《第一財(cái)經(jīng)日?qǐng)?bào)》消息:“他要是走正道,應(yīng)該是個(gè)人才。”13日,湖北省公安廳網(wǎng)監(jiān)總隊(duì)一位專家向《第一財(cái)經(jīng)日?qǐng)?bào)》如此描述李俊。
李俊,這位25歲的制造“熊貓燒香”病毒的犯罪嫌疑人,是武漢市新洲區(qū)陽邏街人。12日,他被湖北省公安廳抓獲。
至此,“熊貓燒香”病毒已經(jīng)肆虐數(shù)月。
水落石出
“這是國(guó)內(nèi)制作計(jì)算機(jī)病毒的第一案。”公安部十一局曾致電湖北省公安廳。“當(dāng)時(shí),警方內(nèi)部要求,無論如何一定要拿下這個(gè)案子。”一名知情人士告訴《第一財(cái)經(jīng)日?qǐng)?bào)》。
1月31日,武漢、宜昌、荊門等地6名網(wǎng)監(jiān)專家、國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心專家及仙桃網(wǎng)監(jiān)大隊(duì)齊聚武漢。
在網(wǎng)監(jiān)大隊(duì)統(tǒng)一部署下,仙桃網(wǎng)警運(yùn)用多種網(wǎng)絡(luò)技術(shù)手段和偵查手段,獲取了犯罪嫌疑人“武漢男生”的身份信息:“武漢男生”又名“小俊”,男,25歲左右,身高1.75米,網(wǎng)名為“DAVE”。
根據(jù)“小俊”的網(wǎng)上賬戶資料,警方將目標(biāo)鎖定于武漢市武昌區(qū)關(guān)山某居民樓。此地為一出租屋,據(jù)房主介紹,樓中二層靠右的三居室居住有三人,其中一名被稱為“師傅”的住戶,與警方掌握的嫌疑人即“小俊”外貌特征吻合,持續(xù)數(shù)天的24小時(shí)監(jiān)視中,“小俊”一直未現(xiàn)身。
2月3日16時(shí),“小俊”的弟弟李明在出租屋中露面。據(jù)其交代,“小俊”的真實(shí)姓名為李俊,犯罪嫌疑人或?qū)撎油獾亍?9時(shí),回出租屋取東西準(zhǔn)備潛逃的李俊被當(dāng)場(chǎng)抓獲。警方根據(jù)從李俊身上找到的武昌京都大廈賓館的門卡,于當(dāng)晚將其同伙雷磊抓獲歸案。
“香火”背后的網(wǎng)絡(luò)
李俊中專畢業(yè)后參加過網(wǎng)絡(luò)技術(shù)職業(yè)培訓(xùn)班,曾在某電腦城工作;同為25歲的同伙雷磊是其同鄉(xiāng)兼同學(xué),兩人交往密切。
據(jù)當(dāng)?shù)孛襟w報(bào)道,2004年,李俊曾多次至北京、廣州等地尋找IT方面的工作,尤其鐘情于網(wǎng)絡(luò)安全公司,但均未成功。屢經(jīng)挫折的李俊“抱著賺點(diǎn)錢”的想法,開始編寫病毒,2003年編寫“武漢男生”病毒,2005年編寫“武漢男生2005”病毒及“QQ尾巴”病毒。
據(jù)李俊交代的筆錄顯示,他于2006年10月16日編寫“熊貓燒香”。這是一種超強(qiáng)病毒,感染病毒的電腦會(huì)在硬盤的所有網(wǎng)頁文件上附加病毒。如果被感染的是網(wǎng)站編輯電腦,通過中毒網(wǎng)頁病毒就可能附身在網(wǎng)站所有網(wǎng)頁上,訪問中毒網(wǎng)站時(shí)網(wǎng)民就會(huì)感染病毒。
“熊貓燒香”感染過天涯社區(qū)等門戶網(wǎng)站。“熊貓燒香”除帶有病毒的所有特性外,還具有強(qiáng)烈的商業(yè)目的:可以暗中盜取用戶的游戲賬號(hào)、QQ賬號(hào),以供出售牟利,還可以控制受感染電腦,將其變?yōu)?ldquo;網(wǎng)絡(luò)僵尸”,暗中訪問一些按訪問流量付費(fèi)的網(wǎng)站,從而獲利。部分變種中還含有盜號(hào)木馬。
牟利之害
“這是一套系統(tǒng)體系,‘熊貓燒香’的背景不簡(jiǎn)單。”一名業(yè)內(nèi)人士告訴記者。抓獲李俊和雷磊之后,湖北省警方抓獲王磊(男,22歲,山東威海人)、葉培新(男,21歲,浙江溫州人)、張順(男,23歲,浙江麗水人)、王哲(男,24歲,湖北仙桃人)等4名改寫、傳播“熊貓燒香”病毒的嫌疑人,正是他們通過改寫、傳播“熊貓燒香”病毒,構(gòu)建“僵尸網(wǎng)絡(luò)”,通過盜竊各種游戲和QQ賬號(hào)等方式非法牟利。
據(jù)湖北省公安廳介紹,李俊以自己出售和由他人代賣的方式,每次要價(jià)500~1000元不等,將該病毒銷售給120余人,非法獲利10萬余元。
經(jīng)病毒購(gòu)買者進(jìn)一步傳播,該病毒的各種變種在網(wǎng)上大面積傳播,通過入侵可盜取證券、銀行、信用卡的賬號(hào),其非法所得通過購(gòu)買網(wǎng)絡(luò)貨幣,完成“漂白”的洗錢過程;而通過病毒盜取的游戲賬號(hào)、虛擬錢幣,則通過中間批發(fā)商直接變現(xiàn),再進(jìn)入傳統(tǒng)銷售渠道。另一部分非法收入則是通過入侵網(wǎng)站,勒索網(wǎng)站收取傭金。
據(jù)湖北省公安廳估算,被“熊貓燒香”病毒控制的“網(wǎng)絡(luò)僵尸”數(shù)以百萬計(jì),按其訪問流量付費(fèi)的網(wǎng)站,一年下來可為整個(gè)“燒香”入侵之后一整套“推廣”網(wǎng)絡(luò)累計(jì)獲利數(shù)千萬元。
截至記者截稿,從湖北省公安廳獲悉,該案件還在進(jìn)一步偵查之中。