少年莫名穿越到修仙世界,穿越时间熊猫烧香
少年莫名穿越到修仙世界,穿越时间熊猫烧香他家位于城市边缘,郊区的一条深巷之内,父母在武汉本地娲石集团上班,他还有一个名叫李明的弟弟,家里生活并不宽裕。李俊,男,1982年出生,湖北省武汉市新洲区阳逻街人。这背后究竟有何故事?今天我们穿越时间,看看熊猫烧香作者李俊的魔幻人生。一、从水泥到电脑
他是武汉男孩,只因与黑客代码的一面之缘改写人生;
他的性格内向,但其“作品”叱咤全网,从排名第九到排名第一;
他因编写病毒入狱,释放后却又因涉及网络赌博再次入狱;
他叫李俊,国内首例制作计算机病毒大案的当事人;
这背后究竟有何故事?
今天我们穿越时间,看看熊猫烧香作者李俊的魔幻人生。
一、从水泥到电脑
李俊,男,1982年出生,湖北省武汉市新洲区阳逻街人。
他家位于城市边缘,郊区的一条深巷之内,父母在武汉本地娲石集团上班,他还有一个名叫李明的弟弟,家里生活并不宽裕。
从小时起,李俊就有些内向,不爱说话,在别人看来有些过于腼腆,或许这是出身困苦的孩子的共同特征。
至于李俊的学习,倒不是很差,但他理科好,文科除英语外都不好,偏科比较严重。在娲石子弟小学、娲石子弟中学度过义务教育之后,李俊参加了中考,考出的分数只够上一所普通的镇级高中(新洲区刘集中学)。
李俊的父亲是想让他继续念高中的,但母亲认为念了高中再上大学对李俊来说几率很低,而且家里也无力承担两个孩子高中的学费,为了将来好就业,便将他转到了武汉市娲石技术学校(隶属于武汉娲石集团),学习水泥工艺专业,这样毕业后可以直接分到工作。
1998年9月,心有不甘的李俊走进了中专技校的大门,其实他心里并不想读中专技校,还为此数次落泪,一直觉得自己人生最遗憾的事就是没有上大学。
如果从水泥专业一路走下去,可能就没有今天的故事了,但现实生活中很多客观条件的改变是个人无法预料的。
1999年,为了适应集团企业的需要,娲石技术学校调整发展方向,李俊的专业由水泥工艺变成了机电一体化,听起来高大上了一些。
机电一体化专业涉及物理、计算机等课程,就是这个时期,在学校仅有为数不多电脑的计算机机房,李俊接触到了电脑,并将自己的打字速度练得飞快。
后来在网吧中,李俊认识了一个比他大一届的同学,同为武汉新洲区人的雷磊,当时雷磊在电脑技术上有一定水平,正在参与网络上中美黑客之间的一场大战,碰巧被李俊看到屏幕上滚动的代码,这对李俊来说仿佛是新世界的大门,丢下手中的游戏,李俊做到了雷磊身旁……或许是从雷磊那里,李俊听到了 “绿色兵团”、中国红客联盟、中国鹰派联盟、中国黑客联盟等组织的名字,此后的无数日夜,两人经常在一起研究电脑技术,心中的热爱让李俊如痴如醉。
后来李俊曾言自己研究电脑的感觉:“在这个群里,只要你是高手,其他人都会佩服你,追捧你,崇拜你。我非常开心,就像小时候上数学课,被老师表扬了,我就盼望着能上数学课一样……我发现自己越来越离不开网络了,那里有我的自尊,有我的能力被认同的成就感……”
2000年,娲石再次调整经营方向,成立了建材公司,18岁的李俊从此走上了工作,工作之余他最常去的地方还是网吧,可能是由于工资太少,或者工作不是兴趣所在,干了2年后李俊便辞职了,去武汉市区的网吧做起管理员。
二、“武汉男生”,排名第九
2000年左右,国内计算机进入高速发展时期,微软的视窗操作系统不断成熟,Windows XP也于2001年成功发布,上网聊天成为时髦话题,就是在这样的背景下,诸如QQ、MSN之类的即时通讯软件渐渐取代Email邮件,成为各种木马病毒传播的快车道。
2003年时,经典聊天软件微软MSN之上出现了一种叫做“我爱你”(Win32.Joke.MSNILoveYou)的恶作剧病毒,它的扩展名为SCR(可执行屏幕保护程序文件),但却伪装成一个文本文件图标,试想一下,当MSN中出现“我爱你”、“明天中午请你吃饭”之类的信息,会有多少人继续点击查看,而打开的同时,电脑就中病毒了,“我爱你”会快速向其他人发送类似信息,从而引起广泛传播。
除了“我爱你”,当时还有“林妹妹”(TrojanClicker.Linmm)等利用通讯软件传播的病毒,经常混迹于网吧和各种黑客论坛的李俊大概率是能接触到这种病毒的,曾经一个网友的电脑中病毒后,还把病毒样本传给李俊分析。
在各种“大神”的耳濡目染之下,李俊达编程水平不断提高,他也想研究点什么,于是开始了第一次尝试。
李俊写了一个利用即时通讯软件QQ进行传播的电脑病毒——“武汉男生”(这个名字后来成为他的代号),当病毒运行后会产生“ABCHELP.EXE,WINhelp32.exe和DirectX.exe”三个文件,病毒程序每隔15秒自动寻找QQ窗口发送消息,例如“我的照片,查看Http:…”,同样是极具诱惑性的信息,可能就是借鉴了“我爱你”之类的病毒,由于不少人忍不住点击,短短几小时,感染受害的电脑就有数百台。
2003年10月8日,江民科技在国内率先截获了“武汉男生”(Trojan/QQMsg.Whboy.b)病毒。
为了躲过杀毒软件,李俊也在不断修改“武汉男生”的源代码,几乎每周都有新变种产生,2005年时,他还编写过“QQ尾巴”(Trojan.QQ3344.s)病毒,同时将武汉男生进化到了“武汉男生2005”(Trojan/QQMsg.Whboy.2005),感染后,电脑中文本文件的关联会被修改为病毒程序,每次打开.txt时都会弹出“找不到.txt,要创建新文件吗?”的提示,点击后则导致每次打开txt都会运行一次病毒的效果,而每一次运行都会盗取用户的传奇账号。
根据2005年7月13日江民科技发布的《2005上半年十大病毒排行》及《中国大陆地区计算机病毒疫情报告》,当时的“武汉男生”感染比例达到了6%,位居十大病毒第9位。
第9名的成绩似乎已经不错了,但这种成绩是网上的,虚拟世界的“成功”改变不了现实生活的困苦,李俊曾在2005-2006年间前往北京、广州、深圳等地寻找工作,目标企业包括著名的金山、瑞星等杀毒软件公司,但这些都以无果告终,屡次失败碰壁让李俊十分消沉,唯有沉迷于网络才能获得一丝慰藉。这使他产生了一个念头:我要做个排名第一的病毒,让所有人看到我的实力!
三、病毒预警:数百万电脑被感染
2006年10月16日,李俊写出了熊猫烧香病毒。
这是一种使用Delphi 工具编写的蠕虫,它不需要附在别的程序内,可以不用用户介入操作也能自我复制或执行,具备感染计算机系统中后缀名为.exe、.com、.pif、.src、.html、.asp等类型文件的能力,感染之后,电脑中的exe程序都会无法运行,程序图标会变成一只只手举三炷香的黑色熊猫,合十作揖,电脑也会不停蓝屏重启,而且熊猫烧香还会自动搜索硬盘中的GHO磁盘备份文件,并将之删除,使用户失去恢复系统的可能。
其实李俊还达不到原创编写病毒的水平,熊猫烧香程序借用了很多网上现成的技术,并且不是十分完善,至少蠕虫的隐藏模块就极不成熟,完全没有实现病毒进程的隐藏。李俊曾经让雷磊给他提提建议,但限于技术,这些问题并没有实际解决。
至于为什么采用熊猫烧香这种奇怪的图标,可能是为了引诱用户运行,也可能是李俊太想证明自己。
李俊开始在各大论坛宣传自己的作品,他把编译的文件送给了一些人,当然也卖了一些,价格从500-1000元不等,那段时间李俊一天的收入就有七八千元,多的时候超过1万元。出钱购买熊猫烧香的人多为流氓软件或者盗号木马的代理,他们还会再次传播。
李俊曾言自己觉得熊猫烧香不会让电脑瘫痪,也不会带来什么危害,但是购买他病毒的人会利用熊猫烧香下载其他的木马病毒,从而导致电脑崩溃死机。
病毒的购买者造成熊猫烧香在网络上大范围传播,这很快引起民间及专业人士的关注。
2006年10月25日,民间反病毒高手mopery通过分析网友提供的病毒样本,制作了最初的专杀工具,并且发现了病毒制作者“whboy”这样一串奇怪的字母。
2006年11月14日,在北京中关村瑞星公司总部14楼,瑞星公司研发部病毒组反病毒工程师史瑀测试完用户提交的病毒样本后,将这种新型的病毒命名为“尼姆亚”(Worm.Nimaya),后来不同的杀毒软件公司对熊猫烧香的命名不一而足,包括:Worm/Viking(江民)、Worm.WhBoy.h (金山)、PE_FUJACKS (趋势)、W32/Fujacks (McAfee)等。
2006年12月上旬,熊猫烧香大规模爆发,数以百万的计算机被病毒感染。熊猫烧香病毒的更新频率由几天一次升级为一天数次,李俊还建立了病毒自动升级服务器,升级频率最高时一天8次,同卡巴斯基每3小时更新一次病毒库的速度持平。
更加难以预料的是, 26日晚上8点25分,台湾南部海域发生7.2级地震,包括亚太一号、亚太二号、中美、亚欧三号在内的重多海底光缆受损,使用国外杀毒软件的用户遭遇了病毒库无法升级的问题,江民、瑞星、金山等国内三大反病毒服务商宣布,暂时对网民提供免费杀毒服务。
“通过对互联网的监测发现,一伪装成“熊猫烧香”图案的蠕虫正在互联网上进行传播,已有数百万个人计算机用户和企业局域网遭受感染。” 2007年1月7日,国家计算机病毒应急处理中心发出紧急预警。
此后,大量的个人、网吧、企业电脑瘫痪,仙桃市“江汉热线”大批服务器被感染,龙华山派出所办理第二代身份证的计算机也未能幸免,熊猫烧香甚至波及到金融、税务、能源等关系国计民生的重要单位。
1月22日,国家计算机病毒应急处理中心再次发出警报,全国通缉熊猫烧香。
1月24日,仙桃市公安局网监大队正式立案侦查,这就是“1·22”制作传播计算机病毒案。
四、“我本无意犯罪,只怪生活现实”
熊猫烧香引起了广大网友的愤怒,1月24日甚至有人悬赏10万美元追击熊猫烧香的作者,不过更多中毒的人却心有无奈,当时有人改编了周杰伦的《菊花台》,看一下歌词:
你~的泪光,柔弱中带伤。满屏的熊猫香,删除过往。
熊猫猖狂,点上三根香,是谁在电脑前冰冷的绝望。
猫~慢慢拜,暗黄色的香。我瘫坐椅子上,精神错乱。
路在何方,谁为我思量,冷风吹乱憔悴模样。
熊猫拜,三根香,你的笑容已泛黄。
重装又重装,我心里在发慌。
江民杀,瑞星除,你的影子剪不断,徒留我在机旁~神伤~~。
其实上文已经提到,在网监大队立案之前,熊猫烧香的李俊就和民间反病毒高手展开了较量,这其中包括“农夫”、“mopery”、“艾玛”等人。
反病毒网友的关注引起了李俊的注意,在熊猫烧香的后续版本中,不仅whboy频频出现,李俊还增加了更多“鸣谢信息”:“武汉男孩感染下载者”、“感谢mopery对此木马的关注”、“服了……艾玛……”、“我制作的病毒已经‘满城尽烧国宝香’”,李俊似乎很享受通过这种方式来炫耀自己。
在1月19日最后一次更新中,李俊写下了这样一段话:“在此对各位中过此木马的网友和各位网管人员表示深深的歉意!对不起,你们辛苦了!mopery,很想和你们交流下!某某原因,我想还是算了”,然而这一系列的痕迹其实为后来的侦查提供了线索。
2007年1月31日,瑞星公司发布《2006年度中国大陆地区电脑病毒疫情&互联网安全报告》,将熊猫烧香Worm.Nimaya列为十大病毒排行榜第一名。
互联网上到处充斥着熊猫烧香的报道。
第一的愿望似乎实现了,但李俊心里紧张了,感觉自己玩大了。
李俊和雷磊躲到了宾馆里,准备在网上公开道歉信,发布熊猫烧香的专用杀毒工具,但他一直没确定日期,是现在发呢还是圣诞节发呢?是在自己的网站上发布呢?还是在杀毒软件论坛发布呢?最终还没来得及发,便进了看守所。
抓捕李俊及其他病毒传播人员的过程也是十分曲折,经过侦查熊猫烧香链接网站的注册人地址,再加之whboy的代码,网监大队将武汉男孩被列为重大犯罪嫌疑人。
武汉男孩又名小俊,网名DAVE,其真实身份就是李俊,根据其网上账户资料,警方锁定了其居住地——武汉武昌区关山某居民楼,2月3日,李俊的弟弟李明被仙桃市网监大队民警抓获,晚上7点左右,准备潜逃外地的李俊回出租屋取东西,又被当场抓获。根据从李俊身上找到的武昌京都大厦宾馆的房卡,仙桃警方当晚将位于宾馆的雷磊抓获。
2月4日起,各专班在山东青岛、山东威海、云南丽水、江西南昌、浙江温州多次辗转,将王磊、叶培新、张顺等抓获。
2007年2月12日,湖北省公安厅宣布,国内首例制作计算机病毒的大案——制作传播“熊猫烧香”病毒案告破,抓获李俊等6名犯罪嫌疑人。
经过调查,熊猫烧香的作者李俊通过销售熊猫烧香获得了145148元“香火钱”,王磊获利8万元,张顺获利1.2万余元。
2007年9月24日,湖北省仙桃市人民法院以“破坏计算机信息系统罪”判处李俊有期徒刑4年,并没收全部违法所得。在狱中,李俊主动交出了“熊猫烧香”的专杀程序,并且发布了那篇道歉信。
“各位网友:你们好!我是‘熊猫烧香’的第一版作者。我真的没有想到‘熊猫烧香’在短短的两个月竟然疯狂感染到这个地步 真的是我的不对 或许真的是我低估了网络的力量 它的散播速度是我想不到的!”
……
五、浪子回头,为何再次入狱?
在狱中,李俊发挥过自己电脑方面的特长,帮助狱警做过电脑方面的工作,最终因表现良好获得减刑。
2009年12月24日,圣诞节的前一天,平安夜,李俊提前出狱。
他和雷磊去了KTV,点了一首李圣杰的《痴心绝对》,“明知道让你离开他的世界不可能会,我还傻傻等到,奇迹出现的那一天……”
元旦之后,在腾讯科技和长江商报的协助下,李俊和雷磊去了北京,前往金山、瑞星、江民等公司应聘,金山给了李俊一个“民间安全观察员”的聘书,有意让李俊加盟做客服,工资3000元,但这不是他想要的,后来他想明白了,带着失望离开了北京。
再后来,李俊和曾经狱中的“难兄难弟”——张顺又凑在一起,在对方的邀请之下加入了浙江腾翔网络科技有限公司,做起小软件和游戏。之后一款为宁波商人开发的游戏被投资方放弃,他们便接手来做,中间过程不再详述,最终游戏逐渐变成了赌博,参赌人员达2200余人,涉案赌资人民币7600余万元,非法获利人民币800余万元。
2013年,李俊被法院以开设赌场罪判处有期徒刑三年,并判处罚金8万元……
后来李俊的“师父”雷磊很后悔:当年在网吧里,李俊问他关于黑客的事情,自己到底为什么要去回答?
如果雷磊和李俊没有走到一起,或许李俊只会是水泥厂的普通工人……
以上就是本文的全部内容,话说,你的电脑曾经中过熊猫烧香病毒吗?近年来,电脑病毒怎么好像销声匿迹了……
(个人观点保留,禁止任何未经授权的非本人账号直接复制文章到其他平台发布。
点击头像或链接可以阅读更多文章:
穿越时间•“明教教主”JUJUMAO猪猪猫盗版Windows始末
穿越时间•免费午餐终成空•番茄花园版WindowsXP事件始末
穿越时间•深度技术论坛盗版Windows XP始末
穿越时间•孰真孰假•珊瑚虫QQ和腾讯QQ事件始末
