Los pandas queman incienso. ¿Por qué aparece este nombre? ¿Existe alguna conexión significativa entre sus características además de ese símbolo?
Los ingenieros antivirus lo llamaron Nimia. También tiene un nombre más popular: "Panda Burning Incense". Rápidamente se transformó en cientos de especies, invadiendo constantemente computadoras personales, infectando portales y destruyendo sistemas de datos corporativos... Su propagación cuestionó la seguridad pública de la red y al mismo tiempo desencadenó una contienda entre "Tao" y "Diablo". en el mundo virtual. Están involucrados ingenieros antivirus y personal antivirus privado.
En octubre de 2019 apareció una nueva variante del virus "Panda Burning Incense" en 65438+. El autor del virus afirma que esta será la última actualización de "Panda Burning Incense".
¿Ha terminado esta competición que duró más de dos meses?
Virus encontrado en "honeypot"
165438+ 14 de octubre de 2006, piso 14, sede de Zhongguancun Rising Company.
Un grupo de ingenieros antivirus rodearon un ordenador que estaba desconectado de Internet. Con el clic del ratón, aparecen cientos de iconos de pandas en la pantalla. Este es el virus que los ingenieros capturaron ese día y lo llamaron "Nimia".
Shi Jun es ingeniero antivirus en el equipo de virus del Departamento de I+D de Rising Company. Su trabajo diario es trabajar con docenas de socios para detectar virus que circulan en Internet, luego "desensamblarlos", estudiar sus estructuras internas y actualizar la base de datos de virus de Rising.
Por la tarde, un usuario les envió una muestra de virus. Más tarde, descubrieron el virus en el "honeypot" del grupo de virus.
Un "honeypot" es un servidor débil configurado por un grupo de virus en Internet. Los ingenieros crearon deliberadamente varias vulnerabilidades en el servidor para inducir la invasión de virus. "Es como una trampa llena de miel hecha por un cazador para atraer a sus presas".
Después de extraer el virus del "honeypot", Shi Jun y sus colegas trasladaron el virus a una computadora en el piso 14 del la empresa que está conectada a la red en una computadora aislada, esta es la "tabla de anatomía" para los virus.
"Después de ejecutar el virus, todos los íconos del sistema se convirtieron en pandas". Aparecieron filas de patrones de pandas en la pantalla frente a Shi Jun. El panda sostiene tres varitas de incienso y arcos con las manos juntas.
Después del análisis, los ingenieros descubrieron que bajo la apariencia de dibujos animados del virus, existe un enorme potencial de infección. Su método de infección y sus métodos de eliminación son muy similares a los del ahora popular virus "Weijin". Rising inmediatamente emitió una advertencia de virus.
El virus se propagó por todo el país.
“El Nimia original no era muy poderoso”. Shi Jun dijo que a medida que los autores del virus continuaron actualizándose, su poder destructivo y su contagio también aumentaron.
A finales del 11 de junio de 2006, había menos de diez variantes de Neemia. Pero a partir del 65438 de junio + febrero, los autores de virus actualizaron todos los días y el número de variantes aumentó exponencialmente. En este momento, "Panda Burning Incense" ha reemplazado el nombre "Nimaya".
A mediados de junio + febrero de 5438, "Panda Burning Incense" entró en un período de rápida mutación. Después de varios brotes a gran escala, "Panda quemando incienso" se ha convertido en la palabra favorita entre muchos usuarios de computadoras.
Después de Navidad, el número de versiones de "Panda Burning Incense" ha llegado a casi cien.
Shi Jun dijo que a finales de febrero de 65438 el año pasado, casi mil grandes empresas nacionales se infectaron con "Panda Burning Incense" y pidieron ayuda a Rising. "Cuando el número de variantes del virus y de personas infectadas excede un cierto número, la propagación del virus aumentará exponencialmente".
El 26 de febrero de 65438, el Centro de monitoreo antivirus global de Kingsoft Antivirus emitió una advertencia de virus. , ""Panda Burning Incense" está cometiendo crímenes como un loco.
El día 27, Jiang Min Technology emitió una alerta de virus de emergencia sobre "Panda Burning Incense".
El 7 de junio de 2007, el Centro Nacional de Respuesta a Emergencias contra Virus Informáticos emitió una advertencia de emergencia. "Al monitorear Internet, se descubrió que se está propagando un gusano disfrazado de 'Panda Burning Incense'. Muchas LAN corporativas han sido infectadas por este gusano".
El 9 de octubre de 65438, "Panda Burns Incense" "Burn Incense" continuó extendiéndose y comenzó a inundar a los usuarios de computadoras en todo el país.
Ese día, "Panda Burning Incense" marcó el comienzo de un brote a gran escala en todo el país, con el número de variedades fijado en 306.
Se han reclutado usuarios de todo el mundo
Xiao Jiang es el administrador de red de un cibercafé en la provincia de Heilongjiang. Desde 65438+9 de octubre hasta 65438+10 de octubre, su cibercafé estuvo vacío y no tenía clientes. Cuando encendió más de 40 computadoras en el cibercafé, las pantallas estaban llenas de íconos de "Panda quemando incienso" y los sistemas fallaron y no pudieron funcionar.
"El virus apareció en la mañana del día 9. Al principio era solo una máquina. Cuando estaba eliminando el virus, otras máquinas en la LAN se infectaron una tras otra", dijo Xiao Jiang.
En la mañana del mismo día, el Sr. Liu, que trabajaba en una empresa de TI en Beijing, descubrió que casi 30 computadoras de la empresa estaban infectadas con "Panda Burning Incense". El virus destruyó archivos de programa en la computadora y eliminó las copias de seguridad de la computadora, destruyendo el software a medio terminar en desarrollo.
El Sr. Liu estaba enojado pero indefenso. En el informe resumido anual, añadió específicamente: "En el futuro, es necesario realizar copias de seguridad de programas importantes para evitar virus maliciosos como el 'Panda Burning Incense'".
Esa misma noche, en la redacción de un periódico En Beijing, la tecnología La gente corría y decenas de editores y reporteros esperaban que borraran el "Panda Burning Incense" de sus computadoras.
Del 65 de junio al 10 de octubre, el Sr. Zhang, un empleado de una empresa financiada por Taiwán en Shanghai, encendió su computadora y fue recibido por filas de pandas que quemaban incienso. Mirando a su alrededor, notó que todos sus colegas tenían la misma expresión de sorpresa en sus rostros. Durante todo un día, el negocio de la empresa estuvo paralizado.
...
Según los datos de solicitud de usuarios del virus "Panda Burning Incense" proporcionados por Rising Company, el número de usuarios que buscan ayuda de Rising Company ha llegado a 1.016. y eran 11.002 el 9 de junio. Debido a que la ayuda es selectiva y sólo está disponible para usuarios genuinos del software antivirus Rising, estos datos son sólo la punta del iceberg.
Se tiene entendido que el 9 de junio de 65438, cientos de miles de usuarios de ordenadores fueron infectados. Entre ellas, las ciudades con usuarios concentrados de ordenadores, como Beijing y Shanghai, se han convertido en las "zonas más afectadas".
"Panda" no se detuvo ahí. Continúa quemando incienso por todas partes. Con el aumento de tipos, el virus Hongchao se propaga sin cesar y se vuelve cada vez más grave.
Hasta el momento, el virus "Panda Burning Incense" cuenta con 416 variantes, infectando a millones de usuarios de ordenadores.
65438+El 22 de octubre, el Centro Nacional de Respuesta a Emergencias contra Virus Informáticos volvió a emitir una alerta y se buscaba a un panda en todo el país por quemar incienso.
El portal está infectado.
El 24 de octubre de 65438, la Oficina de Información del Gobierno Municipal de Beijing abrió un tema especial sobre el virus "Panda Burning Incense" en su sitio web oficial. El autor declaró en el tema especial: "Un virus disfrazado de virus. El patrón "Panda Burning Incense" se está volviendo loco. El crimen... En la actualidad, muchas LAN y sitios web corporativos se han visto muy afectados y la mayoría de los internautas también han sufrido mucho "
¿Por qué es difícil retirarse? ¿De “Panda quemando incienso”?
"'Panda Burning Incense' se diferencia de los virus anteriores en que utiliza un nuevo medio de transmisión". Shi Jun dijo que los virus gusanos tradicionales se propagan a otras computadoras en la red de área local a través de computadoras infectadas, mientras que Además de integrar todas las vulnerabilidades de comunicación explotables, "Panda Burning Incense" también se puede difundir a través de sitios web.
Las computadoras infectadas con "Panda Burning Incense" adjuntarán el virus a todos los archivos de páginas web en el disco duro. "Si las computadoras de los editores y reporteros del sitio web están infectadas, entonces 'Panda Burning Incense' puede adjuntarse a todas las páginas del sitio web a través de la página envenenada". Shi Jun dijo que los internautas se infectarán con "Panda Burning Incense" cuando lo visiten. este sitio web envenenado.
Desde el tradicional peer-to-peer hasta el actual peer-to-peer, "Panda Burning Incense" se extendió rápidamente con el asombroso número de visitas al sitio web envenenado.
Según los ingenieros antivirus han detectado que "Panda Burning Incense" ha infectado portales como Tianya Community, Silicon Valley Power, pconline, etc., y "Panda Burning Incense" también ha aparecido en los enlaces de descarga de software conocido como Baofeng Video traces. Al mismo tiempo, "Panda Burning Incense" también puede propagar virus con la ayuda de los motores de búsqueda.
“Con la ayuda de portales y redes de área local, una sola chispa puede iniciar un incendio en la pradera, y con la ayuda de una unidad flash USB, Shi Jun dijo que los tres modos principales de transmisión de “ Panda Burning Incense” se han convertido en las principales razones por las que el virus es difícil de disminuir.
Los antidrogas luchan contra los virus.
Shi Jun dijo que el equipo de virus de Rising ha estado trabajando horas extras desde la Navidad pasada. Cada vez que se lanza una nueva variante de "Panda Burning Incense", los ingenieros inmediatamente recolectan muestras, diseccionan el virus y actualizan las herramientas de eliminación correspondientes. “Durante este período, me quedé despierto hasta tarde cuatro veces.
"
"La tecnología de 'Panda Burning Incense' no es excelente y se basa principalmente en las continuas y locas actualizaciones del autor. Cuando se actualice, actualizaremos la herramienta de eliminación. "Shi Jun dijo que "Panda Burning Incense" es bueno para explotar nuevas vulnerabilidades. Por ejemplo, la variante 65438+ del 8 de octubre aprovechó la última vulnerabilidad de seguridad de QQ.
Desde el nacimiento de "Panda Burning Incense" ", los virus han La versión se ha modificado más de 400 veces y la herramienta antivirus desarrollada por Shi Jun y sus colegas se ha actualizado más de 10 veces.
Además de las empresas de software antivirus , Los "expertos en antivirus" repartidos entre los internautas también están tomando medidas enérgicas contra "Panda". "Burning Incense" jugó un papel importante.
En el foro antivirus de Kaka Online Community, hay muchas computadoras. Expertos, la mayoría de ellos programadores aficionados, que a menudo estudian juntos la tecnología antivirus. "Panda Burning Incense" Tan pronto como apareció, llamó su atención
A finales de junio de 5438 + octubre de 2006. Antes de que Rising Company capturara el virus "Panda Burning Incense", el programador "Farmer" ya lo había adquirido. Después de eso, cada vez que Panda Burning Incense lanzaba una variante, los usuarios del foro antivirus como Mopery y Emma escribían un análisis detallado de la variante. informe para señalar el peligro del virus.
"De hecho, hay muchos expertos en antivirus entre la gente". Shi Jun dijo que solía ser un experto en folk. Le encantaba estudiar virus desde la escuela secundaria y fue contratado por una empresa de software antivirus después de graduarse de la universidad, por lo que ahora navega con frecuencia por algunos foros técnicos famosos. Si los expertos civiles tienen algunas buenas ideas, el grupo de virus también aprenderá de ellas. p>
Shi Jun dijo que tiene una "característica familiar": "detección de virus desconocidos". Dijo que este método antivirus puede determinar las "características familiares" del virus, y siempre que se cumpla la variante. una serie de características, la herramienta para matar puede matarlo efectivamente.
Xuan Shi presentó el método de esta nueva herramienta para matar cómo funciona, pero pidió a los periodistas que ocultaran el contenido al informar. Es muy problemático para los autores de virus saberlo. Esta es nuestra carta de triunfo". "
La Guerra Inconclusa
65438+El 19 de octubre, "Panda Burning Incense" lanzó una nueva variante. El autor del virus también afirmó que esta será la última actualización de "Panda Burning Incienso".
Cuando llegó la noticia, en la comunidad Kaká, los internautas que fueron torturados por "Panda Burning Incense" se llenaron de alegría y comenzaron a reflexionar sobre las ganancias y pérdidas.
En el foro antivirus, el internauta tom2000 publicó una publicación titulada "Apocalipsis del panda: reflexiones después de la tormenta", que decía: "¿Cuántos nuevos virus/troyanos aprenderán de la experiencia del panda en el futuro? ¡Todo acaba de empezar! ”
Los expertos de la industria creen que Internet en mi país está en su infancia y que la mayoría de los internautas carecen de los conocimientos más básicos sobre seguridad de red y de buenos hábitos en Internet, lo que ha generado oportunidades para que el virus se propague a gran escala. Al mismo tiempo, a medida que las computadoras se vuelven más populares en diversas industrias, el daño causado por los virus será cada vez más grave.
En la tarde del 24 de octubre del 65438, los ingenieros antivirus descubrieron un nuevo. virus similar a "Panda Burning Incense". "Muy similar. Los ingenieros sospechan que es una nueva versión del virus creado por el autor de "Panda Burning Incense".
Este virus reemplazará todos los íconos en el ordenador del usuario infectado con una cabeza humana, con dos ojos en la cabeza
Los ingenieros antivirus están preocupados por si "Lightbulb Man" se convertirá en el sucesor de "Panda Burning Incense"
"Esta es una guerra invisible. Para nosotros la guerra continúa. ", dijo Wei Shi.
¿Quién filmó "Panda Burning Incense"? ¿Qué quería? Durante el período en que "Panda Burning Incense" era un tema candente, circulaban varias especulaciones sobre la identidad del autor. En Internet, en el foro "Panda Burning Incense" de Baidu, cientos de internautas que sufrieron "Panda Burning Incense" publicaron creadores de virus "buscados", y algunos internautas afirmaron ofrecer una recompensa de 654,38 millones de dólares estadounidenses.
Ayer hubo una reacción. Los ingenieros de virus revelaron a los periodistas que el autor de "Panda Burning Incense" no estaba desaparecido. Durante el proceso de disección del virus, descubrieron algunos mensajes misteriosos dejados en estos mensajes. el autor de "Panda Burning Incense" afirmó ser el chico - "Wuhan Boy".
Hay información oculta en el cuerpo del "Panda"
Mopery es el moderador. del Kaka Community Anti-Virus Forum y experto en antivirus /p>
A mediados de junio de 5438 + octubre de 2006, Mopery recibió solicitudes de ayuda de los internautas.
En el proceso de ayudar a resolver problemas informáticos, obtuvo una muestra de virus, que era la versión original de "Panda Burning Incense".
Después de "diseccionar" el virus, en el complejo código del programa, Mopery vio un dato que no tenía nada que ver con el programa, entre ellos una línea de letras: "whboy".
El nombre "whboy" tiene un significado inusual para los investigadores de virus. En 2004, whboy lanzó su virus "Wuhan Boy", un troyano de robo de cuentas difundido a través de QQ. Un año más tarde, debido a su locura y propagación generalizada, el Centro Antivirus Jiang Min lo incluyó como uno de los diez virus más importantes en 2005.
Después de eso, whboy también publicó en algunos foros de virus y foros de piratas informáticos, diciendo que podía proporcionar servicios para robar números QQ, pero pronto desapareció hasta que apareció "Panda".
Mopery realizó un análisis detallado de "Panda Burning Incense". Descubrió que este virus no tiene la tecnología más poderosa, pero sí los medios de transmisión más maduros.
Mopery se interesó por "Panda Burning Incense". Se puso en contacto con otro granjero que era experto en antivirus. El 25 de junio de 2006 se lanzó la primera herramienta antivirus: el antivirus Nimya worm.
"El primer panda no tenía poder, pero las variantes posteriores eran muy poderosas". Moperelli dijo que después de que se descubrió la primera versión de "Panda Burning Incense", hubo más de una docena de variedades en un mes. .
En estas variantes, de vez en cuando, el autor deja intencionadamente la palabra whboy en el virus. "Es principalmente para que lo vean nuestros analizadores de virus. Los usuarios comunes no pueden ver el código".
Con el aumento de variedades, los antivirus analizan constantemente los virus y comienzan a esperar muchos más. de noticias.
El virus enumera "unidades de confirmación"
A principios de febrero de 2016, la variante "Panda Burning Incense" se aceleró. Además de la palabra whboy, también hay una línea de caracteres chinos en el código: "Descargador infectado por el niño de Wuhan". A medida que aumenta la variedad, se adjunta más y más información al código.
En este momento, Mopery y Emma se han unido al ejército contra "Panda Burning Incense". Analizaron la nueva especie de panda y publicaron un informe detallado de análisis de virus en el Foro Antivirus de la Comunidad Kaká.
Sus acciones atrajeron la atención del autor del virus "Wuhan Boy". En una mutación del virus en 65438+ a principios de octubre, el misterioso mensaje se actualizó nuevamente.
"Gracias Mopery por prestar atención a este caballo de Troya". Esta nueva frase añadida en el mensaje dejó estupefacto a Mopery. Posteriormente, el niño de Wuhan pareció estar obsesionado con el patrón de incluir "unidades de agradecimiento" en el virus. En el mensaje de texto viral 65438+ del 5 de octubre, se agregó el nombre de Emma a la lista de agradecimiento. 9 de octubre de 65438 Gracias por agregar el nombre "Hai Yue" a la lista de expertos en antivirus. Se ha añadido la frase "Estoy convencida...Emma..." al final del artículo.
Desde entonces, los chicos de Wuhan han utilizado frecuentemente este método para "comunicarse" con sus oponentes.
65438+El 15 de octubre, un niño de Wuhan envió un mensaje a Taylor 77, quien es antidrogas: "Taylor 77, me pregunto qué quieres de mí y bromeó: "El virus que tengo". hecho ha sido quemado. Un tesoro nacional que se ha extendido por toda la ciudad."
Un mes del Online World Masters.
El 16 de octubre de 2016, unos chicos de Wuhan liberaron una nueva variante del virus, que el personal antidrogas solía llamar versión "Emma". Porque en el mensaje de este virus, el nombre de Emma estaba escrito 22 veces.
65438+En la noche del 19 de octubre, "Panda Burning Incense" lanzó su última actualización. Esta versión puede considerarse la versión más completa de los métodos de infección.
En la última versión de "Panda Burning Incense", el niño de Wuhan escribió un mensaje de despedida: "¡Pido disculpas profundamente a los internautas y administradores de red que han oído hablar de este caballo de Troya! Lo siento por su trabajo duro Estoy tan deprimido que tengo muchas ganas de hablar contigo. ¡Por alguna razón, creo que será mejor que lo olvide!
Ante la noticia de que “Panda Burning Incense” ha dejado de actualizarse, El ingeniero antivirus Shi Jun parecía muy tranquilo: "Esperamos que la crisis de los pandas termine aquí, pero el niño de Wuhan tiene un historial de cometer errores. En resumen, mientras se actualice, lo acompañaremos hasta el final".
”
Para este niño de Wuhan que ha estado luchando durante más de un mes pero no sabe dónde se esconde, el mensaje deprimido es: “Espero que pueda hacer un buen uso de sus habilidades para servir a la mayoría. de los internautas en lugar de dar Los internautas traen dolor. ”
Tres versiones de la identidad de “Wuhan Boy”
Aunque Wuhan Boy dijo que no actualizará “Panda Burning Incense”, las secuelas de la locura del virus que arrasó el país Es difícil calmarse. Los internautas han especulado sobre la verdadera identidad del niño de Wuhan.
Después de la investigación, los expertos de la industria tienen tres conjeturas sobre la identidad del niño de Wuhan 1. El niño de Wuhan tiene 15 años. Niño de Wuhan de un año. La evidencia es que él y el granjero antidrogas QQ. En segundo lugar, el niño de Wuhan es el vicepresidente de una empresa de software en Guilin. Una vez escribió software fraudulento y la fuente es un anti-. En tercer lugar, el chico de Wuhan es empleado de una empresa nacional de software antivirus y deliberadamente escribe virus y los promociona.
Para verificar los rumores, el periodista entrevistó a Mopery y Shi. Jun, el ingeniero antivirus de Rising Company.
Mopery dijo que después de la verificación por parte de él y del granjero, los rumores fueron confirmados. El protagonista del clip de chat de QQ es otro autor del virus, no el niño de Wuhan. En cuanto a la declaración del vicepresidente de la empresa, es aún más infundada.
Como empleado de una empresa de software antivirus, dijo Shi Jun. Cada vez que se propaga un gran virus, siempre hay rumores. perjudicial para las empresas de software antivirus, pero los programadores de la industria del software antivirus no escribirán virus para interrumpir la red. Preguntó: "¿El virus de la gripe lo crean los médicos?". "
Tanto Mopery como Shi Jun dijeron que, a juzgar por el contenido del mensaje y el código del programa, el chico de Wuhan es una persona mayor con amplia experiencia en la creación de virus. A menudo navega por el foro antivirus de la comunidad Kaka y Listo para prestar atención al análisis de virus realizado por Mopery y otros. La comunidad Kaká tiene más de 590.000 miembros, y el niño de Wuhan definitivamente se encuentra entre ellos, pero es difícil limitar el alcance “El niño de Wuhan domina la tecnología de redes. y tecnología de intrusión, y es difícil rastrearlo a través de sus rastros en línea. Su verdadera identidad. "Dijo Mo Perry.
"Panda Burning Incense" tiene un propósito comercial.
Shi Jun dijo que después del análisis, creen que "Panda Burning Incense" tiene un fuerte propósito comercial. "El usuario, después de ser infectado con el virus, hará clic en sitios web extranjeros en segundo plano. Algunas variantes contienen troyanos que roban cuentas, de los que los autores de virus pueden beneficiarse. ”
“Los creadores de virus de hoy son diferentes a los de la década de 1990. Ya no pretenden mostrar su tecnología, sino que tienen objetivos comerciales claros. La línea entre virus y malware es cada vez más borrosa. "Dijo Wei Shi.
Ayer por la tarde, el personal de Rising Company declaró que habían presentado pruebas relevantes del autor del virus y las características del virus al Centro Nacional de Respuesta a Emergencias de Virus Informáticos. Personal del Centro Nacional de Respuesta a Emergencias de Virus Informáticos dijo: Los datos relevantes de la tormenta del virus "Panda Burning Incense", el número de computadoras afectadas y las pérdidas económicas causadas se anunciarán en su página de inicio en un futuro próximo.
El miembro del personal decidirá si hacerlo. Denunciar el caso a la agencia de seguridad pública. Dijo que no era conveniente revelarlo en este momento.
“Creo que algún día veré el verdadero rostro del niño de Wuhan. " Dijo Moperelli.
■Enlace
Reglamento de protección de seguridad del sistema de información informática
Artículo 23 Importar deliberadamente virus informáticos y otros datos dañinos para poner en peligro el sistema de información de la computadora es seguro, o si se venden productos especiales para la seguridad de sistemas de información informática sin permiso, los órganos de seguridad pública darán una advertencia o impondrán una multa de no más de 5.000 yuanes a las personas y de 15.000 yuanes a las unidades si hay ganancias ilegales; Además del decomiso, se podrá imponer una multa de 0 a 3 veces el ingreso ilícito.
Artículo 24 Quien viole lo dispuesto en el presente reglamento y constituya una infracción a la gestión de la seguridad pública será sancionado de conformidad con lo dispuesto en el presente reglamento. las disposiciones pertinentes del "Reglamento de Sanciones para la Gestión de la Seguridad Pública de la República Popular China; si constituye un delito, la responsabilidad penal se perseguirá de conformidad con la ley".