二零零七年,二月三十日。
公安部十一局緊急致電鄂省公安廳,要求當地,必須以最快的速度,破獲這起“網絡病毒”案件。
當天,鄂省六名網監專家、國家計算機病毒應急處理中心專家及網監大隊,齊聚江城。
至於案件的起因,還要從四個月前說起。
二零零六年,十二月,一種被稱爲“尼姆亞”的新型病毒,在互聯網上開始傳播。
這個年代,電腦中病毒,其實並不是什麼稀罕事,甚至可以說,每個電腦用戶,都或多或少有過“中毒”的經歷。
網民也習以爲常。
因爲不管中什麼病毒,只需要重裝系統,便可以解決一切問題。
頂多就是耽誤一點時間。
所以這個時候的“尼姆亞”病毒,還沒有被網監乃至網友們高度重視,以至於留給了“尼姆亞”大規模擴散的時間。
然而,時間僅僅過去四個月,“尼姆亞”便以迅雷不及掩耳之勢,迅速感染入侵了上千萬臺電腦。
更令人喫驚的是,這款病毒的破壞性,也前所未有的強大。
就算你重裝系統也沒有用。
因爲病毒會刪除擴展名爲gho的文件,讓用戶無法使用ghost軟件恢復操作系統。
不僅如此,這款病毒還會感染硬盤內的所有網頁文件,並在其中添加病毒網址,導致用戶一打開這些網頁,IE就會自動連接到指定的病毒網站下載病毒。
簡單來說,這款病毒還是其它病毒的“開啓器”。
一旦感染了這款病毒,就相當於把整個網絡上的病毒,都搬到電腦當中來。
當然,這個功能並不是這款病毒的全部,反而只是它在破壞你電腦之前給你的前菜而已。
在感染這款電腦病毒後,你電腦桌面上的所有軟件圖標,包括桌面壁紙,都會被統一修改成一個“熊貓拿着三炷香,合十作揖”的圖案。
再結合之前植入病毒的網站,雙管齊下,破壞你的文件,直到你的電腦出現藍屏,或者反覆重啓。
基本上,到了這種程度之後,你唯一能做的就是切斷電源,出門瀏覽祖國的大好河山。
再厲害的網癮都給你戒了。
對於一些網站編輯人員來說,這款病毒就是噩夢中的噩夢了。
因爲這款病毒除了可以利用U盤,以及共享文件等方式來進行傳播之外,它還會在電腦的網頁文件尾部,自動添加程序代碼。
也就是說,如果網站的編輯人員,在感染這款病毒之後,上傳數據到網站,那麼在這之後瀏覽這個網頁的所有用戶,都將會感染這款病毒。
其中,蘇省地區,更是成了這款病毒重點關注的“重災區”。
大量企業的電腦陷入癱瘓。
等到國家計算機病毒應急處理中心,重視起來的時候,已經有上千家企業和政府機構,包括金融、稅務、能源,等關係到國計民生的單位被感染。
起初,還有人嘗試用殺毒軟件對電腦進行殺毒,但這款被稱爲“熊貓燒香”的病毒,對殺毒軟件有很強的抵抗性,可以結束大量反病毒軟件的程序。
一般的系統重裝,是完全不起作用的。
因爲在感染病毒的時候,病毒就已經爲自己留好了備份文件,就等你進行重裝了。
除非用戶將硬盤徹底格式化,然後再重裝。
只有這種辦法,才能徹底杜絕“熊貓燒香”。
不過這個時期,大部分人對電腦知識,都是一竅不通的,別說是格式化、重裝系統這種操作了,就連怎麼下載殺毒軟件,很多人都不會。
他們只能急匆匆的跑到電腦店,請老闆幫忙。
哪怕他們把江民殺毒、瑞星殺毒、金山毒霸、360安全衛士,等等一系列國內知名的殺毒軟件,全都安裝了個遍,也無法真正做到徹底殺滅病毒。
不出十分鐘,“熊貓燒香”又將死灰復燃。
爲了不丟失電腦中的重要文件,很多人也不敢格式化硬盤,只能焦急的等待這款病毒的專殺工具出現。
然而此時,“熊貓燒香”病毒,已經進入急速變種期。
天涯社區、硅谷動力、pconline等門戶網站,快播、暴風影音等知名軟件的下載鏈接中,都開始出現“熊貓燒香”附身的痕跡。
從傳統的點對點,到現在的點對面,“熊貓燒香”藉助中毒網站的驚人訪問量,正在急速傳播。
小江是黑龍省一家網吧的網管。
3月2日到3月4日的兩天時間,他所在的網吧內空空蕩蕩,並無顧客,打開網吧的40多臺電腦,屏幕上佈滿了“熊貓燒香”圖標,系統崩潰,無法運行。
“毒是2號早晨中的,一開始只是一臺機器,我殺毒時候,局域網內其他機器陸續中招。”小江在接受記者採訪時說道。
同一天早晨,在百京一家IT公司工作的劉先生,上班後發現,公司近30臺電腦全部感染“熊貓燒香”,病毒破壞了電腦內的程序文件,並刪除了電腦備份,公司正在研發中的半成品軟件毀於一旦。
劉先生憤怒的差點暈厥,卻又無可奈何。
同一天晚上,百京的一家報社裏,技術人員們東奔西跑,幾十名編輯記者都在等待着他們清除電腦裏的“熊貓燒香”。
3月5日,東海市一家臺資公司的員工張先生打開電腦,迎接他的是一排排拱手舉香的熊貓。
環顧四周,他發現同事們臉上有同樣的驚詫表情。
整整一天,公司業務陷於癱瘓。
……
三月六日,夜間十點。
無窮大公司總部,14樓,網絡安全部門。
一羣反病毒工程師,圍着一臺與網絡隔絕的電腦。
隨着鼠標點動,數百個熊貓圖標出現在屏幕上,這是工程師們當天捕獲的“熊貓燒香”變種病毒。
姜遠是無窮大公司網絡安全部門,病毒小組的反病毒工程師。
他每天的工作就是,和數十名夥伴一起捕捉網上流傳的病毒,然後將病毒“拆”開,研究其內部結構後,升級無窮大公司內部的病毒庫。
捕獲病毒樣本後,病毒小組的成員,立刻就將病毒放進了“蜜罐”。
“蜜罐”是病毒小組設立在互聯網上的一些防衛性孱弱的服務器,工程師們故意在服務器上設置多種漏洞,誘使病毒侵入。
就像獵人做的沾滿蜜糖的陷阱,專門吸引獵物上鉤。
隨後,他們又在網絡隔離的環境下,對“熊貓燒香”進行了“解剖”。
經過分析,工程師們發現,在病毒卡通化的外表下,隱藏着巨大的傳染潛力,它的傳染模式和殺傷手段,與風行一時的“威金”病毒十分相像。
“熊貓燒香”的技術談不上高超,主要依賴於作者還在不斷瘋狂的更新,只要它更新,姜遠他們就必須要隨時更新專殺工具。
僅僅纔過去兩天,姜遠和他的同事開發的專殺工具,就已經升級了十餘次。
可以說非常被動。
而且這麼好用的病毒,IT界已經有不少的黑客在偷偷使用,很難保證這個病毒不會再次變種。
“看來,這個病毒是根本無法消滅的,除非對它的程序進行反編譯。”
一位頭髮花白的老人,站在姜遠他們後身,扶了扶鼻樑上的眼鏡,憂心忡忡的說道。