从暗偷到明抢 病毒转变为机构商业犯罪工具
|
|
| 2007-2-11 15:53:49 |
人民网·天津视窗2月11日讯:在全社会对流氓软件一片喊打的声势下,大网站已经放弃了依靠流氓软件骗取点击率、Alexa排名的行为。但黑客地下产业链正在集体转战到危害性更强的疯狂“盗窃”网络财富的线路上。 2月7日,更加凶猛的“熊猫烧香”最新变种病毒纷纷被各大安全软件公司截获。同时也代表了“熊猫烧香”病毒编制者,在先期提出“罢手,不再继续这一病毒生命”的声明后,背信弃义,为利益再度出手。
瑞星反病毒工程师史瑀分析认为:“其行为(宣布停止而又再出手),说明病毒编制者心理也非常矛盾,因此我推断‘熊猫烧香’背后是一个小集团集体行为,而非独立个人行为。编制者本想停手,但受到上家压力或诱惑,只能选择将制造病毒工作继续下去。”
这也成为刚刚过去的一年中,病毒发展的规律——病毒已经从带有部分个人宣泄色彩的问题程序,完全转变为一种机构商业犯罪工具。
九成以上是网络土匪
1月31日,在瑞星发布的《2006年度中国大陆地区电脑病毒疫情&互联网安全报告》(以下简称《安全报告》)中显示,2006年截获的新病毒超过23万个,数量几乎相当于过往数十年计算机历史上产生的病毒数量总和。而且如此多的新病毒的突出特点是,90%以上带有明显的利益特征,有窃取个人资料、各种账号密码等行为。且在2006年危害性最强的十大病毒中,九个属于盗窃为目的病毒。
2006年诞生了第一个勒索型病毒,病毒控制者会通过远程操作方式将个人用户单机文件加密,而后通过各种联络手段找到被感染用户,要求其交出一定赎资换取破解密码。“这已经和刑事犯罪没有了任何区别。”史瑀表示。
病毒编制完全趋利是另外一个突出表现。出现如此多的病毒,大部分并非技术上有创新的作品,而是通过拼凑出来的变种产品,病毒质量明显下降。“盗亦有道。”史瑀表示:“过去的病毒编制者,大部分只是展现自己的软件水平即可。”像CIH作者台湾陈盈豪那样,以破坏为目的只是极少数。而且如小说中武林用毒高手,研制病毒的同时制造相克制的解药。“即:病毒编制者大部分为恢复数据做了良好的准备。”
但2006年爆发的病毒一个突出的表现就是编制者越来越不讲道行。有网络安全专家直言:只做粗制滥造的毒,而根本就没想过解药的事情。
这给杀毒软件企业造成了相当大的麻烦。就如同放置了一枚枚劣质炸弹一样。病毒程序本身存在大量BUG,对数据文件产生大量不可逆转的毁坏。
“熊猫烧香”打破黑色产业的沉默
《安全报告》同时指出:病毒另一大发展趋势,开始从“暗偷”转为“明抢”。“熊猫烧香”是一个突出的表现,它打破了一个黑色产业的沉默。
“熊猫烧香”在窃取网络财富的同时,这个病毒将感染者的EXE文件图标全部改成QQ的图标之一“熊猫烧香”,让所有的中毒者一目了然地察觉到。
史瑀分析:或许这只是病毒编制者的一个病毒程序的失误而已,无意中调用了QQ的某个图标。但后来他没有去改正,这表明他的心理意识上,将病毒盗窃从暗偷发展到了明抢的地步。他已经不在乎公众发现,这让人们相当心寒。
对此,一位网络安全专家直言:如此嚣张也是对整个“网络社会”的一次讽刺和嘲弄。他认为:目前中国脆弱的网络监察安全体系令人担忧。该人士认为:“从理论上,通过种种痕迹,可以最终找出大量病毒的幕后操手,但历次病毒泛滥,最终由于各种原因,大事化小,小事化了。而就是这种情况使得病毒编制者有恃无恐。”
再发展下去,不光是软件的问题了,完全依靠杀毒软件对抗愈演愈烈的盗窃型病毒已经如杯水车薪。目前急需一次标志性的事件来给网络病毒编制者一次震慑,例如成功抓获一些违法者等等。
其实,通过对病毒获利的产业链环节加强管理,完全可以抑制事态发展。
以“熊猫烧香”为例,它属于典型的波特类病毒,其病毒机理是在感染者的机器中,种植一个很小的下载器,其下载目标根据特定网站提供的下载列表操纵。病毒播种者播种时,没有明确的目的,而在后期拿到有商业目的的订单后,启动下载列表来达到不可告人的目的。
下载列表所在的网站是一个侦破方向。因为每一个网站域名持有者在注册机构是有登记的。但现在问题是很多登记是假的,域名注册机构从营销发展业绩的角度出发,不论身份证件真假,交付几十元的年费就可以得到域名。“此外波特类病毒常常盗用域名,而更多的域名来自海外,国内网络监察机构管理更加困难。”史瑀介绍:“针对域名管理上的加强管理有助于网络安全的建设。”
此外,从销赃环节严把,也有机会剿灭类似犯罪现象。“这和城市自行车盗窃现象一样,有图便宜买的,就教唆了别人去偷。”上述网络安全专家表示:“目前各类网游装备交易网站大量的出现,以及在广大学生群体中日渐热炒的QQ太阳标事件都在助长盗窃的发生。”
只有监察机构能从“产、销”两个环节真正管理起来,打掉一批黑客,才有可能对这种黑色产业有所遏制。(窦毅)
|
|
|
|
热线电话:
022-23620022
报料邮箱:
 |
|
|
