论文部分内容阅读
“熊猫烧香”的蔓延之势并未随着李俊的落网而终结,源代码的流传更让不法分子有了可乘之机,来个一生二,二生三,三生万物
岁末年初,互联网世界燃起了一场轰轰烈烈的杀“猫”大战,战斗对象是一只憨头憨脑,颔首敬香的熊猫。这就是时下纵横肆虐于电脑网络的熊猫烧香病毒。如今,病毒的始作俑者“武汉男孩”李俊已在武汉落网,但“熊猫烧香”余威尚存。提及熊猫,人们心中出现的恐怕不再是憨态可掬的国宝,而是电脑屏幕上拿着三支香朝拜的可怕病毒形象。
“满城尽烧国宝香”
“熊猫烧香太恐怖了!”2月24日,春节长假归来的小郭在MSN上大呼小叫。小郭是一名财经记者。她家的2台电脑先后中招。先是笔记本电脑不幸染毒,后被重装了系统,没几天后,台式机也被熊猫看上了。
台式机的命运尤为惨烈。重装系统回家后没过几天,电脑又开始失灵,先是输入法莫名其妙无法切换,随后索性连文本文件都无法打开,最后,发展到连关机都失灵了。无奈之下,小两口将电脑高手请到家来诊断,谁知,一诊断却把未杀清的潜伏病毒统统激活,电脑里所有的珍贵照片和资料随着格式化灰飞烟灭。
电脑高手没折,请来另一高手,折腾一下午,终于又一次重装了系统。但惨剧还未结束。一天之后,由于要把新bt下的专辑拷进mp3,一个熊猫变种病毒又通过小郭的mp3,再次潜入台式机作案。短短几分钟内,200多个文件中毒,悲剧再次上演。小郭的台式机在不到24小时的时间内又一次面临“重生”。
小郭欲哭无泪。但这还没完。2月26日,头一天正式上班的小郭惊异地发现,“熊猫烧香”的幽灵依然伴随着她,一个熊猫变种病毒惹得报社电脑集体中毒。同事们的电脑前赴后继地在熊猫的凶猛袭击下“壮烈”。
此情此景,让小郭不由想起病毒制造者在1月25日给网民的留言:“我制作的病毒已经‘满城尽烧国宝香’。”“熊猫烧香”的蔓延之势并未随着李俊的落网而终结,源代码的流传更让不法分子有了可乘之机,来个“一生二,二生三,三生万物”。
“熊猫烧香”的大规模爆发让电脑用户吃足了苦头。不少企业用户更因此蒙受了不小的经济损失。“害得我公司文员的资料订单丢了。损失我好几十万。”有网友抱怨说。
在卡卡社区的反病毒论坛,“熊猫烧香”成了反病毒爱好者近期讨论的集中话题。不少网民评论说,从技术上来说该病毒并没有什么创新之处,但是它却借鉴了很多经典病毒、木马甚至是劫持软件的长处。这是一个没有尖端技术却拥有最成熟技术的病毒综合体。
“熊猫烧香教父”李俊几乎把所有能采用的病毒传播手段都用上了。因此,“熊猫烧香”如幽灵般灵活多变,并先后感染过天涯社区、硅谷动力、pconline等门户网站,在暴风影音等知名软件的下载链接中也曾有“熊猫烧香”附身的痕迹。同时,“熊猫烧香”还可借助搜索引擎进行病毒传播。
由于以上网站的浏览量非常大,致使此次“熊猫烧香”病毒的感染范围非常广,中毒企业和政府机构已经超过千家,其中不乏金融、税务、能源等关系到国计民生的重要单位。江民計算机病毒预警中心监测的数据发现,江苏以及广东、山东是此次“熊猫烧香”病毒疫情的重灾区。据不完全统计,仅12月份至今,变种数已达90多个,个人用户感染“熊猫烧香”的已经高达几百万,企业用户感染数还在继续上升。而春节长假期间,又有50万PC感染病毒。
受尽折磨的网民们开始苦中作乐,某大型网站的论坛中出现了专门的“熊猫烧香吧”,网民们为该病毒改写了很多诗句:“冲目见时难杀亦难,熊猫烧香百机残”“千般病毒有尽时,此香绵绵无绝期”,还有人仿照熊猫烧香的姿势拍起了模仿照片。流行歌手周杰伦的《菊花台》也成了网民自娱自乐的灵感源泉:“你的泪光,柔弱中带伤。满屏的熊猫香,删除过往。熊猫猖狂,点上三根香,是谁在电脑前冰冷的绝望。猫慢慢拜,暗黄色的香。我瘫坐椅子上,精神错乱,路在何方,谁为我思量,冷风吹乱憔悴模样。熊猫拜,三根香,你的笑容已泛黄。重装又重装,我心里在发慌。江民杀,瑞星除,你的影子剪不断,徒留我在机旁神伤。”
“借助局域网天女散花,借助门户网站星火燎原,借助U盘死灰复燃。”瑞星公司反病毒工程师史瑀告诉本刊记者,“熊猫烧香”的三项主要传播方式,成为病毒难以退去的主要原因。国家计算机病毒应急处理中心工程师孟先生则对《瞭望东方周刊》表示,“熊猫烧香”利用的都是一些老的系统漏洞,如果用户做好了基本的防护工作,拥有基本的安全意识,就不会中招。此外,用户应该尽量避免在网上进行大额交易。
正如李俊本人所言,“熊猫烧香”的出现是对社会的一个提醒。面对变着法子“烧香”的熊猫,以及后来的变种金猪和灯泡男,面对蠢蠢欲动的“熊猫烧香”模仿者,我们必须谨记,互联网永远没有安全的时候。
“中国还有很多个李俊。”史璃说。
病毒产业链冰山一角
“熊猫烧香”的疯狂肆虐让人抓狂。在李俊被抓之前,关于他真实身份的猜测版本不一,有网友愤怒地发帖,声明愿出10万美金通缉“熊猫烧香”作者。更有一网吧业主出离愤怒,由于他的两个连锁网吧大厅以及包厢内的900多台电脑全体瘫痪,直接损失30多万元,该业主甚至“杀人的心都有”。
李俊被抓的消息传出后,大部分网民都觉得终于大松了一口气,但仍有一部分人忧心不减。最早发现“熊猫烧香”病毒的反病毒高手李彬彬(网名Mopery)在博客上写道:傍晚上网,就发现whboy被抓的消息。哎,预料之中的事,没想到这么快罢了。不过对whboy的身份还是挣怀疑。难道被抓的真一定是whboy?被抓的那些人也有可能是whboy的替罪羊呢?
对此,有清醒的评论者回应道:无论是否是替罪羊,新闻依旧是在误导大众;制造传播病毒与抢劫杀人放火不同。逮捕源头是不能避免病毒的继续传播的。而这点没有明示于人只会使一些入松警惕。
这是一场没有硝烟的战争。病毒的初始编写者李俊的落网并未给整个事件画上句号。他只是整条黑色产业链中浮上水面的环节,还有更多对手隐匿不见,并随时等待添兵加卒。
据警方介绍,在“熊猫烧香”案中,产业链的每—环都有不同的牟利方式。根据《中国青年报》2月16日的报道,仙桃市公安局网监大队副大队长张良耀解释说,这条“产业链”包括病毒制作人李俊、中间商、病毒购买者(挂马人)、“收信人”、“拆信人”等多个环节。
它的操作模式大致是:李俊要根据“市场需要”改写自己的病毒程序代码,从而控制中毒电脑自动访问病毒购买者所设定的网站,“挂马人”在病毒上挂上木马程序入侵中毒电脑,木马程序从中毒电脑中“盗窃”QQ币、游戏装备等物品,并通过电 子邮件以“信”的形式发送到特定地址,“收信人”再把这些有价值的电子邮件转卖给“拆信人”,“拆信人”将获取的资料信息通过网上交易平台出售给普通网民。“拆信人”往往不需要专业电脑技术,只需要花时间在网上交易。据警方透露,目前在海南省儋州市、浙江省丽水市等地方,已出现成群结伙的“拆信人”,有的团伙达50多人,有的不仅盗卖游戏装备,还通过发布虚假告等手段直接诈骗钱财。
病毒制造者的牟利方式主要有两种:一是“卖病毒”,按购买者的要求在病毒程序中填上“指定网址”后把病毒出售;二是“卖肉机”,因中毒而被病毒制造者控制的计算机被称为“肉机”,“肉机”的资料信息随时可被窃取,“卖肉机”就是转让控制权。而病毒购买者的牟利方式主要是“卖流量”,由于病毒程序中预设了“指定网址”,而这个“指定网址”设置了木马程序,中毒的计算机只要一上网,就会被强制性地牵到这个“指定网址”上,自动下载木马程序,将这台计算机的相关信息资料传给购买者,这些信息资料被称为“信”,病毒购买者往往会将某一“指定网址”的“获信权”出售,根据访问流量收取费用。
制造计算机病毒形成了产业群
据警方披露,少数地方甚至形成了计算机病毒产业群。
李俊交代,去年9月,他在武汉某电脑学校学习软件开发时开始制作“熊猫烧香”病毒。11月,写完病毒后,李俊通过QQ群发布卖“熊猫烧香”病毒的消息,先后在网上以每个病毒500元至1000元的价格出售病毒近20套。即使以最高价计算,光靠卖病毒,李俊只能获利两万元左右,更大的利润来自于出卖“肉鸡”。
湖北省仙桃市公安局副局长叶铁官对《中国青年报》记者介绍说,计算机被“熊猫烧香”病毒感染后,等于失去了一切信息保护能力,成为任人宰杀的“肉鸡”。“如果将成为‘肉鸡’的计算机比喻为一幢房子,李俊就是掌握钥匙的人,谁交钱给他,他就把钥匙给谁,供其打开房子偷东西。”
自称看着“熊猫烧香”一步步成长起来的反病毒高手Mopery告诉《瞭望东方周刊》:“熊猫烧香”造成的影响在整个计算机病毒产业链中其实并不算最严重的,只是引起的关注比较强烈。他介绍说,那些病毒制造者通常会通过一些黑客论坛和QQ群交流。有一些著名的黑客网站,甚至还有专门的黑客集团。
“不过,一般来说,比较厉害的都不会到处出没。而专门的黑客集团都是奔向经济利益。”Mopery告诉记者,某次看网马的时候就见到一个叫“刺客集团”的,专门挂网马,特点就是加密比较特别。
所谓“挂网马”,就是入侵别人的服务器,获得权限,修改网页中的代码。如果某网友没有打微软的系统补丁,进入该网站后就会自动下载病毒,打上补丁就不会有事。“利用微软漏洞挂网马的,一般那些代码都是别人写好的。有的人会自己写,要么修改。”
“网马一般都是有现成的代码进行修改、加密等等。最重要的就是找人写码。如果是个病毒,这个病毒作者是最重要的。真正的高手大多数不会出现。一般像杀毒软件公司的那些程序员几乎不出现,实在难找。有一小部分还是会经常出现的。写毒的无业的比较多。”Mopery分析道。
史踽在接受本刊记者采访时表示,流氓软件病毒化是另一个值得警惕的现象。“流氓软件的黑色成分越来越多,也可以归为病毒了。”他说,迫于技术和舆论的压力,制作流氓软件的厂商开始两极分化。一些大牌互联网厂商逐渐“洗白”,将软件的“流氓”程度降低,还有一些厂商干脆放弃推广“流氓软件”。然而,仍有大量通过“流氓软件”起家的中小厂商,“流氓软件”的广告推广已经成为其公司主要甚至是唯一的收入来源。为了达到更好的传播效果,并减少成本,不少中小厂商直接使用病毒进行流氓推广。中招的用户只要浏览了特定网站,就会弹出相关广告,根据弹出广告的统计数量来收费。
史瑀透露,病毒、流氓软件等的编写者每隔一段时间就会到特定的黑客网站上获取文件列表。列表中的内容就是制作要求,每次的要求都不同,比如下载木马,或是弹出特定的广告等。
据瑞星公司客户服务中心的统计数据表明,从2006年6月开始,用户计算机由于流氓软件问题导致崩溃的求助数量已经超过了病毒。
此外,由于国内目前关于互联网的法律条文比较少,这一领域还存在一些灰色地带,充满争议的事物也不少。Mopery所在的反病毒QQ群前不久就针对“灰鸽子”软件的性质进行了一番深入的探讨。“灰鸽子”是国内一款著名的远程监控软件,掌握技术的人可以利用它入侵、控制别人的电脑。Mopery告诉记者,有一些黑客会拿个“灰鸽子”到处找人聊天,盗取他人信息,“灰鸽子”每年残害的人比“熊猫”还多。
“2006年上半年十大病毒排行及病毒疫情报告”出炉,“灰鸽子”木马及其变种以其广泛的传播性和极高的危害特征名列十大病毒排行之首,成为2006年上半年名副其实的“毒王”,排名高于以窃取“传奇”等网络游戏账号为目的的“传奇木马”,以及制造“僵尸网络”的BOT类病毒“高波”和“瑞波”。而受聘于“灰鸽子”工作室的法律顾问于国富律师认为,“灰鸽子”并不是病毒,至少到目前为止并没有公安机关或权威部门定性“灰鸽子”就是病毒,它只是一种远程控制产品,受到软件著作权的保护。至于有人利用“灰鸽子”对他人进行不法侵害,与“灰鸽子”的制造者本身无关。就像一把水果刀,使用者可以用它来削苹果,违法之徒也可以用它来行凶,难道说有人会认为刀具厂应该担负法律责任吗?
“灰鸽子”到底是木马还是合法的远程控制软件?这一问题引人争议。史瑀告诉《瞭望东方周刊》,国外的远程控制软件做得比较正规,比如PCANYWHERE,会提示被控制方“你的PC将被控制”,而不会使人在不知情的状况下被监控。
谁来保护我的游戏账号?
如果说初期的病毒是技术爱好者出于好玩和炫耀的目的去编写的,现在则有更多的人是奔着明确的经济目的而去,从而恶意编写病毒。据瑞星公司2005年做过的统计,90%左右的病毒都是可以获取经济利益的。
“熊猫烧香”案中,目前警方发现的“信”绝大部分是网民的聊天及游戏工具的账号与密码,以及各种游戏装备。
根据本刊记者调查了解,以盗取他人虚拟财产为目的的病毒数量很多,各个网游的账号、网银、QQ号都有人偷。而其中网络游戏是黑客下手最频繁的领域。李俊也是从网游起家开始涉入电脑病毒的制造。“中国和韩国是网游人数最多的两个国家。”史璃告诉本刊记者。
Mopery介绍说,某款游戏肯定会有针对游戏的盗号木马。
在盗取游戏账号所能获取的巨大经济诱惑面前,许多人不惜铤而走险。甚至在李俊被抓之后,还有人混迹于“熊猫烧香”QQ群中,“寻找高手合作赚钱”。本刊记者就遇到这样一个人。这位自称来自福建的24岁青年刚刚大学毕业,他告诉记者:现在做游戏的人太多了,真正要找到技术好的人不容易。他希望記者帮忙找到能写码的“高手”,他来负责“洗币”,并提出利润以四六分成,他拿四成。“一年赚个百万不是梦。做美服的游戏一个晚上赚一万不是问题。”他说现在很多人都在做国外的游戏,因为“查不到”。
在热门的网络游戏中,经常会有人公开宣称可以通过掌握玩家QQ号盗取游戏账号,还会有人设中奖等骗局引诱玩家点击特定网站,上了当的玩家就会中毒。面对各方伸来的盗号黑手,不少缺乏经验的玩家损失惨重。
据了解,针对这一现象,一些游戏在设计环节上作了考虑,而江民、瑞星等杀毒软件厂商也在产品上做了一些功能的添加,比如“木马墙”模块,可以自动识别网游密码。“我们测试下来的效果是很好的,但用户了解的不多。”史踽表示。
如何有效打击网游盗号的现象?江民科技反病毒工程师李先生认为,目前国内的相关法律政策尚不健全,应该填补空白,正是由于对虚拟财产缺乏保护,才让不法分子钻了空子。Mopery则认为:“网监多抓几个,做个典型,会有人收敛的。李俊被抓,最近就安静多了。”对此,上海市信息化委员会宣传办蒋小姐表示,政府对于网游盗号尚未出台专门的政策法规,但一些网游网站已开始采取行动,比如实行实名制、不允许积分互相转让等。
时至今日,“熊猫烧香”病毒的新变种仍在不断出现。湖北省公安厅网监部黄处长告诉《瞭望东方周刊》,这起病毒大案仍未结案,除李俊等6名犯罪嫌疑人被刑事拘留外,警方仍在继续追捕该案的其他犯罪嫌疑人。
岁末年初,互联网世界燃起了一场轰轰烈烈的杀“猫”大战,战斗对象是一只憨头憨脑,颔首敬香的熊猫。这就是时下纵横肆虐于电脑网络的熊猫烧香病毒。如今,病毒的始作俑者“武汉男孩”李俊已在武汉落网,但“熊猫烧香”余威尚存。提及熊猫,人们心中出现的恐怕不再是憨态可掬的国宝,而是电脑屏幕上拿着三支香朝拜的可怕病毒形象。
“满城尽烧国宝香”
“熊猫烧香太恐怖了!”2月24日,春节长假归来的小郭在MSN上大呼小叫。小郭是一名财经记者。她家的2台电脑先后中招。先是笔记本电脑不幸染毒,后被重装了系统,没几天后,台式机也被熊猫看上了。
台式机的命运尤为惨烈。重装系统回家后没过几天,电脑又开始失灵,先是输入法莫名其妙无法切换,随后索性连文本文件都无法打开,最后,发展到连关机都失灵了。无奈之下,小两口将电脑高手请到家来诊断,谁知,一诊断却把未杀清的潜伏病毒统统激活,电脑里所有的珍贵照片和资料随着格式化灰飞烟灭。
电脑高手没折,请来另一高手,折腾一下午,终于又一次重装了系统。但惨剧还未结束。一天之后,由于要把新bt下的专辑拷进mp3,一个熊猫变种病毒又通过小郭的mp3,再次潜入台式机作案。短短几分钟内,200多个文件中毒,悲剧再次上演。小郭的台式机在不到24小时的时间内又一次面临“重生”。
小郭欲哭无泪。但这还没完。2月26日,头一天正式上班的小郭惊异地发现,“熊猫烧香”的幽灵依然伴随着她,一个熊猫变种病毒惹得报社电脑集体中毒。同事们的电脑前赴后继地在熊猫的凶猛袭击下“壮烈”。
此情此景,让小郭不由想起病毒制造者在1月25日给网民的留言:“我制作的病毒已经‘满城尽烧国宝香’。”“熊猫烧香”的蔓延之势并未随着李俊的落网而终结,源代码的流传更让不法分子有了可乘之机,来个“一生二,二生三,三生万物”。
“熊猫烧香”的大规模爆发让电脑用户吃足了苦头。不少企业用户更因此蒙受了不小的经济损失。“害得我公司文员的资料订单丢了。损失我好几十万。”有网友抱怨说。
在卡卡社区的反病毒论坛,“熊猫烧香”成了反病毒爱好者近期讨论的集中话题。不少网民评论说,从技术上来说该病毒并没有什么创新之处,但是它却借鉴了很多经典病毒、木马甚至是劫持软件的长处。这是一个没有尖端技术却拥有最成熟技术的病毒综合体。
“熊猫烧香教父”李俊几乎把所有能采用的病毒传播手段都用上了。因此,“熊猫烧香”如幽灵般灵活多变,并先后感染过天涯社区、硅谷动力、pconline等门户网站,在暴风影音等知名软件的下载链接中也曾有“熊猫烧香”附身的痕迹。同时,“熊猫烧香”还可借助搜索引擎进行病毒传播。
由于以上网站的浏览量非常大,致使此次“熊猫烧香”病毒的感染范围非常广,中毒企业和政府机构已经超过千家,其中不乏金融、税务、能源等关系到国计民生的重要单位。江民計算机病毒预警中心监测的数据发现,江苏以及广东、山东是此次“熊猫烧香”病毒疫情的重灾区。据不完全统计,仅12月份至今,变种数已达90多个,个人用户感染“熊猫烧香”的已经高达几百万,企业用户感染数还在继续上升。而春节长假期间,又有50万PC感染病毒。
受尽折磨的网民们开始苦中作乐,某大型网站的论坛中出现了专门的“熊猫烧香吧”,网民们为该病毒改写了很多诗句:“冲目见时难杀亦难,熊猫烧香百机残”“千般病毒有尽时,此香绵绵无绝期”,还有人仿照熊猫烧香的姿势拍起了模仿照片。流行歌手周杰伦的《菊花台》也成了网民自娱自乐的灵感源泉:“你的泪光,柔弱中带伤。满屏的熊猫香,删除过往。熊猫猖狂,点上三根香,是谁在电脑前冰冷的绝望。猫慢慢拜,暗黄色的香。我瘫坐椅子上,精神错乱,路在何方,谁为我思量,冷风吹乱憔悴模样。熊猫拜,三根香,你的笑容已泛黄。重装又重装,我心里在发慌。江民杀,瑞星除,你的影子剪不断,徒留我在机旁神伤。”
“借助局域网天女散花,借助门户网站星火燎原,借助U盘死灰复燃。”瑞星公司反病毒工程师史瑀告诉本刊记者,“熊猫烧香”的三项主要传播方式,成为病毒难以退去的主要原因。国家计算机病毒应急处理中心工程师孟先生则对《瞭望东方周刊》表示,“熊猫烧香”利用的都是一些老的系统漏洞,如果用户做好了基本的防护工作,拥有基本的安全意识,就不会中招。此外,用户应该尽量避免在网上进行大额交易。
正如李俊本人所言,“熊猫烧香”的出现是对社会的一个提醒。面对变着法子“烧香”的熊猫,以及后来的变种金猪和灯泡男,面对蠢蠢欲动的“熊猫烧香”模仿者,我们必须谨记,互联网永远没有安全的时候。
“中国还有很多个李俊。”史璃说。
病毒产业链冰山一角
“熊猫烧香”的疯狂肆虐让人抓狂。在李俊被抓之前,关于他真实身份的猜测版本不一,有网友愤怒地发帖,声明愿出10万美金通缉“熊猫烧香”作者。更有一网吧业主出离愤怒,由于他的两个连锁网吧大厅以及包厢内的900多台电脑全体瘫痪,直接损失30多万元,该业主甚至“杀人的心都有”。
李俊被抓的消息传出后,大部分网民都觉得终于大松了一口气,但仍有一部分人忧心不减。最早发现“熊猫烧香”病毒的反病毒高手李彬彬(网名Mopery)在博客上写道:傍晚上网,就发现whboy被抓的消息。哎,预料之中的事,没想到这么快罢了。不过对whboy的身份还是挣怀疑。难道被抓的真一定是whboy?被抓的那些人也有可能是whboy的替罪羊呢?
对此,有清醒的评论者回应道:无论是否是替罪羊,新闻依旧是在误导大众;制造传播病毒与抢劫杀人放火不同。逮捕源头是不能避免病毒的继续传播的。而这点没有明示于人只会使一些入松警惕。
这是一场没有硝烟的战争。病毒的初始编写者李俊的落网并未给整个事件画上句号。他只是整条黑色产业链中浮上水面的环节,还有更多对手隐匿不见,并随时等待添兵加卒。
据警方介绍,在“熊猫烧香”案中,产业链的每—环都有不同的牟利方式。根据《中国青年报》2月16日的报道,仙桃市公安局网监大队副大队长张良耀解释说,这条“产业链”包括病毒制作人李俊、中间商、病毒购买者(挂马人)、“收信人”、“拆信人”等多个环节。
它的操作模式大致是:李俊要根据“市场需要”改写自己的病毒程序代码,从而控制中毒电脑自动访问病毒购买者所设定的网站,“挂马人”在病毒上挂上木马程序入侵中毒电脑,木马程序从中毒电脑中“盗窃”QQ币、游戏装备等物品,并通过电 子邮件以“信”的形式发送到特定地址,“收信人”再把这些有价值的电子邮件转卖给“拆信人”,“拆信人”将获取的资料信息通过网上交易平台出售给普通网民。“拆信人”往往不需要专业电脑技术,只需要花时间在网上交易。据警方透露,目前在海南省儋州市、浙江省丽水市等地方,已出现成群结伙的“拆信人”,有的团伙达50多人,有的不仅盗卖游戏装备,还通过发布虚假告等手段直接诈骗钱财。
病毒制造者的牟利方式主要有两种:一是“卖病毒”,按购买者的要求在病毒程序中填上“指定网址”后把病毒出售;二是“卖肉机”,因中毒而被病毒制造者控制的计算机被称为“肉机”,“肉机”的资料信息随时可被窃取,“卖肉机”就是转让控制权。而病毒购买者的牟利方式主要是“卖流量”,由于病毒程序中预设了“指定网址”,而这个“指定网址”设置了木马程序,中毒的计算机只要一上网,就会被强制性地牵到这个“指定网址”上,自动下载木马程序,将这台计算机的相关信息资料传给购买者,这些信息资料被称为“信”,病毒购买者往往会将某一“指定网址”的“获信权”出售,根据访问流量收取费用。
制造计算机病毒形成了产业群
据警方披露,少数地方甚至形成了计算机病毒产业群。
李俊交代,去年9月,他在武汉某电脑学校学习软件开发时开始制作“熊猫烧香”病毒。11月,写完病毒后,李俊通过QQ群发布卖“熊猫烧香”病毒的消息,先后在网上以每个病毒500元至1000元的价格出售病毒近20套。即使以最高价计算,光靠卖病毒,李俊只能获利两万元左右,更大的利润来自于出卖“肉鸡”。
湖北省仙桃市公安局副局长叶铁官对《中国青年报》记者介绍说,计算机被“熊猫烧香”病毒感染后,等于失去了一切信息保护能力,成为任人宰杀的“肉鸡”。“如果将成为‘肉鸡’的计算机比喻为一幢房子,李俊就是掌握钥匙的人,谁交钱给他,他就把钥匙给谁,供其打开房子偷东西。”
自称看着“熊猫烧香”一步步成长起来的反病毒高手Mopery告诉《瞭望东方周刊》:“熊猫烧香”造成的影响在整个计算机病毒产业链中其实并不算最严重的,只是引起的关注比较强烈。他介绍说,那些病毒制造者通常会通过一些黑客论坛和QQ群交流。有一些著名的黑客网站,甚至还有专门的黑客集团。
“不过,一般来说,比较厉害的都不会到处出没。而专门的黑客集团都是奔向经济利益。”Mopery告诉记者,某次看网马的时候就见到一个叫“刺客集团”的,专门挂网马,特点就是加密比较特别。
所谓“挂网马”,就是入侵别人的服务器,获得权限,修改网页中的代码。如果某网友没有打微软的系统补丁,进入该网站后就会自动下载病毒,打上补丁就不会有事。“利用微软漏洞挂网马的,一般那些代码都是别人写好的。有的人会自己写,要么修改。”
“网马一般都是有现成的代码进行修改、加密等等。最重要的就是找人写码。如果是个病毒,这个病毒作者是最重要的。真正的高手大多数不会出现。一般像杀毒软件公司的那些程序员几乎不出现,实在难找。有一小部分还是会经常出现的。写毒的无业的比较多。”Mopery分析道。
史踽在接受本刊记者采访时表示,流氓软件病毒化是另一个值得警惕的现象。“流氓软件的黑色成分越来越多,也可以归为病毒了。”他说,迫于技术和舆论的压力,制作流氓软件的厂商开始两极分化。一些大牌互联网厂商逐渐“洗白”,将软件的“流氓”程度降低,还有一些厂商干脆放弃推广“流氓软件”。然而,仍有大量通过“流氓软件”起家的中小厂商,“流氓软件”的广告推广已经成为其公司主要甚至是唯一的收入来源。为了达到更好的传播效果,并减少成本,不少中小厂商直接使用病毒进行流氓推广。中招的用户只要浏览了特定网站,就会弹出相关广告,根据弹出广告的统计数量来收费。
史瑀透露,病毒、流氓软件等的编写者每隔一段时间就会到特定的黑客网站上获取文件列表。列表中的内容就是制作要求,每次的要求都不同,比如下载木马,或是弹出特定的广告等。
据瑞星公司客户服务中心的统计数据表明,从2006年6月开始,用户计算机由于流氓软件问题导致崩溃的求助数量已经超过了病毒。
此外,由于国内目前关于互联网的法律条文比较少,这一领域还存在一些灰色地带,充满争议的事物也不少。Mopery所在的反病毒QQ群前不久就针对“灰鸽子”软件的性质进行了一番深入的探讨。“灰鸽子”是国内一款著名的远程监控软件,掌握技术的人可以利用它入侵、控制别人的电脑。Mopery告诉记者,有一些黑客会拿个“灰鸽子”到处找人聊天,盗取他人信息,“灰鸽子”每年残害的人比“熊猫”还多。
“2006年上半年十大病毒排行及病毒疫情报告”出炉,“灰鸽子”木马及其变种以其广泛的传播性和极高的危害特征名列十大病毒排行之首,成为2006年上半年名副其实的“毒王”,排名高于以窃取“传奇”等网络游戏账号为目的的“传奇木马”,以及制造“僵尸网络”的BOT类病毒“高波”和“瑞波”。而受聘于“灰鸽子”工作室的法律顾问于国富律师认为,“灰鸽子”并不是病毒,至少到目前为止并没有公安机关或权威部门定性“灰鸽子”就是病毒,它只是一种远程控制产品,受到软件著作权的保护。至于有人利用“灰鸽子”对他人进行不法侵害,与“灰鸽子”的制造者本身无关。就像一把水果刀,使用者可以用它来削苹果,违法之徒也可以用它来行凶,难道说有人会认为刀具厂应该担负法律责任吗?
“灰鸽子”到底是木马还是合法的远程控制软件?这一问题引人争议。史瑀告诉《瞭望东方周刊》,国外的远程控制软件做得比较正规,比如PCANYWHERE,会提示被控制方“你的PC将被控制”,而不会使人在不知情的状况下被监控。
谁来保护我的游戏账号?
如果说初期的病毒是技术爱好者出于好玩和炫耀的目的去编写的,现在则有更多的人是奔着明确的经济目的而去,从而恶意编写病毒。据瑞星公司2005年做过的统计,90%左右的病毒都是可以获取经济利益的。
“熊猫烧香”案中,目前警方发现的“信”绝大部分是网民的聊天及游戏工具的账号与密码,以及各种游戏装备。
根据本刊记者调查了解,以盗取他人虚拟财产为目的的病毒数量很多,各个网游的账号、网银、QQ号都有人偷。而其中网络游戏是黑客下手最频繁的领域。李俊也是从网游起家开始涉入电脑病毒的制造。“中国和韩国是网游人数最多的两个国家。”史璃告诉本刊记者。
Mopery介绍说,某款游戏肯定会有针对游戏的盗号木马。
在盗取游戏账号所能获取的巨大经济诱惑面前,许多人不惜铤而走险。甚至在李俊被抓之后,还有人混迹于“熊猫烧香”QQ群中,“寻找高手合作赚钱”。本刊记者就遇到这样一个人。这位自称来自福建的24岁青年刚刚大学毕业,他告诉记者:现在做游戏的人太多了,真正要找到技术好的人不容易。他希望記者帮忙找到能写码的“高手”,他来负责“洗币”,并提出利润以四六分成,他拿四成。“一年赚个百万不是梦。做美服的游戏一个晚上赚一万不是问题。”他说现在很多人都在做国外的游戏,因为“查不到”。
在热门的网络游戏中,经常会有人公开宣称可以通过掌握玩家QQ号盗取游戏账号,还会有人设中奖等骗局引诱玩家点击特定网站,上了当的玩家就会中毒。面对各方伸来的盗号黑手,不少缺乏经验的玩家损失惨重。
据了解,针对这一现象,一些游戏在设计环节上作了考虑,而江民、瑞星等杀毒软件厂商也在产品上做了一些功能的添加,比如“木马墙”模块,可以自动识别网游密码。“我们测试下来的效果是很好的,但用户了解的不多。”史踽表示。
如何有效打击网游盗号的现象?江民科技反病毒工程师李先生认为,目前国内的相关法律政策尚不健全,应该填补空白,正是由于对虚拟财产缺乏保护,才让不法分子钻了空子。Mopery则认为:“网监多抓几个,做个典型,会有人收敛的。李俊被抓,最近就安静多了。”对此,上海市信息化委员会宣传办蒋小姐表示,政府对于网游盗号尚未出台专门的政策法规,但一些网游网站已开始采取行动,比如实行实名制、不允许积分互相转让等。
时至今日,“熊猫烧香”病毒的新变种仍在不断出现。湖北省公安厅网监部黄处长告诉《瞭望东方周刊》,这起病毒大案仍未结案,除李俊等6名犯罪嫌疑人被刑事拘留外,警方仍在继续追捕该案的其他犯罪嫌疑人。