸡”，意思就是随时可以吃、随时可以进入中毒电脑里盗窃主人的信息。

　　采访：犯罪嫌疑人 王磊

　　如果是网上银行的话，就偷网上银行，如果是游戏的话，就偷游戏装备，偷什么的都有。

　　解说：王磊，22岁，山东威海人，在“熊猫烧香”病毒案中，相当于李俊的合伙人，他帮助李俊销售病毒，并帮助他销售通过病毒盗窃来的游戏装备、虚拟货币、QQ号码等，获利他和李俊五五分成。

　　采访：犯罪嫌疑人 王磊

　　分了一个月左右吧。

　　这中间你获利多少？

　　获利八万元左右。

　　解说：据警方介绍，目前在互联网上已形成了一个完整的病毒产业链条，写病毒者李俊只是产业链的开端；下面有人专门购买病毒，植入他人电脑，然后将这些被控制的电脑也就是所谓的“肉鸡”卖与下家，下家会通过病毒窃取被控制电脑的游戏装备、虚拟货币、网上银行信息、QQ号码等，然后再通过专门的网络平台转卖出去，变成现实货币。通过这条病毒产业链，李俊在短短两月内非法获利十多万元。这也就解释了为什么“熊猫烧香”病毒出现短短一两月时间，而变种却多达100多个的原因之所在。

　　采访：教导员

　　现在上网的青少年，缺乏网络公共道德和法制观念，相关教育也很脆弱。一些青少年上网之后，无所顾忌、为所欲为，这是最可怕的。

　　解说：根据瑞星公司发布的相关报告显示，2006年截获的新病毒超过23万个，数量相当于以往几十年计算机病毒数量的总合。而这些新病毒的突出特点，就是90%以上的病毒带有明显的利益特征，其中2006年度危害性最强的十大病毒中，9个属于以盗窃为目的的病毒。

　　2007年2月9日，在民警的监督下，李俊在看守所中写出了一个“熊猫烧香”病毒专杀工具，在其中的留言里他写道：“熊猫走了，是结束吗？不是的，网络永远没有安全的时候，或许在不久，会有很多更厉害的病毒出来！所以我在这里提醒大家，提高网络安全意识，并不是你应该注意的，而是你必须懂得和去做的一些事情！”

　　采访：犯罪嫌疑人 王磊

　　记者：你感觉从一个计算机用户这个角度，他怎么样才能更好地保护自己的机器，保护自己的电脑不被侵入，避免这样的损失。

　　王磊：其实很简单，只要不上那些非法的网站，把一些该打的补丁打齐了。因为这中间你想进这个网，你必须是机器存在漏洞的。

　　字幕：《中华人民共和国刑法》第二百八十六条

　　违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役；后果特别严重的，处五年以上有期徒刑。

　　故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行，后果严重的，依照以上规定处罚。