曝光木马帝国三大黑势力

前言

2007年4月初，震惊国内的“3·10”建行特大网银盗窃案（本报在第11期A2版做过详细报道）成功侦破。本报记者在第一时间联系了受害人蔡先生，得知案件得以侦破，蔡先生表示“很欣慰”。

据警方的侦查结果显示，这又是一起利用木马程序盗取网银账号、密码以及认证证书从而盗取网民存款的网银盗窃案，涉案金额成为了同类案件历年之最，高达16万元人民币。

从1994年中国获准加入互联网至今，互联网在中国已经走过了整整13年。中国互联网信息中心的最新统计数据显示，目前中国的网民数量已经高达1.37亿。无疑，互联网给人们的生活带来了极大的便利。

然而，在互联网给人们带来无数方便的同时，病毒、恶意代码攻击、身份盗取、密码盗取、数据丢失、垃圾邮件、网络钓鱼、僵尸网络、恶意软件、移动攻击、软件漏洞……这些随之而来的安全威胁也在与日俱增。

就在“熊猫烧香”还让人心有余悸之时，“灰鸽子”进入了人们的视野。2007年3月21日，“灰鸽子工作室”迫于舆论压力，宣布全面停止对灰鸽子远程管理软件的开发、更新和注册，同时发布灰鸽子服务端卸载程序。然而不久后，一款极具破坏力的病毒“麦英”又开始疯狂袭击互联网。

透过这些案例我们发现，现在的病毒早已远远不只是“病毒”了，在商业利润的诱惑下，它们的背后是可以赢得巨大经济效益的互联网灰色产业链，甚至形成了规模庞大的互联网黑色势力。利用恶意软件骗取流量从而骗得风险投资或者广告费，利用木马程序贩卖“肉鸡”，甚至盗取网银存款和虚拟财产等。互联网黑色势力让日益壮大的互联网暗流涌动。

进入2007年的互联网正经受着一次前所未有的考验。

互联网黑色势力规模有多大？互联网的灰色产业链是如何形成的？又是什么力量促使互联网黑势力愈演愈烈？本报记者对此进行了一次长期而深入的采访调查。

“行话”的背后

 看完这组图片后，或许你已经明白他们在干什么，但要完全清楚，你还要知道这样一些“行话”。

木马：是一种基于远程控制的黑客工具，具有隐蔽性和非授权性的特点。一旦被木马控制，你的电脑将毫无秘密可言。

免杀：黑客为了让黑客程序不被杀毒软件所查杀，会通过各种方法对木马病毒的特征码进行修改或伪装，从而让它在杀毒软件面前“隐形”，于是“免杀”这个词就应运而生了。就目前来说，免杀的方法不是很多，常见的包括加壳、加花指令、修改特征码、变换入口点、入口点加密等。

DDOS：是一种分布式的拒绝服务攻击手段，它可以制造高流量的无用数据，造成网络拥堵。

肉鸡：肉鸡就是中了黑客的木马，或者被安装了后门程序，可以被黑客进行远程操控的计算机，实际上就是别人拥有管理权限的远程计算机。肉鸡可以是安装各种系统的远程计算机，如Windows、Linux、Unix等。

僵尸网络：是互联网上受到黑客集中控制的一群计算机，往往被黑客用来发起大规模的网络攻击，如分布式拒绝服务攻击、海量垃圾邮件等，同时黑客控制的这些计算机所保存的信息也都可被黑客随意“取用”。因此僵尸网络是目前互联网上黑客最青睐的作案工具。

造枪人：通过自己所学的计算机编程知识，按照自己或别人的要求编写所需的木马病毒，然后通过这些木马病毒捕捉软件，或者直接进行贩卖从而获利。

买枪人：这种人往往没有很高深的计算机知识，所以自己很难编写出相关的木马病毒，于是直接通过购买别人现成的木马程序，或直接订购所需的木马病毒来捕捉“肉鸡”进行使用。

信封：所谓的“信封”就是黑客通过非法手段得来的账号和密码，通过以万为单位保存的信息文本。信封又分为一手信封，即原始的不经过任何工具随机储存的；二手信封，即已经被黑客工具将里面有价值的号码取出所剩下的号码信息。

从上述这些名词中不难看出，正是这些名词组成了互联网的灰色产业链。不管是制造“熊猫烧香”的李俊，还是编写“灰鸽子”的葛军，他们都只是这条产业链的发端，整条产业链包括制造、贩卖、交易、传播、使用等，可以说是环环相扣，缺一不可，然而每个环节又因分工不同，获利也有很大的差异。

互联网三大黑势力

第一大黑势力

“造枪人”

“造枪人”一般同时也是“卖枪人”，他们是整个互联网黑势力的始作俑者，主要通过贩卖病毒来牟利。

随着互联网的普及和商业利益的驱使，病毒的制作也逐渐呈现商业化的运作。据了解，某些专门从事病毒制作的人员甚至可以根据使用者的要求，提供针对特定目标的专用病毒。

由于病毒制作的模块化发展，很多具备一定电脑知识的用户可以根据自己的需要对木马自行组合。以典型的“灰鸽子”为例，高峰时期几乎每天增加10余个不同变种，迄今为止共出现了6万余个变种。

仅仅一个灰鸽子病毒变种就有如此之多，互联网的病毒一共有多少，恐怕没有人能数得清。而这些病毒又侵入了多少电脑，那更是不计其数了。

从业者说

比房地产利润还高的行业

高强（化名）是个具有很深资历的“造枪人”。自从一个月前在百度的贴吧中公布了他的QQ号码后，高强近来的生意日益红火。

“我从来都只是用QQ或者邮箱跟‘买枪人’进行交易，从不见面，那样太危险。”高强笑着说，脸上流露出一丝狡黠。

高强介绍说，设计简单的病毒，一般的程序员都会做，但是根据木马病毒的不同，价格也不同。比如像《传奇》这样的网络游戏，自身的账号密码保护并不严，所以这类木马病毒只能卖到3000元左右。而像《奇迹》这样的网络游戏，自身的账号密码保护非常严格，需要木马病毒通过在系统内存中获取，所以这类木马病毒就能卖到10000元以上。

由于木马病毒在经过一段时间以后，常常被各种各样的杀毒软件所查杀，所以最近又在整个产业链中增加了一个“免杀制作”的环节，这样做的目的就是让木马病毒躲过杀毒软件的检测和查杀，从而获取适当的经济利益。当然“买枪人”也可以通过继续向“造枪人”购买新的版本来躲过杀毒软件，也可以再花几千元进行木马病毒的升级。虽然木马病毒本身可能具有的价值不一样，但是“造枪人”经过与“买枪人”分账，可以赚取几十万元的利润。所谓的“分账”有点类似出版业的版税模式，即“买枪人”的每一笔收益都给“造枪人”提成。据了解，熊猫烧香的程序设计者，每天入账近1万元。

高强还说：“说这一行的利润比搞房地产高一点都不为过。卖木马还不是最赚钱的，卖网站漏洞更赚钱。但那不是任何程序员都能做的，因为那需要高超的技艺，所以价格自然也会比较贵，一般大网站的漏洞少则数万，多则数十万。一般都是有钱的企业才会买，用来打击竞争对手。”

第二大黑势力

“拆信人”

互联网构筑的虚拟世界有着庞大的市场规模。根据第三届游戏产业年会公布的数据，２００６年中国网络游戏市场规模达到６５．４亿元人民币，比上年增长７３．５％。业内人士估计，国内互联网已具备每年几十亿元的虚拟货币市场规模，并以每年１５％至２０％的速度增长，与现实货币交易的兑换平台也层出不穷。

中国互联网络信息中心的统计显示，有61%的游戏玩家有过虚拟财产被盗的经历，77%的游戏玩家感到现在的网络环境对其虚拟财产有威胁。

互联网的第二大黑势力主要集中在这个市场上。

继第一大黑势力将病毒卖出后，购买者通常会利用购买来的病毒去获取大量的信息资料，这些就是通常所说的“信”，“信”往往会出售给“拆信人”。“信”中绝大部分是网民的网络账号和密码，比如QQ账号密码、网游账号密码，以及该账号中的各种游戏装备，甚至有用户的网银账号和密码。

“拆信人”，或将网银中的存款直接提走，或通过一些黑客软件，将“信”里面的虚拟货币和虚拟装备，通过网上交易平台以极低的价格出售给普通网民，比如面值1元的一个Q币0.5元就可以买到。

从业者说

抓“肉鸡”也能赚钱

在一些网吧的角落里，人们时常会看到一些吞云吐雾的青年，脸上时不时会露出惊喜的表情，有时也会高声呼喊几声。或许很多人已经知道他们是在干什么，没错，他们当中很大一部分人正在从事“肉鸡贸易”。张明（根据受访者要求，此处为化名）就是他们其中的一员。

记者找到张明的时候，他正在中关村附近的一家网吧“抓鸡”。在不到一个小时的时间里，张明说他共抓到了200只。

“‘肉鸡’的买卖能赚钱，但还不是很多。目前行情是一只普通‘肉鸡’是两毛钱。在黑客圈里面许多人炫耀自己得到‘肉鸡’的能力。有一次，一个哥们炫耀他一个晚上抓了1000只‘肉鸡’，大家都羡慕不已。后来有人一小时就抓了600只，圈子里面的人都五体投地。”说到这里，张明流露出羡慕的眼神。

张明给记者粗算了一下他一个月的收入，他每个星期平均能抓到3000只“肉鸡”，一个月平均有12000只，每只两毛钱，算下来一个月就有2400元的收入。张明还告诉记者，最近由于各方对木马加大了打击力度，“肉鸡”的价格有所回升。

记者：你是怎么涉足这一行的？

张明：朋友都在做，建议我也加入。

记者：学这个难吗？