爱华网木马产业链因免费杀毒的360推出而致成本提升,收益可能因此将减少10%,但只要有利润空间就不会轻易瓦解。 文 本刊记者 姚博海 被风格凌厉的互联网老江湖周鸿祎看上的领域注定将成为一个硝烟弥漫的战场。 当遵循着“攘外必先安内”战略的360安全卫士高举着免费大旗,开始把传统的杀毒厂商们裹挟进来,纷纷开出免费窗口和其组成统一战线之时,他们真正的敌人——木马产业者们也开始为这场战争做好了战斗的准备。 黑色的商业帝国 这是一个完全依附于现实世界的商业帝国,尽管它的名字从来不会出现在任何金融市场之中,也从不会和任何资本市场扯上关联;尽管它的构成仅仅是一些为之狂热的人群以及几台普通机器。然而,当它正在创造着1年100亿以上的财富时,它的存在就不得不引起人们的重视,这就是木马产业。 风行者(网名)是这个世界中的一员。对于真实的身份,他并不愿意透露。不过,可以肯定的是,对于他这样的老手来说,其通过木马产业所获得的财富已经远远超过了真实世界的大部分人群。“圈子里面像我这样的老手,每个月赚10万应该问题不大。”风行者说。 当然,这样的财富积累并不是身处这个产业链里所有人都可以享受到的,在这个产业链的更多人群是处于最底层的新手,而与他们共同构成这个产业链基础的最重要的一种流通品——肉鸡(被木马释放者或者黑客远程控制的电脑终端,可以是一台个人电脑,也可以是一个公司或网站甚至是政府、军队的服务器)则成为了他们介入这个世界的最好练手工具。 Abchack(网名)是这个世界中的一个新手,他每天所做的事情就是兼职抓“肉鸡”,按他的话来说,一天抓100只“鸡”不成问题,也能有百八十块的收入。在Abchack的描述中,内陆“鸡”、辽宁“鸡”、广东“鸡”、港台“鸡”和外国“鸡”价格是不等的。这是因为由于辽宁、广东的网民玩游戏的多,买这两省的肉鸡,能窃取更多虚拟货币和虚拟装备,所以价钱贵一些;而港台和国外的肉鸡价高,是因为能够盗取到比中国大陆高两倍的收益。 “一般国内肉鸡每只卖0.1元到0.4元,辽宁肉鸡卖0.5到0.8元,广东肉鸡要卖到1元钱一只,港台肉鸡3元钱一只,外国肉鸡则卖到10元到20元一只。” Abchack说。 这样的买卖让Abchack每月可以拿到3000-4000元的收入,不过,令人疑惑的是,这个市场真的可以为类似于Abchack的木马产业者们提供那么多 “肉鸡”吗?答案是肯定的。
庞大的人群基数成为了木马产业存在的基础。据业内某安全软件生产厂商负责人介绍,当前内地木马产业的专职从业人员已经有10万之多,而与之相关的产业从业人员以及兼职从业人员可能已近百万。360安全卫士总裁齐向东也曾经表示:“这个黑色产业链的总规模,2009年我们估计收入会有100亿以上。” 明晰的产业链条 尽管人数巨大,但在这个产业链中并没有所谓的一家独大,也没有所谓的某位核心领导者或者团体。它的存在更多是由无数的个人或者小团体构成的网络架构,而对于身处每个架构中的从业者来说,他们都有机会分享这个产业所带来的“成果”。 “漏洞挖掘者”们是这个架构中的发起者,他们通常由黑客阵营中的技术精英组成,其任务是不断寻找操作系统以及应用软件的安全漏洞。“现在一个0day漏洞(软件商发布安全补丁之前,被外界掌握的有关操作系统或应用软件的漏洞信息)的交易价格从数千元到数十万不等。” 风行者表示。 在漏洞被挖掘之后,“木马编写者”们成为了这个架构中的传播者。他们通常购买漏洞信息,或在漏洞公开后学习其他黑客的利用代码,从而制作各类木马产品和黑客工具,一般他们会以一个垄断性的条款出售给“包马人”,并负责售后的维护和更新,随时对杀毒软件进行“免杀”制作。 所谓“包马人”,他们主要从事木马播种,属于整个木马产业的中坚部分。一方面他们从木马作者手中购得产品,另一方面又从流量交易环节中购得网络流量,实施“挂马”后就开始从中招的用户电脑中盗取各类有价值的信息,其中以网游账号为主,再把赃物出售给虚拟财产的“套现”环节 “简单的木马程序大概一周就可以编写完成,复杂的话可能要时间长点。不过具体价格也不一样。通用的盗号木马可能要800元左右,如果是单独定做可能就需要1500元以上。当然几万元的也有。” 在风行者的描述中,“木马编写者”们收入颇丰。除了每款木马程序可以卖出不错的价格之外,购买木马程序之后,购买者还需要每月从他们手中购买木马升级补丁以用来应对杀毒软件的更新。 当然,这样可观的收益需要极其高明的技术手段来实现。对于类似于Abchack的新手们来说,他们更多充当的是名为“包马人”的角色。 “我们更多的还是弄游戏账号,这样可以出手套现更快点。敲诈这种事情很少人会去碰,毕竟存在的风险性很大。” Abchack说。 而除此之外,“流量商”和“包马人下家”同样是这个产业链不可或缺的因素。尽管他们在严格意义上来说并不直属于这个产业之中,但他们却都为这个产业而服务。 流量交易环节通常包括很多不良网站的站长,比如色情网站和一些个人网站,他们把访问者出卖给“包马人”,主动在自己网站“挂马”换取金钱;此外还有一些善于入侵“拿站”的黑客,他们也受雇于“包马人”,攻击访问量高同时安全性较差的各类网站,利用部分政府、高校、银行、证券公司、商业公司等网站的WEB漏洞,直接使用网络攻击的方法,从外部控制目标网站,把木马挂到这些网站上,使网民访问这些网站时自动下载木马,实现发行木马的目的。 而“包马人下家”这部分群体一般分为两类,一类是虚拟财产的“套现”环节,他们用一定价格收来网游账号(被称为“信封”)等赃物,然后把值钱的装备转移出来,在虚拟物品交易网站中低价出售;另一类则是一些工矿企业、互联网公司,他们使用木马投机取巧,推广自己的产品。 Abchack表示“很多高级的黑客们会组成一个工作小组,租间房子,弄几台服务器就可以了。而且,现在很多论坛和QQ群中都会有这种公开叫卖的市场。所以只要有‘肉鸡’就不用担心没生意做。” 永恒的敌人 毋庸置疑,“肉鸡”成为了这个产业链条的形成基础。而对付木马产业,显然最好的方法就是减少“肉鸡”的数量。只是,这一切看起来并非如此简单。 《2009年上半年中国互联网络发展状况统计报告》显示,中国网民使用网络安全软件的比例较高,目前有82.4%的网民在最常用的电脑中安装了安全软件。同时网民对安全软件的认知度也较高,只有5.2%网民不知道网络安全软件。然而,即使如此,仍有占总体网民的31.5%共1.1亿数量的网民在半年内遇到过账号或密码被盗的问题。 这也许成为了周鸿祎推出360安全卫士免费软件的最好理由。此前,周鸿祎曾表示,360无意中闯入了安全领域,就像光脚的不怕穿鞋的一样。不是360在砸同行们的锅,而是互联网在改变这个行业,是互联网在冲击原有的技术结构和商业模式,只有抛弃原有的20年亘古不变的技术体系结构,将广大的网民发动起来,才能将云安全的优势发挥到极致。 然而,对于免费杀毒软件的步步紧逼,木马产业者却没有想象中的那样恐慌。“360推出来之后,对我们是有影响,但绝对没有想象中那么大。” 在风行者的描述中,免费的360对他们造成的损失可能只限于收益的10%。 “一般来说,杀毒软件是通过记录使用软件里的特征码与之前的病毒库进行比较。如果发现异常,那么便会认为是木马程序。”对于风行者这样的高手来说,这样的问题很容易解决,“把木马的特征码改掉或者给木马加入一个‘壳子’就可以了。” 在风行者的描述中,除了卡巴斯基之外,其它杀毒软件都不具有十分智能的查杀系统。而即使是具有了这种系统,仍然会面对一个新的问题。“360现在也开始倾向于智能化方向,它会自动跟踪使用软件的 ‘壳子’并进行查杀。但是,这其中有一个很重要的问题,许多正规软件也会安装‘壳子’。不论卡巴斯基还是360,它们的误杀率都很高。” 不过,大多数木马从业者们还是不得不承认,免费360对他们的产业链带来了冲击。“至少在免费360之前,许多‘肉鸡’抓来是很轻松的,但现在却要费点事了。”在Abchack的介绍中,之前因为杀毒软件的价格与使用年限问题,很多电脑用户缺乏对木马防御的意识,这也导致了木马传播者们可以轻松地捕获“肉鸡”。“许多人可能会因为价格问题不去购买杀毒软件,而且即使购买了,每个杀毒软件都会有使用年限,使用年限到期之后就需要用户继续购买新版软件。对于我们来说,三天没有更新的杀毒软件基本形同虚设,所以‘肉鸡’通常都是一抓一大把。” Abchack说。 与此同时,现在对于Abchack等人来说,却不得不必须面对一个问题。由于免费360的推出,位于传播层面的木马编写者的木马程序售价已经越来越高,而为了与免费360抗衡,其维护费用也在逐渐攀升。这就导致了下游购买者与传播者的成本压力。“现在肯定还是很赚的,但是如果有一天木马编写传播的费用已经高于其所获得的利益,或者说其中的利润空间已经很小,那么这个产业就很可能会瓦解。不过,这个日子可能还有很久。” Abchack如是说。
