Red de conocimiento informático - Conocimiento sistemático - ¡El virus Panda es tan odioso! ¿Puedes saber quién lo hizo?

¡El virus Panda es tan odioso! ¿Puedes saber quién lo hizo?

El hombre detrás del virus Panda Burning Incense está expuesto. Creó los diez virus principales en 2005. Esta es una ola de propagación de virus informáticos. En más de dos meses, millones de usuarios de computadoras estuvieron involucrados, y el inocente "panda" con su cabeza asintiendo y con incienso no pudo ser erradicado, convirtiéndose en un recuerdo de pesadilla para la gente.

Los ingenieros antivirus lo llamaron "Nimya". También tiene un nombre más popular: "Panda Burning Incense". Rápidamente se transformó en cientos de especies, invadiendo constantemente computadoras personales, infectando portales y derrotando sistemas de datos corporativos... Su propagación cuestionó la seguridad pública de la red y al mismo tiempo desencadenó una batalla entre el "Tao" y el "Diablo". en el mundo virtual. Los ingenieros antivirus y los antivirus privados se han dedicado a ello.

El 19 de enero apareció una nueva variante del virus "Panda Burning Incense". El autor del virus declaró que esta será la última actualización de "Panda Burning Incense".

¿Ha terminado esta batalla que duró más de dos meses?

Virus encontrado en "honeypot"

El 14 de noviembre de 2006, en el piso 14 de la sede de Zhongguancun Rising Company.

Un grupo de ingenieros antivirus rodean un ordenador aislado de la red. A medida que el mouse hace clic, aparecen cientos de íconos de pandas en la pantalla. Este es el virus que los ingenieros capturaron ese día y lo llamaron "Nimya".

Shi Yu es ingeniero antivirus en el equipo de virus del departamento de I+D de Rising Company. Su trabajo diario es trabajar con docenas de socios para capturar virus que circulan en Internet, luego "desensamblarlos", estudiar sus estructuras internas y actualizar la base de datos de virus de Rising.

Esa tarde, un usuario les envió una muestra de virus. Posteriormente, encontraron rastros del virus en el "honeypot" del grupo de virus.

Los "Honeypots" son servidores débilmente defensivos configurados por grupos de virus en Internet. Los ingenieros deliberadamente configuran múltiples vulnerabilidades en los servidores para inducir la invasión de virus. "Es como una trampa de miel hecha por un cazador para atraer a sus presas".

Después de extraer el virus del "honeypot", Shi Yu y sus colegas trasladaron el virus a una habitación en el piso 14 de la empresa. En una computadora aislada de la red, esta es la "tabla de anatomía" de los virus.

"Después de ejecutar el virus, todos los íconos del sistema se convirtieron en pandas". En la pantalla frente a Shi Yu, aparecieron filas de patrones de pandas que sostenían tres varitas de incienso y se inclinaban juntos.

Después del análisis, los ingenieros descubrieron que debajo de la apariencia caricaturesca del virus, había un enorme potencial de infección. Su modo de infección y sus métodos de eliminación eran muy similares a los del popular virus "Wiking". Rising Company emitió inmediatamente una advertencia de virus.

El virus se propagó por todo el país

“El 'Nimya' inicial no era muy poderoso, Shi Yu dijo que a medida que los autores del virus continúan actualizándose, su poder destructivo y su contagio también. aumenta.

A finales de noviembre de 2006, "Nimya" tenía menos de diez variantes. Sin embargo, a partir de diciembre, los autores del virus pasaron de actualizarse cada pocos días a actualizarse todos los días, y el número de sus variantes aumentó. exponencialmente. En ese momento, "Panda Burning Incense" había reemplazado el nombre "Nimya".

A mediados de diciembre, "Panda Burning Incense" entró en un período de rápida mutación después de varios brotes a gran escala, "Panda Burning Incense" se convirtió en una palabra de moda entre muchos usuarios de computadoras.

Después de Navidad, el número de versiones de "Panda Burning Incense" ha llegado a casi cien.

Shi Yu dijo que a finales de diciembre del año pasado, casi mil grandes empresas nacionales se infectaron con "Panda Burning Incense" y pidieron ayuda a Ruixing. "Cuando las variantes del virus y las personas infectadas superen un cierto número, la propagación del virus aumentará geométricamente".

El 26 de diciembre, el Centro de monitoreo antivirus global de Kingsoft Antivirus anunció que el "Panda Burning Incense" está disponible. cometiendo crímenes locamente advertencia de virus.

El día 27, Jiangmin Technology emitió una alerta de virus de emergencia sobre "Panda Burning Incense".

El 7 de enero de 2007, el Centro Nacional de Respuesta a Emergencias contra Virus Informáticos emitió una advertencia de emergencia: "A través del monitoreo de Internet, se descubrió que un gusano disfrazado como un patrón de 'Panda quemando incienso' se propagó y Se propagó a muchas LAN corporativas infectadas por este gusano".

El 9 de enero, "Panda Burning Incense" continuó propagándose y comenzó a inundar a los usuarios de computadoras en todo el país.

Ese día, "Panda Burning Incense" marcó el comienzo de un brote a gran escala a nivel nacional, con el número de sus variantes fijado en 306.

Usuarios de todo el país han sido engañados.

Xiao Jiang es el administrador de red de un cibercafé en la provincia de Heilongjiang. Durante los dos días del 9 al 10 de enero, el cibercafé donde se encontraba estuvo vacío y sin clientes. Cuando abrió más de 40 computadoras en el cibercafé, la pantalla estaba cubierta con íconos de "Panda Burning Incense" y el símbolo de "Panda Burning Incense". El sistema falló y no pudo ejecutarse.

"El virus se infectó en la mañana del día 9. Al principio era solo una máquina. Cuando estaba matando el virus, otras máquinas en la red de área local se infectaron una tras otra". dicho.

En la mañana del mismo día, el Sr. Liu, que trabajaba para una empresa de TI en Beijing, descubrió después del trabajo que casi 30 computadoras de la empresa estaban infectadas con el virus "Panda Burning Incense". destruyó los archivos de programa en las computadoras y eliminó las copias de seguridad de las computadoras, el software semiacabado en desarrollo de la compañía fue destruido.

El Sr. Liu estaba enojado pero indefenso. En el informe resumido anual, añadió especialmente: "En el futuro, se deben realizar copias de seguridad de programas importantes para protegerlos contra virus maliciosos como 'Panda Burning Incense'.

La misma noche, en la redacción de un periódico". En Beijing, el personal técnico estaba corriendo y decenas de editores y reporteros esperaban que borraran el "Panda Burning Incense" de sus computadoras.

El 10 de enero, el Sr. Zhang, un empleado de una empresa financiada por Taiwán en Shanghai, encendió su computadora y fue recibido por filas de pandas sosteniendo incienso. Mirando a su alrededor, notó la misma expresión de sorpresa en los rostros de sus colegas. Durante todo un día, el negocio de la empresa estuvo paralizado.

……

Según los datos de solicitud de usuarios del virus “Panda Burning Incense” proporcionados por Rising Company, solo el 9 de enero, el número de usuarios de Rising que buscaron ayuda de la empresa alcanzó 1.016 , 11 El número de visitantes llegó a 1.002 por día. Debido a que la ayuda es selectiva y limitada a usuarios genuinos del software antivirus Rising, estos datos son sólo la punta del iceberg.

Se sabe que cientos de miles de usuarios de ordenadores fueron infectados el 9 de enero. Entre ellas, ciudades como Beijing y Shanghai, donde se concentran los usuarios de computadoras, se han convertido en las "zonas más afectadas".

El “Panda” no se quedó ahí, siguió “quemando incienso” por todos lados. A medida que las variantes siguen aumentando, la avalancha de virus se propaga sin cesar y se vuelve más grave.

Hasta el momento existen 416 variantes del virus "Panda Burning Incense" y millones de usuarios de ordenadores han resultado infectados.

El 22 de enero, el Centro Nacional de Respuesta a Emergencias contra Virus Informáticos volvió a emitir una alerta y pedía "Panda Burning Incense" en todo el país.

Sitio web del portal infectado

El 24 de enero, la Oficina de Información del Gobierno Municipal de Beijing creó un tema especial sobre el virus "Panda Burning Incense" en su sitio web oficial, en el que el autor declaró : "Un disfraz El virus con el patrón 'Panda Burning Incense' está cometiendo crímenes alocadamente... En la actualidad, muchas redes LAN y sitios web corporativos han resultado gravemente dañados, y la mayoría de los internautas también han sufrido mucho". > ¿Por qué es tan difícil abandonar el patrón del "Panda quemando incienso"?

"'Panda Burning Incense' es diferente de los virus anteriores. Utiliza un nuevo método de transmisión". Shi Yu dijo que los virus gusanos tradicionales se transmiten a otras computadoras en la red de área local a través de una computadora envenenada. Además de integrar todas las vulnerabilidades de comunicación disponibles, "Panda Burning Incense" también se puede difundir a través de sitios web.

Las computadoras infectadas con "Panda Burning Incense" adjuntarán virus a todos los archivos de páginas web en el disco duro. "Si las computadoras de los editores y reporteros del sitio web están infectadas, a través de las páginas web envenenadas, se puede adjuntar 'Panda Burning Incense' a todas las páginas web del sitio web. Al visitar un sitio web envenenado, los internautas se infectarán". con el virus "Panda Burning Incense".

Desde el punto a punto tradicional hasta el punto a punto actual, "Panda Burning Incense" se extendió rápidamente con la sorprendente cantidad de visitas al sitio web envenenado.

Según los ingenieros antivirus han monitorizado que "Panda Burning Incense" ha infectado portales como Tianya Community, Silicon Valley Power, pconline, etc., y también se ha incluido "Panda Burning Incense" en los enlaces de descarga de software conocido como Baofeng Video Burning incense" hay rastros de posesión. Al mismo tiempo, "Panda Burning Incense" también puede propagarse viralmente con la ayuda de los motores de búsqueda.

“Con la ayuda de la red de área local, la diosa esparció las flores, con la ayuda del sitio web del portal, una chispa inició un incendio en la pradera y con la ayuda del disco U, revivió ". Shi Yu dijo que los tres modos principales de transmisión de "Panda Burning Incense" se han convertido en las principales razones por las que el virus es difícil de combatir.

La gente antivirus lucha contra los virus

Shi Yu dijo que desde la Navidad pasada, el equipo de virus de Rising Company ha estado trabajando horas extras cada vez que "Panda Burning Incense" lanza una nueva variante. , los ingenieros recolectan muestras de inmediato, diseccionan el virus y actualizan las herramientas de eliminación correspondientes. “Durante este período, me quedé despierto toda la noche cuatro veces.

“La tecnología de 'Panda Burning Incense' está lejos de ser excelente. Se basa principalmente en las continuas y locas actualizaciones del autor. Si se actualiza, actualizaremos la herramienta especial para matar en consecuencia. "Shi Yu dijo que "Panda Burning Incense" es bueno para explotar nuevas vulnerabilidades. Por ejemplo, la variante del 8 de enero aprovechó una última vulnerabilidad de seguridad en QQ.

Desde el nacimiento de "Panda Burning Incense" ", la versión del virus se ha modificado más de 400 veces, la herramienta de eliminación especial desarrollada por Shi Yu y sus colegas también se ha actualizado más de 10 veces.

Además de las empresas de software antivirus, " "Los expertos en antivirus" repartidos entre los internautas están luchando contra "Panda Burning Incense".

En el foro antivirus de Kaka Network Community, hay muchos expertos en informática, la mayoría de los cuales son entusiastas de la programación amateur, que A menudo estudian juntos tecnología antivirus. Tan pronto como apareció, llamó su atención.

A finales de octubre de 2006, antes de que Rising Company capturara el virus "Panda Burning Incense", el programador "Farmer". " ya había obtenido el entonces "Panda Burning Incense". Después de eso, cada vez que Panda Burning Incense lanza una variante, los internautas Mopery y Emma en el foro antivirus escribirán un informe detallado de análisis de variantes para señalar el peligro del virus. nuevas funciones.

“De hecho, hay muchos expertos antivirus privados. Shi Yu dijo que solía ser un experto privado. Ha estado interesado en estudiar virus desde la escuela secundaria. Después de graduarse de la universidad, fue contratado por una empresa de software antivirus, por lo que ahora navega a menudo por algunos foros de tecnología famosos. Si el experto privado tiene algunas buenas ideas, el grupo de virus también aprenderá de esta idea.

Shi Yu dijo que tiene una "carta de triunfo": "detección de virus desconocidos". El método del virus puede determinar las "características familiares" del virus. Siempre que la variante cumpla con una serie de características, la herramienta de eliminación especializada puede detectarlo y eliminarlo de manera efectiva.

Shi Yu presentó el principio de funcionamiento de este nuevo. herramienta de eliminación especializada, pero pidió a los periodistas que ocultaran este elemento al informar sobre el contenido: "Si el autor del virus lo sabe, será problemático. Esta es nuestra carta de triunfo para ganar".

Una guerra sin fin

El 19 de enero, “Panda Burning Incense” lanzó una nueva variante. El autor del virus también anunció que esta sería la última vez que “Panda Burning Incense” se lanzará. actualización.

Cuando llegó la noticia, los internautas que habían sufrido "Panda Burning Incense" se alegraron y comenzaron a reflexionar sobre las ganancias y pérdidas.

En el foro antivirus. El internauta tom2000 publicó un artículo titulado "Panda Apocalypse—Reflections after the Storm", que decía: "¿Cuántos nuevos virus/troyanos aprenderán de la experiencia de Panda en el futuro? ¡Todo acaba de empezar!

Los expertos de la industria creen que Internet en China está en su infancia y que la mayoría de los internautas carecen de los conocimientos más básicos sobre prevención de seguridad en la red y de buenos hábitos en Internet. La escasa conciencia sobre la seguridad ha traído problemas a la propagación generalizada de virus. oportunidad para aprovechar Al mismo tiempo, a medida que las computadoras se vuelven más populares en diversas industrias, el daño causado por los virus será cada vez más grave

En la tarde del 24 de enero, los ingenieros antivirus. descubrió un nuevo tipo de virus. Este virus es muy similar a "Panda Burning Incense". Los ingenieros sospechan que es una nueva versión del virus creado por el autor de "Panda Burning Incense". reemplazará todos los íconos en la computadora del usuario infectado El avatar de un hombre tiene dos bombillas en los ojos

A los ingenieros antivirus les preocupa si el "Hombre de las bombillas" se convertirá en el sucesor de "Panda Burning". Incienso"

“Esta es una guerra invisible, y para nosotros, la guerra continúa. ", dijo Shi Yu.

¿Quién creó "Panda Burning Incense"? ¿Qué quería? Durante el período de "Panda Burning Incense", varias especulaciones sobre la identidad del autor se difundieron en Internet. En Baidu "Panda Burning Incense" En Tieba, cientos de internautas que habían sido perjudicados por "Panda" publicaron mensajes de "se busca" para el creador del virus, y algunos internautas afirmaron haber ofrecido una recompensa de 100.000 dólares estadounidenses.

Ayer. dijo un ingeniero antivirus a los periodistas. Se reveló que el autor de "Panda Burning Incense" no era rastreable. Durante la disección del virus, encontraron algunos mensajes misteriosos dejados en estos mensajes, el autor de "Panda". Burning Incense" se hacía llamar whboy - "Wuhan". "Boy".

Mensajes ocultos en el cuerpo de "Panda"

Mopery es el moderador del foro antivirus de la comunidad Kaká. y también es un experto en antivirus.

A mediados de octubre de 2006, Mopery recibió una petición de ayuda por parte de unos internautas. En el proceso de ayudar a resolver problemas informáticos, obtuvo una muestra de virus, que era la versión original de "Panda Burning Incense".

Después de "diseccionar" el virus, en el complejo código del programa, Mopery vio un dato que no tenía nada que ver con el programa, entre ellos una línea de letras: "whboy".

El nombre "whboy" tiene un significado inusual para los investigadores de virus. En 2004, whboy lanzó el virus "Wuhan Boy" que creó, que era un troyano de robo de cuentas propagado a través de QQ. Debido a sus variantes locas y su amplia propagación, un año después, Jiangmin Anti- lo incluyó como un virus de 2005. Centro de virus. Entre los diez mejores virus del año.

Después de eso, whboy también publicó en algunos foros de virus y foros de hackers, diciendo que podía proporcionar servicios de robo de cuentas QQ, pero desapareció poco después, hasta que apareció "Panda".

mopery realizó un cuidadoso análisis de "Panda Burning Incense". Descubrió que este virus no tenía la tecnología más poderosa, pero sí los medios de transmisión más maduros.

Mopery desarrolló un gran interés en "Panda Burning Incense". Se puso en contacto con otro experto antivirus privado, Farmer, y lanzó la primera herramienta dedicada a matar: Nimya el 25 de octubre de 2006. Especialmente diseñada para matar gusanos. .

"El primer panda no era muy poderoso, pero las variantes posteriores eran más poderosas". Mopery dijo que después de descubrir la primera versión de "Panda Burning Incense", en un mes, había más de una docena. variantes.

En estas variantes, de vez en cuando, el autor deja intencionadamente la palabra whboy en el virus. "Es principalmente para aquellos de nosotros que analizamos virus. Los usuarios comunes no pueden ver el código".

A medida que aumenta el número de variantes, los expertos en antivirus comienzan a esperar que aparezcan más mensajes mientras analizan virus continuamente. .

El virus enumera internamente "unidades de reconocimiento".

A principios de diciembre de 2006, se aceleró la variante "Panda Burning Incense" Además de la palabra whboy, había una línea adicional de. Caracteres chinos en el código: "Wuhan Boy" Infectando a los descargadores "A medida que aumenta el número de variantes, se incluye cada vez más información en el código.

En este momento, Mopery y Emma se han unido al ejército contra el "Panda Burning Incense". Analizaron las nuevas variantes de Panda y publicaron informes detallados de análisis de virus en el foro Kaka Community Anti-Virus.

Sus acciones atrajeron la atención del autor del virus "Wuhan Boy". En una variante del virus a principios de enero, el misterioso mensaje se actualizó nuevamente.

"Gracias Mopery por prestar atención a este troyano". Esta nueva frase añadida al mensaje hizo reír y llorar a Mopery. Posteriormente, el niño de Wuhan parecía estar obsesionado con el patrón interno del virus de enumerar "agradecimientos". En el mensaje viral del 5 de enero, el nombre de Emma se agregó a la lista de agradecimiento. El 9 de enero, se añadió el nombre del experto en antivirus "Haisezhiyue" a la lista de agradecimientos y se añadió la frase "Estoy convencida... Emma..." al final del artículo. p>

Después de eso, el chico de Wuhan comenzó a utilizar frecuentemente este método para "comunicarse" con su oponente.

El 15 de enero, el chico de Wuhan también saludó a la activista antidrogas taylor77 en un mensaje: "taylor77, ¿no sabes qué quieres hacer conmigo?" y bromeó: "El virus que tengo". La ciudad entera está quemando el incienso del tesoro nacional."

Una batalla de un mes entre los amos del mundo de Internet

El 16 de enero, el niño de Wuhan fue liberado una nueva variante del virus, como lo llamaban los antivirus para la versión "Emma". Porque en el mensaje dentro del virus, el nombre de Emma estaba escrito 22 veces.

En la noche del 19 de enero, “Panda Burning Incense” lanzó su última actualización. Esta versión puede considerarse la versión más completa de los métodos de infección.

En la última versión de "Panda Burning Incense", el niño de Wuhan escribió un mensaje de despedida: "¡Me gustaría expresar mis más sinceras disculpas a todos los internautas y administradores de red que han sido víctimas de este troyano! Lo siento, ¡gracias por tu arduo trabajo! ¡Tengo muchas ganas de comunicarme contigo! ¡Por alguna razón, creo que es mejor olvidarlo!

¡El ingeniero antivirus Shi Yu parecía muy amable! Tranquilo ante la noticia de que “Panda Burning Incense” ha dejado de actualizarse: "Esperamos que la crisis de los pandas termine aquí, pero el niño de Wuhan tiene un historial de cometer errores. En resumen, mientras actualice, lo haremos. Quédate con él hasta el final".

"

Para el niño de Wuhan que ha estado luchando durante más de un mes pero no sabe dónde se esconde, el mensaje deprimido es: "Espero que pueda hacer un buen uso de su tecnología para servir a la mayoría de internautas en lugar de causarles problemas.

Existen tres versiones de la identidad de “Wuhan Boy”

Aunque Wuhan Boy declaró que ya no actualizaría “Panda Burning Incense”, las secuelas de la locura del virus que arrasó Ha sido difícil sofocar a los internautas en el país. Hay muchas especulaciones sobre la verdadera identidad del niño de Wuhan.

Después de la investigación, actualmente hay tres especulaciones sobre la identidad del niño de Wuhan. Es un niño de Wuhan de 15 años. La evidencia está en línea. La conversación QQ entre él y el granjero antivirus circuló en línea. En segundo lugar, el niño de Wuhan era el vicepresidente de una empresa de software en Guilin y había escrito software fraudulento. La fuente era un foro antivirus. En tercer lugar, el chico de Wuhan era una empresa nacional de software antivirus que deliberadamente escribía virus y promocionaba los productos antivirus correspondientes. entrevistó al ingeniero antivirus de Mopery y Rising Company, Shi Yu.

Mopery dijo eso después de que él y el granjero verificaron que el protagonista del clip de chat QQ que circuló era el autor de otro virus, no el niño de Wuhan. Para la declaración del vicepresidente de la compañía, es infundada.

Como dijo una compañía de software antivirus, cada vez que se propaga un virus importante, siempre hay varios rumores que son perjudiciales para el software antivirus. empresas, pero los programadores de la industria del software antivirus no escriben virus ni interrumpen la red. Preguntó retóricamente: "Los virus de la influenza son médicos. ¿Hechos?

Tanto Mopery como Shi Yu dijeron que, a juzgar por el contenido y el código del programa del mensaje, el niño de Wuhan es un veterano con amplia experiencia en la redacción de virus. A menudo navega por el foro antivirus de la comunidad Kaká y. presta atención al análisis de virus de otros en cualquier momento. La comunidad Kaká tiene más de 590.000 miembros, y el niño de Wuhan debe estar entre ellos, pero es difícil limitar el alcance “El propio niño de Wuhan domina la red. Tecnología y tecnología de intrusión, y su verdadera identidad se puede rastrear a través de sus rastros en línea. Es muy difícil de lograr. Mopery dijo.

"Panda Burning Incense" tiene un propósito comercial

Shi Yu dijo que después del análisis, creen que "Panda Burning Incense" tiene un fuerte propósito comercial y "los usuarios están infectado con el virus" Después se hace clic en sitios web extranjeros desde el fondo. Algunas variantes contienen troyanos que roban cuentas y que los autores de virus pueden utilizar para obtener beneficios. "

"Los creadores de virus actuales son diferentes a los de los años 90. Ya no pretenden mostrar su tecnología, sino que tienen objetivos comerciales claros. Los límites entre los virus y el software fraudulento son cada vez más borrosos. "Dijo Shi Yu.

Ayer por la tarde, el personal de Rising Company declaró que habían presentado pruebas relevantes del autor del virus y las características del virus al Centro Nacional de Respuesta a Emergencias de Virus Informáticos. Personal del Centro Nacional de Respuesta a Emergencias de Virus Informáticos dijo, Los datos sobre la tormenta del virus "Panda Burning Incense", la cantidad de computadoras afectadas y las pérdidas económicas causadas se están recopilando actualmente y se anunciarán en su página de inicio en un futuro próximo.

En cuanto a si se debe o no. denunciar el caso a la agencia de seguridad pública, este miembro del personal dijo que no es conveniente revelarlo en este momento

“Creo que algún día veré el verdadero rostro del niño de Wuhan. "dijo deprimido