网络安全 频道

财经杂志:电脑病毒黑色产业

    从炫耀技术的“行为艺术”到庞大产业链中的一环,不断进化的病毒正在像癌症一样,威胁着日渐勃兴的互联世界

  一只可爱的熊猫,举着三炷香。2006年底,曾经憨态可掬的“国宝”一夜之间成了广大电脑用户谈之色变的主角——因为这一形象已经有了新的含义:“熊猫烧香”病毒(Worm.WhBoy.cw)。

  这种病毒及其变种把感染的程序文件图标统统改成熊猫举着三根香的模样,还可以盗取用户账号、密码,并且破坏文件系统等。到2007年2月,已有上百万个人用户、网吧及企业局域网用户遭受感染和破坏。

  2月12日,湖北省公安厅宣布,已经成功侦破“熊猫烧香”病毒案,并抓获六名犯罪嫌疑人。但截至《财经》发稿,新的变种仍在出现,“熊猫烧香”仍然余烟缭绕。

  其实何止“熊猫烧香”,如今电脑病毒已是一个进化得无比复杂和庞大的家族。它们是一个个程序,但可以自我复制,并且在电脑主人不注意或者未经许可的情况下,感染其他程序,进而自动寻找下一个宿主。因其病理学特征与在人体上肆虐的生物病毒一样,故而名之为“电脑病毒”。

  大约20年前,当时更多地作为技术炫耀而产生的电脑病毒,如今却在如此深刻地影响着整个行业,乃至整个世界,并俨然已经形成一个自成一体的“黑色产业”。

  “幽灵”兴起

  早在1972年,美国著名科幻小说家大卫杰洛德(David Gerrold),就在一本小说中虚构了一种像真正的病毒一样运行的电脑程序“病毒”(Virus),并且引入了另外一种叫做“疫苗”(Vaccine)的程序与之相抗衡。

  1982年,风靡一时的漫画书《X战警》(X-MEN)中,更是首次出现了“电脑病毒”(computer virus)这个名词。

  但直到1983年,当时还在美国南加州大学攻读电子工程的弗雷德科恩(Fred Cohen)在其博士论文里,才给出了电脑病毒的第一个学术定义,这也是今天公认的标准。

  不过,这一论文并没有引起太多人的注意,似乎只有他和很少一部分人认为这种可以自我复制的程序,日后会成为电脑世界的大患。

  一般认为,早在1981年,在苹果电脑上就诞生了首个电脑病毒。这个病毒完全是一个美国高中生的恶作剧:病毒被附着在游戏上,游戏一旦启动50次后,就会出现黑屏,并且显示一首作者自创的诗歌。和早期其他病毒一样,这看上去更像技术爱好者的“行为主义”艺术,并不会对被感染的电脑造成实质性损害。

  第一个针对个人电脑(PC)的病毒,是1986年一对巴基斯坦兄弟巴斯特(Basit)和阿姆贾德(Amjad)出于防止盗版的目的所写的C-BRAIN病毒。这段写在软盘启动扇区中的病毒,被称为“巴基斯坦”病毒。

  一开始,电脑病毒被很多人看成仅仅是一种“创造性的娱乐”,并没有太多的恶意成分。但很快就显示出了其另一面——巨大的破坏性。

  1988年,让人们至今记忆犹新的“黑色星期五”病毒(实际上叫耶路撒冷病毒)爆发。它可以感染所有后缀为.exe、.com的可执行文件,并在每个是星期五的13号删除所有运行中的程序。

  在这一年,中国也出现了“小球”病毒。

  弗雷德科恩目前是美国纽黑文大学教授,还担任其创立的专业信息安全机构Fred Cohen & Associates的CEO。他在接受《财经》记者采访时表示,电脑病毒具有如此巨大的潜在破坏性,其实并不奇怪。由于个人电脑操作系统本身存在的漏洞,加之用户缺乏对系统文件有效的控制,病毒可以改写系统文件甚至操作系统本身。即便是安全系数较高的UNIX系统,在他看来,一个软件高手八个小时内就可以编制一个可以攻破它的病毒。

  在上世纪80年代,电脑主要为DOS操作系统时期,病毒主要依存于.EXE、COM等可执行文件。进入90年代,微软公司的视窗(WINDOWS)逐渐成为个人电脑的标准操作系统之后,通过文档文件传播的宏病毒和专门针对32位文件的32位病毒也随之出现。

  其中,最著名的32位病毒是台湾青年陈盈豪于1998年编写的CIH病毒。它在每个月26日发作,将用户的硬盘格式化,甚至还可能破坏主板BIOS内的资料,导致电脑无法开启。

  互联网的兴起以及逐渐普及,则成为下一个转折点,通过网络传播的第二代病毒开始出现。其本质与基于文件的第一代病毒有很大差异,它的传播基于网络、邮件和浏览器,蠕虫(worm)和木马(Trojan horse)无疑更是网络病毒中的代表。

  与通常需要依附在某个程序上不同,蠕虫是一段独立的代码,它像寄生虫一样生存在宿主计算机内部。它的“头部”是一段用以取得系统许可的密码或ID,可以利用宿主计算机的资源对自身进行改写,把其数据加到自己身上,让自己变得越来越大,并控制计算机上可以传输文件或信息的功能,而后继续沿着网络传播。蠕虫病毒一旦进入计算机网络中,就可能造成系统瘫痪、网络中断。

  “木马病毒”是一些表面上看似有用的电脑软件,实际上却是危害计算机安全并导致严重破坏的程序。它可以成为别人控制这台计算机的“后门”,从而窃取用户的信息。

  进化之路

  目前已成长为电脑大国的中国,也成为电脑病毒的“主战场”之一。

  根据国家计算机病毒应急处理中心的统计,截至2006年5月,感染病毒的电脑比例约为74%,比高峰时下降了14个百分点。但分析人士指出,随着电脑总量的迅速增加,以及互联网在中国社会、经济生活中的普及,电脑病毒尤其是通过网络传播的新型病毒的危害却更加严峻。

  中国互联网络信息中心公布的最新数据显示,截至2006年上半年,中国的互联网用户已经接近1.4亿,上网电脑总量也接近了6000万台。与上一年同期相比,这两个数字都保持了两成以上的增速。这无疑为网络传播病毒的滋生和迅速蔓延提供了难得的温床。

  国家计算机网络应急技术处理协调中心(CNCERT/CC)抽样监测结果显示,2006年,中国大陆地区约4.5万个IP 地址的主机被植入“木马”,与2005年同期相比增长一倍。

  单纯从技术而言,自电脑病毒上世纪80年代被创造出来后,其本身并没有太多实质性的进步。科恩对《财经》记者指出,“在最近这15年里,病毒制造者从他们的知识上和技术上都没有明显的进步。”

  但他也承认,从传播方式和手段上说,电脑病毒实现了一个质的飞跃。

  以“熊猫烧香”病毒为例,北京盼达信息安全技术有限公司总经理金楷在接受《财经》记者采访时表示,“熊猫烧香”确实没有太多技术创意,之所以能够造成如此大的破坏,很大程度上是因为它感染了多个访问量高的大型门户网站和论坛,并通过这些网站大面积传播,造成了此次大规模的爆发。

  “它主要是利用了这个特殊的位置,而没有革命性的技术。”金楷强调。

  显然,虽然技术上没有革命性的突破,但电脑病毒本身也在不断进化,以便更好地适应新的传播途径,以及生存环境。

  金山软件股份有限公司反病毒实验室主管戴光剑告诉《财经》记者,“熊猫烧香”病毒在很短的时间内就出现了120多个变种。这种“自我更新机制”使得不少反病毒软件都难以一一应对。

  除了自我更新,病毒还通过欺骗、伪装等手段来增加其生存能力。一些论坛上的帖子,会要求打算浏览特定图片的用户点击下载一个压缩包;但这些貌似图片的东西,其实是“灰鸽子病毒”,用户一旦中毒,释放“灰鸽子”的人就可以远程控制这台计算机。这种社会工程学类型的攻击方式,也会出现在游戏外挂、QQ等即时通信工具上。

  在戴光剑看来,目前很多病毒都已经发展到了“混合型”的阶段,无论是在传播渠道还是制作水平上。

  “熊猫烧香”就集合了多种不同的传播方式,包括U盘传染、文件感染、局域网感染等。它不仅可以实现多重目的,而且可以不断自我更新,这让反病毒软件难以锁定它的特征。

  更重要的是,病毒制造和传播现在越来越容易,它已经不再是只有技术高手才能涉足的“禁地”了。

  目前在黑客中间颇为流行的Rootkit,为网络攻击者提供了从获得网络上传输的用户名和密码,到安装“木马”程序、为攻击者提供后门,以至隐藏攻击者目录和进程的程序,甚至日志清理程序等一整套技术。

  这些未知的病毒,很难通过以病毒特征为主要手段的常规方式加以预防。虽然众多厂商已经推出了实时扫描用户电脑等服务,但由于会对电脑本身的运行速度造成影响,所以,还无法取代传统的杀毒手段。

  黑色产业

  在科恩看来,对于电脑病毒,也许最严峻的挑战还不是因传播方式变化而带来的质变,而是传播目的所发生的变化。

  他对《财经》记者指出,当病毒从破坏文件系统演化到窃取商业信息以后,实质上“就已经从一个技术游戏变成了一个犯罪工具”。

  如今,越来越多的新病毒被设计用来传播间谍软件、制造垃圾邮件、实施“钓鱼”欺诈等。现在病毒制造者是出于个人的私利,而不是技术探索目的,来编写病毒。

  “现在病毒爆发同以往最大的变化,是病毒制造者从单纯的炫耀技术,转变成以获利为目的;前者希望病毒尽量被更多的人知道,但后者希望最大程度地隐蔽病毒,以更多地获利。”金楷说。

  金山反病毒实验室主管戴光剑则对《财经》记者透露,在业界,一个可以被控制的电脑被叫做“肉鸡”。在国内可以卖到0.5元到1元人民币一只,这样的“肉鸡”可以使用几天;如果可以使用半个月以上,则可以卖到几十元一只。对于病毒制造者和“经纪人”而言,如果控制了几十万甚至上百万台这样的“肉鸡”,盈利空间是可以想象的。

  这样的“肉鸡”构成的“僵尸网络”(BotNet)既可以用来对企业网络实施集中攻击,还可以发送垃圾邮件,以及点击广告等。

  CNCERT/CC抽样监测发现,中国大陆地区约有1000多万个IP地址的主机被植入僵尸程序;境外约1.6万个IP对中国境内的僵尸主机实施控制,这些IP主要位于美国、韩国和中国台湾等。

  “熊猫烧香”病毒可以实现的一个重要功能,就是盗取用户账号和密码,从而窃取用户的虚拟财产;而一旦盗取了诸如装备、点卡等虚拟财产,就可以通过很多网上交易平台完成“销赃”,并从中获利。

  据悉,2006年金山截获的各类病毒中,专门盗取网银/网游等网络财产和QQ号的“木马”占了51%。病毒的绝大多数变化都围绕此中心展开,已成为众多网民面临的第一大威胁。

  北京江民新科技术有限公司技术总监严绍文在接受《财经》记者采访时强调,金钱诱惑往往比个人爱好更持久、更有吸引力,这也在很大程度上导致了现在病毒遍地开花的严峻局面。

  与此同时,部分杀毒软件厂商,到底在这个“黑色产业”中扮演着什么样的角色?电脑病毒市场上是否也在真实演绎着另类“无间道”,这或许仍然是个谜团。

  长期以来,不少网络用户一直在指责某些杀毒软件厂商实际上在暗地参与制造以及传播新的电脑病毒,从而维持公众对于病毒的“恐慌心态”,以便从中获利。

  毕竟,根据上海艾瑞市场咨询有限公司(iResearch)的研究,与电脑病毒的斗争也意味着一个同样庞大的市场。据其预测,到2007年,网络版和单机版杀毒软件的市场规模有望超过30亿元人民币。

  但无论如何,电脑病毒的威胁都将长期存在。

  一种悲观的理论是,电脑病毒将与电脑同在,就像人类永远无法彻底消除生物病毒这个幽灵一样。

  在科恩看来,归根结底,现在的计算机世界还是一个适者生存的时代——如果病毒的生存能力超过你的防御能力,你就必然会被入侵。惟一的办法还是增强自身的“免疫力”,即更谨慎地管理自己的计算机系统,而不是仅仅依赖于选择某种可信的防御技术。

  “防御病毒的策略可以有很多,要看你愿意为了安全而牺牲多少效率。尽量不运行来自陌生人的程序,有完整的保护策略和恢复手段,尽量用基于光盘的系统——所有这些,都会减少电脑病毒生存的可能。”他对《财经》记者强调。

0
相关文章