|
|
|
|
解密木马帝国“灰鸽子”http://www.sina.com.cn 2007年03月19日15:00 新世纪周刊
专题 解密木马帝国“灰鸽子” -特约记者/柳风 “灰鸽子”是一个隐藏在超过2000万台接通网络的计算机中的木马,每一台中此病毒的电脑就是控制者手里的“肉鸡”。这些“肉鸡”在控制者手中就像大白菜一样被卖来卖去,低者1分一只,高者5块一只。这个木马形成了一个庞大的帝国,这个帝国里面有着严格的等级,有着完备的商品流通体制,有着骇人听闻的偷窥、盗窃、欺骗和敲诈,还有着年收入数千万甚至数亿元的“病毒富翁”。 鸡”本是个美好的名字,令人情不自禁地想到一顿香喷喷的饭菜。然而打开百度“灰鸽子”贴吧,却触目惊心。一台台中毒的电脑被称为“肉鸡”在网上公开叫卖,同时,从“肉鸡”上盗取的QQ号码、游戏币、游戏账号、隐私资料等等通过一些手段大肆交易,一些人成为富豪,更多的人成为受害者。 李宇就是在三年前一次偶然的聊天后变成了一个“肉鸡”贩子,也从一个受害者变成了害人者。 不断复制的“肉鸡”大军 “只要装上‘灰鸽子’,然后在别人电脑上种上‘灰鸽子’木马,对方电脑就会成为你的‘肉鸡’,任你宰割。”李宇介绍说。一方是控制端,另一方是被控制端,也就是“肉鸡”。控制端可以在被控制端的“肉鸡”上做任何事情,然后再把“战场”清理得了无痕迹。 李宇是在朋友的介绍下开始使用“灰鸽子”的。开始时他兼职抓“肉鸡”,一天抓100只“鸡”不成问题,也能有百八十块的收入。当他抓“鸡”的数量与日俱增、技术也越来越娴熟时,他干脆辞掉了公职。他还买下一些控制端不打算再玩了而低价出售的“肉鸡”,然后倒手卖出去赚个差价。“这样的收入比我以前的工作多多了。”他说。 圈内公开的行价是内陆“鸡”1毛到4毛每台,辽宁“鸡”5毛到8毛每台,广东“肉鸡”1块一台,港台“鸡”3块,外国“肉鸡”5块(参看百度灰鸽子贴吧和百度肉鸡贴吧以及各大论坛。当然根据买卖双方所需肉鸡数量的不同,价格略有偏差)…… 因为辽宁、广东“肉鸡”玩游戏的人多,买来后能窃取更多游戏币,“肉鸡”的利用价值更高,所以价钱更贵一些。有互联网分析人士指出,港台和国外“鸡”之所以高价,是为了盗取魔兽等一些流行游戏国外服务器的账号,魔兽金币在国外服务器的价格是国内的两倍。 经过一年的摸索,李宇已经被“晚辈”称为老师了,他在倒卖“肉鸡”的同时开始带徒弟。对“菜鸟”级的徒弟手把手地教他怎么装软件,怎么种木马,怎么样让木马通过杀毒软件免杀,怎么抓“肉鸡”,怎么玩“肉鸡”。这种手把手的培训,学费一般为200元 。如果“徒弟”求“师”心切,也肯开出300元甚至更高的价格 。那些具有基础电脑知识的人开始在网站上寻找各种文字的或者视频的教程,这种教程也在论坛上随处可见,这些所谓的“抓鸡教程”的市场需求也非常广大。而这些“徒弟”们也都急于捞回成本:抓“肉鸡”出售或转让,盗“肉鸡”的游戏账号、QQ号等转手出售,控制“肉鸡”点击广告点击网站,甚至偷拍点“肉鸡”主人的裸照敲诈几万元等等。 “人的心理阴暗面一旦被激发,就很难控制。”李宇说。 陈小磊是李宇的一个“鸽友”,他倒卖“肉鸡”,一个月抓10万台“肉鸡”就能轻轻松松赚到至少1万块钱。同时他每个月还能带数十个徒弟。虽然月收入上万,但是他觉得需要玩一些更刺激的。陈小磊开始盗取“肉鸡”的QQ号码、游戏币、游戏账号,然后通过一些网络交易手段将这些“赃物”交易出去。再到后来他开始窃取“肉鸡”电脑上的一些隐私的资料、图片、视频等,然后把它们公开,并以此为乐。 在一些交易站点,“肉鸡”的卖主们俨然是一副“诚信经营”的模样,采用诚信打分制,让买主给他们打分 。他们通过交易网站、网络支付等正当的交易手段销售从“肉鸡”上盗窃来的QQ号码、QQ币、游戏币、名人隐私资料、私人照片、私人视频等,买家和卖家的交易在网上如火如荼地进行。陈小磊在“运气好”的时候,一晚上能盗取1000个QQ号码,一个卖10块,就能卖1万块钱。 除了倒卖“肉鸡”、销售盗窃赃物外,他们还操纵“肉鸡”,让“肉鸡”成为他们谋利的工具。在某个QQ群里,一群操控者正在讨论如何更好地通过操控“肉鸡”,比如点击国外的某些付费的网站,通过点击欺诈来获得更多地收入。按照行价点击一次就能给“肉鸡”控制者带来0.3美金的收入。 同时“灰鸽子”制作者及转卖者要控制下线也非常容易。对软件稍做修改留个后门,让这些控制“肉鸡”的机器再变成半个“肉鸡”,然后再吃他们从“肉鸡”那带来的好处。这在行业里叫做“黑吃黑” 。 这种暴利刺激着更多的人加入进来。 据统计,从百度上搜索的讨论灰鸽子的论坛有数十个之多。其中灰鸽子工作室每天的浏览量大概在12000人;凤凰灰鸽子论坛目前共有会员33802个,其中最高有1124人同时在线;灰鸽子社区目前共有会员523人;这还不包括其他许多大众社区网站以及对此跃跃欲试的游客或好奇者。 一个庞大的“灰鸽子”帝国日渐形成。 年收入数千万的“木马”富豪 在这个庞大的帝国里,一切想成为控制者的人都得像李宇一样花100元从“灰鸽子”工作室的网站上购买灰鸽子控制端软件,然后每年付给该网站100元的管理费(这个标准时有变化,可参见灰鸽子官方网站。目前师傅带徒弟的行价是200元,也有开出300元等高价的)。 在Alexa(著名的网站排名和统计机构)3月12日的排名中,灰鸽子工作室全球排名是351998位,中国排名30561位(这在非门户网站中算靠前的)。并且该网站还吸引了来自中国香港、澳大利亚和新西兰的网民,网站在这几个国家和地区的排名也都非常靠前,在中国香港的排名是142816位,在澳大利亚162416位。(以上数据参见Alexa网站) 足可见如此之多的人对网络偷窥、盗窃、跟踪、不正当交易的兴趣。 可以这样算一笔账,2006年全年灰鸽子工作室峰值独立访问的IP就是1.7万/天,峰谷是0.6万/天,平均峰值为1.2万/天。按照互联网的一般规律,5%的访问者会下载购买,那么一天就有600人下载购买。则它的收入一天就是6万,那么该工作室一年的收入就是2190万,而且它不用缴税。Alexa的统计显示,2005年灰鸽子工作室网站IP访问的均值要比1.2万高得多,也就是说2005年在灰鸽子工作室的收入远不止2190万(该计算依据互联网的一般规律得出)。 据一位从2003年初就开始卖二手“灰鸽子”的人士向《新世纪》周刊透露,灰鸽子工作室网站一年的收入远远不止这些。该人士指出,“灰鸽子”工作室开发的这个程序有多个流通渠道流通出去,这些渠道里可能有破解版(即盗版),但也在帮助它推广和销售。另外它也有线下销售模式。此外,它还可以代理制作销售其他木马或病毒。而且有使用者在网站上发帖举报灰鸽子制作者在一些销售出去的软件上留有后门,以用来控制“控制者”,和他们分享“肉鸡”带来的收益。“它一年的收入估计不下1 个亿”,该人士表示。 网站上的资料显示,该网站只有两名成员,客服都用QQ取代,客服电话在偏僻的安徽某县,另聘请有一个法律顾问。因此人力及办公等成本极为低廉,几乎为0。 一年至少1亿?普通人很难想象卖木马能卖这么多钱。一位在中关村某IT公司混迹多年的人士对《新世纪》周刊表示:“别小看这些人,他们好多人的资产比一些中小规模公司的资产都要大得多。前一阵媒体报道热烈的‘熊猫烧香’病毒的主角李俊,一个月获利15万太小意思了。这些人赚足了钱之后,就开始漂白自己,摇身一变成为富有正义感的企业家。” 真假“木马”凸显法律监管漏洞 这个受害者集体声讨的木马,在其官方网站——灰鸽子工作室上的名字叫做“远程管理软件”。麦卡菲、金山毒霸、卡巴斯基、瑞星等几乎所有的信息安全厂商都将这个叫做“灰鸽子”的软件作为木马来查杀,然而它一直辩称自己是“远程管理软件”。 “哪个网管会用这种工具管理网内电脑?除非他有窥私癖,或者有其他特殊目的。”一位公司网管这么表示,他管理着整个公司上百台电脑。 在“灰鸽子”的功能介绍中,制作者将其定义为“远程管理软件”。然而它可以在“被管理者”一无所知的情况下,在被“管理”的计算机上做任何事情:它可以模仿W indows 资源管理器,可以对文件进行复制、粘贴、删除、重命名、远程运行等,可以上传下载文件(夹),断点续传,文件数据加密传输;查看远程系统信息、剪切板查看、进程管理、窗口管理、服务管理、共享管理、代理服务、MS-Dos模拟、插件管理;实施远程控制命令;捕获屏幕,并能把本地鼠标键盘的动作传送到远程实施控制;它可以查看远程摄像头,还有语音聊天功能;它还可以对自动上线的“肉鸡”实施关机、重启、打开网页等一切命令;以及其他一切的控制、修改、偷窥、盗窃、敲诈等功能。 金山毒霸的工程师李铁军直言不讳地说:“它就是一个木马,带有再明显不过的木马特征。我们就是要查杀它,而且我们现在的专杀可以查杀它的任何变种。”就在李铁军和他的同事准备推出灰鸽子专杀工具之际,一位自称是灰鸽子客服的人员打来电话,说希望他们“慎重考虑”。 “它如果没有这么大财力是不敢做出这种有威胁意味的举动的,至少说明灰鸽子工作室每年获得的收益至少是数千万元级别的。”李铁军说。 该“远程管理软件”,即灰鸽子的制作者表示:“我只是私自造了一把枪,他们买去杀人还是自卫与我无关。”然而相当多的受害者却不这么认为,甚至加入“灰鸽子”盈利体系的李宇也坦言:“我们这些得益者们并不是在自卫,我们一开始就是用它来杀人的。” 更有趣的是,灰鸽子工作室网站的二级网页上竟然将“计算机信息网络国际联网安全保护管理办法”条条罗列出来 ,并在其首页上标注了其聘请的法律顾问。 有法律专家指出,中国的互联网立法比国外要落后许多。《计算机信息网络国际联网安全保护管理办法》中规定制造和传播病毒是违法的,但是对于木马、黑客程序、“流氓软件”等并没有清晰的界定。这就导致了2006年出现的“流氓软件”的艰难诉讼,也导致了诸如“灰鸽子”这样的木马制造者能钻法律的空子,并且在网上肆意掠财。 灰鸽子工作室的网站上只有正规的线上支付渠道:联络QQ号码和无人接听的远在安徽某县的电话,这也是许多病毒、木马、黑客程序制作者一贯采用的方式:即便出了事,想立刻找到他们也并不是一件容易的事情。 “尽管法律监管存在漏洞,但是‘出来混迟早是要还的’。”李宇说。今年年初,他决定退出江湖,有了一笔积蓄的他开始着手洗白自己。 网络安全前景堪忧 然而,洗白并不能洗去受害者所受的伤害。 由CNNIC发布的《2006年中国互联网络发展状况统计报告》显示,截至2006年年底中国可上网计算机总数为5940万台。网民对网络安全感的认同率仅有28.8%,其余的71.2%的网民都对网络的安全深感担忧,有45.4%的网民非常担忧木马的入侵。 根据Alexa统计显示,2006年平均每天有600人购买下载“灰鸽子”控制端木马软件。按照互联网的一般规律,正版和盗版的比例为1:9,那么每天就有6000人下载和使用正版或者盗版的“灰鸽子”控制端软件。这样计算下来,一年有219千万人使用过“灰鸽子”控制端软件。按照一人至少控制过10台“肉鸡”计算,2006年,中国至少有2190千万台计算机曾至少一次变成“灰鸽子”控制者的“肉鸡”。这个绝对值非常惊人(根据CNNIC2006年的报告,2006年我国可上网电脑数量为5940万台)。 一位不愿透露姓名的“灰鸽子”控制者说:“这个数目是非常庞大的。被我控制过的‘肉鸡’前后就超过4万台。5940万台可上网电脑中有近40%的联网电脑都至少被‘灰鸽子’的控制者控制过一次。如果这些互联网用户知道自己的计算机在被‘灰鸽子’木马监视着一举一动,那将会是非常恐怖的,甚至会引起恐慌。” 有分析人士指出,如果“灰鸽子”控制端用户数量按照目前的速度增长,那么到2007年底,中国至少有一半可上网电脑将至少一次被变成“肉鸡”。 如此庞大的群体隐私该如何保护,被侵犯的隐私权以及被盗取的虚拟财产甚至真实财产又该如何保护?这不仅仅是法律的问题,更是一个巨大的社会问题。 一位心理学家对此分析:对于自制力比较差的群体,或者具有反社会心理倾向的群体,现实中没有表露的人性的阴暗面会在网络上加倍地呈现。加上利益的驱使,引诱更多的人进入其中。灰鸽子不仅仅是一个后门木马,更像是一个邪教,在怂恿那些跃跃欲试的人们到网络上去偷窥、盗窃、破坏、敲诈…… 李宇的洗白并不能洗去他心里的伤痛。三年前他在北京中关村一个电脑卖场做销售工作。在一次聊天中,Q Q上一个未曾谋面但是聊得很投机的网友给他发来了一个文件。文件的内容让他大吃一惊:文件里面有李宇的过往聊天记录、存在电脑上的照片、公司的文件,还有QQ视频抓拍的图像和短片……他陷入了极度恐慌中,继而是好奇,再后来他就变成了彻底的害人者。 “我洗白了自己,但是洗不去心里的阴影。”李宇这样说。 一个多年的IT从业者这样评说这群人:“他们活在一个看不见的阴暗世界中。” 与“灰鸽子”过招 3月14日9点,柏彦大厦西侧的一些窗口还依稀透出些 灯光。 自从在博客上发表了对“灰鸽子”的战斗檄文后,金山毒霸的工程师李铁军开始时刻关注着金山毒霸的官方网站。如果他计算得不错,明晚将有一轮对金山毒霸官方网站的猛烈攻击,然而他不知道今晚的攻击正在孕育中。 9:30,屏幕没有异常; 9:40,屏幕还是没有异常; 9:50,屏幕没有异常,但是主页似乎有些图片显示不了。李铁军不以为意,然而他很快发现他的预计是错误的。 大概20分钟后,网页变得非常难打开,打开三级页面链接,很快被挟持到第三方网站。在之后的3个小时内,有上万个来自台湾、河北廊坊、河北衡水、北京朝阳等地的IP集中攻击金山毒霸官方网站。李铁军和他的同事面临着一场突如其来的攻击,攻击者使用了上万台被控制的“肉鸡”对毒霸官方网站发动攻击。 “攻击的目标很明确,就是用瞬间多次的访问拖垮服务器,导致网站不能被使用。”李铁军说。很明显,这是一次报复行动。而这次报复行动规划得极其周密。攻击的电脑之间没有实际的联系,被操纵的无辜的电脑都是以秒为单位不停地切换IP。要捕获这些I P是一件难度非常大的事情。如果报案,破案的难度将会非常之大。 3个多小时后,金山毒霸官方网站终于恢复了正常,为了防止再次发生的攻击,李铁军和其他人员都留守到凌晨3点。李铁军和他的同事报了警。 有不愿透露任何个人信息的“灰鸽子”使用者说:“断了我们的财路当然要攻击它。”李铁军表示就目前的证据不足以显示出这就是“灰鸽子”控制“肉鸡”干的。但是这的确是一种严重的黑客行为。而从事件的脉络发展看,背后的主角最有可能是“灰鸽子”制作者“灰鸽子”工作室或“灰鸽子”产业链中的某个愤愤的黑客。 3月13日,李铁军在博客上发表了《金山吹响讨伐灰鸽子的号角》,列举了灰鸽子的种种罪恶。很快,李铁军就接到一个自称是“灰鸽子”工作室的男人打来的对其博客内容不满的电话。 如果说这两轮过招中双方处于平局,那么随后的过招,显得越来越引人入胜。 一直标榜是“远程管理软件”的“灰鸽子”,其制作者“灰鸽子”工作室很快有人接受某媒体的采访,称“我们只是造了一把刀,别人用来切菜还是杀人我管不着。或者说我们只是造了一把枪,你用来自卫还是杀人我也管不着。” 李铁军引用网友的话这样回应:“你是造了一把刀。三尺长的大砍刀,刃上带锯齿,边上有血槽,刀柄里藏着几十发暴雨梨花针,还随刀附送淬毒所需全部材料和设备,现在贴个标拿出来卖,说自己是菜刀,你还真有才。”对于枪,李铁军则幽默地说:“在我国私造枪支是违法的。” 这一招没分胜负,不过舆论、民意显然都是偏向李铁军的。 随后“灰鸽子”工作室常年聘请的律师于国富对大众表示:“灰鸽子”程序和“灰鸽子”病毒不是一码事,应该分开来看待,“灰鸽子”病毒并不是“灰鸽子”工作室的产品。 李铁军再一次在博客上回应:“‘灰鸽子’程序是什么?‘灰鸽子’病毒又是什么?请于大律师帮我。” 这一局又以“灰鸽子”一方的寂静无声而告终。 然而过招还在继续。 截至记者发稿时,被控制的“肉鸡”和“肉鸡”组成的僵尸网络都在间断性地对金山毒霸官方网站发动攻击。 李铁军说:“可能还会有别的报复,毕竟这条产业链扩展得很快,并且产业链很大。”根据报道,“灰鸽子”工作室一年的收入就有数千万,还有上百万使用“灰鸽子”控制“肉鸡”谋利的人群。 灰鸽子的七宗罪 灰鸽子的“大名”早在2003年就已经红遍了整个互联网,大家都知道灰鸽子并非“善”类,但灰鸽子究竟是什么?会给我们带来哪些危害?却鲜有人知 认识灰鸽子 灰鸽子自称是一款采用Delphi编写的远程控制软件,但自2001年诞生以来就被反病毒专家定义为“极度危险的木马程序”。2007年春节期间灰鸽子出现了最新的2007版,它像个身着隐形材料的猎手,潜伏在用户系统中,使用“反弹端口”原理,在用户毫不知情的情况下,远程控制用户的计算机,实现修改注册表;上传下载文件;查看系统信息、进程、服务;查看操作窗口、记录键盘、修改共享、开启代理服务器、命令行操作、监视远程屏幕、操控远程语音视频设备、关闭、重启机器等操作。 灰鸽子如何传播? 灰鸽子自身并不具备传播性,它一般通过捆绑的方式进行传播。灰鸽子的传播主要通过以下四大途径: 网页传播:病毒制作者将灰鸽子病毒植入网页中,用户点击即感染; 邮件传播:把灰鸽子捆绑在邮件附件中传播; IM传播:通过即时聊天工具传播携带灰鸽子的网页链接或文件; 非法软件传播:病毒制作者将灰鸽子病毒捆绑进各种非法软件,用户下载解压安装即感染。 盗号 灰鸽子入侵用户电脑后,可通过键盘记录器等手段记录用户的键盘输入信息,无论是QQ、网络游戏、网上银行的账号密码都难逃被盗厄运。热门网络游戏魔兽争霸曾发生一个区服大量账号短时间内被盗事件,引起数千玩家集中投诉。此外,2006年10月,BTV7《生活面对面》节目报道网银账户内1万余元被分15次盗走,警方在事主的电脑查获到灰鸽子病毒。 偷窥隐私 灰鸽子可通过远程控制用户电脑上的摄像头偷窥用户隐私。只要用户的机器处于开机状态,远程操控者就可以自动开启用户的摄像头,窥探用户隐私。想想自己家里隐藏了一只远在千里之外眼睛,是否会令你毛骨悚然。 敲诈 黑客利用灰鸽子病毒可完全控制被感染的电脑,对电脑中的任何文件都可以任意处置,比如用户的一些重要文件、私密照片等等,而在远方的黑客一旦发现用户比较隐私或机密的东西,立刻将其转移到其他地方,并通过邮件等方式对用户进行勒索。3月7日,BTV1《法制进行时》曾报道江西瑞金一男子使用木马程序盗走受害人裸照,并向事主索要14万元人民币的案件,最后这名男子以敲诈勒索罪被判有期徒刑6年。 发展肉鸡 灰鸽子的一大危害就是可以大量发展肉鸡,并利用肉鸡进行“赚钱”,实现非法获利。如在“肉鸡”上植入点击广告的软件(挂机),充当肉鸡的机器不明不白地被人当作挣钱工具,网费还得自己掏;利用肉鸡配置代理服务器,以此作为跳板对其他电脑发起入侵,灰鸽子集成了代理服务器功能,但是并不提供日志,一旦从最终受害者追查时,肉鸡电脑将成为替罪羊;此外,还可以用大量肉鸡组建僵尸网络,随时可以被用于一些特殊目的,比如发起DDoS攻击等。难以想象,如果大量肉鸡被敌对势力控制,将会对中国的网络安全造成什么样的后果。 发展肉鸡 灰鸽子的一大危害就是可以大量发展肉鸡,并利用肉鸡进行“赚钱”,实现非法获利。如在“肉鸡”上植入点击广告的软件(挂机),充当肉鸡的机器不明不白地被人当作挣钱工具,网费还得自己掏;利用肉鸡配置代理服务器,以此作为跳板对其他电脑发起入侵,灰鸽子集成了代理服务器功能,但是并不提供日志,一旦从最终受害者追查时,肉鸡电脑将成为替罪羊;此外,还可以用大量肉鸡组建僵尸网络,随时可以被用于一些特殊目的,比如发起DDoS攻击等。难以想象,如果大量肉鸡被敌对势力控制,将会对中国的网络安全造成什么样的后果。 间断性骚扰 用户在工作的时候最害怕被打扰。比如电脑突然死机、反复重启、系统瘫痪等等,都会带来不小的麻烦。当你正在向电脑中录入大量的文档,当你正在下载一个重要的文件,你的电脑突然自动关机,会是一件多么郁闷的事情。而且,如果你在工作的时候,桌面上不断地弹出一些广告窗口,不但严重影响正常工作,而且也将影响到心情,而这一切都是灰鸽子的典型危害。 恶搞性破坏 看谁不顺眼,就可以肆意搞破坏,攻击者可利用灰鸽子对被感染的用户电脑为所欲为,修改注册表、删除重要文件、修改共享、开启代理服务器、下载病毒等等,试想如果你电脑的注册表被恶意篡改、系统文件被删除,而且电脑中还被放了大量病毒,你的电脑将如何?所以千万别得罪那些电脑高手,否则弄个灰鸽子放入你的电脑。 上面列举的灰鸽子的七宗罪让我们进一步了解了灰鸽子木马的危害,而灰鸽子的最大威胁还在于其高度的隐蔽性,也就是说,灰鸽子在给用户造成上述七种危害的同时,用户很可能毫不知情,而攻击者在利用灰鸽子进行攻击后,可立刻将相关病毒文件删除,这样一来,用户即使知道自己的损失,也无法进行追查。这也是为什么广大网民还没有意识到灰鸽子异常危险的一个主要原因。
【发表评论】
|
