“熊貓燒香” 誰被“燙傷”

雖然“熊貓燒香”的制造人李俊和他背后的犯罪團(tuán)伙已經(jīng)被繩之以法，但是很多人在提起“熊貓燒香”時(shí)仍會(huì)為之色變，以至于對(duì)升級(jí)更新殺病毒軟件熱衷到甚至有些病態(tài)的地步。

如果有人問，2006年底至2007年初在網(wǎng)絡(luò)上最流行的詞語是什么，絕大多數(shù)人都會(huì)認(rèn)為是“熊貓燒香”，一個(gè)在網(wǎng)絡(luò)上任意肆虐的幽靈，短短幾個(gè)月時(shí)間，使我國(guó)上百萬企業(yè)、網(wǎng)吧、局域網(wǎng)用戶遭受感染和破壞。

在剛剛發(fā)布的《金山公司中國(guó)互聯(lián)網(wǎng)2006年度安全報(bào)告》中，“熊貓燒香”被評(píng)為2006年年末最瘋狂2大病毒之一，而《瑞星公司中國(guó)互聯(lián)網(wǎng)2006年度安全報(bào)告》中則把“熊貓燒香”評(píng)為2006年毒王。

“熊貓燒香”本身是一個(gè)傳染型的DownLoad，使用Delphi編寫，從技術(shù)上來說并沒有什么創(chuàng)新之處，卻借鑒很多經(jīng)典病毒、木馬甚至是流氓軟件的技術(shù)特點(diǎn)，綜合成了一個(gè)擁有可愛的圖標(biāo)卻讓人聞之色變的病毒。單技術(shù)下的病毒殺毒軟件都能應(yīng)付，但各種毒素綜合到一起這只“熊貓”反過來讓眾多殺毒軟件成了它“燒香”時(shí)的祭品。它的運(yùn)行原理并不復(fù)雜，無非是“復(fù)制文件到系統(tǒng)目錄和根目錄”、“添加注冊(cè)表啟動(dòng)項(xiàng)”、“利用微軟自動(dòng)播放功能運(yùn)行”、“針對(duì)計(jì)算機(jī)本身攻擊弱口令”、“利用IE瀏覽器漏洞在網(wǎng)頁文件中添加腳本代碼”等等一些并不“最新先進(jìn)”的技術(shù)。就是這些“不算最新”的技術(shù)卻在全國(guó)上下揭起了一股“燒香”熱潮... ...

將自己的黑客技術(shù)用在非法牟利上，使李俊踏出犯罪的第一步，嘗到甜頭以后，李俊越陷越深，最終面對(duì)雪亮的鐐銬，低下了自己悔恨的頭……

李俊編出“熊貓燒香”病毒，目的是為了出售木馬病毒軟件給盜取網(wǎng)絡(luò)游戲賬戶裝備和QQ密碼盜賣者而獲利。李俊先后在網(wǎng)上以每個(gè)病毒500元至1000元的價(jià)格出售病毒近20套，在與合伙人張順接洽上以后，由李俊負(fù)責(zé)制作，張順負(fù)責(zé)銷售、形成了黑色的產(chǎn)業(yè)鏈，在短短一個(gè)多月的時(shí)間就牟利15萬元，一位反病毒專家介紹，李俊一年出售病毒收益可以買一座別墅。

據(jù)北京德恒律師事務(wù)所的律師鄭中濤介紹：我們國(guó)家關(guān)于計(jì)算機(jī)系統(tǒng)犯罪的刑罰還很輕，有嚴(yán)重后果的處以5年以下有期徒刑，特別嚴(yán)重是5年以上，上面沒有限制，一般情況下是作為有期徒刑來限制的（有期徒刑最高15年）。對(duì)這個(gè)熊貓燒香病毒的制造者并不排除有數(shù)罪并罰的情況，不僅僅是破壞計(jì)算機(jī)安全的信息系統(tǒng)罪，可能會(huì)涉及到其他的犯罪。因?yàn)槠渲杏幸粋€(gè)網(wǎng)絡(luò)的虛擬財(cái)產(chǎn)的盜竊問題，大多數(shù)的學(xué)者認(rèn)為應(yīng)該按照盜竊罪來處罰。我國(guó)刑法規(guī)定利用計(jì)算機(jī)盜竊適用相關(guān)的規(guī)定。

鄭律師認(rèn)為，應(yīng)該會(huì)對(duì)李俊判處有期徒刑5年以上的刑罰。因?yàn)橹谱鱾鞑ビ?jì)算機(jī)病毒和其它破壞程序，影響了網(wǎng)絡(luò)的正常運(yùn)行，我國(guó)在97年的時(shí)候就已經(jīng)寫入到法律里了，這種情況應(yīng)該有一個(gè)嚴(yán)厲的處罰。

很多人早已習(xí)慣生活工作中對(duì)網(wǎng)絡(luò)的依賴，突如其來的事件使網(wǎng)絡(luò)呈現(xiàn)出它的脆弱、甚至不堪一擊。一直被人忽略的信息安全話題浮出水面，成為焦點(diǎn)。

病毒肆虐，給中國(guó)的電腦用戶敲響了信息安全的警鐘。尤其是對(duì)微軟Windows操作系統(tǒng)及IE瀏覽器的過度依賴，讓病毒和有害程序有了擴(kuò)散爆發(fā)的溫床。反病毒專家曾警告：由于多家著名網(wǎng)站遭到攻擊，相繼被植入病毒，所有上網(wǎng)瀏覽的用戶都可能受害。由于這些網(wǎng)站的瀏覽量非常大，致使此次“熊貓燒香”病毒的感染范圍非常廣，中毒企業(yè)和政府機(jī)構(gòu)超過千家，其中不乏金融、稅務(wù)、能源等敏感單位。

微軟應(yīng)該對(duì)最近國(guó)內(nèi)用戶不能及時(shí)更新安全補(bǔ)丁負(fù)上主要責(zé)任。且不論Windows操作系統(tǒng)的漏洞，對(duì)于一個(gè)擁有十幾億人口的國(guó)家，正版軟件消費(fèi)金額巨大的市場(chǎng)，中國(guó)用戶的安全更新的合法權(quán)益，卻被一場(chǎng)外海的地震震得一點(diǎn)保障都沒有。（2006年12月26日20時(shí)26分和34分，臺(tái)灣屏東地區(qū)連續(xù)發(fā)生兩次七級(jí)左右的強(qiáng)烈地震及多次余震，致使中國(guó)網(wǎng)通所有途經(jīng)臺(tái)灣南部海域和香港周邊海域的國(guó)際海纜不同程度的發(fā)生阻斷。直到2007年11月29日下午才得以完全修復(fù)。）絕大多數(shù)購買了品牌電腦的用戶，也同時(shí)購買了正版的WindowsXP/Vista。

隨著病毒技術(shù)的發(fā)展，U盤、電子郵件、甚至MP3和音樂手機(jī)都可能成為新型病毒攜帶者。此次“熊貓燒香”的泛濫只暴露出網(wǎng)絡(luò)安全問題危機(jī)的冰山一角。也許有人還記得當(dāng)年CIH病毒爆發(fā)時(shí)，電腦城內(nèi)排隊(duì)修理電腦的景象。

長(zhǎng)期以來，人們對(duì)保障信息安全的手段偏重于依靠技術(shù)，從早期的加密技術(shù)、數(shù)據(jù)備份、防病毒到如今網(wǎng)絡(luò)環(huán)境下的防火墻、入侵檢測(cè)、身份認(rèn)證等等。廠商在安全技術(shù)和產(chǎn)品的研發(fā)上不遺余力，新的技術(shù)和產(chǎn)品不斷涌現(xiàn)；消費(fèi)者也更加相信安全產(chǎn)品，把大把的預(yù)算也都投入到安全產(chǎn)品的采購上。但事實(shí)上僅僅依靠技術(shù)和產(chǎn)品保障信息安全的愿望卻往往難盡人意，許多復(fù)雜、多變的安全威脅和隱患靠產(chǎn)品是無法消除的。

“三分技術(shù)，七分管理”，實(shí)踐經(jīng)驗(yàn)和原則在信息安全領(lǐng)域也同樣適用。據(jù)有關(guān)部門統(tǒng)計(jì)，在所有的計(jì)算機(jī)安全事件中，約有52%是人為因素造成的，25%由火災(zāi)、水災(zāi)等自然災(zāi)害引起，技術(shù)錯(cuò)誤占10%，組織內(nèi)部人員作案占10%，僅有3%左右是由外部不法人員的攻擊造成。簡(jiǎn)單歸類，屬于管理方面的原因比重高達(dá)70%以上， 而這些安全問題中的95%是可以通過科學(xué)的信息安全管理來避免。因此，管理已成為信息安全保障能力的重要基礎(chǔ)。

網(wǎng)絡(luò)信息安全建設(shè)，任重而道遠(yuǎn)！沒有一個(gè)安全的網(wǎng)絡(luò)環(huán)境，操作者就會(huì)處于隨時(shí)有可能崩潰的網(wǎng)絡(luò)環(huán)境下，如同頭上懸著一把達(dá)克摩斯之劍，沒有任何安全感可言。

自國(guó)務(wù)院信息辦成立網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組以來，先后采取了一系列相應(yīng)的措施保護(hù)網(wǎng)絡(luò)安全。

初步建成了國(guó)家信息安全組織保障體系。早在2003年7月，國(guó)務(wù)院信息化領(lǐng)導(dǎo)小組第三次會(huì)議專題討論并通過了《關(guān)于加強(qiáng)信息安全保障工作的意見》。 同年9月，中央辦公廳、國(guó)務(wù)院辦公廳轉(zhuǎn)發(fā)了《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》（2003[27]號(hào)文件）。27號(hào)文件第一次把信息安全提到了促進(jìn)經(jīng)濟(jì)發(fā)展、維護(hù)社會(huì)穩(wěn)定、保障國(guó)家安全、加強(qiáng)精神文明建設(shè)的高度，并提出了“積極防御、綜合防范”的信息安全管理方針。

制定和引進(jìn)了一批重要的信息安全管理標(biāo)準(zhǔn)。為了更好地推進(jìn)我國(guó)信息安全管理工作，公安部主持制定、國(guó)家質(zhì)量技術(shù)監(jiān)督局發(fā)布的中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)GB17895-1999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》，并引進(jìn)了國(guó)際上著名的《ISO 17799：2000：信息安全管理實(shí)施準(zhǔn)則》、《BS 7799-2：2002：信息安全管理體系實(shí)施規(guī)范》、《ISO/IEC 15408:1999(GB/T 18336:2001)－信息技術(shù)安全性評(píng)估準(zhǔn)則 》、《SSE-CMM:系統(tǒng)安全工程能力成熟度模型》等信息安全管理標(biāo)準(zhǔn)。信息安全標(biāo)準(zhǔn)化委會(huì)設(shè)置了10個(gè)工作組，其中信息安全管理工作組負(fù)責(zé)對(duì)信息安全的行政、技術(shù)、人員等管理提出規(guī)范要求及指導(dǎo)指南，它包括信息安全管理指南、信息安全管理實(shí)施規(guī)范、人員培訓(xùn)教育及錄用要求、信息安全社會(huì)服務(wù)管理規(guī)范、信息安全保險(xiǎn)業(yè)務(wù)規(guī)范框架和安全策略要求與指南。

制定了一系列必須的信息安全管理的法律法規(guī)。例如：《中華人民共和國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定》、《商用密碼管理?xiàng)l例》、《互聯(lián)網(wǎng)信息服務(wù)管理辦法》、《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法》、《計(jì)算機(jī)病毒防治管理辦法》、《互聯(lián)網(wǎng)電子公告服務(wù)管理規(guī)定》、《軟件產(chǎn)品管理辦法》、《電信網(wǎng)間互聯(lián)管理暫行規(guī)定》、《電子簽名法》等。

信息安全風(fēng)險(xiǎn)評(píng)估工作已經(jīng)得到重視和開展；國(guó)信辦信息安全風(fēng)險(xiǎn)評(píng)估課題組早已啟動(dòng)了信息安全風(fēng)險(xiǎn)評(píng)估相關(guān)標(biāo)準(zhǔn)的編制工作，國(guó)家鐵路系統(tǒng)和北京移動(dòng)通信公司于本世紀(jì)初就已完成了的信息安全風(fēng)險(xiǎn)評(píng)估試點(diǎn)工作，國(guó)家其它關(guān)鍵行業(yè)或系統(tǒng)（如電力、電信、銀行等）也陸續(xù)開展或在近期已完成了這方面的工作。

雖然國(guó)家已經(jīng)做了很多工作在信息安全建設(shè)上，但是還存在不少問題需要解決，通過這次“熊貓燒香”的發(fā)作，也可以看出信息安全現(xiàn)狀仍存在著管理混亂、監(jiān)督力度不夠、實(shí)施手段不足、相關(guān)法律成文尚不嚴(yán)謹(jǐn)?shù)葐栴}。“熊貓燒香”剛出現(xiàn)的時(shí)候沒有很好的抑制，幾個(gè)月時(shí)間都沒有能夠很好的防范住病毒的擴(kuò)散，并且在對(duì)待病毒變種進(jìn)化中所采取的對(duì)策手段仍需要加以改進(jìn)。

令我們高興的是，在病毒發(fā)作以后，國(guó)家相關(guān)部門積極主動(dòng)的手段。“熊貓燒香”于2006年10月16日編寫，120天之后警方破案，網(wǎng)監(jiān)的表現(xiàn)可以稱之比較完美。

國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心張主任對(duì)這次案件的破獲和最新信息安全發(fā)展進(jìn)程進(jìn)行了介紹。

這起案件破獲是公安部的領(lǐng)導(dǎo)下由國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心建立的病毒防空預(yù)警體系成果。這些年中心一直致力于整個(gè)國(guó)家病毒預(yù)警體系的建設(shè)。是國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心把所有的防病毒廠家有效的組織起來，形成國(guó)家病毒應(yīng)急小組，發(fā)現(xiàn)新的病毒之后廠家會(huì)上報(bào)，包括病毒樣本和報(bào)告。中心首先發(fā)現(xiàn)病毒也會(huì)通過這個(gè)渠道通知給所有防病毒的廠家，這樣就會(huì)加快中心對(duì)病毒的快速反映和處置能力。

這個(gè)作用在整個(gè)案件里已經(jīng)發(fā)揮了系統(tǒng)作用，廠家通過日常的監(jiān)測(cè)從去年11月就發(fā)現(xiàn)了“熊貓燒香”病毒，通過中心對(duì)病毒的監(jiān)測(cè)分析。一方面是要拿出應(yīng)急的處置方案包括防病毒軟件的升級(jí)，讓用戶免受損失，同時(shí)技術(shù)的角度詳細(xì)分析，發(fā)現(xiàn)了一些和制造者有關(guān)的線索，根據(jù)這些線索進(jìn)一步的監(jiān)測(cè)，逐步的把嫌疑人圈定在一定的范圍內(nèi)。

中心把這個(gè)情況上報(bào)給公安部的案件辦理機(jī)構(gòu)，這樣就實(shí)施了后期的抓獲。另外一個(gè)系統(tǒng)現(xiàn)在也初步建成，就是建立國(guó)家病毒預(yù)警監(jiān)控體系。這個(gè)體系去年列入到公安部的項(xiàng)目里，在國(guó)內(nèi)主要的網(wǎng)絡(luò)結(jié)點(diǎn)上編設(shè)自己的類似傳感器一樣，通過這個(gè)體系可以了解病毒在網(wǎng)絡(luò)上的一些實(shí)際數(shù)據(jù)，通過它也可以發(fā)現(xiàn)很多病毒的可能傳播的途徑。

公安部一直在構(gòu)建著網(wǎng)絡(luò)的綜合防控體系，這個(gè)體系是應(yīng)急中心牽頭組織起全社會(huì)的力量，包括反病毒廠家和眾多的網(wǎng)民，形成多層次的整體的防控體系。這個(gè)體系在這次對(duì)病毒的處置和打擊方面都發(fā)揮了很重要的作用。這也是這些年公安部在這方面要求整個(gè)體系建設(shè)中做的工作，對(duì)于今后遏制和防范、打擊國(guó)家利用病毒和木馬技術(shù)進(jìn)行了網(wǎng)絡(luò)犯罪活動(dòng)能夠有效的震懾和防范。