“熊貓燒香” 誰被“燙傷”

雖然“熊貓燒香”的制造人李俊和他背后的犯罪團伙已經(jīng)被繩之以法，但是很多人在提起“熊貓燒香”時仍會為之色變，以至于對升級更新殺病毒軟件熱衷到甚至有些病態(tài)的地步。

如果有人問，2006年底至2007年初在網(wǎng)絡(luò)上最流行的詞語是什么，絕大多數(shù)人都會認為是“熊貓燒香”，一個在網(wǎng)絡(luò)上任意肆虐的幽靈，短短幾個月時間，使我國上百萬企業(yè)、網(wǎng)吧、局域網(wǎng)用戶遭受感染和破壞。

在剛剛發(fā)布的《金山公司中國互聯(lián)網(wǎng)2006年度安全報告》中，“熊貓燒香”被評為2006年年末最瘋狂2大病毒之一，而《瑞星公司中國互聯(lián)網(wǎng)2006年度安全報告》中則把“熊貓燒香”評為2006年毒王。

“熊貓燒香”本身是一個傳染型的DownLoad，使用Delphi編寫，從技術(shù)上來說并沒有什么創(chuàng)新之處，卻借鑒很多經(jīng)典病毒、木馬甚至是流氓軟件的技術(shù)特點，綜合成了一個擁有可愛的圖標(biāo)卻讓人聞之色變的病毒。單技術(shù)下的病毒殺毒軟件都能應(yīng)付，但各種毒素綜合到一起這只“熊貓”反過來讓眾多殺毒軟件成了它“燒香”時的祭品。它的運行原理并不復(fù)雜，無非是“復(fù)制文件到系統(tǒng)目錄和根目錄”、“添加注冊表啟動項”、“利用微軟自動播放功能運行”、“針對計算機本身攻擊弱口令”、“利用IE瀏覽器漏洞在網(wǎng)頁文件中添加腳本代碼”等等一些并不“最新先進”的技術(shù)。就是這些“不算最新”的技術(shù)卻在全國上下揭起了一股“燒香”熱潮... ...

將自己的黑客技術(shù)用在非法牟利上，使李俊踏出犯罪的第一步，嘗到甜頭以后，李俊越陷越深，最終面對雪亮的鐐銬，低下了自己悔恨的頭……

李俊編出“熊貓燒香”病毒，目的是為了出售木馬病毒軟件給盜取網(wǎng)絡(luò)游戲賬戶裝備和QQ密碼盜賣者而獲利。李俊先后在網(wǎng)上以每個病毒500元至1000元的價格出售病毒近20套，在與合伙人張順接洽上以后，由李俊負責(zé)制作，張順負責(zé)銷售、形成了黑色的產(chǎn)業(yè)鏈，在短短一個多月的時間就牟利15萬元，一位反病毒專家介紹，李俊一年出售病毒收益可以買一座別墅。

據(jù)北京德恒律師事務(wù)所的律師鄭中濤介紹：我們國家關(guān)于計算機系統(tǒng)犯罪的刑罰還很輕，有嚴(yán)重后果的處以5年以下有期徒刑，特別嚴(yán)重是5年以上，上面沒有限制，一般情況下是作為有期徒刑來限制的（有期徒刑最高15年）。對這個熊貓燒香病毒的制造者并不排除有數(shù)罪并罰的情況，不僅僅是破壞計算機安全的信息系統(tǒng)罪，可能會涉及到其他的犯罪。因為其中有一個網(wǎng)絡(luò)的虛擬財產(chǎn)的盜竊問題，大多數(shù)的學(xué)者認為應(yīng)該按照盜竊罪來處罰。我國刑法規(guī)定利用計算機盜竊適用相關(guān)的規(guī)定。

鄭律師認為，應(yīng)該會對李俊判處有期徒刑5年以上的刑罰。因為制作傳播計算機病毒和其它破壞程序，影響了網(wǎng)絡(luò)的正常運行，我國在97年的時候就已經(jīng)寫入到法律里了，這種情況應(yīng)該有一個嚴(yán)厲的處罰。

很多人早已習(xí)慣生活工作中對網(wǎng)絡(luò)的依賴，突如其來的事件使網(wǎng)絡(luò)呈現(xiàn)出它的脆弱、甚至不堪一擊。一直被人忽略的信息安全話題浮出水面，成為焦點。

病毒肆虐，給中國的電腦用戶敲響了信息安全的警鐘。尤其是對微軟Windows操作系統(tǒng)及IE瀏覽器的過度依賴，讓病毒和有害程序有了擴散爆發(fā)的溫床。反病毒專家曾警告：由于多家著名網(wǎng)站遭到攻擊，相繼被植入病毒，所有上網(wǎng)瀏覽的用戶都可能受害。由于這些網(wǎng)站的瀏覽量非常大，致使此次“熊貓燒香”病毒的感染范圍非常廣，中毒企業(yè)和政府機構(gòu)超過千家，其中不乏金融、稅務(wù)、能源等敏感單位。

微軟應(yīng)該對最近國內(nèi)用戶不能及時更新安全補丁負上主要責(zé)任。且不論Windows操作系統(tǒng)的漏洞，對于一個擁有十幾億人口的國家，正版軟件消費金額巨大的市場，中國用戶的安全更新的合法權(quán)益，卻被一場外海的地震震得一點保障都沒有。（2006年12月26日20時26分和34分，臺灣屏東地區(qū)連續(xù)發(fā)生兩次七級左右的強烈地震及多次余震，致使中國網(wǎng)通所有途經(jīng)臺灣南部海域和香港周邊海域的國際海纜不同程度的發(fā)生阻斷。直到2007年11月29日下午才得以完全修復(fù)。）絕大多數(shù)購買了品牌電腦的用戶，也同時購買了正版的WindowsXP/Vista。

隨著病毒技術(shù)的發(fā)展，U盤、電子郵件、甚至MP3和音樂手機都可能成為新型病毒攜帶者。此次“熊貓燒香”的泛濫只暴露出網(wǎng)絡(luò)安全問題危機的冰山一角。也許有人還記得當(dāng)年CIH病毒爆發(fā)時，電腦城內(nèi)排隊修理電腦的景象。

長期以來，人們對保障信息安全的手段偏重于依靠技術(shù)，從早期的加密技術(shù)、數(shù)據(jù)備份、防病毒到如今網(wǎng)絡(luò)環(huán)境下的防火墻、入侵檢測、身份認證等等。廠商在安全技術(shù)和產(chǎn)品的研發(fā)上不遺余力，新的技術(shù)和產(chǎn)品不斷涌現(xiàn)；消費者也更加相信安全產(chǎn)品，把大把的預(yù)算也都投入到安全產(chǎn)品的采購上。但事實上僅僅依靠技術(shù)和產(chǎn)品保障信息安全的愿望卻往往難盡人意，許多復(fù)雜、多變的安全威脅和隱患靠產(chǎn)品是無法消除的。

“三分技術(shù)，七分管理”，實踐經(jīng)驗和原則在信息安全領(lǐng)域也同樣適用。據(jù)有關(guān)部門統(tǒng)計，在所有的計算機安全事件中，約有52%是人為因素造成的，25%由火災(zāi)、水災(zāi)等自然災(zāi)害引起，技術(shù)錯誤占10%，組織內(nèi)部人員作案占10%，僅有3%左右是由外部不法人員的攻擊造成。簡單歸類，屬于管理方面的原因比重高達70%以上， 而這些安全問題中的95%是可以通過科學(xué)的信息安全管理來避免。因此，管理已成為信息安全保障能力的重要基礎(chǔ)。

網(wǎng)絡(luò)信息安全建設(shè)，任重而道遠！沒有一個安全的網(wǎng)絡(luò)環(huán)境，操作者就會處于隨時有可能崩潰的網(wǎng)絡(luò)環(huán)境下，如同頭上懸著一把達克摩斯之劍，沒有任何安全感可言。

自國務(wù)院信息辦成立網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組以來，先后采取了一系列相應(yīng)的措施保護網(wǎng)絡(luò)安全。

初步建成了國家信息安全組織保障體系。早在2003年7月，國務(wù)院信息化領(lǐng)導(dǎo)小組第三次會議專題討論并通過了《關(guān)于加強信息安全保障工作的意見》。 同年9月，中央辦公廳、國務(wù)院辦公廳轉(zhuǎn)發(fā)了《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》（2003[27]號文件）。27號文件第一次把信息安全提到了促進經(jīng)濟發(fā)展、維護社會穩(wěn)定、保障國家安全、加強精神文明建設(shè)的高度，并提出了“積極防御、綜合防范”的信息安全管理方針。

制定和引進了一批重要的信息安全管理標(biāo)準(zhǔn)。為了更好地推進我國信息安全管理工作，公安部主持制定、國家質(zhì)量技術(shù)監(jiān)督局發(fā)布的中華人民共和國國家標(biāo)準(zhǔn)GB17895-1999《計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則》，并引進了國際上著名的《ISO 17799：2000：信息安全管理實施準(zhǔn)則》、《BS 7799-2：2002：信息安全管理體系實施規(guī)范》、《ISO/IEC 15408:1999(GB/T 18336:2001)－信息技術(shù)安全性評估準(zhǔn)則 》、《SSE-CMM:系統(tǒng)安全工程能力成熟度模型》等信息安全管理標(biāo)準(zhǔn)。信息安全標(biāo)準(zhǔn)化委會設(shè)置了10個工作組，其中信息安全管理工作組負責(zé)對信息安全的行政、技術(shù)、人員等管理提出規(guī)范要求及指導(dǎo)指南，它包括信息安全管理指南、信息安全管理實施規(guī)范、人員培訓(xùn)教育及錄用要求、信息安全社會服務(wù)管理規(guī)范、信息安全保險業(yè)務(wù)規(guī)范框架和安全策略要求與指南。

制定了一系列必須的信息安全管理的法律法規(guī)。例如：《中華人民共和國計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定》、《商用密碼管理條例》、《互聯(lián)網(wǎng)信息服務(wù)管理辦法》、《計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法》、《計算機病毒防治管理辦法》、《互聯(lián)網(wǎng)電子公告服務(wù)管理規(guī)定》、《軟件產(chǎn)品管理辦法》、《電信網(wǎng)間互聯(lián)管理暫行規(guī)定》、《電子簽名法》等。

信息安全風(fēng)險評估工作已經(jīng)得到重視和開展；國信辦信息安全風(fēng)險評估課題組早已啟動了信息安全風(fēng)險評估相關(guān)標(biāo)準(zhǔn)的編制工作，國家鐵路系統(tǒng)和北京移動通信公司于本世紀(jì)初就已完成了的信息安全風(fēng)險評估試點工作，國家其它關(guān)鍵行業(yè)或系統(tǒng)（如電力、電信、銀行等）也陸續(xù)開展或在近期已完成了這方面的工作。

雖然國家已經(jīng)做了很多工作在信息安全建設(shè)上，但是還存在不少問題需要解決，通過這次“熊貓燒香”的發(fā)作，也可以看出信息安全現(xiàn)狀仍存在著管理混亂、監(jiān)督力度不夠、實施手段不足、相關(guān)法律成文尚不嚴(yán)謹(jǐn)?shù)葐栴}?！靶茇垷恪眲偝霈F(xiàn)的時候沒有很好的抑制，幾個月時間都沒有能夠很好的防范住病毒的擴散，并且在對待病毒變種進化中所采取的對策手段仍需要加以改進。

令我們高興的是，在病毒發(fā)作以后，國家相關(guān)部門積極主動的手段?！靶茇垷恪庇?006年10月16日編寫，120天之后警方破案，網(wǎng)監(jiān)的表現(xiàn)可以稱之比較完美。

國家計算機病毒應(yīng)急處理中心張主任對這次案件的破獲和最新信息安全發(fā)展進程進行了介紹。

這起案件破獲是公安部的領(lǐng)導(dǎo)下由國家計算機病毒應(yīng)急處理中心建立的病毒防空預(yù)警體系成果。這些年中心一直致力于整個國家病毒預(yù)警體系的建設(shè)。是國家計算機病毒應(yīng)急處理中心把所有的防病毒廠家有效的組織起來，形成國家病毒應(yīng)急小組，發(fā)現(xiàn)新的病毒之后廠家會上報，包括病毒樣本和報告。中心首先發(fā)現(xiàn)病毒也會通過這個渠道通知給所有防病毒的廠家，這樣就會加快中心對病毒的快速反映和處置能力。

這個作用在整個案件里已經(jīng)發(fā)揮了系統(tǒng)作用，廠家通過日常的監(jiān)測從去年11月就發(fā)現(xiàn)了“熊貓燒香”病毒，通過中心對病毒的監(jiān)測分析。一方面是要拿出應(yīng)急的處置方案包括防病毒軟件的升級，讓用戶免受損失，同時技術(shù)的角度詳細分析，發(fā)現(xiàn)了一些和制造者有關(guān)的線索，根據(jù)這些線索進一步的監(jiān)測，逐步的把嫌疑人圈定在一定的范圍內(nèi)。

中心把這個情況上報給公安部的案件辦理機構(gòu)，這樣就實施了后期的抓獲。另外一個系統(tǒng)現(xiàn)在也初步建成，就是建立國家病毒預(yù)警監(jiān)控體系。這個體系去年列入到公安部的項目里，在國內(nèi)主要的網(wǎng)絡(luò)結(jié)點上編設(shè)自己的類似傳感器一樣，通過這個體系可以了解病毒在網(wǎng)絡(luò)上的一些實際數(shù)據(jù)，通過它也可以發(fā)現(xiàn)很多病毒的可能傳播的途徑。

公安部一直在構(gòu)建著網(wǎng)絡(luò)的綜合防控體系，這個體系是應(yīng)急中心牽頭組織起全社會的力量，包括反病毒廠家和眾多的網(wǎng)民，形成多層次的整體的防控體系。這個體系在這次對病毒的處置和打擊方面都發(fā)揮了很重要的作用。這也是這些年公安部在這方面要求整個體系建設(shè)中做的工作，對于今后遏制和防范、打擊國家利用病毒和木馬技術(shù)進行了網(wǎng)絡(luò)犯罪活動能夠有效的震懾和防范。