病毒產業的集團化發展現狀淺析

賈建忠

烏魯木齊職業大學 新疆 830001

0 前言

近年來，隨著網絡安全技術的發展，單打獨斗、不具升級和不斷變種能力的病毒失去了生存空間。而中國電子商務領域的蓬勃發展和每年接近于 8000億元的網絡在線交易量為計算機惡意程序、病毒的發展帶來了新的機遇。以攫取非法所得和經濟回報為目的，病毒產業進入了一個目標一致、分工明確、計劃周密的精細化發展階段。集團化運作成為了這個發展階段的一個重要特征。

1 病毒產業集團化運作的現狀

1.1 以攫取非法利潤為目標

從病毒集團的技術能力角度來看，其實他們具有更大的獲利能力和破壞力，但為了長期獲利，避免受到嚴厲打擊，利用病毒大范圍強制廣告推廣、惡意流量劫持等手段為其現階段的主要獲利方式，且以這種方式收益，在與雇主結算時具有一定的結果合法性因素。而針對網銀、股票、網購等盜號木馬的傳播和獲益，病毒集團首腦還是有一定的顧忌的，畢竟這類盜號木馬能夠給用戶帶來巨大的經濟損失，雖然短期獲益巨大但后患無窮，故此類病毒或木馬的傳播范圍受到病毒集團的控制。針對電子商務領域直接盜取用戶資金的犯罪還沒有發展成為病毒集團最主要的收入來源。但，值得注意的是，隨著網絡購物方式的普及，資金盜取行為也產生了明顯的抬頭傾向。

1.2 主要侵害方式和獲利手段

病毒集團的侵害手段和獲利方式主要有：(1)通過惡意修改，在用戶的桌面生成某網站的快捷方式騙取點擊、鎖定瀏覽器主頁為某網站、修改瀏覽器收藏夾、導航條等，以賺取網站流量分成；(2)通過病毒或流氓代碼在用戶瀏覽器或顯示屏右下角強制彈出廣告窗口，賺取廣告流量費用；通常每千臺計算機彈出廣告可獲利6-7元；(3)引誘導航網站合作，提供病毒幫助導航網站提高流量，參與廣告分成；(4)通過病毒使用流氓手段推廣合作廠商的軟件產品，在軟件中插入木馬等，即賺取推廣費又可帶來進一步侵害獲利；(5)制作釣魚網站，誘騙用戶輸入重要賬戶、密碼信息，直接盜取用戶資金；(6)制作、分發盜號木馬盜取用戶資金及其它重要信息。

病毒集團的獲利方法和侵害手段是原先病毒從業者的集大成者。不同于后者的是病毒集團掌控了大量的網站資源可以獲得穩定的流量分成收益，故廣告推廣類的惡意代碼為目前病毒集團的主要武器。病毒集團通常推出一些以搶流量為目的的危害并不是很大的病毒降低自身的風險獲得穩定的收益。由于病毒集團通常擁有大量的國內外服務器、域名、IP地址資源，故對于釣魚網站和針對網絡購物的惡性木馬采取自產自銷的經營模式。即從編寫病毒及變種、傳播、提現一條龍自給式經營，而通常不會將其中的某個環節的控制權以合作的模式交出去，提高自身的風險性。如：對某種木馬及變種的壟斷控制，不會以出售的方式將木馬控制端交給別的組織。

1.3 病毒集團自我保護的方法

病毒集團對于逃避網絡監管部門和公安部門的打擊富有經驗。主要手段有三個：

(1) 低調從事

從其獲利模式上來講，主要從那些危害不大的灰色病毒及流氓軟件中獲益。這種做法不易引起巨大的社會反響和有關部門的強力追查。即使受到調查，因危害小也難以傷其元氣。且如果不直接盜取用戶的資金、散布重要商業信息、破壞網站的運營，從法律的角度來講，難以追究其責任。病毒集團的決策者深知殺毒軟件廠商可以殺滅其病毒及變種，但后者通常并沒有義務去深挖病毒來源，分析其幕后背景，而相關執法部門又缺乏大量的數據支持和專業技術手段，故其發展策略在于擴大對網絡資源的控制，以合法的推廣業務輔以暗中惡意代碼的手段積少成多，穩定收益。在這種情況下，從個案入手追查，難以窺其全貌并施加嚴厲打擊。

(2) 狡兔三窟

病毒集團的另一個有效手段是不斷變換IP和域名，一些發展成熟的病毒集團甚至可以每天變換IP地址一次以上。他們通常將釣魚網站服務器架設在境外并在境外申請不需要提供實名登記的域名和IP，對于木馬控制端也是如此操作。通過互聯網將盜取或詐騙來的賬戶、密碼信息發至境外的服務器，在境內由專人迅速提取現款，使得追查和打擊困難重重。

(3) 注重身份隱藏

病毒集團招募的從業人員從個人的角度很難發現這個集團的存在，他們通常只知道自己的上級雇主，而難以得知整體經營情況和組織架構，而組織的高層通常具有合法的互聯網業務和身份做掩護。

2 如何遏制病毒集團的發展

2.1 要拓寬互聯網企業的出路

目前的互聯網企業經營模式主要以廣告流量服務和訂制服務獲益。而網絡上大量的服務和應用軟件是免費這種無償提供的。模式造成掙錢的企業少、賠錢的多。為了獲利維持網站尤其是中小網站的運營，很多網站的管理者不得不參加某些廣告聯盟或和某些有灰色業務的實體合作將網站中某些發布、控制權交由對方操控，以提高自己的訪問量獲取流量收益。而病毒集團此時會偷偷的乘虛而入，在網站上做手腳。在移動互聯業務方面，因為對手機用戶發送廣告其效果和隱蔽性差，移動互聯 SP服務提供商更加難以從正規渠道獲益。故應該拓寬互聯網企業正常獲益的渠道。作為普通用戶也應該明白，適當的費用支出以維護互聯網內容的安全性和互聯網無害服務提供的持續性是值得的。如：蘋果的iTunes Store就是一個很好的收費平臺，雖然很多軟件收取一點費用，但是維護了服務提供商的良性運轉，并且使得用戶的移動設備安全性得到很好的保護。蘋果智能終端操作系統幾乎沒有受到病毒的侵擾。互聯網企業有了正常的生財之道，就不會給或者少給病毒集團生存空間，也會自覺維護運營環境。

2.2 各方全力配合形成合力

針對病毒集團的種種自我保護措施，要遏制其發展勢頭，單打獨斗難以取得收效，必須由工信部或公安部等牽頭，集網絡運營商、殺毒軟件廠商、有影響力的電子商務網站、網絡支付平臺等協力合作才可給其以有效打擊。國內的三大網絡運營商對于網絡基礎架構安全具有不可推卸的責任，可與殺毒廠商合作追蹤毒源，屬于同一個病毒集團的特定病毒攻擊一般會在某個時刻多點同時發起，并且其服務器地址分布也有跡可查。網絡運營商可在殺毒廠商的技術、數據支持下有效封殺毒源IP。殺毒軟件廠商可為電子商務網站及網絡支付平臺提供鑒別釣魚網站及其它惡意網站的數據統計資料，并提供安全解決方案或訂制的網購防護軟件產品。殺毒軟件廠商之間也可通力合作，凝聚技術力量，為普通互聯網用戶提供惡意網址及域名識別的通用資料庫及軟件。司法部門和有關部委可牽頭組織、協調各方的行動和合作，并且獲取所需的技術服務、證據支持。

2.3 用戶自己的警惕心和常識

作為一個沒有專門知識的普通用戶，避免病毒侵害應該具備必要的警惕意識和常識。2010年以來，針對網銀和網上支付系統的盜取活動日益猖獗。一些病毒集團成員常在購物網站或網上店鋪設置病毒鏈接陷阱，一不小心就可能進入一個虛假的支付頁面，將自己的賬號信息拱手相送。有時他們還采取一對一的方式誘騙用戶瀏覽或點擊某些內容，暗中傳送木馬，轉移用戶賬戶資金。還有一些病毒集團所控制的釣魚網站其內容可以亂真，使得普通用戶無法識別，造成重大損失。在互聯網上規避風險一般人是可以做到的，重要幾點如下：①并不是裝了殺毒軟件和防火墻就是百分之百安全的，少去那些不健康的、不斷彈出廣告的、訪問量小的網站。②在淘寶、阿里巴巴等網站購物時，首先記住該網站在瀏覽器地址欄中的域名信息及支付寶等第三方支付平臺的域名，進入支付頁面請對照是否有異常。③如果你懷疑某個網站是否假冒的，可在知名的搜索引擎網站搜索“域名查詢”，找到域名查詢網站后輸入待查網站的域名信息，可核實該域名的注冊實體、法人等信息。④如果想追查某個網站來源，也可打開命令行工具，使用Ping域名的方式獲知網站的IP地址，然后進行IP地址查詢，確定其服務器地址是否在國外。⑤凡是自行彈出的中獎信息窗體，幾乎全部是騙子所為，如果按照其指引一步步操作下去，會有麻煩。⑥沒有專門的知識和防護，盡量避免手機支付，特別是智能手機和普通PC機一樣也存在盜號木馬。

2.4 我們不能總是被動接招

目前，對于網絡病毒主要采取殺毒軟件和各種安全防護措施的被動查殺模式。殺毒措施總是遲于病毒一個相對的時間，而此時第一波侵害通常也是最重的危險期已經過去了，而且人們對于病毒的關注總是與其所造成的危害成正比的。如果不能主動的破壞病毒傳播網絡，則防護措施做得再好也只是做到了亡羊補牢，費心費力。因此，對于病毒產業鏈尤其是病毒集團應該采取追本溯源的策略，遏制其發展。可行的做法是，依靠各安全廠商廣泛收集病毒攻擊相關資料并加以分析，如：某個病毒及其變種發展過程中其侵害的范圍和源頭追尋，如果發現該病毒最初出現時主要傳播的幾個網站及盜號控制端的 IP等信息并不斷關注其傳播范圍擴大過程中的一些信息要素，就可為司法部門破獲幕后非法組織提供有力線索。成氣候的病毒集團在技術防范上更加狡猾，主動追查其在互聯網上活動的蛛絲馬跡有賴于各技術部門攜手合力。對于租用境外服務器進行違法活動的組織，應努力搜集證據，加強國際網絡安全合作，力求掃清安全死角。

此外，還因重視對那些危害相對較小的流氓軟件的傳播渠道進行分析和信息收集。因為搶流量的業務是病毒集團穩定獲利的主要渠道，也是其在自我保護方面容易疏漏的一點，在這方面加強溯源可能會收到事半功倍的效果。

2.5 法律條款應重新界定計算機病毒及破壞性程序

2000年4月公安部頒布實施的《計算機病毒防治管理辦法》、1994年2月國務院頒布的《計算機信息系統安全保護條例》中對計算機病毒的定義是：計算機病毒，是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數據，影響計算機使用，并能自我復制的一組計算機指令或者程序代碼。此定義中的病毒的特征及破壞作用已經不能體現當前惡意程序發展的趨勢。其中的自我復制性將當前很多惡意程序界定在外。再如木馬程序及其它一些盜取信息、竊取資財的惡意程序多數不破壞計算機的使用功能也不毀壞數據。僅針對上述定義的計算機病毒進行立法或實施某些條例具有很大局限性。2011年9月最高人民法院、檢察院聯合發布的《關于辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋》中，為適應當前計算機領域犯罪的新形勢，對于利用木馬、僵尸網絡、釣魚網站等進行的犯罪在刑法中適用的條款進行了進一步的解釋，并用計算機病毒等破壞性程序作為犯罪工具的主體名稱。可以預見，隨著網絡犯罪形式的不斷豐富，法律層面的修訂和補充解釋必不可少。

如果在刑法中重新界定計算機病毒及破壞性程序，顯然有利于解決病毒集團“鉆空子”的行為。病毒集團很多謀利手段是“灰色的”，針對受侵害的個體來講危害不大，但其實施的范圍廣、能夠持續性非法獲利。如：搶流量、強制廣告等行為，嚴重影響了互聯網業務的健康發展和用戶體驗。應加強對其“流氓”行為的司法解釋。而刑法中“計算機病毒等破壞性程序”的說法值得斟酌，首先，計算機病毒不一定是以破壞性為目的的，其次“破壞性程序”僅是惡意程序中的一種類型。目前業界還出現了“軟性病毒”、“中性病毒”、“流氓軟件”等提法。以上情況表明從法律角度對計算機病毒及其特征進行重新界定，使其適應網絡安全形勢的新發展并成為違法行為軟件代碼的一個統稱十分有必要。

[1]李琦.互聯網病毒集團幽靈難驅.IT時代周刊[J].2011.

[2]段郴群.中國十大病毒集團曝光.揭秘五大非法獲利手段[N].廣州日報.2011.

[3]喻海松.關于辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋的理解與適用[J].人民司法.2011.