Panda quemando incienso, ¿por qué se propuso el nombre? Aparte del ícono, ¿existe alguna conexión significativa entre sus características?

El hombre detrás del virus Panda Burning Incense está expuesto. Creó los diez virus principales en 2005. Esta es una ola de propagación de virus informáticos. En más de dos meses, millones de usuarios de computadoras estuvieron involucrados, y el inocente "panda" con su cabeza asintiendo y con incienso no pudo ser erradicado, convirtiéndose en un recuerdo de pesadilla para la gente.

Los ingenieros antivirus lo llamaron "Nimya". También tiene un nombre más popular: "Panda Burning Incense". Rápidamente se transformó en cientos de especies, invadiendo constantemente computadoras personales, infectando portales y derrotando sistemas de datos corporativos... Su propagación cuestionó la seguridad pública de la red y al mismo tiempo desencadenó una batalla entre el "Tao" y el "Diablo". en el mundo virtual. Los ingenieros antivirus y los antivirus privados se han dedicado a ello.

El 19 de enero apareció una nueva variante del virus "Panda Burning Incense". El autor del virus declaró que esta será la última actualización de "Panda Burning Incense".

¿Ha terminado esta batalla que duró más de dos meses?

Se encontró un virus en el "honeypot"

el 14 de noviembre de 2006, en el piso 14 de la sede de Zhongguancun Rising Company.

Un grupo de ingenieros antivirus se reunieron alrededor de un ordenador que estaba aislado de la red. A medida que el mouse hace clic, aparecen cientos de íconos de pandas en la pantalla. Este es el virus que los ingenieros capturaron ese día y lo llamaron "Nimya".

Shi Yu es ingeniero antivirus en el equipo de virus del departamento de I+D de Rising Company. Su trabajo diario es trabajar con docenas de socios para capturar virus que circulan en Internet, luego "desensamblarlos", estudiar sus estructuras internas y actualizar la base de datos de virus de Rising.

Esa tarde, un usuario les envió una muestra de virus. Posteriormente, encontraron rastros del virus en el "honeypot" del grupo de virus.

Los "Honeypots" son servidores débilmente defensivos configurados por grupos de virus en Internet. Los ingenieros deliberadamente configuran múltiples vulnerabilidades en los servidores para inducir la invasión de virus. "Es como una trampa de miel hecha por un cazador para atraer a sus presas".

Después de extraer el virus del "honeypot", Shi Yu y sus colegas trasladaron el virus a una habitación en el piso 14 de la empresa. En una computadora aislada de la red, esta es la "tabla de anatomía" de los virus.

"Después de ejecutar el virus, todos los íconos del sistema se convirtieron en pandas". En la pantalla frente a Shi Yu, aparecieron filas de patrones de pandas que sostenían tres varitas de incienso y se inclinaban juntos.

Después del análisis, los ingenieros descubrieron que debajo de la apariencia caricaturesca del virus, había un enorme potencial de infección. Su modo de infección y sus métodos de eliminación eran muy similares a los del popular virus "Wiking". Rising Company emitió inmediatamente una advertencia de virus.

El virus se propagó por todo el país

"El 'Nimya' inicial no era muy poderoso". Shi Yu dijo que a medida que los autores del virus continúan actualizándose, su poder destructivo y contagioso también. aumenta.

A finales de noviembre de 2006, "Nimya" tenía menos de diez variantes. Sin embargo, a partir de diciembre, los autores del virus pasaron de actualizarlo cada pocos días a actualizarlo todos los días, y el número de sus versiones. Las variantes aumentaron exponencialmente. En ese momento, "Panda Burning Incense" había reemplazado el nombre "Nimya".

A mediados de diciembre, "Panda Burning Incense" entró en un período de rápida mutación después de varios brotes a gran escala, "Panda Burning Incense" se convirtió en una palabra de moda entre muchos usuarios de computadoras.

Después de Navidad, el número de versiones de "Panda Burning Incense" ha llegado a casi cien.

Shi Yu dijo que a finales de diciembre del año pasado, casi mil grandes empresas nacionales se infectaron con "Panda Burning Incense" y pidieron ayuda a Rising. "Cuando las variantes del virus y las personas infectadas exceden un cierto número, la propagación del virus aumentará geométricamente".

El 26 de diciembre, el Centro de Monitoreo Antivirus Global Kingsoft Antivirus anunció que el "Panda Burning Incense" fue cometiendo crímenes locamente advertencia de virus.

El día 27, Jiangmin Technology emitió una alerta de virus de emergencia sobre "Panda Burning Incense".

El 7 de enero de 2007, el Centro Nacional de Respuesta a Emergencias contra Virus Informáticos emitió una advertencia de emergencia: "A través del monitoreo de Internet, se descubrió que un gusano disfrazado como un patrón de 'Panda quemando incienso' se propagó y se propagó a muchas LAN corporativas infectadas por este gusano."

El 9 de enero, "Panda Burning Incense" continuó propagándose y comenzó a inundar a los usuarios de computadoras en todo el país.

Ese día, "Panda Burning Incense" marcó el comienzo de un brote a gran escala a nivel nacional, con el número de sus variantes fijado en 306.

Usuarios de todo el país han sido víctimas de la estafa

Xiao Jiang es el administrador de red de un cibercafé en la provincia de Heilongjiang. Durante los dos días del 9 al 10 de enero, el cibercafé donde se encontraba estuvo vacío y sin clientes. Cuando abrió más de 40 computadoras en el cibercafé, la pantalla estaba cubierta con íconos de "Panda Burning Incense" y el símbolo de "Panda Burning Incense". El sistema falló y no pudo ejecutarse.

"El virus se infectó en la mañana del día 9. Al principio era solo una máquina. Cuando estaba matando el virus, otras máquinas en la red de área local se infectaron una tras otra". dicho.

En la mañana del mismo día, el Sr. Liu, que trabajaba para una empresa de TI en Beijing, descubrió después de ir a trabajar que casi 30 computadoras de la empresa estaban infectadas con "Panda Burning Incense". El virus destruyó los archivos de programa de los ordenadores y eliminó las copias de seguridad de los mismos, y el software semiacabado en desarrollo de la empresa fue destruido.

El señor Liu estaba enojado pero indefenso. En el informe resumido anual, añadió especialmente: "En el futuro, es necesario realizar copias de seguridad de programas importantes para protegerlos contra virus maliciosos como 'Panda Burning Incense'".

Esa misma noche, en la redacción de un periódico En Beijing, el personal técnico estaba corriendo y decenas de editores y reporteros esperaban que borraran el "Panda Burning Incense" de sus computadoras.

El 10 de enero, el Sr. Zhang, un empleado de una empresa financiada por Taiwán en Shanghai, encendió su computadora y fue recibido por filas de pandas sosteniendo incienso. Mirando a su alrededor, notó la misma expresión de sorpresa en los rostros de sus colegas. Durante todo un día, el negocio de la empresa estuvo paralizado.

…

Según los datos de solicitud de usuarios del virus “Panda Burning Incense” proporcionados por Rising Company, solo el 9 de enero, el número de usuarios de Rising que buscaron ayuda de la empresa llegó a 1.016. 11 El número de visitantes llegó a 1.002 por día. Debido a que la ayuda es selectiva y se limita a usuarios genuinos del software antivirus Rising, estos datos son sólo la punta del iceberg.

Se sabe que cientos de miles de usuarios de ordenadores fueron infectados el 9 de enero. Entre ellas, ciudades como Beijing y Shanghai, donde se concentran los usuarios de computadoras, se han convertido en las "zonas más afectadas".

El “Panda” no se quedó ahí, siguió “quemando incienso” por todos lados. A medida que las variantes siguen aumentando, la avalancha de virus se propaga sin cesar y se vuelve más grave.

Hasta el momento existen 416 variantes del virus "Panda Burning Incense" y millones de usuarios de ordenadores han resultado infectados.

El 22 de enero, el Centro Nacional de Respuesta a Emergencias contra Virus Informáticos volvió a emitir una alerta y pedía "Panda Burning Incense" en todo el país.

El portal fue infectado

El 24 de enero, la Oficina de Información del Gobierno Municipal de Beijing creó un tema especial sobre el virus "Panda Burning Incense" en su sitio web oficial, en el que el autor declaró: "Un disfraz El virus con el patrón de" Panda quemando incienso "está cometiendo crímenes como locos... En la actualidad, muchas redes LAN y sitios web corporativos han resultado gravemente dañados, y la mayoría de los internautas también han sufrido mucho".

¿Por qué es difícil detener el "Panda Burning Incense"?

"'Panda Burning Incense' es diferente de los virus anteriores. Adopta un nuevo método de transmisión". Shi Yu dijo que los virus gusanos tradicionales se transmiten a otras computadoras en la red de área local a través de una computadora envenenada. Además de integrar todas las vulnerabilidades de comunicación disponibles, "Panda Burning Incense" también se puede difundir a través de sitios web.

Una computadora infectada con "Panda Burning Incense" adjuntará el virus a todos los archivos de la página web en el disco duro. "Si las computadoras de los editores y reporteros del sitio web están infectadas, a través de las páginas web envenenadas, se puede adjuntar 'Panda Burning Incense' a todas las páginas web del sitio web. Al visitar un sitio web envenenado, los internautas se infectarán". con el virus "Panda Burning Incense".

Desde el punto a punto tradicional hasta el punto a punto actual, "Panda Burning Incense" se extendió rápidamente con la sorprendente cantidad de visitas al sitio web envenenado.

Según los ingenieros antivirus han monitorizado que "Panda Burning Incense" ha infectado portales como Tianya Community, Silicon Valley Power, pconline, etc., y también se ha incluido "Panda Burning Incense" en los enlaces de descarga de software conocido como Baofeng Video Burning incense" hay rastros de posesión. Al mismo tiempo, "Panda Burning Incense" también puede propagarse viralmente con la ayuda de los motores de búsqueda.

"Con la ayuda de la red de área local, la diosa esparció las flores, con la ayuda del sitio web del portal, una chispa inició un incendio en la pradera y, con la ayuda del disco U, revivió. " Shi Yu dijo que los tres modos principales de transmisión de "Panda Burning Incense" se han convertido en las principales razones por las que el virus es difícil de combatir.

La gente antivirus lucha contra los virus

Shi Yu dijo que desde la Navidad pasada, el equipo de virus de Rising Company ha estado trabajando horas extras cada vez que "Panda Burning Incense" lanza una nueva variante. , los ingenieros recolectan muestras de inmediato, diseccionan el virus y actualizan las herramientas de eliminación correspondientes. "Durante este período, me quedé despierto toda la noche 4 veces".

"La tecnología 'Panda Burning Incense' está lejos de ser excelente. Se basa principalmente en las constantes y locas actualizaciones del autor. Si se actualiza, nosotros Lo actualizará en consecuencia. "Herramienta asesina". Shi Yu dijo que "Panda Burning Incense" es bueno para explotar nuevas vulnerabilidades. Por ejemplo, la variante del 8 de enero aprovechó una de las últimas vulnerabilidades de seguridad de QQ.

Desde el nacimiento de "Panda Burning Incense", la versión del virus se ha modificado más de 400 veces y la herramienta especial para matar desarrollada por Shi Yu y sus colegas también se ha actualizado más de 10 veces.

Además de las empresas de software antivirus, los "expertos en antivirus" repartidos entre los internautas también desempeñan un papel importante en la lucha contra el "Panda Burning Incense".

En el foro antivirus de Kaka Network Community, se reúnen muchos expertos en informática, la mayoría de ellos aficionados a la programación y, a menudo, estudian juntos tecnología antivirus. "Panda Burning Incense" les llamó la atención tan pronto como apareció.

A finales de octubre de 2006, antes de que Rising Company capturara el virus "Panda Burning Incense", el programador "Farmer" ya había obtenido la entonces muestra del virus "Panda Burning Incense" y había compilado una herramienta de eliminación especial. Desde entonces, cada vez que "Panda Burning Incense" lanza una variante, los internautas Mopery y Emma en el foro antivirus escriben un informe detallado de análisis de variantes, señalando el peligro y las nuevas características del virus.

"En realidad, hay muchos expertos en antivirus privados". Shi Yu dijo que solía ser un experto privado. Había estado interesado en estudiar virus desde la escuela secundaria y fue reclutado por un antivirus. empresa de software después de graduarse de la universidad. Por lo tanto, ahora navega con frecuencia por algunos foros técnicos famosos. Si los expertos privados tienen buenas ideas, el grupo de virus también aprenderá de ellas.

Shi Yu dijo que tiene una "carta de triunfo": "detección y eliminación de virus desconocidos". Dijo que este método antivirus puede determinar las "características familiares" del virus, siempre que la variante cumpla con una serie de características, la herramienta de eliminación especializada puede detectarla y eliminarla eficazmente.

Shi Yu presentó el principio de funcionamiento de esta nueva herramienta de eliminación, pero pidió a los periodistas que ocultaran este contenido al informar: "Será problemático si el autor del virus lo sabe. Esta es nuestra carta de triunfo para ganar. ."

Una guerra sin fin

El 19 de enero, "Panda Burning Incense" lanzó una nueva variante, y el autor del virus también afirmó que esta sería la última vez que "Panda Burning Incense" "renovar.

Cuando llegó la noticia, en la comunidad Kaká, los internautas que habían sufrido "panda quemando incienso" se llenaron de alegría. Aunque felices, comenzaron a reflexionar sobre sus ganancias y pérdidas.

En el foro antivirus, el internauta tom2000 publicó una publicación titulada "Panda Apocalypse - Reflections after the Storm", que decía: "¿Cuántos nuevos virus/troyanos aprenderán de Panda en el futuro? ¿Dónde está?" ¿Tu experiencia? ¡Todo acaba de empezar!”

Los expertos de la industria creen que Internet en China está en su infancia y que la mayoría de los internautas carecen de conocimientos básicos de seguridad de redes y buenos hábitos de Internet. La escasa concienciación sobre la seguridad crea oportunidades para que el virus se propague por una zona amplia. Al mismo tiempo, a medida que las computadoras se vuelvan más populares en diversas industrias, el daño causado por los virus será cada vez más grave.

En la tarde del 24 de enero, los ingenieros antivirus descubrieron un nuevo tipo de virus muy similar a "Panda Burning Incense". Los ingenieros sospecharon que se trataba de una nueva versión del virus creado por el autor. de "Panda Quemando Incienso".

Este virus sustituirá todos los iconos del ordenador del usuario infectado por el avatar de un hombre, con dos bombillas en la posición de los ojos del avatar.

Lo que preocupa a los ingenieros antivirus es si "Light Bulb Man" se convertirá en el sucesor de "Panda Burning Incense".

"Esta es una guerra invisible. Para nosotros, la guerra aún continúa", dijo Shi Yu.

¿Quién creó "Panda Burning Incense"? ¿Qué quiere? Durante la epidemia de "Panda Burning Incense", circularon en Internet varias especulaciones sobre la identidad del autor. En el foro “Panda Burning Incense” de Baidu, cientos de internautas que habían sido perjudicados por “Panda” publicaron creadores de virus “buscados”, y algunos internautas afirmaron ofrecer una recompensa de 100.000 dólares estadounidenses.

Ayer, los ingenieros antivirus revelaron a los periodistas que el autor de "Panda Burning Incense" no había dejado rastro. Durante el proceso de disección del virus, descubrieron algunos mensajes misteriosos dejados en el virus. En estos mensajes, el autor de "Panda Burning Incense" se hace llamar whboy, "niño de Wuhan".

Mensajes ocultos en el cuerpo de "Panda"

Mopery es el moderador del Foro Antivirus de la Comunidad Kaka y también es un experto en antivirus.

A mediados de octubre de 2006, Mopery recibió una petición de ayuda por parte de unos internautas. En el proceso de ayudar a resolver problemas informáticos, obtuvo una muestra de virus, que era la versión original de "Panda Burning Incense".

Después de "diseccionar" el virus, en el complicado código del programa, Mopery vio un dato que no tenía nada que ver con el programa, entre ellos una línea de letras: "whboy".

El nombre "whboy" tiene un significado inusual para los investigadores de virus. En 2004, whboy lanzó el virus "Wuhan Boy" que creó, que era un troyano de robo de cuentas propagado a través de QQ. Debido a sus variantes locas y su amplia propagación, un año después, Jiangmin Anti- lo incluyó como un virus de 2005. Centro de virus. Entre los diez mejores virus del año.

Después de eso, whboy también publicó en algunos foros de virus y foros de hackers, diciendo que podía proporcionar servicios de robo de cuentas QQ, pero desapareció poco después, hasta que apareció "Panda".

mopery realizó un cuidadoso análisis de "Panda Burning Incense". Descubrió que este virus no tenía la tecnología más poderosa, pero sí los medios de transmisión más maduros.

Mopery se interesó mucho en "Panda Burning Incense". Se puso en contacto con otro experto antivirus privado, Farmer, y lanzó la primera herramienta dedicada a matar: Nimya el 25 de octubre de 2006. Especialmente diseñada para matar gusanos.

"El primer panda no era muy poderoso, pero las variantes posteriores eran más poderosas". Mopery dijo que después de descubrir la primera versión de "Panda Burning Incense", en un mes, había más de una docena. variantes.

Entre estas variantes, de vez en cuando, el autor deja intencionadamente la palabra whboy en el virus. "Es principalmente para aquellos de nosotros que analizamos virus. Los usuarios comunes y corrientes no pueden ver el código".

A medida que aumenta el número de variantes, los expertos en antivirus comienzan a esperar que aparezcan más mensajes mientras analizan virus continuamente. .

El virus enumera internamente "unidades de reconocimiento"

A principios de diciembre de 2006, se aceleró la variante "Panda Burning Incense" Además de la palabra whboy, había una línea adicional de. Caracteres chinos en el código: "Wuhan Boy" Infectando a los descargadores "A medida que aumenta el número de variantes, se incluye cada vez más información en el código.

En este momento, Mopery y Emma se han unido al ejército contra el "Panda Burning Incense". Analizaron las nuevas variantes de Panda y publicaron informes detallados de análisis de virus en el foro Kaka Community Anti-Virus.

Sus acciones llamaron la atención del autor del virus "Wuhan Boy". En una variante del virus a principios de enero, el misterioso mensaje se actualizó nuevamente.

"Gracias Mopery por prestar atención a este troyano". Esta nueva frase añadida al mensaje hizo reír y llorar a Mopery.

Posteriormente, el niño de Wuhan parecía estar obsesionado con el patrón interno del virus de enumerar "agradecimientos". En el mensaje viral del 5 de enero, el nombre de Emma se agregó a la lista de agradecimiento. El 9 de enero, el nombre del experto en antivirus "Haisezhiyue" se añadió a la lista de agradecimientos y la frase "Estoy convencida...Emma..." se añadió al final del artículo.

Después de eso, el chico de Wuhan comenzó a utilizar este método con frecuencia para "comunicarse" con su oponente.

El 15 de enero, el chico de Wuhan también saludó a la activista antidrogas taylor77 en un mensaje: "taylor77, ¿no sabes qué quieres hacer conmigo?" y bromeó: "El virus que tengo". La ciudad entera está quemando el incienso del tesoro nacional."

Una batalla de un mes entre maestros en el mundo en línea

El 16 de enero, el niño de Wuhan lanzó un nueva variante del virus, como lo llamaban los antivirus para la versión "Emma". Porque en el mensaje dentro del virus, el nombre de Emma estaba escrito 22 veces.

En la noche del 19 de enero, “Panda Burning Incense” lanzó su última actualización. Esta versión puede considerarse la versión más completa de los métodos de infección.

En la última versión de "Panda Burning Incense", el niño de Wuhan escribió un mensaje de despedida: "¡Me gustaría expresar mis más sinceras disculpas a todos los internautas y administradores de red que han sido víctimas de este troyano! Lo siento, ¡gracias por tu arduo trabajo! ¡Tengo muchas ganas de comunicarme contigo! ¡Por alguna razón, creo que es mejor olvidarlo!”

¡El ingeniero antivirus Shi Yu parecía muy! Tranquilo ante la noticia de que “Panda Burning Incense” ha dejado de actualizarse: "Esperamos que la crisis de los pandas termine aquí, pero el niño de Wuhan tiene un historial de cometer errores. En resumen, mientras actualice, lo haremos. acompañarlo hasta el final."

Respecto al niño de Wuhan que lleva más de un mes luchando, pero no sabe dónde se esconde, el mensaje de Mopery fue: “Espero que pueda hacer un buen uso de su tecnología para servir a la mayoría de los internautas, en lugar de causarles dolor”.

Hay tres versiones de la identidad del “Niño de Wuhan”

Aunque el niño de Wuhan dijo que lo haría. Ya no actualiza "Panda Burning Incense", la locura del virus que arrasó el país ha dejado consecuencias imparables. Los internautas han especulado sobre la verdadera identidad del niño de Wuhan.

Tras la investigación, actualmente hay tres especulaciones entre los expertos de la industria sobre la identidad del niño de Wuhan. Primero, el niño de Wuhan es un adolescente de Wuhan de 15 años. La evidencia es una conversación QQ entre él y el activista antidrogas Farmer que circuló en Internet. En segundo lugar, el chico de Wuhan es vicepresidente de una empresa de software en Guilin y ha escrito software fraudulento. La fuente de la información es un foro antivirus. En tercer lugar, el niño de Wuhan es empleado de una empresa nacional de software antivirus y escribe virus deliberadamente para promocionar los productos antivirus correspondientes.

Para verificar los rumores, el periodista entrevistó a Mopery y Shi Yu, el ingeniero antivirus de Rising Company, respectivamente.

Mopery dijo que después de la verificación por parte de él y el granjero, se confirmó que el protagonista del clip del chat QQ que circuló era el autor de otro virus, no el niño de Wuhan. En cuanto a la afirmación del vicepresidente de la empresa, carece de fundamento.

Como empleado de una empresa de software antivirus, Shi Yu dijo que cada vez que se propaga un virus a gran escala, siempre hay varios rumores que son desfavorables para la empresa de software antivirus, pero los programadores en la industria del software antivirus no escribe virus ni interrumpe la red. Preguntó retóricamente: "¿El virus de la gripe fue creado por médicos?"

Tanto Mopery como Shi Yu dijeron que, a juzgar por el contenido del mensaje y el código del programa, el niño de Wuhan era un veterano con una rica experiencia en escritura de virus., navegue con frecuencia por el foro antivirus de la comunidad Kaka y siempre preste atención al análisis de virus de mopery y otros. La comunidad Kaká tiene más de 590.000 miembros, y el niño de Wuhan debe estar entre ellos, pero es difícil limitar el alcance. "El propio niño de Wuhan domina la tecnología de redes y la tecnología de intrusión. Es difícil rastrear su verdadera identidad a través de sus rastros en línea", dijo Mopery.

“Panda Burning Incense” tiene un propósito comercial

Shi Yu dijo que después del análisis, creen que “Panda Burning Incense” tiene un fuerte propósito comercial “después de que los usuarios se infectan. Al hacer clic en sitios web extranjeros en segundo plano, algunas variantes contienen troyanos que roban cuentas y que los autores de virus pueden utilizar para obtener ganancias.

"

"Los creadores de virus actuales son diferentes a los de los años 90. Ya no pretenden mostrar su tecnología, sino que tienen objetivos comerciales claros. Los límites entre los virus y el software fraudulento son cada vez más borrosos. "Dijo Shi Yu.

Ayer por la tarde, el personal de Rising Company declaró que habían presentado pruebas relevantes del autor del virus y las características del virus al Centro Nacional de Respuesta a Emergencias de Virus Informáticos. Personal del Centro Nacional de Respuesta a Emergencias de Virus Informáticos dijo, Los datos sobre la tormenta del virus "Panda Burning Incense", la cantidad de computadoras afectadas y las pérdidas económicas causadas se están recopilando actualmente y se anunciarán en su página de inicio en un futuro próximo

sobre si se debe informar.

“Creo que algún día veré el verdadero rostro del niño de Wuhan. "dijo mopery.

■Enlace

Reglamento sobre protección de la seguridad de los sistemas de información informática

Artículo 23 Ingresar deliberadamente virus informáticos y otros datos dañinos para poner en peligro los sistemas de información informática Cualquiera que venda productos de seguridad de sistemas de información informática sin permiso recibirá una advertencia del órgano de seguridad pública o será multado con no más de 5.000 yuanes para las personas y no más de 15.000 yuanes para las unidades, si hay ganancias ilegales, serán confiscados; Se podrá imponer multa de 1 a 3 veces el ingreso ilegal.

Artículo 24 Quien viole las disposiciones de este Reglamento y constituya una infracción a la gestión de la seguridad pública, será sancionado de conformidad con la “Gestión de la Seguridad Pública”. Reglamento Penal de la República Popular China". Castigo según las disposiciones pertinentes; si constituye un delito, la responsabilidad penal se perseguirá de conformidad con la ley.