“这是国内制作计算机病毒第一案,无论如何你们也得拿下这个案子!”
二零零七年,二月三十日。
公安部十一局紧急致电鄂省公安厅,要求当地,必须以最快的速度,破获这起“网络病毒”案件。
当天,鄂省六名网监专家、国家计算机病毒应急处理中心专家及网监大队,齐聚江城。
至于案件的起因,还要从四个月前说起。
二零零六年,十二月,一种被称为“尼姆亚”的新型病毒,在互联网上开始传播。
这个年代,电脑中病毒,其实并不是什么稀罕事,甚至可以说,每个电脑用户,都或多或少有过“中毒”的经历。
网民也习以为常。
因为不管中什么病毒,只需要重装系统,便可以解决一切问题。
顶多就是耽误一点时间。
所以这个时候的“尼姆亚”病毒,还没有被网监乃至网友们高度重视,以至于留给了“尼姆亚”大规模扩散的时间。
然而,时间仅仅过去四个月,“尼姆亚”便以迅雷不及掩耳之势,迅速感染入侵了上千万台电脑。
更令人吃惊的是,这款病毒的破坏性,也前所未有的强大。
就算你重装系统也没有用。
因为病毒会删除扩展名为gho的文件,让用户无法使用ghost软件恢复操作系统。
不仅如此,这款病毒还会感染硬盘内的所有网页文件,并在其中添加病毒网址,导致用户一打开这些网页,IE就会自动连接到指定的病毒网站下载病毒。
简单来说,这款病毒还是其它病毒的“开启器”。
一旦感染了这款病毒,就相当于把整个网络上的病毒,都搬到电脑当中来。
当然,这个功能并不是这款病毒的全部,反而只是它在破坏你电脑之前给你的前菜而已。
在感染这款电脑病毒后,你电脑桌面上的所有软件图标,包括桌面壁纸,都会被统一修改成一个“熊猫拿着三炷香,合十作揖”的图案。
再结合之前植入病毒的网站,双管齐下,破坏你的文件,直到你的电脑出现蓝屏,或者反复重启。
基本上,到了这种程度之后,你唯一能做的就是切断电源,出门浏览祖国的大好河山。
再厉害的网瘾都给你戒了。
对于一些网站编辑人员来说,这款病毒就是噩梦中的噩梦了。
因为这款病毒除了可以利用U盘,以及共享文件等方式来进行传播之外,它还会在电脑的网页文件尾部,自动添加程序代码。
也就是说,如果网站的编辑人员,在感染这款病毒之后,上传数据到网站,那么在这之后浏览这个网页的所有用户,都将会感染这款病毒。
其中,苏省地区,更是成了这款病毒重点关注的“重灾区”。
大量企业的电脑陷入瘫痪。
等到国家计算机病毒应急处理中心,重视起来的时候,已经有上千家企业和政府机构,包括金融、税务、能源,等关系到国计民生的单位被感染。
起初,还有人尝试用杀毒软件对电脑进行杀毒,但这款被称为“熊猫烧香”的病毒,对杀毒软件有很强的抵抗性,可以结束大量反病毒软件的程序。
一般的系统重装,是完全不起作用的。
因为在感染病毒的时候,病毒就已经为自己留好了备份文件,就等你进行重装了。
除非用户将硬盘彻底格式化,然后再重装。
只有这种办法,才能彻底杜绝“熊猫烧香”。
不过这个时期,大部分人对电脑知识,都是一窍不通的,别说是格式化、重装系统这种操作了,就连怎么下载杀毒软件,很多人都不会。
他们只能急匆匆的跑到电脑店,请老板帮忙。
对于一些用来储存工作文件的电脑来说,这款病毒对他们造成的伤害是最大的。
哪怕他们把江民杀毒、瑞星杀毒、金山毒霸、360安全卫士,等等一系列国内知名的杀毒软件,全都安装了个遍,也无法真正做到彻底杀灭病毒。
不出十分钟,“熊猫烧香”又将死灰复燃。
为了不丢失电脑中的重要文件,很多人也不敢格式化硬盘,只能焦急的等待这款病毒的专杀工具出现。
然而此时,“熊猫烧香”病毒,已经进入急速变种期。
天涯社区、硅谷动力、pconline等门户网站,快播、暴风影音等知名软件的下载链接中,都开始出现“熊猫烧香”附身的痕迹。
从传统的点对点,到现在的点对面,“熊猫烧香”借助中毒网站的惊人访问量,正在急速传播。
小江是黑龙省一家网吧的网管。
3月2日到3月4日的两天时间,他所在的网吧内空空荡荡,并无顾客,打开网吧的40多台电脑,屏幕上布满了“熊猫烧香”图标,系统崩溃,无法运行。
“毒是2号早晨中的,一开始只是一台机器,我杀毒时候,局域网内其他机器陆续中招。”小江在接受记者采访时说道。
同一天早晨,在百京一家It公司工作的刘先生,上班后发现,公司近30台电脑全部感染“熊猫烧香”,病毒破坏了电脑内的程序文件,并删除了电脑备份,公司正在研发中的半成品软件毁于一旦。
刘先生愤怒的差点晕厥,却又无可奈何。
同一天晚上,百京的一家报社里,技术人员们东奔西跑,几十名编辑记者都在等待着他们清除电脑里的“熊猫烧香”。
3月5日,东海市一家台资公司的员工张先生打开电脑,迎接他的是一排排拱手举香的熊猫。
环顾四周,他发现同事们脸上有同样的惊诧表情。
整整一天,公司业务陷于瘫痪。
……
三月六日,夜间十点。
无穷大公司总部,14楼,网络安全部门。
一群反病毒工程师,围着一台与网络隔绝的电脑。
随着鼠标点动,数百个熊猫图标出现在屏幕上,这是工程师们当天捕获的“熊猫烧香”变种病毒。
姜远是无穷大公司网络安全部门,病毒小组的反病毒工程师。
他每天的工作就是,和数十名伙伴一起捕捉网上流传的病毒,然后将病毒“拆”开,研究其内部结构后,升级无穷大公司内部的病毒库。
捕获病毒样本后,病毒小组的成员,立刻就将病毒放进了“蜜罐”。
“蜜罐”是病毒小组设立在互联网上的一些防卫性孱弱的服务器,工程师们故意在服务器上设置多种漏洞,诱使病毒侵入。
就像猎人做的沾满蜜糖的陷阱,专门吸引猎物上钩。
随后,他们又在网络隔离的环境下,对“熊猫烧香”进行了“解剖”。
经过分析,工程师们发现,在病毒卡通化的外表下,隐藏着巨大的传染潜力,它的传染模式和杀伤手段,与风行一时的“威金”病毒十分相像。
“熊猫烧香”的技术谈不上高超,主要依赖于作者还在不断疯狂的更新,只要它更新,姜远他们就必须要随时更新专杀工具。
仅仅才过去两天,姜远和他的同事开发的专杀工具,就已经升级了十余次。
可以说非常被动。
而且这么好用的病毒,It界已经有不少的黑客在偷偷使用,很难保证这个病毒不会再次变种。
“看来,这个病毒是根本无法消灭的,除非对它的程序进行反编译。”
一位头发花白的老人,站在姜远他们后身,扶了扶鼻梁上的眼镜,忧心忡忡的说道。