第二节、病毒产业的互联网化

    一、病毒互联网化是影响互联网安全的根本原因
    
    2008年病毒数量逼近千万，系统漏洞、应用软件漏洞等层出不穷，用户对于互联网安全的评价越来越低，这是什么造成的？是因为黑客的水平高了，是杀毒软件的技术水平差了，是操作系统不再关注安全性了？
   
    这些不是最根本的原因！根本原因是病毒产业的互联网化。
   
    由于病毒制造、传播、牟利的流程完全互联网化，比传统的黑客行为更容易带来经济利益。原来黑客只有自己编写病毒、自己传播、自己窃取账号、自己出售，这样才能完成整个的流程。由于现在整个链条通过互联网运作，从挖掘漏洞、制造病毒、传播病毒到出售窃取来的账号，都成了一个巨大无比的黑色产业，黑客可以选择自己擅长的环节运作，从而使得产业的运作效率更高。
   
    从统计数据来看，活跃病毒中90%以上都与经济利益直接挂钩。病毒制造、传播、牟利的流程完全互联网化，从网页挂马占到病毒传播总量90%以上这个明显的特征我们可以看出，互联网最为基础、最为普遍的应用----网页浏览是病毒制造者利用的最为深入透彻的传播渠道。下面我们就来了解一下，病毒产业是如何互联网化的。

    二、病毒互联网化链条分析

    从技术上讲，目前的病毒产业链条由四个部分组成：挖掘安全漏洞、制造网页木马、制造盗号木马、制造木马下载器（病毒下载者），这些环节形成了分工明确、效率快捷的工业化“生产线”。
   
    挖掘安全漏洞是病毒传播的基础，目前主流的病毒都是利用各种漏洞传播，没有漏洞的电脑病毒很难侵入；网页木马是病毒传播的实际应用，目前90%以上的病毒通过这种途径传播；盗号木马是链条里最重要的部分，它负责窃取用户的游戏账号等；木马下载器是“病毒运输队”，侵入用户电脑后就会从网上源源不断下载病毒。
   

    A、漏洞的挖掘和出售
    
    软件存在安全漏洞是当前病毒传播的一个重要前提，通过用户电脑系统中安装的软件存在的漏洞，病毒可以快速的在用户不知情的情况下进入互联网用户电脑。现在，软件漏洞挖掘已经成为病毒产业链里的一环。
   
    过去，在业界存在着漏洞的“秘密报告”机制，研究人员发现漏洞后秘密报告给软件厂商，厂商获取漏洞信息，提供修复程序，并通过自动更新或者发布公告的形式让用户安装最新版本，消除了安全威胁，这种机制严重依赖研究人员的道德品质。
   
    到了今天，这种情况已经悄然发生了改变。瑞星工程师举例说，有些黑客专门从系统上寻找漏洞，找到之后就可以到地下交易网站进行出售，最便宜的漏洞也可以卖到数百欧元，高的甚至可达五六千欧元，这种高额收入完全可以让黑客不必从事其它工作，专门依赖此种黑色收入。

（某国外黑客网站的漏洞出售信息，最后一列是漏洞的价格，单位为欧元）

    黑客阻止购买了漏洞信息后，利用这些信息编写强大的新病毒，往往新病毒已经在互联网大量传播的时候，软件厂商还不知道漏洞在哪里，因此不能及时提供修复补丁，造成0day攻击蔓延。
    
    B、网页挂马的策略
    
    近年来，虽然黑客编写的病毒，在技术上并没有飞跃式的变化，但是他们充分利用了互联网，通过互联网的高效便捷来整合整个产业链条，提高运作效率。而网页挂马则使他们利用互联网的能力达到一个新的高度。
   
    从本质上讲，现在主动进行传播的病毒已经非常少，绝大多数木马、后门都是通过网页挂马进行的。而网页挂马是一种“被动”的病毒传播方式，用户只有去主动访问挂马网站，才会遭到木马病毒的侵袭。
   
    为了让更多的用户去主动访问挂马网站，黑客采取了多种方式来提高挂马网站的流量，例如：有的黑客会从色情网站收购流量，按照一定的价格支付报酬，国内收购流量的价格，通常能够达到100元/万IP。
   
    有的黑客团伙，会雇佣专门的人去入侵正常网站，如门户网站、新闻网站、热门论坛等，在其中植入木马。
   
    有的黑客团伙，雇佣专门的公司，对自己建设的挂马网站进行SEO优化，当用户搜索“美女、电影”等热门关键词的时候，这些带毒网站会排在搜索结果的前几页，从而带来大量的用户。
   
    有的黑客团伙，利用新兴的SNS网站散发挂马链接，通过站内信、博客回帖等形式，吸引网民访问挂马网站。现在热门的WEB2.0网站，几乎都遭到过此类带毒链接的侵扰。
    
    C、网页挂马常用的漏洞
    
    2008年，黑客对于漏洞的利用趋势没有明显转变，其主要用途仍然在网页挂马上，包括RealPlayer、迅雷、PPlive等流行软件都出现过严重漏洞，被黑客利用传播木马。而4月份爆出的Adobe Flash Player漏洞也成为本年度最为流行的挂马漏洞，有18%的木马通过该漏洞侵入用户电脑。
   
    传统上，网民们有如下错误观念：只有不良网站才会带毒、才会被挂马，只要坚持良好的浏览习惯，就可以躲避盗号木马的侵袭。统计数据表明，这样的观念已经过时，那些所谓的“正常网站、大中型网站”正在整个木马链条中发挥着越来越重要的作用。
   
    瑞星公司的抽样统计显示，每天约有30%的网民上网时会遇到挂马网站。这些挂马网站中80%以上属于管理不严的正规网站，其中包括新闻网站、网络论坛、博客网站等。2008年，多个主流门户网站首页悬挂的广告中被植入木马病毒，用户访问这些网站就会中毒。
   
    瑞星专家提醒说，现在的木马病毒绝大多数通过漏洞传播，而且多数木马病毒运行时没有明显的异常特征，用户很难及时发现自己已经中毒。只要用户电脑上的漏洞存在，访问挂马网站中毒的风险就一直存在。即使安装了杀毒软件，也只能在病毒入侵时拦截，风险比弥补漏洞之后会高许多倍。
   
    根据瑞星统计，2008年黑客常用的各种漏洞共有16个，其中既有MS06-014、MS08-056这样的系统漏洞，也有Flash Player这样的浏览器插件漏洞，还有迅雷看看、暴风影音等常用软件的漏洞。正是因为这些漏洞的存在，而且用户又没有及时将其弥补，这才使得木马病毒可以很容易的侵入用户电脑。

    有鉴于此，安全专家提醒，弥补漏洞（包括系统漏洞、浏览器漏洞和应用软件漏洞）应该成为提升互联网安全的重要举措。而通过宣传帮用户提高安全意识、开发可靠地第三方漏洞弥补工具，也应成为安全厂商应该承担的重要社会责任。