从今年2月开始,我陆续接到好几个朋友的电话抱怨,说自己电脑中的资料被偷盗。其中一个好友竟然被人偷拍了裸照放到了网站上。之前也有过朋友告诉我丢QQ号码什么的,不过双方都没有在意。
我在杀毒行业已做了5年。5年前,我是一名医生,但由于极度热爱计算机而加入了一家软件厂商,成为一个反病毒工程师。其实反病毒工程师和医生是一样的,都是悬壶济世。一个是在现实世界中救人,一个是在虚拟世界中救人。
这个偷人电脑上东西的“贼”就叫做“灰鸽子”。这个病毒其实我早有耳闻,之前我圈内的同行们一直将它列为年度毒王。
3月12日,我在自己的博客中开始对“灰鸽子”进行解密。作为一个虚拟世界中的“医生”,我需要提醒这个虚拟的世界,这里有一个小偷和抢劫敲诈犯,它的作案过程无声无息无影无踪。我要告诉这个虚拟的世界,这个小偷长什么样子,它是怎么实施偷盗和敲诈的。
很快我就发现,原来在虚拟世界中被偷过东西的人确实不少,我的博客的访问量一下子突破了2万。但在3月13日下午,我接到了一个电话,对方说自己是“灰鸽子”的人,并且建议我不要乱写乱说。此时,我的其他同事们已经研发出了对这个隐形的贼的有效抓捕办法。我明白,这种警告不仅仅是针对我的,也是针对我的同事们的。
我开始去调查这个“灰鸽子”,调查是从自己使用“灰鸽子”开始的。之前我做的工作就是在论坛里、网站上、QQ群中监控各种漏洞,发现并收集各种病毒、木马等样本,并把这些样本交给我的同事们。
事实上,我的同事们早在2月25日就已在通宵达旦地研究“灰鸽子”了。这些反病毒精英们分成了黑白两方,做“灰鸽子”攻防演习。黑方扮演黑客、病毒攻击一方,用海量“灰鸽子”变种样本攻击白方。白方则扮演处于防御状态的用户,用各种方法抵御进攻,查杀变种样本。
有人说,强盗总是比警察厉害。因为他们在公共场所可以随意开枪,而警察拔枪时却总在担心会不会误伤群众。而我在使用“灰鸽子”控制我的另一台电脑的过程中,我从互联网上了解到更加触目惊心的情景。
在一个虚拟的世界中,每一个人都可能在毫无知觉的情况下被这个“灰鸽子”软件的使用者卖来卖去。如果这个人电脑上有价值的东西多,那么卖的价钱就好;如果有价值的东西不多,卖的价钱就低。有1分钱一台的还有5块钱一台的。有人一天晚上能抓来3000台电脑———这些被控制的电脑就叫做“肉鸡”———然后再按1块一台的价格把控制权卖出去,一天晚上就能获得3000块。这种层层控制、纠葛不清的利益关系让“灰鸽子”形成了一个庞大的帝国。
还有它偷来的一些私密信息包括聊天记录、文字、视频等都被卖来卖去,或者被人放到网络上集体欣赏。
这让我极度地震惊。这已经远远超出了我对病毒的想象,也明白了打电话向我哭诉的那个朋友的心情。
为了更了解“灰鸽子”所构建起来的这个庞大的帝国中的秘密,我在百度贴吧上找到一个买卖“肉鸡”的QQ群号码,而这样的号码多得不计其数。我加入了这个名叫“黑帮38组”的QQ群卧底。这个群里的成员已经发展到快接近200人的上限。进入QQ群,群公告中赫然写着这样的帮规:
“本帮立志于利用黑客技术赚钱的研究,在本帮学习后,要为本帮服务。即:学习时是免费的,但在你取得收入后就应该报答黑帮,每天上交你的收入的15%,具体数目按当时通知为准。如有没良心的不交我们只能说很遗憾了。不知报答者必死!帮里将向你提供各种黑客工具,不得外传。本帮主要提供挂分赚钱的方法,只要外网的加入。”
这中间所指的挂分赚钱,就是指只要是“黑帮38组”的成员,他们任何一个人发展的“肉鸡”,帮主都要往“肉鸡”中装一个点击广告的插件,让“肉鸡”不停地点击国外广告,点击一次帮主就可获得0.3美金。
在卧底的过程中,我听到了更多关于“灰鸽子”木马帝国骇人听闻的内幕。“黑帮38组”群里一个“灰鸽子门徒”曾经问我,你知道什么叫远程看现场么?我说不知道。对方说:“SB,这是现在的流行语。装上‘灰鸽子’,好多‘肉鸡’经常整夜挂机玩游戏,你就可以远程开启摄像头,看两口子现场啊,还有声音,刺激得很,要不要我们经常交流一下相互的视频啊?”
当我们的专杀就位后,我们的网站遭到了上万台被控制的“肉鸡”的攻击。
3月21日,“灰鸽子”工作室正式“关门”,我们取得了阶段性的胜利。但就在“灰鸽子”工作室“关门”两天后,一篇帖子赫然出现在我眼前:4月1日集体对金山发动攻击,特此通知!
较量还没有结束……(作者为金山反病毒工程师)