一个自称正当远程管理软件的木马程序造就了一个庞大的灰色产业,网络安全再敲警钟
“三尺长的大砍刀,刃上带锯齿,边上有血槽,刀柄里藏着几十发暴雨梨花针,还随刀附送淬毒所需全部材料和设备,现在贴个标拿出来卖,说自己是菜刀,你还真有才!”这是网友对灰鸽子2007版本的评价。
灰鸽子,一个自称是正当远程管理软件的木马程序,近一个月来,正在网上掀起惊涛骇浪。无数电脑成为灰鸽子控制下的“肉鸡”,QQ、网络银行、游戏等的账号、密码惨遭洗劫。
更要命的是,许多中招者浑然不觉。现在,灰鸽子的羽翼下已经形成了一个庞大的灰色产业链。
今年2月,海淀区法院审理了一起侵入别人电脑盗取对方隐私,并借机敲诈的案件。案犯李金华交代,使用了一种名为“灰鸽子”的木马程序,窃取了受害人存于电脑中的裸体照片,然后向对方敲诈14万元。在7万元已得手的情况下,李金华继续敲诈受害人。受害人不堪忍受选择报警。李金华最终获刑6年。
然而,在互联网上利用灰鸽子窃取电脑用户账号、密码、隐私的“黑客”何止李金华一人。春节后,灰鸽子开始在网上大规模肆虐,中招者无数。许多业内人士惊呼,这是一个比“熊猫烧香”厉害十倍的病毒。
灰鸽子光顾,神不知鬼不觉
“灰鸽子”的可怕之处在于,它可以在神不知鬼不觉的情况下到“被控制者电脑”上做任何事情:对文件进行复制、粘贴、删除、远程运行;上传下载文件(夹),实施远程控制命令;记录键盘操作,从而获取用户网银、游戏、股票、QQ等的账号、密码;它甚至还可以在不开灯的情况下自动打开摄像头拍摄并捕获屏幕,把用户隐私传到网络上。
跟其他病毒不同的是,灰鸽子作案后,不会在电脑上留下任何痕迹。很多人是在登录不了QQ发现自己账号密码被盗后,才意识到病毒光顾了自己的电脑。更多人是隐私被别人偷窥,自己可能还蒙在鼓里。
灰鸽子自称正当远程管理软件
然而灰鸽子这个自诞生以来就被各杀毒厂商一致喊打的木马程序,其作者“灰鸽子工作室”在软件许可中却辩称自己是远程管理软件。
今年2月21日,灰鸽子2007beta2版本发布。该版本可以对远程计算机进行如下操作:上传下载文件;查看系统信息、进程;查看操作窗口、记录键盘、修改共享、开启代理服务器、命令行操作、监视远程屏幕、操控远程语音视频设备、关闭、重启机器等。
从功能上看,该软件的确满足了远程管理的需求。问题是,作为网管,你会用它来做远程管理软件吗?记者采访了多位企业网管,他们均认为,这种软件与传统的远程控制软件有着很大区别。“哪个网管会用这种工具管理网内电脑?除非他是窥私癖,或者有其他特殊目的。”一位网管这么说。
杀毒厂商揭穿“合法说”
在灰鸽子工作室网站的二级网页上,赫然列举着“计算机信息网络国际联网安全保护管理办法”。该工作室还宣称其软件已获得国家颁布的计算机软件著作权登记证书,受著作权法保护,其首页上还标注了其聘请的法律顾问。
尽管看起来“十分合法”,但这个工作室所提供的“远程管理软件”却遭到了金山、江民、瑞星、卡巴斯基等几乎所有主流杀毒软件厂商的查杀,杀毒公司无一例外都将这种窃入用户电脑后门的木马定义为病毒。
“这是一个隐藏在超过两千万台电脑上的木马。每一台中了此木马的电脑就是控制者手里的‘肉鸡’。”金山公司总裁雷军表示,“灰鸽子”的影响力和破坏力甚至超过之前疯狂作乱的“熊猫烧香”十倍。
金山毒霸反病毒工程师李铁军进一步揭穿了灰鸽子的“合法”说。“灰鸽子服务端要大量采用进程隐藏、线程注入、重复加壳等多种病毒和木马普遍采用的技术,来隐藏自己并躲避反病毒软件查杀。灰鸽子还提供各种黑客功能如远程摄像头控制、键盘记录等,纵容使用者盗窃用户网游、网银、QQ账号及密码,偷窥个人隐私,这绝不是一个正常的远程控制软件应该有的行为。”李铁军说,正常的远程控制软件必须提供知情权,但这个软件却在安装服务端时让用户毫无察觉,其险恶用心可见一斑。
网上形成灰色产业链
更可怕的是,据反病毒厂商介绍,现在网上已形成一条灰鸽子制造传播销售的灰色产业链。有人负责软件使用培训,有人负责把病毒植入目标电脑(通常被称为“肉鸡”),有人专门贩卖肉鸡,有人专门从“肉鸡”上盗取账号、QQ号、密码,还有人专门贩卖这些非法得来的信息。
“灰鸽子俨然已形成一个地下王国。”一位反病毒厂商人士说。
探秘
地下王国“肉鸡”购销两旺
灰鸽子从2004年起连续三年荣登国内十大病毒排行榜,至今已经衍生出超过6万个变种。
探寻“灰鸽子”幕后的灰色产业链,就不能不说在互联网上影响力极大,被称为“灰鸽子”之父的灰鸽子工作室。
在其网站上,有正规的线上支付渠道、联络QQ号码以及一个无人接听的远在安徽某县的电话。这就是许多病毒、木马、黑客程序制作者一贯采用的方式———即便出了事,想立刻找到他们也不是一件容易的事。
在百度贴吧上,记者发现大量的“肉鸡”正在叫卖谈判中。所谓“肉鸡”就是已被灰鸽子病毒控制的电脑。在控制者手里,“肉鸡”就像大白菜一样被卖来卖去,低的1分钱一只,高的5元钱一只。一个兼职抓“肉鸡”的网民在论坛上写道:“一天抓100只左右,每天能有百八十块钱的收入。”他还表示在其带动下,不少朋友开始抓“肉鸡”,从“肉鸡”上盗取的QQ号码、游戏币、游戏账号等都可以通过电子商务网站交易出去。
在一些电子商务交易站点中,记者还发现“肉鸡”的卖主们通过交易网站、网络支付等正当的交易手段销售从“肉鸡”上盗窃来的QQ号码、QQ币、游戏币、名人隐私资料、私人照片、私人视频等,买卖双方的交易可谓热火朝天。一个卖家自称,“运气好”的时候,一晚上能盗取1000个QQ号码,如果按照一个卖10元钱来计算,一晚上就能赚1万元。
Alexa统计数据显示,2006年平均每天有600人购买下载“灰鸽子”控制端木马软件,而使用者每天达到数千人的规模。这样计算下来,一年约有上百万人使用过该软件,而被控制过的“肉鸡”则超过千万。
提醒
办公室炒股提防第三只眼
很多人在办公室买卖股票,或使用网银,以为企业都装了防火墙很安全,其实不然。且不说“灰鸽子”具备一些可以逃过防火墙监测的“非病毒”特征,由于大部分防火墙只针对局域网外侵袭,如果有内部好事者下载了灰鸽子,远程控制你的电脑,那么你的一切操作就会完全呈现在偷窥者面前。
目前已经出现网游玩家及银行用户被分批盗走财产的事件。
激战回放
攻击金山网站猖狂灰鸽子败阵
由于对查杀“灰鸽子”病毒最为积极,国内三大反病毒公司之一的金山成为黑客们打击报复的首要目标。3月14日晚,金山毒霸技术人员与灰鸽子幕后各地黑客展开了一场金山毒霸网站的激烈保卫战。
3月13日晚,一位自称是灰鸽子工作室成员的男子打电话给金山毒霸反病毒工程师李铁军,在劝说李铁军不成后,留下一句“请慎重考虑打击灰鸽子的后果”便挂断了电话。
3月14日晚22点,“灰鸽子”开始调动其掌控的上万台“肉鸡”构成“僵尸网络”,对金山毒霸官方网站进行疯狂攻击。20分钟后,金山毒霸的网页已非常难打开。3个小时内,金山毒霸官方网站受到上万个来自台湾、河北、北京等地的IP的集中攻击。
“对方攻击的目标很明确,就是用瞬间多次的访问拖垮服务器,导致网站瘫痪。”李铁军说,“此次报复行动规划得极其周密。攻击的电脑之间没有实际的联系,被操纵的无辜的电脑都是以秒为单位不停地切换IP。要捕获这些IP难度非常大。”网站受攻击期间,浏览金山毒霸官网的部分用户被挟持到幕后黑手指定的不法网站。金山毒霸工作人员紧急调整服务器配置,直到15日凌晨4点才使网站恢复了正常。
反病毒公司的网站遭受一两个病毒作者的挑衅性入侵并非新鲜事,但遭遇大规模黑客的集体报复性攻击在国内尚属首次。金山已向有关部门报告了案情。一些业内人士认为,金山公司总裁雷军公开发表对“灰鸽子”病毒的追杀令是“引祸上身”的导火索。
本周三,灰鸽子工作室突然发布声明:停止开发、更新和注册最新软件,并提供卸载程序,其网站链接也已经无法访问。金山公司技术人员称,灰鸽子似乎败阵投降,但该网站实际上还在继续为购买了灰鸽子病毒程序的人提供服务,灰鸽子的各种新变种仍然会继续威胁互联网安全。
缉毒
灰鸽子是不是病毒引争议
灰鸽子自身并不具备传播性,一般通过捆绑的方式进行传播,比如网页传播、邮件传播、聊天工具传播和非法软件传播,因此该病毒十分不易被杀毒软件监测到。
由于《计算机信息网络国际联网安全保护管理办法》中只规定了制造和传播病毒是违法的,对于木马、黑客程序、流氓软件等并没有清晰的界定,灰鸽子是不是病毒也在网上引起广泛争议。法律的缺失也是“灰鸽子”使用者们敢于在网上肆意敛财的原因之一。
防身支招
六大防毒利器
建议使用漏洞扫描修复功能安装系统补丁,可以使用WindowsUpdate进行修补。特别注意安装IE浏览器的补丁程序,很多灰鸽子是攻击者故意把病毒放在带漏洞攻击程序的网站上,有漏洞的机器访问这些网站就会中毒。
及时升级杀毒软件,注意检查使用的杀毒软件是否过期。
关闭所有磁盘的自动播放功能,避免插入带毒U盘、移动硬盘、数码存储卡中毒。
对朋友或陌生人发送来的可疑程序不要运行,问清楚再打开。
不要在公众场合使用网络银行,最好去银行申请U盘密钥。
由于一般企业安装的防火墙只能阻挡来自外部的侵袭,一但企业内部网络出现“非法行为”则很难控制。建议使用入侵检测系统为内网设置警报。
《变形金刚2》送票!
