1977年的夏天,美國人託馬斯·捷·瑞安在其科幻小說《P-1的春天》中,描述了一種可以在電腦中互相傳染的病毒,病毒最後控制了7000臺計算機,造成了一場災難。誰也不曾料想到,科幻世界中的東西,在幾年後果真成為現實中的噩夢。
病毒發跡第一個真正的電腦病毒出現在1987年。當時,一對巴基斯坦兄弟巴斯特和阿姆捷特寫了一個小程序,用來防止自己的軟體被任意盜拷。該病毒的運作機理是:只要有人盜拷軟體,這個程序就會發作,將盜拷者的硬碟剩餘空間擠佔掉。這是業界公認具備完整特徵的電腦病毒鼻祖。
此後,一些別有用心的人以此為藍本製作出變形病毒,其它一些新病毒也紛紛出籠。其中不僅有個人創作,甚至還出現不少創作集團。各類掃毒、防毒與殺毒軟體以及專業公司也紛紛出現。各種病毒創作與反病毒程序都進入不斷推陳出新的階段。
病毒進入中國大陸是在1988年。當時,名為「石頭」和「小球」的病毒隨著軟盤從美國及香港流入。鑑於病毒主要通過DOS平臺傳播,這一時代的病毒被統稱作DOS病毒。
隨著Windows95的出現,病毒製作者們又開始尋找新的突破口。此時,被Microsoft Office廣泛採用的宏語言成為他們新的著陸點。1995年7月,第一個宏病毒只用了9個月時間就達到了傳播的頂峰。隨著微軟防病毒技術的不斷改進,該 病毒找不到可乘之機,同時也宣告以它為代表的第二次病毒時代結束。
第三次病毒時代的主要特點是依託於網際網路技術的「蠕蟲」病毒。它的破壞方式是大量自我複製,在網絡傳播時佔用帶寬,最終引起網絡癱瘓。迄今為止,傳播最快的蠕蟲病毒僅僅在10分鐘內就感染了預計目標的90%,速度之快讓人感到恐慌。
專家們認為,這3代病毒的製作者編寫病毒的目的多是為了獲得名聲。但到了現在,病毒製作者的目的轉變為獲取經濟利益,竊取銀行卡密碼,甚至出售惡意的病毒代碼。其中,「灰鴿子」病毒(以下簡稱灰鴿子)成為這個時期的代表。
病毒肆虐自從病毒出現,網際網路世界就不再平靜。
2007年上半年,電腦病毒數量延續了自2006年以來的高速增長勢頭。據金山毒霸病毒檢測中心最新數據顯示,該中心共截獲新增病毒樣本總計111,474種,比去年同期增加了23%。其中木馬病毒新增數佔總病毒新增數的68.71%,高達76,593種。
2007年7月30日,利用MSN傳播的MSN「性感相冊」蠕蟲病毒在網上爆發。一天內,該病毒導致數萬名MSN用戶「中招」。據專家介紹,中 毒者都是接到「NI HE WO!!! QING KAN(你和我!請看)」、「JIE SHOU WO DE ZHAO PIAN!!(接收我的照片!)」等拼音信息,隨後會收到一個壓縮文件,用戶接收運行後就會中毒。
但與「熊貓燒香」病毒(簡稱熊貓燒香)以及灰鴿子等病毒相比,MSN「性感相冊」顯然是小巫見大巫。
2006年底,熊貓燒香在一夜之間使百萬臺計算機遭到感染並破壞文件,該病毒憑此拿下「2006十大計算機病毒之首」的桂冠。
熊貓燒香最早出現在2006年11月,其中毒特徵是電腦上被感染文件的圖標被篡改成手捧三支香的熊貓。 在前後不到3個月的時間內,它直接造成的經濟損失就達上億元。一時間,計算機用戶談「熊貓」色變,一些損失慘重的企業和網民還發出10萬美金的重金追查始作傭者。
不過,熊貓燒香還不算最厲害,今年大規模爆發的「灰鴿子2007」病毒更讓人膽顫心驚。據全球反病毒監測中心數據顯示,我國有258,235臺 計算機感染了灰鴿子,而同期國內感染病毒的計算機總共才2,065,873臺。這意味著中國每10臺帶病毒的電腦中,至少有一臺中了灰鴿子病毒。
為此,業界形成的集體研究並聲討灰鴿子的網絡組織,討論灰鴿子的論壇有數十個之多。其中灰鴿子工作室每天的瀏覽量在1.2萬人左右,鳳凰灰鴿子論壇目前共有會員3.38萬人,最高時有1124人同時在線,灰鴿子社區目前也有會員523人。
更為嚴重的是,病毒的泛濫還造就了一種讓人尷尬的經濟形態——病毒經濟,它主要的表徵是由病毒造成的經濟損失規模,以及因此產生的殺毒、防毒技 術等構成的信息安全產品和服務市場。據信產部的調查顯示,1999年,病毒經濟的規模是9億元人民幣,2000年猛增至20億元。而加入信息安全市場行列 的企業也在增多,1999年不超過10家,2000年已有300多家。病毒的猖獗成就了殺毒公司的業績,但和病毒造成的巨大損失相比,反病毒公司的收益相 形見絀。
據美國數據公司的統計,從2003年初到8月底,全球包括殺毒和文件恢復等因病毒造成的損失高達107億美元。美國Radicati集團發表的 調查報告也顯示,2003年病毒造成的全球經濟損失超過280億美元,到2007年則將超過750億美元。現在,全球每天平均有超過一萬個新的病毒、病毒 變種以及木馬程序出現,病毒造成的損失每年以千億美金計算。而且,全球共有大約200萬名擁有成熟技術,並可以自己編寫病毒與木馬程序的黑客。
病毒的瘋狂,到了令人髮指的地步!
第二章 嚴密的黑色產業鏈只要有事物與經濟利益沾邊,大多會膨脹成為社會毒瘤!病毒就是最為明顯的一個現象。
有調查發現,熊貓燒香、灰鴿子等病毒在傳播過程中都有組織化、規模化、公開化的團夥在幕後推動,作案團夥成員分工明確,各司其職;人員數量龐大,獲利數額讓人瞠目。
據熟悉病毒產業鏈的業界人士介紹,黑客利用病毒入侵有3種方式。一是黑客侵入個人/企業電腦——竊取機密資料——在網際網路上出售——獲取金錢。
二是黑客侵入大型網站,在網站上植入病毒——用戶瀏覽後中毒,其網遊帳號和裝備被竊——黑客把帳號和裝備拿到網上出售——獲取金錢。
三是黑客製作病毒,然後通過QQ、論壇等渠道賣給其他黑客——其他黑客侵入個人/企業電腦——敲詐——獲取金錢。
販賣「肉雞」獲利在利潤的驅使下,想利用病毒獲取利益的人逐漸地聚集到了一起,形成了一條產銷分工明確的灰色產業鏈。
「這是個比房地產來錢還快的暴利產業!」一位曾經參與病毒傳播和運作的開發人員說,很多人一年就能賺幾千萬元。
「灰鴿子的背後就有一個製造、販賣、銷售病毒的『傳銷』帝國,一些人利用它大量發展『肉雞』,然後販賣出去獲取經濟利益。」金山毒霸北京技術部技術總監孫國軍說。
「肉雞」是病毒界人士對被植入木馬程序的電腦的戲稱,販賣「肉雞」則指出售這些木馬程序的控制權或該臺電腦上網時所用的IP位址。
有意思的是,這些木馬程序的控制權或IP位址竟然被置於網上公開叫賣。據了解,遼寧每臺「肉雞」的網上標價是5~8角,廣東是1元,港臺為3元,境外的要價為5元。
在朋友的引薦下,記者與曾參加灰鴿子產業鏈運作的張超(化名)取得了聯繫,他向《IT時代周刊》揭開了病毒掙錢的內幕。
病毒產業鏈中有3種人最重要:木馬病毒的編寫人員、專職盜號人員和黑客,除此之外就是一些提供輔助的人員,比如信息的處理者。這些輔助人員把黑 客搜集到的信息按照價值高低,分門別類後發給盜號人員。接下來,盜號人員自己或是通過輔助人員對外出售這些信息。「雖然鬆散,但結構上仍宛如一個正規的公 司,從病毒程序的設計、開發、傳播到銷售等各個環節都有專人負責。」張超說。
張超親眼目睹了灰鴿子運作的全過程。他介紹說,灰鴿子工作室內的開發人員把病毒程序編寫出來以後,通過即時通訊、論壇或者他們的網站,以每個木 馬程序100元左右的價格銷售,購買者就是專職盜號人員(或機構),後者按照區域劃分為省級或者市級代理,最後把程序按照幾十元到幾百元不等的價格賣給黑 客。
「我當時就充當黑客,每天的工作就是在別人的電腦裡植入灰鴿子木馬(又稱抓『肉雞』),這臺電腦就成為你的『肉雞』,任你宰割。」張超說。
那麼,為何各地「肉雞」價格高低不一?張超的解釋是廣東的遊戲玩家比較多,單臺機器獲取的信息較多,價格自然比較貴;而港臺和外國的電腦上跑的遊戲都在境外伺服器上,裡面的裝備比較值錢,因此價格更貴。
「開始時只做兼職,一天只能抓100隻左右,賺80塊錢;熟練後1天能抓300隻左右,賺將近300元錢。後來我辭掉工作專職從事這項工作。」張超說。
接下來,「肉雞」的處理方式有兩種,一是賣給下家(即專職盜號人員),他們中有專人將木馬程序盜取來的QQ號和密碼、遊戲帳號、網絡銀行帳號等 信息歸類,再發給指定人士,通過後者銷售盜取的信息而獲利;二是自己充當黑客,把盜取來的信息在各個論壇或C2C網站上交易,有銀行帳號的則直接把錢轉走 或者購買東西。
在張超接觸到的眾多木馬程序中,他印象最深的是名為「網銀大盜」的木馬。2004年4月,「網銀大盜」的開發人員和傳播者憑此竊得一受害者的銀行帳號和密碼,登錄網上銀行後提取了4.8萬元。年末,他們又竊得股民帳戶和密碼,盜賣價值1141.9萬元的股票,非法獲利38.6萬元。2005年7月,「新網銀大盜」的開發人員以7000元的價格把它賣給了一個16歲的在校中專生,後者成功盜取了數百個網銀帳號,出售後非法獲利6.25萬元。
和這些人相比,產業鏈中最賺錢的是專職盜號人員,他們就是坊間所稱的幕後「大老闆」。張超透露,如果這些人對木馬程序選得好,產業鏈也經營得 好,他們每年能有上千萬元的收入,差一點的也會有幾百萬元的收入。「這個東西沒有什麼成本。在這個黑色的病毒產業鏈中,一個市級的代理每年可以有300萬 元左右的收入。」張超說。
敲詐牟取暴利黑客除通過病毒控制他人電腦牟取暴利外,還利用病毒通過敲詐用戶獲得不義之財。
2007年8月的一天,北京天良軟體網突然被「黑」,網站首頁的全部文字被換成「你的網站被植入了木馬」的短句。當心急如焚的天良網創始人陳鵬正不知所措時,突然有人給他電話,聲稱發現了天良軟體網的漏洞,可以幫助解決,但前提是給點「辛苦費」。
陳鵬說,類似的事情以前也發生過。一些人以殺毒軟體提供者為名來向別人兜售個人研發的「正版」軟體,對方如果不買帳,過幾天新一輪攻擊就會到來。更誇張的是,一些黑客還冒充求職者來找工作,說:「我發現了你們網站的漏洞,可以聘我當網管,幫你們免除這些攻擊。」
其實,利用病毒敲詐的事例很多,首次引發業界關注的是發生在2006年6月18日的國內首例案件。
當天,家住北京的孫先生因為業務需要,通過搜尋引擎找到了一家相關企業的網站,當他點擊進入後,突然發現電腦出現問題。「本來,我的電腦桌面上 有兩列圖標,突然消失了一半多,D盤和E盤內的許多文檔也隨即消失。」孫先生回憶起當時的情形,恍如歷歷在目。「重啟電腦後,桌面出現了一個名為『拯救硬 盤』的TXT文件,執行該文件後彈出『你的硬碟壞了,需要正版的修復工具恢復。請匯款84元到工商銀行某帳戶,然後編輯簡訊發到手機上』的敲詐信息。」
專家指出,這是中了名為「敲詐者」病毒的表現。廣州從事鞋業國際貿易的張先生就深受其害,損失了十幾萬元,當時他還拿出了10萬元獎賞用於嚴懲 病毒製造者。據國家計算機病毒應急及處理中心資料顯示,短短的十幾日共接到類似病毒感染報告450例。後來,廣州警方將犯罪嫌疑人抓獲時,他已通過發敲詐 病毒非法獲利4000元。
製作販賣一條龍洗手不幹之前,張超已是圈子裡的一個經驗豐富的前輩,日常工作是手把手地教「菜鳥」級的徒弟怎麼裝軟體,怎樣讓木馬躲過殺毒軟體的查殺,怎麼抓 和玩「肉雞」。每帶出一個徒弟他都有200元的收入,要是徒弟求師心切的話,培訓費還可以漲到300~500元。徒弟們也很願意支付這筆費用,因為他們很 快就可以出師並賺回這筆錢。
但賺錢的最主要的方式,還是販賣病毒。
在這條產業鏈中,首先是病毒製作人根據「市場需要」編寫病毒程序,然後通過論壇、QQ群出售。黑客通過該程序入侵用戶電腦,盜取電腦中網絡銀行 帳號和密碼,及QQ號、Q幣、遊戲帳號、遊戲裝備等信息;最後,這些虛擬財富再經由專門的賣家銷贓。病毒通過這樣一條製造、販賣、傳播、使用等環環相扣的 流水線,把一連串代碼變成真金白銀。
不過,在具體操作中,各病毒產業鏈的買賣方式會稍有不同。以「熊貓燒香」病毒為例,病毒製造者主要通過賣病毒的途徑獲利。首先,病毒製作者按購 買者要求在病毒程序中填上指定網址後出售病毒,「熊貓燒香」病毒製造者李俊被抓時,他已經將病毒代碼賣給了120多人,非法獲利達10餘萬元。獲利看似並 不豐厚,但實際上,李俊更多的是通過賣「肉雞」牟取暴利。
製作和販賣病毒已經讓一些不法分子發了家。一位業內人士告訴本刊記者,他有一個朋友以前就是病毒產業鏈中的幕後組織者。當時風聲還不緊,他販賣病毒程序一年就賺了幾千萬,後來國家查得嚴了他索性就「洗白」了自己,在北京開辦了三家高檔餐廳。
湖北仙桃市公安局網監大隊大隊長萬正敏也對李俊一事念念不忘。他透露,李俊通過QQ群先後在網上以500~1000元的價格出售約20套病毒程 序。李俊的同學雷磊成為「熊貓燒香」的第一個銷售者,僅他一人就賣了2000臺「肉雞」。浙江省麗水市的張順與李俊接洽後,在不到一個月的時間內賣「流 量」獲利數十萬元。而山東省威海市的王磊也靠此在不足一個月的時間內就用賺的錢買了一輛吉普車。
第三章 還要熬多久?面對肆虐的病毒,殺毒廠商在做什麼?
在病毒泛濫的今天,業內甚至有人懷疑,網際網路上之為什麼有這麼多病毒,或許有殺毒廠商在暗中搞鬼!他們一邊製作殺毒軟體,另一邊卻在製作病毒!所有的一切只是為了賺取更多的利潤。今年爆發的「諾頓誤殺」事件更凸顯了這種觀點。
事實真相究竟怎樣?
不懼殺毒廠商隨著殺毒廠商對病毒的剿殺,病毒製作者開始想方設法逃避殺毒軟體的追殺,甚至從技術上對殺毒軟體進行反攻。
「AV終結者」病毒最大的特點是採用多種方式對抗最流行的安全軟體。首先,它傳播病毒,使用黑客技術攻擊網站、網關伺服器,致使大量用戶遭遇網 頁掛馬的攻擊;或是利用U盤去感染一些企業的區域網、網吧或小區寬帶;或是利用現有的病毒技術——蠕蟲傳播作為載體來安裝自己,以提高病毒的感染量。
然後,利用附載的反病毒軟體使用戶電腦的安全系統被徹底破壞,再大規模下載盜號木馬,同時不斷更新和升級自己。這個團隊的另一部份人採用當今最 流行的網際網路技術,只需在服務端做一些配置上的改動,就可讓病毒自動下載任意的程序(病毒或木馬)。最後,通過盜號木馬盜取用戶的網絡財產,獲得經濟利 益。
就是這樣的病毒,黑客卻聲稱是安全的。灰鴿子就被開發者定義為安全的「遠程控制軟體」。然而,它可以在被管理者一無所知的情況下,在被管理的計算機上做任何事情。
「灰鴿子就是一種木馬,我們的專殺工具可以查殺它的任何變種。」金山毒霸工程師李鐵軍說。但意想不到的是,在金山推出專殺工具之際,就有人打來電話希望金山「慎重考慮」。
2007年3月13日,金山軟體發表聲明,稱將嚴厲打擊以灰鴿子為首的木馬病毒,同時發布了可免費下載的灰鴿子木馬專殺工具。3月14日22點 開始,金山毒霸工作人員就截獲來自中國臺灣、河北廊坊、河北橫水、北京朝陽等眾多地區的上萬臺計算機針對金山毒霸網站的攻擊。工作人員發現,這些電腦的 IP位址都來自那些被操縱了的「肉雞」,且幕後黑手非常熟悉黑客操作手段。他們為防止被金山毒霸工作人員追蹤,以秒為時間單位不停更換IP位址,並且在金 山毒霸網站正在使用的一家鏡像服務供應商的伺服器中植入了變種木馬,導致金山毒霸網站癱瘓3小時。
而另一家殺毒廠商瑞星也是整天被黑客騷擾。「我們的網站每天都要受到上萬次的攻擊,我們的一個專門的團隊24小時值班,才能看得住。」瑞星市場部經理馬剛說,從2006年以來,黑客團夥與網絡安全廠商的直接對抗越來越激烈。
在殺毒廠商面前,病毒製作者氣焰依舊囂張,而病毒截殺者卻只能疲於奔命。
殺毒技術滯後病毒和殺毒軟體是天敵嗎?現在看來,答案並不確定!
在黑色的病毒產業鏈上,如果說直接獲益人是黑客,那麼殺毒廠商則是間接贏家。有業內人士指出,殺毒軟體並沒有在第一時間把病毒消除得乾乾淨淨,殺毒廠商才可以笑到最後。
事實證明了病毒和殺毒軟體兩者間剪不斷,理還亂的「利益牽扯」。在熊貓燒香病毒最為猖獗的時候,也是殺毒軟體賣得最火的時候。這看起來雖然有點 幽默,但卻是事實。難怪業界言辭激烈:病毒背後的黑手很可能就是某些網際網路企業。
對於外界的非難,孫國軍告訴本刊記者,反病毒廠商「先散播病毒後殺毒」的謠言並不值得推敲。「不排除一些小廠商可能有這種行為,但畢竟是少數。 目前國內的幾大反病毒廠商如金山、瑞星、江民等,不會冒這麼大的危險來做這種不道德的事情。因為一旦被發現這些公司真的在製造病毒,那麼輿論的壓力和國家 的政策都會讓這些公司倒閉。」孫國軍說。
瑞星人士則認為,在病毒數量高居不下的情況下,反病毒廠商連查殺都來不及,不會有精力去刻意製造新病毒。面對相同問題,趨勢科技(中國)有限公司高級技術顧問張志徐先生也持極力反對態度,他認為這樣的說法是相當不負責任的。
「反病毒廠商就如同人類社會中的醫院,承擔著信息世界中『治病醫人』的重任。如同醫生的醫德一樣,也需要遵守信息安全方面的職業操守。只有誠信,才能更好地服務客戶,解決客戶的問題。」張志徐說。
那麼,是什麼造成當前病毒防不勝防的局面?專業人士指出,這是因為殺毒技術的創新速度滯後於新病毒的生成速度!現在,國際反病毒技術的趨勢是查 殺未知病毒,已有不少反病毒廠商參與其中。也許用不了多久,殺毒軟體能否查殺未知病毒將成為檢驗殺毒廠商競爭力的重要指標。殺毒廠商如果只躺在現有盈利模 式上沾沾自喜,一旦「預殺毒技術」成為主流,需要病毒產業「反哺」的反病毒廠商必然會被淘汰。