第二章 严密的黑色产业链
只要有事物与经济利益沾边,大多会膨胀成为社会毒瘤!病毒就是最为明显的一个现象。
有调查发现,熊猫烧香、灰鸽子等病毒在传播过程中都有组织化、规模化、公开化的团伙在幕后推动,作案团伙成员分工明确,各司其职;人员数量庞大,获利数额让人瞠目。
据熟悉病毒产业链的业界人士介绍,黑客利用病毒入侵有3种方式。一是黑客侵入个人/企业电脑——窃取机密资料——在互联网上出售——获取金钱。
二是黑客侵入大型网站,在网站上植入病毒——用户浏览后中毒,其网游账号和装备被窃——黑客把账号和装备拿到网上出售——获取金钱。
三是黑客制作病毒,然后通过QQ、论坛等渠道卖给其他黑客——其他黑客侵入个人/企业电脑——敲诈——获取金钱。
贩卖“肉鸡”获利
在利润的驱使下,想利用病毒获取利益的人逐渐地聚集到了一起,形成了一条产销分工明确的灰色产业链。
“这是个比房地产来钱还快的暴利产业!”一位曾经参与病毒传播和运作的开发人员说,很多人一年就能赚几千万元。
“灰鸽子的背后就有一个制造、贩卖、销售病毒的‘传销’帝国,一些人利用它大量发展‘肉鸡’,然后贩卖出去获取经济利益。”金山毒霸北京技术部技术总监孙国军说。
“肉鸡”是病毒界人士对被植入木马程序的电脑的戏称,贩卖“肉鸡”则指出售这些木马程序的控制权或该台电脑上网时所用的IP地址。
有意思的是,这些木马程序的控制权或IP地址竟然被置于网上公开叫卖。据了解,辽宁每台“肉鸡”的网上标价是5~8角,广东是1元,港台为3元,境外的要价为5元。
在朋友的引荐下,记者与曾参加灰鸽子产业链运作的张超(化名)取得了联系,他向记者揭开了病毒挣钱的内幕。
病毒产业链中有3种人最重要:木马病毒的编写人员、专职盗号人员和黑客,除此之外就是一些提供辅助的人员,比如信息的处理者。这些辅助人员把黑客搜集到的信息按照价值高低,分门别类后发给盗号人员。接下来,盗号人员自己或是通过辅助人员对外出售这些信息。“虽然松散,但结构上仍宛如一个正规的公司,从病毒程序的设计、开发、传播到销售等各个环节都有专人负责。”张超说。
张超亲眼目睹了灰鸽子运作的全过程。他介绍说,灰鸽子工作室内的开发人员把病毒程序编写出来以后,通过即时通讯、论坛或者他们的网站,以每个木马程序100元左右的价格销售,购买者就是专职盗号人员(或机构),后者按照区域划分为省级或者市级代理,最后把程序按照几十元到几百元不等的价格卖给黑客。
“我当时就充当黑客,每天的工作就是在别人的电脑里植入灰鸽子木马(又称抓‘肉鸡’),这台电脑就成为你的‘肉鸡’,任你宰割。”张超说。
那么,为何各地“肉鸡”价格高低不一?张超的解释是广东的游戏玩家比较多,单台机器获取的信息较多,价格自然比较贵;而港台和外国的电脑上跑的游戏都在境外服务器上,里面的装备比较值钱,因此价格更贵。
“开始时只做兼职,一天只能抓100只左右,赚80块钱;熟练后1天能抓300只左右,赚将近300元钱。后来我辞掉工作专职从事这项工作。”张超说。
接下来,“肉鸡”的处理方式有两种,一是卖给下家(即专职盗号人员),他们中有专人将木马程序盗取来的QQ号和密码、游戏账号、网络银行账号等信息归类,再发给指定人士,通过后者销售盗取的信息而获利;二是自己充当黑客,把盗取来的信息在各个论坛或C2C网站上交易,有银行账号的则直接把钱转走或者购买东西。
在张超接触到的众多木马程序中,他印象最深的是名为“网银大盗”的木马。2004年4月,“网银大盗”的开发人员和传播者凭此窃得一受害者的银行账号和密码,登录网上银行后提取了4.8万元。年末,他们又窃得股民账户和密码,盗卖价值1141.9万元的股票,非法获利38.6万元。2005年7月,“新网银大盗”的开发人员以7000元的价格把它卖给了一个16岁的在校中专生,后者成功盗取了数百个网银账号,出售后非法获利6.25万元。
和这些人相比,产业链中最赚钱的是专职盗号人员,他们就是坊间所称的幕后“大老板”。张超透露,如果这些人对木马程序选得好,产业链也经营得好,他们每年能有上千万元的收入,差一点的也会有几百万元的收入。“这个东西没有什么成本。在这个黑色的病毒产业链中,一个市级的代理每年可以有300万元左右的收入。”张超说。
敲诈牟取暴利
黑客除通过病毒控制他人电脑牟取暴利外,还利用病毒通过敲诈用户获得不义之财。
2007年8月的一天,北京天良软件网突然被“黑”,网站首页的全部文字被换成“你的网站被植入了木马”的短句。当心急如焚的天良网创始人陈鹏正不知所措时,突然有人给他电话,声称发现了天良软件网的漏洞,可以帮助解决,但前提是给点“辛苦费”。
陈鹏说,类似的事情以前也发生过。一些人以杀毒软件提供者为名来向别人兜售个人研发的“正版”软件,对方如果不买账,过几天新一轮攻击就会到来。更夸张的是,一些黑客还冒充求职者来找工作,说:“我发现了你们网站的漏洞,可以聘我当网管,帮你们免除这些攻击。”
其实,利用病毒敲诈的事例很多,首次引发业界关注的是发生在2006年6月18日的国内首例案件。
当天,家住北京的孙先生因为业务需要,通过搜索引擎找到了一家相关企业的网站,当他点击进入后,突然发现电脑出现问题。“本来,我的电脑桌面上有两列图标,突然消失了一半多,D盘和E盘内的许多文档也随即消失。”孙先生回忆起当时的情形,恍如历历在目。“重启电脑后,桌面出现了一个名为‘拯救硬盘’的TXT文件,执行该文件后弹出‘你的硬盘坏了,需要正版的修复工具恢复。请汇款84元到工商银行某账户,然后编辑短信发到手机上’的敲诈信息。”
专家指出,这是中了名为“敲诈者”病毒的表现。广州从事鞋业国际贸易的张先生就深受其害,损失了十几万元,当时他还拿出了10万元奖赏用于严惩病毒制造者。据国家计算机病毒应急及处理中心资料显示,短短的十几日共接到类似病毒感染报告450例。后来,广州警方将犯罪嫌疑人抓获时,他已通过发敲诈病毒非法获利4000元。
制作贩卖一条龙
洗手不干之前,张超已是圈子里的一个经验丰富的前辈,日常工作是手把手地教“菜鸟”级的徒弟怎么装软件,怎样让木马躲过杀毒软件的查杀,怎么抓和玩“肉鸡”。每带出一个徒弟他都有200元的收入,要是徒弟求师心切的话,培训费还可以涨到300~500元。徒弟们也很愿意支付这笔费用,因为他们很快就可以出师并赚回这笔钱。
但赚钱的最主要的方式,还是贩卖病毒。
在这条产业链中,首先是病毒制作人根据“市场需要”编写病毒程序,然后通过论坛、QQ群出售。黑客通过该程序入侵用户电脑,盗取电脑中网络银行账号和密码,及QQ号、Q币、游戏账号、游戏装备等信息;最后,这些虚拟财富再经由专门的卖家销赃。病毒通过这样一条制造、贩卖、传播、使用等环环相扣的流水线,把一连串代码变成真金白银。
不过,在具体操作中,各病毒产业链的买卖方式会稍有不同。以“熊猫烧香”病毒为例,病毒制造者主要通过卖病毒的途径获利。首先,病毒制作者按购买者要求在病毒程序中填上指定网址后出售病毒,“熊猫烧香”病毒制造者李俊被抓时,他已经将病毒代码卖给了120多人,非法获利达10余万元。获利看似并不丰厚,但实际上,李俊更多的是通过卖“肉鸡”牟取暴利。
制作和贩卖病毒已经让一些不法分子发了家。一位业内人士告诉本刊记者,他有一个朋友以前就是病毒产业链中的幕后组织者。当时风声还不紧,他贩卖病毒程序一年就赚了几千万,后来国家查得严了他索性就“洗白”了自己,在北京开办了三家高档餐厅。
湖北仙桃市公安局网监大队大队长万正敏也对李俊一事念念不忘。他透露,李俊通过QQ群先后在网上以500~1000元的价格出售约20套病毒程序。李俊的同学雷磊成为“熊猫烧香”的第一个销售者,仅他一人就卖了2000台“肉鸡”。浙江省丽水市的张顺与李俊接洽后,在不到一个月的时间内卖“流量”获利数十万元。而山东省威海市的王磊也靠此在不足一个月的时间内就用赚的钱买了一辆吉普车。