熊猫烧香病毒取证鉴定技术研究.docx

          “熊猫烧香”病毒取证鉴定技术研究                     麦永浩，向大为 (湖北警官学院电子取证重点实验室，湖北武汉43()()34) 1案件背景 从2006年年底到2007年年初，短短的两个多月时间，一个名为熊猫烧香的病毒不断入侵个人电脑、感染门户网站、击溃数据系统，给上百万个人用户、网吧及企业局域网用户带来无法估量的损失，被《2006年度中国大陆地区电脑病毒疫情和互联网安全报告》评为“毒王”。 2熊猫烧香病毒介绍 病毒名称：熊猫烧香，worm.whBov．（金山称），worm.nlmaya.（瑞星称）病毒别名：尼姆亚，武汉男生，后又化身为“金猪报喜”；危险级别：★★★★★；病毒类型：蠕虫病毒，能够终止大量的反病毒软件和防火墙软件进程；影响系统：Win 9x/ME、Win 2000/NT、WinXP、Win 2003；病毒具体描述：熊猫烧香是一种蠕虫病毒，而且多次变种。尼姆亚变种W(Worm．Nimaya.w)，由于中毒电脑的可执行文件会出现“熊猫烧香”图案，被感染的用户系统中所有exe可执行文件全部被改成熊猫举着三根香的模样，因此被称为“熊猫烧香”病毒。 病毒危害：该病毒的某些变种可以通过局域网进行传播，在极短时间之内就可以感染几千台计算机，用户电脑中毒后可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象，最终导致局域网瘫痪，无法正常使用。该病毒会删除扩展名为gho的文件，使用户无法使用ghost软件恢复操作系统。熊猫烧香感染系统的exe、com、pif、src、html、asp文件，添加病毒网址，导致用户一打开这些网页文件．IE就会自动连接到指定的病毒网址中下载病毒。在硬盘各个分区下生成文件autorun．inf和setup.exe，可以通过U盘和移动硬盘等方式进行传播，并且利用Windows系统的自动播放功能来运行，搜索硬盘中的exe可执行文件并感染，感染后的文件图标变成“熊猫烧香”图案。熊猫烧香还可以通过共享文件夹、系统弱口令等多种方式进行传播。该病毒会在中毒电脑中所有的网页文件尾部添加病毒代码。一些网站编辑人员的电脑如果被该病毒感染，上传网页到网站后，就会导致用户浏览这些网站时也被病毒感染。据悉，多家著名网站就是遭到此类攻击，相继被植入病毒。由于这些网站的浏览量非常大，导致熊猫烧香病毒的感染范围非常广&acute;中毒企业和政府机构不计其数，其中不乏金融、税务、能源等关系到国计民生的重要单位。 3熊猫烧香病毒网络破坏过程 3.1本地磁盘感染 1)感染对象：病毒对系统中所有除了盘符为A，B的磁盘类型为DRIVE_REMOTE, DRIVE_FIXED的磁盘进行文件遍历感染（不感染大小超过10485760字节以上的文件）。 2)感染方式[来自WwW.lw5u.Com]：病毒将使用两类感染方式应对不同后缀的文件名进行感染： 二进制可执行文件(后缀名为：exe，scr，pif, com):将感染目标文件和病毒溶合成一个文件（被感染文件贴在病毒文件尾部）完成感染。 脚本类(后缀名为：htm，html, asp, php, jsp, aspx):在这些脚本文件尾加上如下链接（下边的页面存在安全漏洞）， <iframe src=http:／／／worm.htmwidth=height=O></iframe>在感染时会删除这些磁盘上的后缀名为gho的文件。 3.2生成autorun.inf 病毒建立一个计时器以0.6秒为周期在磁盘的根目录下生成setup．exe(病毒本身)autorun．inf并利用AutoRunOpen关联使病毒在用户点击被感染磁盘时能被自动运行。 3.3局域网传播 病毒生成随机个局域网传播线程实现如下的传播方式：当病毒发现能成功联接攻击目标的139或445端口后，将使用内置的一个用户列表及密码字典进行联接（猜测被攻击端的密码）。当成功地联接上以后将自己复制并利用计划任务启动激活病毒；修改操作系统的启动关联；下载文件启动；与杀毒软件对抗。 4鉴定要求 本实验室对主要犯罪嫌疑人李俊出租屋中收集的鉴材进行取证鉴定。鉴定内容包括：鉴定检材中是否存在制作传播病毒的证据；鉴定病毒编写的相关时间信息及病毒制作方式；提取病毒样本及与案件相关的其他证据。 5鉴定环境 l)硬件：取证用台式计算机(Dell-DIMENSION5150)、高速硬盘复制机、四合一只读读卡器、取证硬盘、各类接口转换卡、数据线、移动硬盘、U盘。 2)软件i Microsoft Windows Server2003 Enterprise Edition、ENCASE 5.04b、UltraEdit-32。 6检材克隆和md5值校验 使用硬盘复制机将原始硬盘数据克隆至无任何数据的取证硬盘，克隆后的取证硬盘与取证计算机连接，其他介质通过只读读卡器与计算机连接。 连接后通过ENCASE软件进行初步分析，如果数据已被删除，则利用数据恢复工具进行恢复，对全部嫌疑数据进行分析统计并形成鉴定报告。 证据文件固定后进行md5值校验。鉴定完成后，除需要提交的鉴定书和有关附件数据外，销毁取证过程中产生的所有数据，整个操作流程对原始存储媒介中保存的原始信息不会造成任何影响。 7鉴定过程 1)存储介质工作情况良好，可以正常读出数据。 2)经检查，在“蓝天使移动硬盘”分区l中找到delphi7（程序设计工具）和Vmware（操作系统虚拟机）等软件工具，这些软件可以构成进行计算机木马病毒实验的基本环境，还发现可用于更改程序图表的工具“ICO”等软件。 3)在分区一、二的收藏夹( Favorites)中发现大量被收藏的黑客基地、木马、病毒技术的网站。 以上数据显示，硬盘所有者在较长一段时间内对黑客攻防及制作、传播病毒方面的知识有着极浓厚的兴趣。 4)在分区五（tools分区）myhacker目录下，找到“灰鸽子远程管理”、“nc.exe"、“Sniffer"、“DDOS.EXE"、“黑客之门”、“网络神偷”、“Web3389.exe”、“日志清理”等大量黑客工具软件，另外，在该目录下还发现大量黑客软件的使用说明书及制作木马、病毒、实施黑客攻击的相关电子书、录像等资料，并在历史日志中发现，该硬盘使用者曾多次访问过这些数据及其所在的目录。 在分区五的Source Code目录下’发现大量用VB、VC和Delphi等程序设计工具编写的病毒和木马程序的源代码文件，其功能包括：“多线程端口扫描”、“PHP注入”“文件捆绑”、“在任何文件上添加字节”、“隐藏运行窗口”、“QQ密码截取”、“IE密码探测”、“木马自动生成”等，几乎涵盖了具备网络攻击及传染功能的病毒和木马程序工作的方方面面。 5)在“分区五（tools分区）”和“桌面”等多个目录下发现了一些已经编写好并打包成exe文件（可执行文件）的木马程序，如“征途木马”、“网页木马”、“老马库”等多个木马程序文件，这些木马完全可以直接运行。 在“分区五（tools分区y’的\SourceCode\Delphi\My_Work\目录下，发现“武汉男生”（又称熊猫烧香）木马病毒的[来自www.lw5U.com]客户端和服务端程序，同时，在\SourceCode\Delphi\My_Work\武汉男生进程监控V:ode目录下发现“武汉男生”的源程度代码文件。 在该目录的说明文件中，木马的作者注释道：“使用前，先用老版本工具卸载一次，然后再使用本版本进行设置和运行。”说明该病毒应该有多个版本，且作者—直在对其进行改进、升级和维护。 在“\Source Code\Delphi\My_Work\传染”目录下，发现了多个版本的病毒源代码文件，按时间顺序排列并分别注明：“2006.10.16、 2006.10.25、2006.11.7、2006 .11.8、2006.11.25、2006.11.30、2006.12.1”等等（见附件06:武汉男生病毒源码样本中的传染文件夹），通过对代码内容进行比对，多个版本的代码内容基本相同，功能逐渐完善，反映出作者维护、改进过程的基本轨迹。 6)依据源代码内容及注释，以及代码作者的说明，现将该木马病毒的基本功能罗列如下： (1)可穿透防火墙感染硬盘内所有的可执行文件，更新后国内大部分杀毒软件无法发现，重装系统无效，程序依然潜在硬盘中，唯一办法就是格式化整个硬盘，或删掉所有可执行文件； (2)开机自动隐藏并运行，从固定地址（可更改设置）下载指定文件，每10分钟（可更改设置）下载一次木马，同时可以支持多地址下载； (3) IPC$传播，猜测弱口令，如果对方是NT系统，那么添加计划任务，使对方运行木马，如果不是，那么感染共享盘里面的PE文件； (4)检测U盘，如果有U盘插入，那么复制一个到U盘里面并隐藏，让人双击U盘的时候就中马； (5)感染所有网页程序(htm、html、asp、php、jsp、aspx等等)，自动在页面下加上固定的隐藏框架访问链接； (6)可通过P2P共享、QQ、邮件、感染mp3等媒体文件，给RM加广告，弹网页木马等方式传播； (7)该木马可通过互联网远程更新维护； (8)其他未知功能…… (9)待解决的bug:木马不能加壳，加壳就不能改图标（熊猫烧香）；无法加在IRC木马里面；无法DDOS攻击。 7)在分区二号码为35551的OICQ文件夹中，发现李俊与他人进行聊天的信息，并找到其使用木马进行黑客活动的截图文件。 感染了“whboy”木马后，感染木马的计算机会变成“肉鸡”，受控于木马种植者，并将依据指令定时从指定的网站下载文件，这些文件是否也是木马，所下载的文件有何用途，目前从所提供的鉴材无从得知。但从其聊天记录的情况来看，有多人知道李俊在做什么，并向其提出了需求，因而“whhoy”的作者并非简单的出于兴趣才制作该木马程序。 8)在“小俊的文档”中，发现大量IP地址、计算机名、以及网络游戏（例如“hangame”、“itembay”、“征途”、“冒险岛”）的登录用户名和口令，并找到如图l所示的文件。 结合在“\Source Code\Delphi\My_Work\传染”目录下“readme.txt”（此文件多处出现）文件中的有关信息，可以认为：“whboy”木马病毒制作者制作的最终目的是通过出售“自己设计的木马程序和由木马所获得的信息”来获得经济利益。 9)在“MyHacker\常看文章＼帐单”目录下发现2005年1月到2006年7月间的帐目信息，合计约40余万元（见附件10：帐单），从帐目信息来看，未全部注明资金来源。 8鉴定结论 综合以上信息进行分析可以认定：李俊使用的存储介质中存在制作传播木马病毒的证据。包括：制作和传播木马病毒的实验环境；编写病毒代码的软件工具；所编写的多个病毒源代码及由该代码所生成的可执行文件；通过该木马软件直接或间接获得的他人计算机内的游戏账号和登录口令等信息；所出售木马病毒代码和木马生成器的价格；在浏览相关技术资料时留下的收藏网址和多次访问病毒源码时留下的历史记录。 木马病毒编写的大致时间从“蓝天使移动硬盘”上反映的信息来看，应该是在2006年10月16日或之前更早的时间，在2006年10月16日之后曾经多次对其进行了修改和升级。其制作方式从多个代码的内容来看，应该是使用的“类C语言”、“Delphi”、“汇编”和dos中的“bat”语法，不排除其整合其他多个病毒代码（如威金病毒代码等）自己加工成新木马病毒的可能。 整个鉴定报告是按照刑法286条的相关内容——“违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役；后果特别严重的，处五年以上有期徒刑。违反国家规定，对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作，后果严重的，依照前款的规定处罚。故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行，后果严重的，依照第一款的规定处罚”来制作的，主要从“故意制作”和“故意传播和非法营利”来寻找和提供证据。 10将附件刻录成光盘 光盘中包含的信息包括：附件1：木马实验环境；附件2：收藏夹及历史日志样本；附件3：黑客工具及资料样本；附件4：各类病毒源码样本；附件5：木马文件样本；附件6：武汉男生病毒源码样本；附件7：源码时间信息；附件8：qq聊天记录；附件9：利用木马所盗得的帐号信息；附件IO：帐单。 11审判 熊猫烧香是我国近年来最为严重的计算机蠕虫病毒事件，在互联网上引起巨大震荡，受到广大的民众、媒体和IT公司人士关注，因此，审理此案的某人民法院出现该院有史以来刑事审判旁听爆满的情况。最后，经过司法审判，我们的整个鉴定报告得到了法庭的采信，“熊猫烧香”案的相关案犯一一获刑，法院以破坏计算机信息系统罪判处李俊有期徒刑四年、王磊有期徒刑二年六个月、张顺有期徒刑二年、雷磊有期徒刑一年，并判决对李俊、王磊、张顺的违法所得予以追缴，上缴国库。 12总结与展望 从“熊猫烧香”的研究，我们可以看到：一方面，“熊猫烧香”案审判是我国取证鉴定理论与实务，在惩治计算机犯罪方面前进了一大步，给以后的计算机案件处理带来了借鉴；另一方面，“熊猫烧香”案中出现的一系列计算机技术问题及法律的应用，给学界和司法实务部门提出了新的挑战，促使我国惩治计算机犯罪相关法律的完善以及计算机取证鉴定技术的进一步成熟。（责编杨晨） 参考文献： 【1】Wolfe H.Evidence Analysis, Computers and Security Vol 22 (4), May 20fl3. 【2】ENFSI; Cnudelines for Best Practice in the Forensic Examination of Digital Technology,European Network of Forensic ScienceInstitutes, October 2003. 【3】 Matthew Meyers and Marc Rogers,Computer Forensics: The Need for Standardization and Certification, InternationalJournal of Digital Evidence, FaU 2004, Volume3。Issue 2． 【4】P. Stephenson, Modeling of Post-Incident Root Cause Analysis, International journal ofDigital Evidence, Vol.2 Issue 2, FaU 2003. 【5】B. Grundy, The Law Enforcement and Forensic Examiner Introduction to Linux:ABeginner&acute;s Guide, January 2004. Available:http://www.linux- fo -LEFE-2.0.5.pdf. 【6】 Robert Rowlingson Ph.D,A Ten Step Process f&acute;or Forensic: Readiness, InternationalJournal of Digital Evidence, Winter 2004,Volume 2。Issue 3． 【7】Pollitt, Mark.Aframework for digitalforensic saence. In Digital Forensics ResearchWorkshop (DFRWS), Bakimore, Maryland,August 2004. 基金项目：国家社会科学基金( 07BFX062)、湖北省自然科学基金([2007]083) 作者简介：麦永浩（1959-），男，教授，博士后，主要研究方向：网络安全、电子取证等；向大为（1980-），男，讲师，硕士，主要研究方向：计算机取证和网络犯罪侦查。   -全文完-