由于防护链条的相关环节还只是单兵作战,甚至远未就位,“灰鸽子”等木马程序形成的利益链条很难被斩断。3月14日晚22点,某恶性木马团伙调动其掌控的、由上万台“肉鸡”构成的“僵尸网络”对金山毒霸官方网站进行疯狂攻击。据金山软件方面表示,此次攻击是针对该公司当天启动的“全民围剿恶性木马”行动进行的疯狂报复。 此前,金山毒霸反病毒工程师曾收到一位自称灰鸽子工作室成员的男子的电话,称“请慎重考虑打击‘灰鸽子’的后果”。出现这种赤裸裸的威胁与报复,是因为金山的行动将可能引起用户对以“灰鸽子”为首的木马程序的危害的重视,而这将会斩断制作、贩卖木马者的利益来源。
由于防护链条的相关环节还只是单兵作战,甚至远未就位,“灰鸽子”等木马程序形成的利益链条很难被斩断。
3月14日晚22点,某恶性木马团伙调动其掌控的、由上万台“肉鸡”构成的“僵尸网络”对金山毒霸官方网站进行疯狂攻击。据金山软件方面表示,此次攻击是针对该公司当天启动的“全民围剿恶性木马”行动进行的疯狂报复。
此前,金山毒霸反病毒工程师曾收到一位自称灰鸽子工作室成员的男子的电话,称“请慎重考虑打击‘灰鸽子’的后果”。出现这种赤裸裸的威胁与报复,是因为金山的行动将可能引起用户对以“灰鸽子”为首的木马程序的危害的重视,而这将会斩断制作、贩卖木马者的利益来源。
“熊猫烧香”的肆虐,让我们看到病毒产业的利益链条正在形成。但对于“灰鸽子”等木马程序来说,它们本身就是为了利益而生,其所采用的“静悄悄”攻击手段就是为了获取用户的信息以换取最大的利益。那么,这条因巨大利益而形成的链条能否被斩断?目前的答案依然是模糊的,因为能切断这一利益链条的相关环节还只是单兵作战,甚至还远未就位。
不容忽视的潜在威胁
“从某种意义上来讲,‘灰鸽子’的危害超出熊猫烧香10倍!”金山总裁雷军认为,“灰鸽子”等木马程序的危害迫切需要引起人们的关注。据金山毒霸全球反病毒监测中心数据显示,仅2007年2月,中国约有258235台计算机感染“灰鸽子”,而同期国内感染病毒的计算机总共才2065873台,也就是说中国每10台感染病毒的计算机中,就有超过一台感染了“灰鸽子”。
在金山看来,“灰鸽子”进入了大规模爆发阶段。不过,金山的这种观点并没有得到其他厂商和机构的认同。在接到记者的采访要求后,瑞星的市场人员表示,“灰鸽子”早在2001年就已经出现,从瑞星的监测数据来看,感染的机器数量有所减少。而国家计算机病毒应急处理中心也表示,“灰鸽子”目前并没有大规模爆发的迹象。
是金山的炒作也罢,还是产业其它环节的不配合也罢,其实“灰鸽子”是否大规模爆发并不是关键所在。在专家们看来:“重要的是,‘灰鸽子’的危害确实需要加以重视。”
在金山3月20日召开的围剿恶性木马演示会上,金山的反病毒工程师轻松地利用“灰鸽子”木马程序对另一台计算机进行控制,该计算机的任何操作以及用户的一举一动、一言一行都被掌握其中,而用户没有任何察觉。与熊猫烧香的张扬不同,“灰鸽子”更像一个隐形的贼,潜伏在用户的家中,监视用户的一举一动,甚至用户与MSN、QQ好友聊天的每一句话都难逃“贼眼”。如果说熊猫烧香的危害还停留在对电脑自身的破坏,而灰鸽子已经发展到对用户的控制,而被控者的用户却毫不知情。
“从盗号、偷窥隐私、敲诈、发展肉鸡、盗取商业机密,到间断性骚扰、恶搞性破坏,‘灰鸽子’带来的威胁无处不在。”金山反病毒工程师李铁军表示。据介绍,“灰鸽子”自称是一款采用Delphi编写的远程控制软件,但自2001年诞生以来就被反病毒专家定义为“极度危险的木马程序”。2007年春节期间,“灰鸽子”出现了最新的2007版,该版本如同一个身着隐形材料的猎手,潜伏在用户系统中,使用“反弹端口”原理,在用户毫不知情的情况下,远程控制用户的计算机,给用户的网络资产以及电脑安全造成了极大的威胁。
利益诱惑下的“全民黑客”
“每台辽宁‘鸡’5毛到8毛,广东‘肉鸡’一块钱一台,港台‘鸡’3块,外国‘机’5块……”类似的叫卖信息在百度“灰鸽子”贴吧及百度“肉鸡”贴吧中(目前已关闭)随处可见。据金山反病毒专家介绍,“灰鸽子”的背后已经形成了一个制造、贩卖、销售病毒的传销帝国,而处于这条产业链条最底层的被称为“肉鸡”,一些人利用“灰鸽子”大量发展“肉鸡”,并通过贩卖肉鸡获取丰厚的经济利益。
此外,在淘宝网等网站中,通过“灰鸽子”等木马程序偷来的QQ号码、游戏装备等也被四处叫卖。同时,“灰鸽子”还流行“师傅带徒弟”的传帮带方式,市场行价为200元,包教包会。
而程序开发者的赢利主要通过卖软件的手段来实现。目前,灰鸽子正版软件一年的使用费用是100元。金山软件公司软件事业部副总经理王欣给记者算了一笔账:“2006年全年灰鸽子工作室峰值独立访问的IP就是1.7万/天,峰谷是0.6万/天,平均峰值为1.2万。按照互联网的一般规律,5%的访问者会下载购买,那么一天就有600人下载购买。则它的收入一天就是600人×100元/人=6万,那么该工作室一年的收入就是2190万。”
根据通用的盗版正版比例9∶1计算,每天600人的下载购买,意味着安装“灰鸽子”控制端软件的新增人数每天为6000人。一年为219万人。保守计算,一人控制10台肉鸡,那么一年至少做过一次“肉鸡”的可上网电脑为2190万台。根据CNNIC的2006年报告,2006年我国可上网电脑数量为5940万台,这个比例接近我国可上网电脑台数的40%。
更为可怕的是,巨大的利益将“灰鸽子”的发展推进了“全民黑客时代”。记者在百度上进行搜索发现,讨论灰鸽子的论坛有数十个之多。其中,灰鸽子工作室每天的浏览量大概在12000人,凤凰灰鸽子论坛目前共有会员33802个,灰鸽子社区目前共有会员523人。当然,这还不算上其他许多大众社区网站以及对此跃跃欲试的游客或好奇者。
在Alexa 3月12日排名中,灰鸽子工作室全球排名是351998位,中国排名30561位。并且网站还吸引了来自我国香港、澳大利亚和新西兰的网民。该网站在这几个国家和地区的排名也都非常靠前,在香港的排名是142816位,在澳大利亚162416位。
防护链条缺失
“我们愿意与其他厂商共享‘灰鸽子’特征库,一些相关的查杀技术也可以公开。”在3月20日召开的围剿“灰鸽子”演示会上,金山方面这样表示。不过,金山抛出的橄榄枝却难有厂商接下,到目前为止,市场上还只有金山大张旗鼓地围剿“灰鸽子”。显然,这是远远不够的,“灰鸽子”的其中一大特点就是变种众多,超过7万多种的变种足以让反病毒厂商疲于奔命,李铁军也认为病毒特征库很难掌握所有变种的特征。
而对于直接被“灰鸽子”威胁的用户来说,似乎对这种威胁并没有特别强烈的感受。虽然我们身边越来越多的计算机正悄悄变成“肉鸡”,但对于这种木马程序带来的危害却很难感受到,对一些机密信息的丢失毫无察觉,即便有QQ号码、游戏装备被盗,也不知道问题出在哪里。
更严重的是,“灰鸽子”等木马程序很难受到法律的制约。有法律专家指出,中国的互联网立法比国外相对落后。《计算机信息网络国际联网安全保护管理办法》中规定制造和传播病毒是违法的,但是对于木马、黑客程序、“流氓软件”等并没有清晰的界定。这也是灰鸽子制造者敢于利用网络公开叫卖的根本原因。针对金山的此次围剿行动,灰鸽子工作室也发表声明,称自己的软件是合法的。
从各个环节分析来看,可以说,针对木马程序的防护链条尚处于严重缺失状态。从目前的状况来看,已经发展了7个年头的“灰鸽子”及其他木马程序还很难得到有效的遏制。针对目前的状况,李铁军建议用户一定要提高安全观念,不要相信天上掉馅饼的神话,要洁身自爱,不要涉足不健康的网站,在利用QQ、MSN软件聊天时,对不明链接不要轻易点击。