“熊猫烧香” 谁被“烫伤”

虽然“熊猫烧香”的制造人李俊和他背后的犯罪团伙已经被绳之以法，但是很多人在提起“熊猫烧香”时仍会为之色变，以至于对升级更新杀病毒软件热衷到甚至有些病态的地步。

如果有人问，2006年底至2007年初在网络上最流行的词语是什么，绝大多数人都会认为是“熊猫烧香”，一个在网络上任意肆虐的幽灵，短短几个月时间，使我国上百万企业、网吧、局域网用户遭受感染和破坏。

在刚刚的《金山公司中国互联网2006年度安全报告》中，“熊猫烧香”被评为2006年年末最疯狂2大病毒之一，而《瑞星公司中国互联网2006年度安全报告》中则把“熊猫烧香”评为2006年毒王。

“熊猫烧香”本身是一个传染型的DownLoad，使用Delphi编写，从技术上来说并没有什么创新之处，却借鉴很多经典病毒、木马甚至是流氓软件的技术特点，综合成了一个拥有可爱的图标却让人闻之色变的病毒。单技术下的病毒杀毒软件都能应付，但各种毒素综合到一起这只“熊猫”反过来让众多杀毒软件成了它“烧香”时的祭品。它的运行原理并不复杂，无非是“复制文件到系统目录和根目录”、“添加注册表启动项”、“利用微软自动播放功能运行”、“针对计算机本身攻击弱口令”、“利用IE浏览器漏洞在网页文件中添加脚本代码”等等一些并不“最新先进”的技术。就是这些“不算最新”的技术却在全国上下揭起了一股“烧香”热潮... ...

将自己的黑客技术用在非法牟利上，使李俊踏出犯罪的第一步，尝到甜头以后，李俊越陷越深，最终面对雪亮的镣铐，低下了自己悔恨的头……

李俊编出“熊猫烧香”病毒，目的是为了出售木马病毒软件给盗取网络游戏账户装备和QQ密码盗卖者而获利。李俊先后在网上以每个病毒500元至1000元的价格出售病毒近20套，在与合伙人张顺接洽上以后，由李俊负责制作，张顺负责销售、形成了黑色的产业链，在短短一个多月的时间就牟利15万元，一位反病毒专家介绍，李俊一年出售病毒收益可以买一座别墅。

据北京德恒律师事务所的律师郑中涛介绍：我们国家关于计算机系统犯罪的刑罚还很轻，有严重后果的处以5年以下有期徒刑，特别严重是5年以上，上面没有限制，一般情况下是作为有期徒刑来限制的（有期徒刑最高15年）。对这个熊猫烧香病毒的制造者并不排除有数罪并罚的情况，不仅仅是破坏计算机安全的信息系统罪，可能会涉及到其他的犯罪。因为其中有一个网络的虚拟财产的盗窃问题，大多数的学者认为应该按照盗窃罪来处罚。我国刑法规定利用计算机盗窃适用相关的规定。

郑律师认为，应该会对李俊判处有期徒刑5年以上的刑罚。因为制作传播计算机病毒和其它破坏程序，影响了网络的正常运行，我国在97年的时候就已经写入到法律里了，这种情况应该有一个严厉的处罚。

很多人早已习惯生活工作中对网络的依赖，突如其来的事件使网络呈现出它的脆弱、甚至不堪一击。一直被人忽略的信息安全话题浮出水面，成为焦点。

病毒肆虐，给中国的电脑用户敲响了信息安全的警钟。尤其是对微软Windows操作系统及IE浏览器的过度依赖，让病毒和有害程序有了扩散爆发的温床。反病毒专家曾警告：由于多家著名网站遭到攻击，相继被植入病毒，所有上网浏览的用户都可能受害。由于这些网站的浏览量非常大，致使此次“熊猫烧香”病毒的感染范围非常广，中毒企业和政府机构超过千家，其中不乏金融、税务、能源等敏感单位。

微软应该对最近国内用户不能及时更新安全补丁负上主要责任。且不论Windows操作系统的漏洞，对于一个拥有十几亿人口的国家，正版软件消费金额巨大的市场，中国用户的安全更新的合法权益，却被一场外海的地震震得一点保障都没有。（2006年12月26日20时26分和34分，台湾屏东地区连续发生两次七级左右的强烈地震及多次余震，致使中国网通所有途经台湾南部海域和香港周边海域的国际海缆不同程度的发生阻断。直到2007年11月29日下午才得以完全修复。）绝大多数购买了品牌电脑的用户，也同时购买了正版的WindowsXP/Vista。

随着病毒技术的发展，U盘、电子邮件、甚至MP3和音乐手机都可能成为新型病毒携带者。此次“熊猫烧香”的泛滥只暴露出网络安全问题危机的冰山一角。也许有人还记得当年CIH病毒爆发时，电脑城内排队修理电脑的景象。

长期以来，人们对保障信息安全的手段偏重于依靠技术，从早期的加密技术、数据备份、防病毒到如今网络环境下的防火墙、入侵检测、身份认证等等。厂商在安全技术和产品的研发上不遗余力，新的技术和产品不断涌现；消费者也更加相信安全产品，把大把的预算也都投入到安全产品的采购上。但事实上仅仅依靠技术和产品保障信息安全的愿望却往往难尽人意，许多复杂、多变的安全威胁和隐患靠产品是无法消除的。

“三分技术，七分管理”，实践经验和原则在信息安全领域也同样适用。据有关部门统计，在所有的计算机安全事件中，约有52%是人为因素造成的，25%由火灾、水灾等自然灾害引起，技术错误占10%，组织内部人员作案占10%，仅有3%左右是由外部不法人员的攻击造成。简单归类，属于管理方面的原因比重高达70%以上, 而这些安全问题中的95%是可以通过科学的信息安全管理来避免。因此，管理已成为信息安全保障能力的重要基础。

网络信息安全建设，任重而道远！没有一个安全的网络环境，操作者就会处于随时有可能崩溃的网络环境下，如同头上悬着一把达克摩斯之剑，没有任何安全感可言。

自国务院信息办成立网络与信息安全领导小组以来，先后采取了一系列相应的措施保护网络安全。

初步建成了国家信息安全组织保障体系。早在2003年7月，国务院信息化领导小组第三次会议专题讨论并通过了《关于加强信息安全保障工作的意见》。 同年9月，中央办公厅、国务院办公厅转发了《国家信息化领导小组关于加强信息安全保障工作的意见》（2003[27]号文件）。27号文件第一次把信息安全提到了促进经济发展、维护社会稳定、保障国家安全、加强精神文明建设的高度，并提出了“积极防御、综合防范”的信息安全管理方针。

制定和引进了一批重要的信息安全管理标准。为了更好地推进我国信息安全管理工作，公安部主持制定、国家质量技术监督局的中华人民共和国国家标准GB17895-1999《计算机信息系统安全保护等级划分准则》，并引进了国际上著名的《ISO 17799：2000：信息安全管理实施准则》、《BS 7799-2：2002：信息安全管理体系实施规范》、《ISO/IEC 15408:1999(GB/T 18336:2001)－信息技术安全性评估准则 》、《SSE-CMM:系统安全工程能力成熟度模型》等信息安全管理标准。信息安全标准化委会设置了10个工作组，其中信息安全管理工作组负责对信息安全的行政、技术、人员等管理提出规范要求及指导指南，它包括信息安全管理指南、信息安全管理实施规范、人员培训教育及录用要求、信息安全社会服务管理规范、信息安全保险业务规范框架和安全策略要求与指南。

制定了一系列必须的信息安全管理的法律法规。例如：《中华人民共和国计算机信息网络国际联网管理暂行规定》、《商用密码管理条例》、《互联网信息服务管理办法》、《计算机信息网络国际联网安全保护管理办法》、《计算机病毒防治管理办法》、《互联网电子公告服务管理规定》、《软件产品管理办法》、《电信网间互联管理暂行规定》、《电子签名法》等。

信息安全风险评估工作已经得到重视和开展；国信办信息安全风险评估课题组早已启动了信息安全风险评估相关标准的编制工作，国家铁路系统和北京移动通信公司于本世纪初就已完成了的信息安全风险评估试点工作，国家其它关键行业或系统（如电力、电信、银行等）也陆续开展或在近期已完成了这方面的工作。

虽然国家已经做了很多工作在信息安全建设上，但是还存在不少问题需要解决，通过这次“熊猫烧香”的发作，也可以看出信息安全现状仍存在着管理混乱、监督力度不够、实施手段不足、相关法律成文尚不严谨等问题。“熊猫烧香”刚出现的时候没有很好的抑制，几个月时间都没有能够很好的防范住病毒的扩散，并且在对待病毒变种进化中所采取的对策手段仍需要加以改进。

令我们高兴的是，在病毒发作以后，国家相关部门积极主动的手段。“熊猫烧香”于2006年10月16日编写，120天之后警方破案，网监的表现可以称之比较完美。

国家计算机病毒应急处理中心张主任对这次案件的破获和最新信息安全发展进程进行了介绍。

这起案件破获是公安部的领导下由国家计算机病毒应急处理中心建立的病毒防空预警体系成果。这些年中心一直致力于整个国家病毒预警体系的建设。是国家计算机病毒应急处理中心把所有的防病毒厂家有效的组织起来，形成国家病毒应急小组，发现新的病毒之后厂家会上报，包括病毒样本和报告。中心首先发现病毒也会通过这个渠道通知给所有防病毒的厂家，这样就会加快中心对病毒的快速反映和处置能力。

这个作用在整个案件里已经发挥了系统作用，厂家通过日常的监测从去年11月就发现了“熊猫烧香”病毒，通过中心对病毒的监测分析。一方面是要拿出应急的处置方案包括防病毒软件的升级，让用户免受损失，同时技术的角度详细分析，发现了一些和制造者有关的线索，根据这些线索进一步的监测，逐步的把嫌疑人圈定在一定的范围内。

中心把这个情况上报给公安部的案件办理机构，这样就实施了后期的抓获。另外一个系统现在也初步建成，就是建立国家病毒预警监控体系。这个体系去年列入到公安部的项目里，在国内主要的网络结点上编设自己的类似传感器一样，通过这个体系可以了解病毒在网络上的一些实际数据，通过它也可以发现很多病毒的可能传播的途径。

公安部一直在构建着网络的综合防控体系，这个体系是应急中心牵头组织起全社会的力量，包括反病毒厂家和众多的网民，形成多层次的整体的防控体系。这个体系在这次对病毒的处置和打击方面都发挥了很重要的作用。这也是这些年公安部在这方面要求整个体系建设中做的工作，对于今后遏制和防范、打击国家利用病毒和木马技术进行了网络犯罪活动能够有效的震慑和防范。