陈雪涛

　　据介绍，2006年底，我国互联网上大规模爆发“熊猫烧香”病毒及其变种，该病毒通过多种方式进行传播，并将感染的所有程序文件改成熊猫举着三根香的模样，同时该病毒还具有盗取用户游戏账号、QQ账号等功能。该病毒传播速度快，危害范围广，截至案发为止，已有上百万个人用户、网吧及企业局域网用户遭受感染和破坏，引起社会各界高度关注。《瑞星2006安全报告》将其列为十大病毒之首，在《2006年度中国大陆地区电脑病毒疫情和互联网安全报告》的十大病毒排行中一举成为“毒王”。

　　今年1月中旬，湖北省网监部门根据公安部公共信息网络安全监察局的部署，对“熊猫烧香”病毒的制作者开展调查。经查，熊猫烧香病毒的制作者为湖北省武汉市李俊，据李俊交代，其于2006年10月16日编写了“熊猫烧香”病毒并在网上广泛传播，并且还以自己出售和由他人代卖的方式，在网络上将该病毒销售给120余人，非法获利10万余元。经病毒购买者进一步传播，导致该病毒的各种变种在网上大面积传播，对互联网用户计算机安全造成了严重破坏。李俊还于2003年编写了“武汉男生”病毒、2005年编写了“武汉男生2005”病毒及“QQ尾巴”病毒。另外，本案另有几个重要犯罪嫌疑人雷磊(男，25岁，武汉新洲区人)、王磊(男，22岁，山东威海人)、叶培新(男，21岁，浙江温州人)、张顺(男，23岁，浙江丽水人)、王哲(男，24岁，湖北仙桃人)通过改写、传播“熊猫烧香”等病毒，构建“僵尸网络”，通过盗窃各种游戏和QQ账号等方式非法牟利。

　　接近该案的知情人士透露，公安部从去年10月底就开始关注熊猫烧香病毒，“它的传播面特别大，影响面广而且特别恶劣。”尽管病毒作者拥有绞尽脑汁进行自我隐藏，不过在锁定目标的过程中，还是在互联网上留下了很多蛛丝马迹。“其实这类病毒的作者往往以赚钱为目的，总是会留下线索。”专案小组选择从互联网上的一些社区信息、域名注册信息开始入手。

　　该人士表示，目前在多个相关病毒都的代码里写着WhBOY，其中就包括大名鼎鼎的熊猫烧香，流氓软件51VC，以及一些腾讯QQ、网游传奇账号密码盗窃的木马软件。“这些木马的代码、传播以及爆发手法都极为相似”，专案小组初步判断为同一人所为，决定并案侦查。

　　“举个例子来说，51.vc的网站上写着ICP证是：鲁ICP证005248号。”知情人士表示，专案小组当即查明这是一个伪造的ICP证，通过有关渠道查到另一个网站www.51pm.org也是使用了这个伪造的ICP证。尽管当时该网站已不能访问，但可以搜索引擎的快照功能回溯该站点网页，其内容和51.vc完全一样。专案小组在掌握了上述信息后，立即着手寻找51.vc或51pm.org注册者，而这些人也就是这些病毒的作者、或者幕后指使的关联人物。

　　知情人士表示，上述例子只是侦破手段中的一种方法，“事实上，在侦破过程中采用了多方面信息相互印证的办法。”据介绍，目前互联网上有多种追踪方式，对于大规模传播的病毒而言，幕后黑手几乎无法藏身。

　　　　信息安全业内人士表示，技术上锁定并取证后，再通过调查其背后商业目的的方法入手分析，一般都能发现蛛丝马迹。尤其是熊猫烧香与以往许多病毒都在拼命隐藏作者身份的做法不同，熊猫烧香的作者显得过于明目张胆。据悉，此次有关部门抓捕病毒作者，因为熊猫烧香的病毒不仅自己扩散传播，还主动销售源代码给其它盗窃团伙，这些种种行为都暴露了他自身的身份。

　　“这个病毒是通过入侵网站并挂上木马来实现传播，并盗取用户有价值的虚拟账户的。除此之外，这个团伙还销售病毒源码牟利，其影响的规模非常巨大，社会影响极为恶劣。”接近专案小组的知情人士表示。“不仅是他们一个病毒团伙在传播，而是有大量团伙一起传播。”

　　“这背后也许还隐藏着更为复杂的利益集团，这些都还没有最终浮出水面。”

据传:武汉业界高度关注此次事件的进度和未来走向,部分武汉站长联合通过各种渠道营救李俊.国内多家知名软件公司的老总准备飞往武汉与有关部门协商.湖北省私人网络站长极多,存在许多软件技术高手.由于出于利益,许多站长利用病毒挺而走险.2006年8月破获湖北天门首例网络黑客案.盗取深圳腾讯公司虚拟货币"Q币"

DONEWS武汉互联网精英俱乐部已经在事发当晚呼吁本省互联网企业和站长积极开拓新市场,寻找盈利新模式,守法经营.