拆解网络病毒黑金交易
来源:IT时代周刊 更新时间:2007-08-26


 
   近期,越来越频繁地出现在公众面前的是这样一些专用名词:木马、肉鸡、灰鸽子……它们的曝光率之所以日渐提升,是因其已经威胁到多数人的利益,并正在形成一个侵犯个人隐私、财产,危及网络安全,导致网络出现恐慌的巨大阴谋。它们的宿主,就是那一段又一段的病毒小程序。

  正是这些隐藏在电脑中的病毒,牵扯出一个庞大而完整的病毒产业帝国。

  第一章疯狂的病毒

  1977年的夏天,美国人托马斯·捷·瑞安在其科幻小说《P-1的春天》中,描述了一种可以在电脑中互相传染的病毒,病毒最后控制了7000台计算机,造成了一场灾难。谁也不曾料想到,科幻世界中的东西,在几年后果真成为现实中的噩梦。

  病毒发迹

  第一个真正的电脑病毒出现在1987年。当时,一对巴基斯坦兄弟巴斯特和阿姆捷特写了一个小程序,用来防止自己的软件被任意盗拷。该病毒的运作机理是:只要有人盗拷软件,这个程序就会发作,将盗拷者的硬盘剩余空间挤占掉。这是业界公认具备完整特征的电脑病毒鼻祖。

  此后,一些别有用心的人以此为蓝本制作出变形病毒,其它一些新病毒也纷纷出笼。其中不仅有个人创作,甚至还出现不少创作集团。各类扫毒、防毒与杀毒软件以及专业公司也纷纷出现。各种病毒创作与反病毒程序都进入不断推陈出新的阶段。

  病毒进入中国大陆是在1988年。当时,名为“石头”和“小球”的病毒随着软盘从美国及香港流入。鉴于病毒主要通过DOS平台传播,这一时代的病毒被统称作DOS病毒。

  随着Windows95的出现,病毒制作者们又开始寻找新的突破口。此时,被Microsoft Office广泛采用的宏语言成为他们新的着陆点。1995年7月,第一个宏病毒只用了9个月时间就达到了传播的顶峰。随着微软防病毒技术的不断改进,该病毒找不到可乘之机,同时也宣告以它为代表的第二次病毒时代结束。

  第三次病毒时代的主要特点是依托于互联网技术的“蠕虫”病毒。它的破坏方式是大量自我复制,在网络传播时占用带宽,最终引起网络瘫痪。迄今为止,传播最快的蠕虫病毒仅仅在10分钟内就感染了预计目标的90%,速度之快让人感到恐慌。

  专家们认为,这3代病毒的制作者编写病毒的目的多是为了获得名声。但到了现在,病毒制作者的目的转变为获取经济利益,窃取银行卡密码,甚至出售恶意的病毒代码。其中,“灰鸽子”病毒(以下简称灰鸽子)成为这个时期的代表。

  病毒肆虐

  自从病毒出现,互联网世界就不再平静。

  2007年上半年,电脑病毒数量延续了自2006年以来的高速增长势头。据金山毒霸病毒检测中心最新数据显示,该中心共截获新增病毒样本总计111,474种,比去年同期增加了23%。其中木马病毒新增数占总病毒新增数的68.71%,高达76,593种。

  2007年7月30日,利用MSN传播的MSN“性感相册”蠕虫病毒在网上爆发。一天内,该病毒导致数万名MSN用户“中招”。据专家介绍,中毒者都是接到“NI HE WO!!! QING KAN(你和我!请看)”、“JIE SHOU WO DE ZHAO PIAN!!(接收我的照片!)”等拼音信息,随后会收到一个压缩文件,用户接收运行后就会中毒。

  但与“熊猫烧香”病毒(简称熊猫烧香)以及灰鸽子等病毒相比,MSN“性感相册”显然是小巫见大巫。

  2006年底,熊猫烧香在一夜之间使百万台计算机遭到感染并破坏文件,该病毒凭此拿下“2006十大计算机病毒之首”的桂冠。

  熊猫烧香最早出现在2006年11月,其中毒特征是电脑上被感染文件的图标被篡改成手捧三支香的熊猫。在前后不到3个月的时间内,它直接造成的经济损失就达上亿元。一时间,计算机用户谈“熊猫”色变,一些损失惨重的企业和网民还发出10万美金的重金追查始作佣者。

  不过,熊猫烧香还不算最厉害,今年大规模爆发的“灰鸽子2007”病毒更让人胆颤心惊。据全球反病毒监测中心数据显示,我国有258,235台计算机感染了灰鸽子,而同期国内感染病毒的计算机总共才2,065,873台。这意味着中国每10台带病毒的电脑中,至少有一台中了灰鸽子病毒。

  为此,业界形成的集体研究并声讨灰鸽子的网络组织,讨论灰鸽子的论坛有数十个之多。其中灰鸽子工作室每天的浏览量在1.2万人左右,凤凰灰鸽子论坛目前共有会员3.38万人,最高时有1124人同时在线,灰鸽子社区目前也有会员523人。

  更为严重的是,病毒的泛滥还造就了一种让人尴尬的经济形态——病毒经济,它主要的表征是由病毒造成的经济损失规模,以及因此产生的杀毒、防毒技术等构成的信息安全产品和服务市场。据信产部的调查显示,1999年,病毒经济的规模是9亿元人民币,2000年猛增至20亿元。而加入信息安全市场行列的企业也在增多,1999年不超过10家,2000年已有300多家。病毒的猖獗成就了杀毒公司的业绩,但和病毒造成的巨大损失相比,反病毒公司的收益相形见绌。

  据美国数据公司的统计,从2003年初到8月底,全球包括杀毒和文件恢复等因病毒造成的损失高达107亿美元。美国Radicati集团发表的调查报告也显示,2003年病毒造成的全球经济损失超过280亿美元,到2007年则将超过750亿美元。现在,全球每天平均有超过一万个新的病毒、病毒变种以及木马程序出现,病毒造成的损失每年以千亿美金计算。而且,全球共有大约200万名拥有成熟技术,并可以自己编写病毒与木马程序的黑客。

  病毒的疯狂,到了令人发指的地步!

  第二章严密的黑色产业链

  只要有事物与经济利益沾边,大多会膨胀成为社会毒瘤!病毒就是最为明显的一个现象。

  有调查发现,熊猫烧香、灰鸽子等病毒在传播过程中都有组织化、规模化、公开化的团伙在幕后推动,作案团伙成员分工明确,各司其职;人员数量庞大,获利数额让人瞠目。

  据熟悉病毒产业链的业界人士介绍,黑客利用病毒入侵有3种方式。一是黑客侵入个人/企业电脑——窃取机密资料——在互联网上出售——获取金钱。

  二是黑客侵入大型网站,在网站上植入病毒——用户浏览后中毒,其网游账号和装备被窃——黑客把账号和装备拿到网上出售——获取金钱。

  三是黑客制作病毒,然后通过QQ、论坛等渠道卖给其他黑客——其他黑客侵入个人/企业电脑——敲诈——获取金钱。

  贩卖“肉鸡”获利

  在利润的驱使下,想利用病毒获取利益的人逐渐地聚集到了一起,形成了一条产销分工明确的灰色产业链。

  “这是个比房地产来钱还快的暴利产业!”一位曾经参与病毒传播和运作的开发人员说,很多人一年就能赚几千万元。

  “灰鸽子的背后就有一个制造、贩卖、销售病毒的‘传销’帝国,一些人利用它大量发展‘肉鸡’,然后贩卖出去获取经济利益。”金山毒霸北京技术部技术总监孙国军说。

  “肉鸡”是病毒界人士对被植入木马程序的电脑的戏称,贩卖“肉鸡”则指出售这些木马程序的控制权或该台电脑上网时所用的IP地址。

  有意思的是,这些木马程序的控制权或IP地址竟然被置于网上公开叫卖。据了解,辽宁每台“肉鸡”的网上标价是5~8角,广东是1元,港台为3元,境外的要价为5元。

  在朋友的引荐下,记者与曾参加灰鸽子产业链运作的张超(化名)取得了联系,他向《IT时代周刊》揭开了病毒挣钱的内幕。

  病毒产业链中有3种人最重要:木马病毒的编写人员、专职盗号人员和黑客,除此之外就是一些提供辅助的人员,比如信息的处理者。这些辅助人员把黑客搜集到的信息按照价值高低,分门别类后发给盗号人员。接下来,盗号人员自己或是通过辅助人员对外出售这些信息。“虽然松散,但结构上仍宛如一个正规的公司,从病毒程序的设计、开发、传播到销售等各个环节都有专人负责。”张超说。

  张超亲眼目睹了灰鸽子运作的全过程。他介绍说,灰鸽子工作室内的开发人员把病毒程序编写出来以后,通过即时通讯、论坛或者他们的网站,以每个木马程序100元左右的价格销售,购买者就是专职盗号人员(或机构),后者按照区域划分为省级或者市级代理,最后把程序按照几十元到几百元不等的价格卖给黑客。

  “我当时就充当黑客,每天的工作就是在别人的电脑里植入灰鸽子木马(又称抓‘肉鸡’),这台电脑就成为你的‘肉鸡’,任你宰割。”张超说。

  那么,为何各地“肉鸡”价格高低不一?张超的解释是广东的游戏玩家比较多,单台机器获取的信息较多,价格自然比较贵;而港台和外国的电脑上跑的游戏都在境外服务器上,里面的装备比较值钱,因此价格更贵。

  “开始时只做兼职,一天只能抓100只左右,赚80块钱;熟练后1天能抓300只左右,赚将近300元钱。后来我辞掉工作专职从事这项工作。”张超说。

  接下来,“肉鸡”的处理方式有两种,一是卖给下家(即专职盗号人员),他们中有专人将木马程序盗取来的QQ号和密码、游戏账号、网络银行账号等信息归类,再发给指定人士,通过后者销售盗取的信息而获利;二是自己充当黑客,把盗取来的信息在各个论坛或C2C网站上交易,有银行账号的则直接把钱转走或者购买东西。

  在张超接触到的众多木马程序中,他印象最深的是名为“网银大盗”的木马。2004年4月,“网银大盗”的开发人员和传播者凭此窃得一受害者的银行账号和密码,登录网上银行后提取了4.8万元。年末,他们又窃得股民账户和密码,盗卖价值1141.9万元的股票,非法获利38.6万元。2005年7月,“新网银大盗”的开发人员以7000元的价格把它卖给了一个16岁的在校中专生,后者成功盗取了数百个网银账号,出售后非法获利6.25万元。

  和这些人相比,产业链中最赚钱的是专职盗号人员,他们就是坊间所称的幕后“大老板”。张超透露,如果这些人对木马程序选得好,产业链也经营得好,他们每年能有上千万元的收入,差一点的也会有几百万元的收入。“这个东西没有什么成本。在这个黑色的病毒产业链中,一个市级的代理每年可以有300万元左右的收入。”张超说。

  敲诈牟取暴利

  黑客除通过病毒控制他人电脑牟取暴利外,还利用病毒通过敲诈用户获得不义之财。

  2007年8月的一天,北京天良软件网突然被“黑”,网站首页的全部文字被换成“你的网站被植入了木马”的短句。当心急如焚的天良网创始人陈鹏正不知所措时,突然有人给他电话,声称发现了天良软件网的漏洞,可以帮助解决,但前提是给点“辛苦费”。

  陈鹏说,类似的事情以前也发生过。一些人以杀毒软件提供者为名来向别人兜售个人研发的“正版”软件,对方如果不买账,过几天新一轮攻击就会到来。更夸张的是,一些黑客还冒充求职者来找工作,说:“我发现了你们网站的漏洞,可以聘我当网管,帮你们免除这些攻击。”

  其实,利用病毒敲诈的事例很多,首次引发业界关注的是发生在2006年6月18日的国内首例案件。

  当天,家住北京的孙先生因为业务需要,通过搜索引擎找到了一家相关企业的网站,当他点击进入后,突然发现电脑出现问题。“本来,我的电脑桌面上有两列图标,突然消失了一半多,D盘和E盘内的许多文档也随即消失。”孙先生回忆起当时的情形,恍如历历在目。“重启电脑后,桌面出现了一个名为‘拯救硬盘’的TXT文件,执行该文件后弹出‘你的硬盘坏了,需要正版的修复工具恢复。请汇款84元到工商银行某账户,然后编辑短信发到手机上’的敲诈信息。”

  专家指出,这是中了名为“敲诈者”病毒的表现。广州从事鞋业国际贸易的张先生就深受其害,损失了十几万元,当时他还拿出了10万元奖赏用于严惩病毒制造者。据国家计算机病毒应急及处理中心资料显示,短短的十几日共接到类似病毒感染报告450例。后来,广州警方将犯罪嫌疑人抓获时,他已通过发敲诈病毒非法获利4000元。

  制作贩卖一条龙

  洗手不干之前,张超已是圈子里的一个经验丰富的前辈,日常工作是手把手地教“菜鸟”级的徒弟怎么装软件,怎样让木马躲过杀毒软件的查杀,怎么抓和玩“肉鸡”。每带出一个徒弟他都有200元的收入,要是徒弟求师心切的话,培训费还可以涨到300~500元。徒弟们也很愿意支付这笔费用,因为他们很快就可以出师并赚回这笔钱。

  但赚钱的最主要的方式,还是贩卖病毒。

  在这条产业链中,首先是病毒制作人根据“市场需要”编写病毒程序,然后通过论坛、QQ群出售。黑客通过该程序入侵用户电脑,盗取电脑中网络银行账号和密码,及QQ号、Q币、游戏账号、游戏装备等信息;最后,这些虚拟财富再经由专门的卖家销赃。病毒通过这样一条制造、贩卖、传播、使用等环环相扣的流水线,把一连串代码变成真金白银。

  不过,在具体操作中,各病毒产业链的买卖方式会稍有不同。以“熊猫烧香”病毒为例,病毒制造者主要通过卖病毒的途径获利。首先,病毒制作者按购买者要求在病毒程序中填上指定网址后出售病毒,“熊猫烧香”病毒制造者李俊被抓时,他已经将病毒代码卖给了120多人,非法获利达10余万元。获利看似并不丰厚,但实际上,李俊更多的是通过卖“肉鸡”牟取暴利。

  制作和贩卖病毒已经让一些不法分子发了家。一位业内人士告诉本刊记者,他有一个朋友以前就是病毒产业链中的幕后组织者。当时风声还不紧,他贩卖病毒程序一年就赚了几千万,后来国家查得严了他索性就“洗白”了自己,在北京开办了三家高档餐厅。

  湖北仙桃市公安局网监大队大队长万正敏也对李俊一事念念不忘。他透露,李俊通过QQ群先后在网上以500~1000元的价格出售约20套病毒程序。李俊的同学雷磊成为“熊猫烧香”的第一个销售者,仅他一人就卖了2000台“肉鸡”。浙江省丽水市的张顺与李俊接洽后,在不到一个月的时间内卖“流量”获利数十万元。而山东省威海市的王磊也靠此在不足一个月的时间内就用赚的钱买了一辆吉普车。

  第三章还要熬多久?

  面对肆虐的病毒,杀毒厂商在做什么?

  在病毒泛滥的今天,业内甚至有人怀疑,互联网上之为什么有这么多病毒,或许有杀毒厂商在暗中搞鬼!他们一边制作杀毒软件,另一边却在制作病毒!所有的一切只是为了赚取更多的利润。今年爆发的“诺顿误杀”事件更凸显了这种观点。

  事实真相究竟怎样?

  不惧杀毒厂商

  随着杀毒厂商对病毒的剿杀,病毒制作者开始想方设法逃避杀毒软件的追杀,甚至从技术上对杀毒软件进行反攻。

  “AV终结者”病毒最大的特点是采用多种方式对抗最流行的安全软件。首先,它传播病毒,使用黑客技术攻击网站、网关服务器,致使大量用户遭遇网页挂马的攻击;或是利用U盘去感染一些企业的局域网、网吧或小区宽带;或是利用现有的病毒技术——蠕虫传播作为载体来安装自己,以提高病毒的感染量。

  然后,利用附载的反病毒软件使用户电脑的安全系统被彻底破坏,再大规模下载盗号木马,同时不断更新和升级自己。这个团队的另一部份人采用当今最流行的互联网技术,只需在服务端做一些配置上的改动,就可让病毒自动下载任意的程序(病毒或木马)。最后,通过盗号木马盗取用户的网络财产,获得经济利益。

  就是这样的病毒,黑客却声称是安全的。灰鸽子就被开发者定义为安全的“远程控制软件”。然而,它可以在被管理者一无所知的情况下,在被管理的计算机上做任何事情。

  “灰鸽子就是一种木马,我们的专杀工具可以查杀它的任何变种。”金山毒霸工程师李铁军说。但意想不到的是,在金山推出专杀工具之际,就有人打来电话希望金山“慎重考虑”。

  2007年3月13日,金山软件发表声明,称将严厉打击以灰鸽子为首的木马病毒,同时发布了可免费下载的灰鸽子木马专杀工具。3月14日22点开始,金山毒霸工作人员就截获来自中国台湾、河北廊坊、河北横水、北京朝阳等众多地区的上万台计算机针对金山毒霸网站的攻击。工作人员发现,这些电脑的IP地址都来自那些被操纵了的“肉鸡”,且幕后黑手非常熟悉黑客操作手段。他们为防止被金山毒霸工作人员追踪,以秒为时间单位不停更换IP地址,并且在金山毒霸网站正在使用的一家镜像服务供应商的服务器中植入了变种木马,导致金山毒霸网站瘫痪3小时。

  而另一家杀毒厂商瑞星也是整天被黑客骚扰。“我们的网站每天都要受到上万次的攻击,我们的一个专门的团队24小时值班,才能看得住。”瑞星市场部经理马刚说,从2006年以来,黑客团伙与网络安全厂商的直接对抗越来越激烈。

  在杀毒厂商面前,病毒制作者气焰依旧嚣张,而病毒截杀者却只能疲于奔命。

  杀毒技术滞后

  病毒和杀毒软件是天敌吗?现在看来,答案并不确定!

  在黑色的病毒产业链上,如果说直接获益人是黑客,那么杀毒厂商则是间接赢家。有业内人士指出,杀毒软件并没有在第一时间把病毒消除得干干净净,杀毒厂商才可以笑到最后。

  事实证明了病毒和杀毒软件两者间剪不断,理还乱的“利益牵扯”。在熊猫烧香病毒最为猖獗的时候,也是杀毒软件卖得最火的时候。这看起来虽然有点幽默,但却是事实。难怪业界言辞激烈:病毒背后的黑手很可能就是某些互联网企业。

  对于外界的非难,孙国军告诉本刊记者,反病毒厂商“先散播病毒后杀毒”的谣言并不值得推敲。“不排除一些小厂商可能有这种行为,但毕竟是少数。目前国内的几大反病毒厂商如金山、瑞星、江民等,不会冒这么大的危险来做这种不道德的事情。因为一旦被发现这些公司真的在制造病毒,那么舆论的压力和国家的政策都会让这些公司倒闭。”孙国军说。

  瑞星人士则认为,在病毒数量高居不下的情况下,反病毒厂商连查杀都来不及,不会有精力去刻意制造新病毒。面对相同问题,趋势科技(中国)有限公司高级技术顾问张志徐先生也持极力反对态度,他认为这样的说法是相当不负责任的。

  “反病毒厂商就如同人类社会中的医院,承担着信息世界中‘治病医人’的重任。如同医生的医德一样,也需要遵守信息安全方面的职业操守。只有诚信,才能更好地服务客户,解决客户的问题。”张志徐说。

  那么,是什么造成当前病毒防不胜防的局面?专业人士指出,这是因为杀毒技术的创新速度滞后于新病毒的生成速度!现在,国际反病毒技术的趋势是查杀未知病毒,已有不少反病毒厂商参与其中。也许用不了多久,杀毒软件能否查杀未知病毒将成为检验杀毒厂商竞争力的重要指标。杀毒厂商如果只躺在现有盈利模式上沾沾自喜,一旦“预杀毒技术”成为主流,需要病毒产业“反哺”的反病毒厂商必然会被淘汰。