病毒產(chǎn)業(yè)的集團(tuán)化發(fā)展現(xiàn)狀淺析

賈建忠

烏魯木齊職業(yè)大學(xué) 新疆 830001

0 前言

近年來(lái)，隨著網(wǎng)絡(luò)安全技術(shù)的發(fā)展，單打獨(dú)斗、不具升級(jí)和不斷變種能力的病毒失去了生存空間。而中國(guó)電子商務(wù)領(lǐng)域的蓬勃發(fā)展和每年接近于 8000億元的網(wǎng)絡(luò)在線交易量為計(jì)算機(jī)惡意程序、病毒的發(fā)展帶來(lái)了新的機(jī)遇。以攫取非法所得和經(jīng)濟(jì)回報(bào)為目的，病毒產(chǎn)業(yè)進(jìn)入了一個(gè)目標(biāo)一致、分工明確、計(jì)劃周密的精細(xì)化發(fā)展階段。集團(tuán)化運(yùn)作成為了這個(gè)發(fā)展階段的一個(gè)重要特征。

1 病毒產(chǎn)業(yè)集團(tuán)化運(yùn)作的現(xiàn)狀

1.1 以攫取非法利潤(rùn)為目標(biāo)

從病毒集團(tuán)的技術(shù)能力角度來(lái)看，其實(shí)他們具有更大的獲利能力和破壞力，但為了長(zhǎng)期獲利，避免受到嚴(yán)厲打擊，利用病毒大范圍強(qiáng)制廣告推廣、惡意流量劫持等手段為其現(xiàn)階段的主要獲利方式，且以這種方式收益，在與雇主結(jié)算時(shí)具有一定的結(jié)果合法性因素。而針對(duì)網(wǎng)銀、股票、網(wǎng)購(gòu)等盜號(hào)木馬的傳播和獲益，病毒集團(tuán)首腦還是有一定的顧忌的，畢竟這類(lèi)盜號(hào)木馬能夠給用戶(hù)帶來(lái)巨大的經(jīng)濟(jì)損失，雖然短期獲益巨大但后患無(wú)窮，故此類(lèi)病毒或木馬的傳播范圍受到病毒集團(tuán)的控制。針對(duì)電子商務(wù)領(lǐng)域直接盜取用戶(hù)資金的犯罪還沒(méi)有發(fā)展成為病毒集團(tuán)最主要的收入來(lái)源。但，值得注意的是，隨著網(wǎng)絡(luò)購(gòu)物方式的普及，資金盜取行為也產(chǎn)生了明顯的抬頭傾向。

1.2 主要侵害方式和獲利手段

病毒集團(tuán)的侵害手段和獲利方式主要有：(1)通過(guò)惡意修改，在用戶(hù)的桌面生成某網(wǎng)站的快捷方式騙取點(diǎn)擊、鎖定瀏覽器主頁(yè)為某網(wǎng)站、修改瀏覽器收藏夾、導(dǎo)航條等，以賺取網(wǎng)站流量分成；(2)通過(guò)病毒或流氓代碼在用戶(hù)瀏覽器或顯示屏右下角強(qiáng)制彈出廣告窗口，賺取廣告流量費(fèi)用；通常每千臺(tái)計(jì)算機(jī)彈出廣告可獲利6-7元；(3)引誘導(dǎo)航網(wǎng)站合作，提供病毒幫助導(dǎo)航網(wǎng)站提高流量，參與廣告分成；(4)通過(guò)病毒使用流氓手段推廣合作廠商的軟件產(chǎn)品，在軟件中插入木馬等，即賺取推廣費(fèi)又可帶來(lái)進(jìn)一步侵害獲利；(5)制作釣魚(yú)網(wǎng)站，誘騙用戶(hù)輸入重要賬戶(hù)、密碼信息，直接盜取用戶(hù)資金；(6)制作、分發(fā)盜號(hào)木馬盜取用戶(hù)資金及其它重要信息。

病毒集團(tuán)的獲利方法和侵害手段是原先病毒從業(yè)者的集大成者。不同于后者的是病毒集團(tuán)掌控了大量的網(wǎng)站資源可以獲得穩(wěn)定的流量分成收益，故廣告推廣類(lèi)的惡意代碼為目前病毒集團(tuán)的主要武器。病毒集團(tuán)通常推出一些以搶流量為目的的危害并不是很大的病毒降低自身的風(fēng)險(xiǎn)獲得穩(wěn)定的收益。由于病毒集團(tuán)通常擁有大量的國(guó)內(nèi)外服務(wù)器、域名、IP地址資源，故對(duì)于釣魚(yú)網(wǎng)站和針對(duì)網(wǎng)絡(luò)購(gòu)物的惡性木馬采取自產(chǎn)自銷(xiāo)的經(jīng)營(yíng)模式。即從編寫(xiě)病毒及變種、傳播、提現(xiàn)一條龍自給式經(jīng)營(yíng)，而通常不會(huì)將其中的某個(gè)環(huán)節(jié)的控制權(quán)以合作的模式交出去，提高自身的風(fēng)險(xiǎn)性。如：對(duì)某種木馬及變種的壟斷控制，不會(huì)以出售的方式將木馬控制端交給別的組織。

1.3 病毒集團(tuán)自我保護(hù)的方法

病毒集團(tuán)對(duì)于逃避網(wǎng)絡(luò)監(jiān)管部門(mén)和公安部門(mén)的打擊富有經(jīng)驗(yàn)。主要手段有三個(gè)：

(1) 低調(diào)從事

從其獲利模式上來(lái)講，主要從那些危害不大的灰色病毒及流氓軟件中獲益。這種做法不易引起巨大的社會(huì)反響和有關(guān)部門(mén)的強(qiáng)力追查。即使受到調(diào)查，因危害小也難以傷其元?dú)狻Ｇ胰绻恢苯颖I取用戶(hù)的資金、散布重要商業(yè)信息、破壞網(wǎng)站的運(yùn)營(yíng)，從法律的角度來(lái)講，難以追究其責(zé)任。病毒集團(tuán)的決策者深知?dú)⒍拒浖S商可以殺滅其病毒及變種，但后者通常并沒(méi)有義務(wù)去深挖病毒來(lái)源，分析其幕后背景，而相關(guān)執(zhí)法部門(mén)又缺乏大量的數(shù)據(jù)支持和專(zhuān)業(yè)技術(shù)手段，故其發(fā)展策略在于擴(kuò)大對(duì)網(wǎng)絡(luò)資源的控制，以合法的推廣業(yè)務(wù)輔以暗中惡意代碼的手段積少成多，穩(wěn)定收益。在這種情況下，從個(gè)案入手追查，難以窺其全貌并施加嚴(yán)厲打擊。

(2) 狡兔三窟

病毒集團(tuán)的另一個(gè)有效手段是不斷變換IP和域名，一些發(fā)展成熟的病毒集團(tuán)甚至可以每天變換IP地址一次以上。他們通常將釣魚(yú)網(wǎng)站服務(wù)器架設(shè)在境外并在境外申請(qǐng)不需要提供實(shí)名登記的域名和IP，對(duì)于木馬控制端也是如此操作。通過(guò)互聯(lián)網(wǎng)將盜取或詐騙來(lái)的賬戶(hù)、密碼信息發(fā)至境外的服務(wù)器，在境內(nèi)由專(zhuān)人迅速提取現(xiàn)款，使得追查和打擊困難重重。

(3) 注重身份隱藏

病毒集團(tuán)招募的從業(yè)人員從個(gè)人的角度很難發(fā)現(xiàn)這個(gè)集團(tuán)的存在，他們通常只知道自己的上級(jí)雇主，而難以得知整體經(jīng)營(yíng)情況和組織架構(gòu)，而組織的高層通常具有合法的互聯(lián)網(wǎng)業(yè)務(wù)和身份做掩護(hù)。

2 如何遏制病毒集團(tuán)的發(fā)展

2.1 要拓寬互聯(lián)網(wǎng)企業(yè)的出路

目前的互聯(lián)網(wǎng)企業(yè)經(jīng)營(yíng)模式主要以廣告流量服務(wù)和訂制服務(wù)獲益。而網(wǎng)絡(luò)上大量的服務(wù)和應(yīng)用軟件是免費(fèi)這種無(wú)償提供的。模式造成掙錢(qián)的企業(yè)少、賠錢(qián)的多。為了獲利維持網(wǎng)站尤其是中小網(wǎng)站的運(yùn)營(yíng)，很多網(wǎng)站的管理者不得不參加某些廣告聯(lián)盟或和某些有灰色業(yè)務(wù)的實(shí)體合作將網(wǎng)站中某些發(fā)布、控制權(quán)交由對(duì)方操控，以提高自己的訪問(wèn)量獲取流量收益。而病毒集團(tuán)此時(shí)會(huì)偷偷的乘虛而入，在網(wǎng)站上做手腳。在移動(dòng)互聯(lián)業(yè)務(wù)方面，因?yàn)閷?duì)手機(jī)用戶(hù)發(fā)送廣告其效果和隱蔽性差，移動(dòng)互聯(lián) SP服務(wù)提供商更加難以從正規(guī)渠道獲益。故應(yīng)該拓寬互聯(lián)網(wǎng)企業(yè)正常獲益的渠道。作為普通用戶(hù)也應(yīng)該明白，適當(dāng)?shù)馁M(fèi)用支出以維護(hù)互聯(lián)網(wǎng)內(nèi)容的安全性和互聯(lián)網(wǎng)無(wú)害服務(wù)提供的持續(xù)性是值得的。如：蘋(píng)果的iTunes Store就是一個(gè)很好的收費(fèi)平臺(tái)，雖然很多軟件收取一點(diǎn)費(fèi)用，但是維護(hù)了服務(wù)提供商的良性運(yùn)轉(zhuǎn)，并且使得用戶(hù)的移動(dòng)設(shè)備安全性得到很好的保護(hù)。蘋(píng)果智能終端操作系統(tǒng)幾乎沒(méi)有受到病毒的侵?jǐn)_。互聯(lián)網(wǎng)企業(yè)有了正常的生財(cái)之道，就不會(huì)給或者少給病毒集團(tuán)生存空間，也會(huì)自覺(jué)維護(hù)運(yùn)營(yíng)環(huán)境。

2.2 各方全力配合形成合力

針對(duì)病毒集團(tuán)的種種自我保護(hù)措施，要遏制其發(fā)展勢(shì)頭，單打獨(dú)斗難以取得收效，必須由工信部或公安部等牽頭，集網(wǎng)絡(luò)運(yùn)營(yíng)商、殺毒軟件廠商、有影響力的電子商務(wù)網(wǎng)站、網(wǎng)絡(luò)支付平臺(tái)等協(xié)力合作才可給其以有效打擊。國(guó)內(nèi)的三大網(wǎng)絡(luò)運(yùn)營(yíng)商對(duì)于網(wǎng)絡(luò)基礎(chǔ)架構(gòu)安全具有不可推卸的責(zé)任，可與殺毒廠商合作追蹤毒源，屬于同一個(gè)病毒集團(tuán)的特定病毒攻擊一般會(huì)在某個(gè)時(shí)刻多點(diǎn)同時(shí)發(fā)起，并且其服務(wù)器地址分布也有跡可查。網(wǎng)絡(luò)運(yùn)營(yíng)商可在殺毒廠商的技術(shù)、數(shù)據(jù)支持下有效封殺毒源IP。殺毒軟件廠商可為電子商務(wù)網(wǎng)站及網(wǎng)絡(luò)支付平臺(tái)提供鑒別釣魚(yú)網(wǎng)站及其它惡意網(wǎng)站的數(shù)據(jù)統(tǒng)計(jì)資料，并提供安全解決方案或訂制的網(wǎng)購(gòu)防護(hù)軟件產(chǎn)品。殺毒軟件廠商之間也可通力合作，凝聚技術(shù)力量，為普通互聯(lián)網(wǎng)用戶(hù)提供惡意網(wǎng)址及域名識(shí)別的通用資料庫(kù)及軟件。司法部門(mén)和有關(guān)部委可牽頭組織、協(xié)調(diào)各方的行動(dòng)和合作，并且獲取所需的技術(shù)服務(wù)、證據(jù)支持。

2.3 用戶(hù)自己的警惕心和常識(shí)

作為一個(gè)沒(méi)有專(zhuān)門(mén)知識(shí)的普通用戶(hù)，避免病毒侵害應(yīng)該具備必要的警惕意識(shí)和常識(shí)。2010年以來(lái)，針對(duì)網(wǎng)銀和網(wǎng)上支付系統(tǒng)的盜取活動(dòng)日益猖獗。一些病毒集團(tuán)成員常在購(gòu)物網(wǎng)站或網(wǎng)上店鋪設(shè)置病毒鏈接陷阱，一不小心就可能進(jìn)入一個(gè)虛假的支付頁(yè)面，將自己的賬號(hào)信息拱手相送。有時(shí)他們還采取一對(duì)一的方式誘騙用戶(hù)瀏覽或點(diǎn)擊某些內(nèi)容，暗中傳送木馬，轉(zhuǎn)移用戶(hù)賬戶(hù)資金。還有一些病毒集團(tuán)所控制的釣魚(yú)網(wǎng)站其內(nèi)容可以亂真，使得普通用戶(hù)無(wú)法識(shí)別，造成重大損失。在互聯(lián)網(wǎng)上規(guī)避風(fēng)險(xiǎn)一般人是可以做到的，重要幾點(diǎn)如下：①并不是裝了殺毒軟件和防火墻就是百分之百安全的，少去那些不健康的、不斷彈出廣告的、訪問(wèn)量小的網(wǎng)站。②在淘寶、阿里巴巴等網(wǎng)站購(gòu)物時(shí)，首先記住該網(wǎng)站在瀏覽器地址欄中的域名信息及支付寶等第三方支付平臺(tái)的域名，進(jìn)入支付頁(yè)面請(qǐng)對(duì)照是否有異常。③如果你懷疑某個(gè)網(wǎng)站是否假冒的，可在知名的搜索引擎網(wǎng)站搜索“域名查詢(xún)”，找到域名查詢(xún)網(wǎng)站后輸入待查網(wǎng)站的域名信息，可核實(shí)該域名的注冊(cè)實(shí)體、法人等信息。④如果想追查某個(gè)網(wǎng)站來(lái)源，也可打開(kāi)命令行工具，使用Ping域名的方式獲知網(wǎng)站的IP地址，然后進(jìn)行IP地址查詢(xún)，確定其服務(wù)器地址是否在國(guó)外。⑤凡是自行彈出的中獎(jiǎng)信息窗體，幾乎全部是騙子所為，如果按照其指引一步步操作下去，會(huì)有麻煩。⑥沒(méi)有專(zhuān)門(mén)的知識(shí)和防護(hù)，盡量避免手機(jī)支付，特別是智能手機(jī)和普通PC機(jī)一樣也存在盜號(hào)木馬。

2.4 我們不能總是被動(dòng)接招

目前，對(duì)于網(wǎng)絡(luò)病毒主要采取殺毒軟件和各種安全防護(hù)措施的被動(dòng)查殺模式。殺毒措施總是遲于病毒一個(gè)相對(duì)的時(shí)間，而此時(shí)第一波侵害通常也是最重的危險(xiǎn)期已經(jīng)過(guò)去了，而且人們對(duì)于病毒的關(guān)注總是與其所造成的危害成正比的。如果不能主動(dòng)的破壞病毒傳播網(wǎng)絡(luò)，則防護(hù)措施做得再好也只是做到了亡羊補(bǔ)牢，費(fèi)心費(fèi)力。因此，對(duì)于病毒產(chǎn)業(yè)鏈尤其是病毒集團(tuán)應(yīng)該采取追本溯源的策略，遏制其發(fā)展。可行的做法是，依靠各安全廠商廣泛收集病毒攻擊相關(guān)資料并加以分析，如：某個(gè)病毒及其變種發(fā)展過(guò)程中其侵害的范圍和源頭追尋，如果發(fā)現(xiàn)該病毒最初出現(xiàn)時(shí)主要傳播的幾個(gè)網(wǎng)站及盜號(hào)控制端的 IP等信息并不斷關(guān)注其傳播范圍擴(kuò)大過(guò)程中的一些信息要素，就可為司法部門(mén)破獲幕后非法組織提供有力線索。成氣候的病毒集團(tuán)在技術(shù)防范上更加狡猾，主動(dòng)追查其在互聯(lián)網(wǎng)上活動(dòng)的蛛絲馬跡有賴(lài)于各技術(shù)部門(mén)攜手合力。對(duì)于租用境外服務(wù)器進(jìn)行違法活動(dòng)的組織，應(yīng)努力搜集證據(jù)，加強(qiáng)國(guó)際網(wǎng)絡(luò)安全合作，力求掃清安全死角。

此外，還因重視對(duì)那些危害相對(duì)較小的流氓軟件的傳播渠道進(jìn)行分析和信息收集。因?yàn)閾屃髁康臉I(yè)務(wù)是病毒集團(tuán)穩(wěn)定獲利的主要渠道，也是其在自我保護(hù)方面容易疏漏的一點(diǎn)，在這方面加強(qiáng)溯源可能會(huì)收到事半功倍的效果。

2.5 法律條款應(yīng)重新界定計(jì)算機(jī)病毒及破壞性程序

2000年4月公安部頒布實(shí)施的《計(jì)算機(jī)病毒防治管理辦法》、1994年2月國(guó)務(wù)院頒布的《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》中對(duì)計(jì)算機(jī)病毒的定義是：計(jì)算機(jī)病毒，是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。此定義中的病毒的特征及破壞作用已經(jīng)不能體現(xiàn)當(dāng)前惡意程序發(fā)展的趨勢(shì)。其中的自我復(fù)制性將當(dāng)前很多惡意程序界定在外。再如木馬程序及其它一些盜取信息、竊取資財(cái)?shù)膼阂獬绦蚨鄶?shù)不破壞計(jì)算機(jī)的使用功能也不毀壞數(shù)據(jù)。僅針對(duì)上述定義的計(jì)算機(jī)病毒進(jìn)行立法或?qū)嵤┠承l例具有很大局限性。2011年9月最高人民法院、檢察院聯(lián)合發(fā)布的《關(guān)于辦理危害計(jì)算機(jī)信息系統(tǒng)安全刑事案件應(yīng)用法律若干問(wèn)題的解釋》中，為適應(yīng)當(dāng)前計(jì)算機(jī)領(lǐng)域犯罪的新形勢(shì)，對(duì)于利用木馬、僵尸網(wǎng)絡(luò)、釣魚(yú)網(wǎng)站等進(jìn)行的犯罪在刑法中適用的條款進(jìn)行了進(jìn)一步的解釋?zhuān)⒂糜?jì)算機(jī)病毒等破壞性程序作為犯罪工具的主體名稱(chēng)。可以預(yù)見(jiàn)，隨著網(wǎng)絡(luò)犯罪形式的不斷豐富，法律層面的修訂和補(bǔ)充解釋必不可少。

如果在刑法中重新界定計(jì)算機(jī)病毒及破壞性程序，顯然有利于解決病毒集團(tuán)“鉆空子”的行為。病毒集團(tuán)很多謀利手段是“灰色的”，針對(duì)受侵害的個(gè)體來(lái)講危害不大，但其實(shí)施的范圍廣、能夠持續(xù)性非法獲利。如：搶流量、強(qiáng)制廣告等行為，嚴(yán)重影響了互聯(lián)網(wǎng)業(yè)務(wù)的健康發(fā)展和用戶(hù)體驗(yàn)。應(yīng)加強(qiáng)對(duì)其“流氓”行為的司法解釋。而刑法中“計(jì)算機(jī)病毒等破壞性程序”的說(shuō)法值得斟酌，首先，計(jì)算機(jī)病毒不一定是以破壞性為目的的，其次“破壞性程序”僅是惡意程序中的一種類(lèi)型。目前業(yè)界還出現(xiàn)了“軟性病毒”、“中性病毒”、“流氓軟件”等提法。以上情況表明從法律角度對(duì)計(jì)算機(jī)病毒及其特征進(jìn)行重新界定，使其適應(yīng)網(wǎng)絡(luò)安全形勢(shì)的新發(fā)展并成為違法行為軟件代碼的一個(gè)統(tǒng)稱(chēng)十分有必要。

[1]李琦.互聯(lián)網(wǎng)病毒集團(tuán)幽靈難驅(qū).IT時(shí)代周刊[J].2011.

[2]段郴群.中國(guó)十大病毒集團(tuán)曝光.揭秘五大非法獲利手段[N].廣州日?qǐng)?bào).2011.

[3]喻海松.關(guān)于辦理危害計(jì)算機(jī)信息系統(tǒng)安全刑事案件應(yīng)用法律若干問(wèn)題的解釋的理解與適用[J].人民司法.2011.