南都周刊：美国黑客散布病毒勒索受害人保护费

http://www.sina.com.cn 2006年03月17日20:48 南都周刊

　　他们把魔爪偷偷伸向全球的电脑。他们肆无忌惮地释放致命病毒，把数以万计的电脑变成“僵尸”。他们对受害者没有丝毫的同情心。这些“匪徒”要求成千上万美元的保护费，如果受害者胆敢拒付，他们将命令“僵尸大军”肆意破坏，让电脑瘫痪，让秘密曝光，让�
点击此处查看全部新闻图片

在普通电脑用户看来，电脑黑客就像怪兽一般，威胁他们的网络安全。

　　一个网络绑匪和一间黑屋

　　这就是他每天的工作，不到两分钟就可以完成。两周之后，他将收到300美元的支票。

　　从重重地倒在床上到挣扎着爬起床的6个小时里，这个21岁的黑客已经偷偷地潜入了全球近2000台私人电脑。在他沉睡的时候，他编制的软件在网络上搜索那些容易受攻击的电脑，使它们染上病毒成为“奴隶”。

　　此刻，他手中正拿着今天点燃的第一根万宝路香烟，烟雾缠绕在他父母砖砌的爬满蔷薇的起居室里。这个在网上以0×80闻名的黑客将自己精瘦的身体重重地摔在老旧的棕褐色睡椅上，然后将他的新手提电脑放在咖啡桌上，敲入一系列指令。在他的命令下，那些电脑“奴隶”开始下载和安装软件，这些软件用黄色站点的广告对用户进行狂轰滥炸。安装之后，0×80命令这些“奴隶”在网络上“瞄准”下一步行动的目标。

　　这个年轻的黑客之所以同意接受采访是因为他的真实姓名无法查证。他深深地吸一口烟，然后斜靠在睡椅上悠闲地吐出来。他笑了。

　　“赚钱的时候，我只需坐在家里，在网上聊聊天”，0×80说，“每隔15天我会收到邮寄过来的几百美元支票，剩下的大头每30天去加拿大的银行取一次。”他的工作能给他带来每月6800美元的收入，尽管实际上他做了1万美元的工作。但这对一个中学辍学的人来说已经很不错了。

　　这些已经中毒并被远程控制的电脑达到一定数量后就形成僵尸网络，往往被黑客用来发起大规模的网络攻击，如转送海量的垃圾邮件。控制这些电脑的“蠕虫大师们”对电脑所有者进行敲诈。这些“匪徒”要求成千上万美元的保护费，如果受害者拒付的话，他们将命令僵尸网络中的电脑制造各种无聊的事故，使电脑陷入瘫痪，造成大量资金损失。

　　0×80说自己没有用僵尸网络进行敲诈，而是和越来越多的“蠕虫大师”一样通过在网络上“播种”间谍软件来挣钱。这些软件被称为广告软件，一旦在电脑上安装，广告软件将使电脑自动弹出广告，并记录用户的在线浏览习惯。激活僵尸网络的电脑蠕虫也从受害者的电脑上收集更加敏感的资料，包括密码、邮件地址、社保号码以及

信用卡资料。广告软件问题越来越普遍，美国国家电脑安全联盟和美国在线最近的调查显示，连接到网络上的5台电脑中，有4台在所有者知情或不知情的情况下安装了某种类型的广告软件。

　　根据安全软件制造商Webroot公司的调查，通过广告软件发布在线广告已经成了一个20亿元的产业。而且随着这个行业的快速发展，僵尸网络也开始急速膨胀。几个月前，美国联邦调查局(FBI)逮捕了一名来自加州的名叫安契塔的20岁黑客。他被控通过安装广告软件入侵了40多万台电脑，使之形成僵尸网络。根据美国政府文件，他还攻击了美国国防部以及海军航空战事中心的电脑。上个月他承认了控罪。

　　2.这个年轻的黑客对受害者没有多少同情心。他的目的是挣钱。

　　像安契塔一样，0×80也是偷偷摸摸地安装广告软件，尽管法律要求取得电脑所有者的同意。这个年轻的黑客对受害者没有多少同情心。“这些电脑中毒的人大部分都蠢得很，所以他们别想在网络上办成什么事”。0×80说。

　　0×80体形瘦长，头发已经盖住了眉头。他说话时从不看着你，浓重的南方口音拖得老长，还带有中西部的鼻音。他和家人住在美国中部的一个小镇里。离家不远有一家废旧汽车收购站、一个

加油站、一家便利店和一个露天俱乐部。0×80说他最近和几个舞女在这个俱乐部的VIP室里呆了一个小时就花了800美元。他告诉父母他在一家网络设计公司工作。他的卧室就是一个控制中心的缩小版，有电脑、电视机和电脑监测器，还有缠结在一起的一排排长达几公里的电线。

　　目前，0×80已经控制了20多个国家的1.3万多台电脑。这个早上过去的几个小时里，他已经在被“征用”的几百台电脑中安装了间谍软件，剩余的工作将在今天剩下来的时间里或是明天通过他编写的自动运行程序来完成。“如果我安装了太多间谍软件的话，我服务的那些网上营销公司会变得疑神疑鬼，他们会关闭我的网络，我也得不到薪水。”他喃喃地说着，斜视着电脑屏幕，手中的烟灰散落在手提电脑和咖啡桌上，“我知道人不能太贪心。”

　　一只裹着编织毛皮的小狗进入了起居室，在0×80的脚边穿来穿去。0×80用脚轻轻地推了推它，连头都没抬。他猛烈地敲击键盘，一个文本产生了，随后这个文本就在电脑屏幕上不断向上滚动，像中了符咒一样。在屏幕上的文本停止向上滚动之前，0×80点燃了另一根烟。他的电脑屏幕上是每个受害电脑所有者储存在电脑浏览器中的用户名及密码的清单。

　　(正文中重点文字)

　　“我告诉父亲，我制造了一种感染电脑的网络蠕虫，

　　然后利用别人的电脑挣钱。

　　父亲只是摇了摇头，然后跟我说，

　　希望你不要把自己送进了监狱，

　　希望你做的不是未成年人的色情作品。”

　　(正文)

　　“看到所有的信息了吧？”0×80说，“我不用它，也不像我所知道的许多人那样卖掉它。那样太冒险了。”他的目的是挣钱，而不是在监狱里过日子。

　　他的受害者，一位叫米歇尔·怀特的29岁牧师，可以告诉0×80很多关于监狱的事。怀特管理着孟菲斯的一家教堂及基督教中心，但他承认并不是从一开始就信任上帝的。

　　10年前，他是孟菲斯大学的一名新生，因参加校田径队受到了教务长的关注。后来他爱上了酒，最终因为考试不及格被开除。在接下来的18个月里，因为醉酒，将别人的车当成了自己的而两次被送进了监狱。

　　接下来发生的事改变了他的一生。一个夜晚，当怀特正开着朋友的一辆三菱日全蚀，一辆警察巡逻车追了上来。怀特说他当时喝醉了，无证驾驶，安全带也没有系好。他慌了，想把车停下来却失去了控制，最后车子在空中翻了几个筋斗之后，油箱着火了。怀特醒来时发现自己躺在医院的病床上，身体30%的面积三级烧伤，耳朵烧得只剩小小的一块了，伤痕累累的左手上，一个烧得红红的手指也被医生锯掉了。

　　经过15次整容手术以及两年多的治疗后，怀特身体恢复到可以面对对他的指控了。1999年他承认了控罪，在田纳西的一家监狱里服了近两年刑。

　　服刑期间，他说，“我意识到上帝在呼唤我担任牧师的职务”。2001年被释放后，上帝在他的生命中扮演了十分重要的作用，电脑也是。他通常每周花上五六十个小时上网冲浪。他的妻子也是在网上认识的。在开始牧师生涯不久后，他进入了一个牧师网上聊天室，并和一个女网友聊天。他们发现彼此很合得来，15个月后两人结了婚，上个月他们有了第一个孩子。

　　但是，就是使他们有缘结合的网络去年夏天背叛了他。他的那台花了350美元买的台式电脑突然之间被大量的成人网站弹出的广告淹没。每次他一打开网页浏览器，一个神秘的带有“XXX”标志的工具栏就随之出现。

　　一个朋友花了好几天时间试图把这个黄色软件删掉，但每次一删掉，当电脑重新连接到网络的时候，这个软件又自动重装了。怀特最初怀疑是他辅导的小孩用他的电脑来打开一些可疑的网站。直到撰写这个故事的记者跟他联系，他才意识到电脑被0×80侵入了。

　　0×80的病毒程序能够侵入怀特的电脑，是因为他的电脑缺少修补安全漏洞的软件装置。怀特以为花50美元从Trend Micro购买的防火墙和防病毒软件装置已经足以对付黑客和病毒的攻击了。但他承认不敢确定防病毒软件是不是最新版本，是否可以发现最新的病毒。

　　“我太傻了，作为喜欢上网的人，我没有对电脑下太大的功夫。”怀特说。他最后选择买了一台新电脑，而不是花时间和金钱去修理那台“中毒”的电脑。“我觉得买一台新的价值300美元的带有免费检测器的戴尔电脑好过我原来的那台。”他说。

　　他说这段经历给了他一个有益的教训，那就是为防止电脑受病毒侵害，事先采取防御措施比损害造成后收拾残局要容易得多。“你不得不认识到，如果你的房屋安全设施不到位的话，你将有被盗的危险。如果像我一样让电脑的门开着，有人将趁机闯进来，把它变成自己的家。”

　　3.“如果我真的被逮住了，我也不会那么担心了。我已经挣了不少钱，可以请个好律师。”

　　0×8014岁开始学编程，那时候他家里还没有电脑。像他这一代的许多黑客一样，他开始做黑客是从在网络上搞恶作剧开始的。

　　“与我们家只相隔两栋房子的小伙伴比我先拥有了一台电脑。他经常上美国在线的网络，但他不知道如何来做计算题，因此我也经常登录美国在线的网站并给他做题。”0×80说他在登录了美国在线的一个叫“女

同性恋者”聊天室之后，才意外地开始编写病毒。

　　“有人给我发送了一个病毒，每次我在键盘上敲入任何内容，屏幕上就会弹出一条信息，上面写着‘我是同性恋！’”0×80回忆道。他试图使电脑停止出现这条信息，但所有努力都白费了。最后他使用朋友的电脑查到了这种病毒的资料，找到了如何编写命令来杀病毒。

　　自那以后，0×80经常受到电脑病毒的困扰，他几乎把所有的时间用来处理这些病毒。16岁的生日那天，家人送他一部电脑用来帮助完成作业。很快0×80就经常逃课，把时间消耗在一个叫IRC的在线频道。IRC频道曾经是用来控制僵尸网络的最流行方法之一。

　　大约两年前，0×80进入了一个IRC频道，许多黑客在里面吹嘘他们利用僵尸网络安装广告软件挣了大把钱。在浏览了该频道几周之后，0×80对电脑蠕虫码进行了修改，使自己的僵尸网络也变成赚钱的机器。

　　他和他的黑客朋友都是在网上成长起来的一代，在网络中，从软件到数码音乐，再到可靠的收入，这一切都只需要很少的成本及努力。他们中有些人通常有自己的方法来避免为任何东西付款。最近与6名同伙的一次电话会议上，一个家伙建议订餐，另一个家伙立即建议通过伪造赠券或模仿客服经理来获取比萨连锁店的免费食品。

　　“Dude，最有趣的是当你走进去，你把‘赠券’递给他，他们给你比萨，然后大摇大摆地离开”，其中一个人兴致勃勃地说道，“就这样……我是活着的最酷的人。”

　　“Dude，那是真的”，一名16岁的黑客附和着，“什么时候免费的比萨总比花钱买的要好吃得多。”

　　对于目前的生活方式，0×80觉得很矛盾，偶尔他会反思下一步该干什么。他有时会用进入一所大学，拿一个计算机科学学位的想法自娱，但是找一家合法公司去老老实实地工作的想法让他没有多少热情。“无论我在哪里工作，我可能只能拿到少得可怜的钱。”

　　问到他是否担心被警察逮住时，0×80将双手插入牛仔裤口袋里，耸耸肩，低下头看着自己的鞋子。“说实话，我自己都有点惊讶他们到目前还没有逮住我”。他声称不在意这些，但后来又承认自己为掩藏行踪下了不少功夫。“每天晚上我都会待到很晚，以确认没有人试图踢我的前门……如果我真的被逮住了，我也不会那么担心了。我已经挣了不少钱，可以请个好律师。”

　　广告软件销售公司承诺会在短时间内付薪水给帮他们安装程序的人。这些安装员在业内被称为“会员”。

　　但是0×80和一个网名叫Majy的朋友表示，销售公司经常会欺骗他们，少算他们安装的程序数量，并少给钱。

　　“他们少给钱，因为公司在利用你，而你也没办法”，19岁的Majy说。有多达3万台电脑陷入了他的僵尸网络里。

　　拿到报酬是整件事的重点，Majy说，TopConverting公司每两个星期支付他2400美元作为安装程序的报酬。在美国，他每安装一个这样的软件可以得到20美分，而包括法国、德国和英国在内的其他16个国家是5美分。每安装一个软件的所得听起来并不多，除非你控制着拥有成千上万台电脑的僵尸网络。

　　Majy也从Gamma-Cash公司得到报酬，这个网站吹嘘自己是“在线成人会员程序的行业领袖”。会员为该公司提供接入黄色网站的途径而得到报酬，他们主要通过它的“XXX”工具栏将受害者的电脑主页修改为某个黄色网站，通过这个工具栏会弹出一些提供给用户的色情网站的广告。Majy说，Gamma-Cash公司每个月从加拿大的一家银行汇给他400美元。

　　0×80也为Gamma-Cash公司安装程序。此外，他还为一家叫做Loudcash的公司服务，这家公司近来被软件行业最大最著名的玩家180 solutions收购。

　　4.“每次只要我一天不在网上，我的手机就几乎被打爆，个个都打来问我是不是遭到FBI的突然搜查。”

　　诺里斯应声开门了，他的房子十分宽敞，灰泥粉饰，西班牙风格的瓦片。他站在门边，穿着牛仔裤，一件马球衫，脚上穿着一双蓝白相间的麂皮运动鞋，脸上满是笑容，“你来得还真巧，今天我正好在跟踪几个僵尸网络。”

　　诺里斯今年31岁，是一家叫ChangeIP.com的网络服务公司的主席。这家公司正处在与僵尸网络作战的中心。他估计每个星期要花20个小时去防止像0×80和Majy这样的“蠕虫大师”利用公司网络来控制他们的僵尸网络。

　　这些“蠕虫大师”通常通过中心服务器来控制那些“中毒”的电脑，然后等待指令。这些指令可能是袭击一个网站、发送垃圾邮件或者下载间谍程序。由于很多用作此目的的IRC频道开始崩溃，结果，越来越多像0×80这样的“蠕虫大师”试图利用像诺里斯那样的公司来隐藏行踪。他们不断地从一个服务器跳到另一个服务器。万一电脑安全专家开始注意到用来运行僵尸网络的服务器，他们立即切换服务器。ChangeIP.com会使这些“中招”的电脑找到新的巢穴。

　　大部分情况下，诺里斯很容易分清在其公司网络上运行的哪些是合法网站，哪些是僵尸网络。大部分的小型网站没有成千上万台电脑几乎同时接入的情况。

　　诺里斯发现每周平均有37个新的僵尸网络试图利用公司的服务，有时候一天就有10个之多。去年春天，他阻止了一个拥有4万台电脑的僵尸网络，这个网络是一个间谍软件的大规模安装基地。

　　诺里斯详细研究了最近隔离的一个黑客所用的病毒复制本，这个程序包含安装14个广告软件和间谍软件的指令。诺里斯说这个病毒的码被加密，所以隐藏得很彻底，以至于没有一个防病毒软件发现这个码是恶意的。当检查这个病毒程序时，诺里斯不小心执行了它，结果他的电脑也被感染了。很快，这个程序下载了许多广告软件，并弹出一些黄色网站的广告，而且还安装了Gamma-Cash公司臭名昭著的“XXX”工具栏。

　　诺里斯的研究显示，这个程序还有30多个其他特点，包括可以获取所有受害者的网络使用情况，含有一个搜寻PayPal用户名和密码的程序，允许袭击者监视和偷看用户的电脑摄像头等。

　　诺里斯今天坐在狭窄的办公室桌前，随着敲击键盘发出咯吱咯吱的声音，许多个测评公司网络运行状况的曲线图生成了。他是一个由世界范围内100多名独立的安全专家组成的非正式组织的成员。这个组织的成员共享网络上最具破坏力的僵尸网络的规模、位置以及活动的日常资料，并利用这些信息通过隔离那些“中毒”电脑来关闭僵尸网络。他们受到网络服务提供商、电脑硬件生产商以及软件安全公司的欢迎。

　　每个早晨，诺里斯都会收到一封邮件，上面列举了控制世界上一些最具威胁力的僵尸网络的网络服务器在线地址。“大部分时候，每天我做的第一件事就是浏览这份清单，然后试着找出哪些正在使用我们公司的网络”，他边说边指向刚刚做成的一份报告，上面列举了在他公司网络上造成堵塞的前20个站点，“这些大部分是僵尸网络”。

　　诺里斯说，在收集到关于一个僵尸网络足够的证据后，他将终止这个账户，希望切断病毒制造者与中毒电脑之间的联系。诺里斯表示，大部分情况下“蠕虫大师”仅仅将其僵尸网络的控制渠道切换到另一个网络服务提供商就可以了。“其他时候这些袭击者装疯卖傻，发送有礼貌的邮件询问为什么他们的服务被关闭了”。偶尔，袭击者会在别处重建他们的网络，来报复ChangeIP.com。去年就有一个服务被终止的“蠕虫大师”与另一个“蠕虫大师”联合在ChangeIP.com上制造了一起大规模事故，导致公司近一个星期无法正常运作。

　　诺里斯表示僵尸网络问题的升级引起了美国联邦相关部门的极大注意。不久前，一位美国国家安全局官员与他联系，索取一些有关ChangeIP.com账户的记录。他也拜访了一些正在调查这个问题的FBI官员。FBI终于开始明白僵尸网络不只是一种妨碍行为，它们是一切网络犯罪的根源。

　　关闭一个僵尸网络是一件费力的工作，追踪这群处于控制终端的罪犯是一件非常具有挑战性的工作。汉克是以色列一个独立的网络安全顾问，也是上述共享僵尸网络活动情报的组织成员，他说该组织许多成员极力赞成关闭僵尸网络的控制中心。“98%的情况下，我发现一个就关闭一个。”

　　FBI网络部官员瑞格尔说，有关僵尸网络的数据对于诺里斯那样的专家来说很有价值。但瑞格尔强调，控告那些“蠕虫大师”是有难度的，因为他们的犯罪及其网络通常跨越多个大陆，这意味着要与其他国家的执法机构合作。

　　FBI从特殊技术部门调遣探员去追踪僵尸网络运营商。但是由于“蠕虫大师”的技术越来越高，形势变得十分严峻。诺里斯也担忧越来越多的“蠕虫大师”将开发新的通讯技术，“当点对点成为这些网络病毒的运作模式时，事情将失去控制，我也束手无策了。”

　　在接受记者采访前夕，0×80决定把他的谋生方式告诉父亲，这样做部分是因为隐瞒真相开始让他筋疲力尽。0×80将整个真相告诉了父亲，但没有对母亲说。他说，“我如果告诉她我竟然参与这样的事，她非疯掉不可。”

　　“我告诉父亲，我制造了一种感染电脑的网络蠕虫，然后利用别人的电脑挣钱。父亲只是摇了摇头，然后跟我说，希望你不要把自己送进了监狱，希望你做的不是未成年人的色情作品。”

　　一个问题反复出现在他的脑海中，让他内心无法平静下来。他的冷漠姿态开始无法维持，不再自嘲般的谈论被逮住送进监狱的危险，而是开始谈论放弃这个违法行当去参军。他认为这样做不但可以变得守法，而且可以给他提供一条通往大学的免费途径。他似乎在想，到军事部门从事信息技术工程工作，一个多么值得尊敬的未来啊。

　　“每月有1万美元的进账当然好啦，但毕竟不合法，而且我还有很多其他要担心的事，”0×80说，“比如，每天晚上我必须把电脑藏起来，每次只要我一天不在网上，我的手机就几乎被打爆，个个都打来问我是不是遭到FBI的突然搜查。”

　　0×80把他的想法告诉了一些网上认识的同伙，“我的一些朋友实在不想我离开，但是我必须为自己寻找一条路，利用我所知道的去做一些对自己更有利的事。”0×80说，“进了部队的话，我就有了稳定的地方，在那我可以有更好的机会去赢得一份薪水高的工作，还能做自己想做的。不管怎样我必须改变我现在的境况。”

　　本文媒体支持：Washington Post、Sandia网、Hanse网等

　　(未经许可，不得转载、摘编。）