病毒经济链开始新掘金

红色预警”！“红色预警”！

　　3月25日，金山、瑞星、趋势科技等几家反病毒厂商陆续发出针对“磁碟机”病毒的红色预警。一连串的预警，是病毒制造者正在穷凶极恶地直接对反病毒软件发起猛攻。

　　而这一轮猛攻的背后，是病毒对反病毒软件的疯狂报复，也是黑客们自熊猫烧香事件后精心“改良”的新掘金路径。

　　疯狂的报复

　　金山毒霸反病毒工程师李铁军频繁接到用户的电话，有的问：“为什么我的杀毒软件不能工作了？”也有的问：“为什么杀毒软件图标变成灰色的了？”李铁军心里很清楚，这是“机器狗”、“磁碟机”病毒正在攻击用户杀毒软件，这类病毒最近非常猖獗。

　　李铁军告诉记者，这两个病毒很像去年被称为“AV终结者”的病毒，这三款病毒的特点是不像“熊猫烧香”那么嚣张，而是悄悄入侵电脑后破坏杀毒软件的正常运行，然后，用户的电脑就会出现各种各样的“怪现象”，而当用户发现的时候已经“中毒”很深。

　　这是自熊猫烧香事件爆发和处理后，病毒制造者变换的新思路。

　　“以前木马制造者可以赚到钱，但随着反病毒技术的发展，将木马植入用户的电脑难度越来越大，一天能种进四五台机器就不错了，收益大大递减。杀毒软件一天几次升级，各种安全工具层出不穷，从种了木马的机器上盗东西已经越来越困难了。”李铁军说。

　　“但从2007年下半年开始，黑客利用加壳等技术手段‘工业化生产病毒’成为趋势，任何具备基础电脑知识的人，只要从网上下载加壳工具，就可以自动生产出病毒。黑客与反病毒厂商之间的技术对抗发展到新阶段，从原来单纯的逃避追杀，发展到直接攻击杀毒软件进行全面对抗的阶段。”瑞星副总裁毛一丁告诉记者，“有的黑客组织甚至开始进行‘前瞻性的研究’，针对瑞星最新采用的‘主动防御’来研究反杀毒软件措施。”

　　去年在网上随处可以买到木马加壳软件，而现在在网上可以很轻松地买到能干掉杀毒软件的木马下载器。记者在网上看到这样一个帖子 ：“无论是金山毒霸还是瑞星，无论是卡巴还是诺顿，都能干掉，你就放心大胆地种木马吧。售价3000起，拒绝还价！”这个价格比起去年在网上买木马加壳软件的价格高出百倍。

　　“目前大部分木马病毒都是这些有组织的病毒犯罪团伙制造的，他们攻击杀毒软件，就是为了保护黑色产业链能正常运转，所以才造成许多木马病毒攻击杀毒软件的‘潮流’。”毛一丁说，“病毒犯罪团伙借鉴已经被逮捕的‘熊猫烧香’病毒团伙的犯罪经验，非常狡猾，在病毒制造、传播和躲避侦查等方面都下足了工夫。”

　　病毒“渠道化”营销

　　随着病毒与杀毒软件之间的斗争不断升级，病毒的产业链模式也在发生微妙变化。从原先的病毒制造者到用户的两级模式，转变为木马下载器到病毒再到用户三级结构。“购买了‘机器狗’后，已经在通过‘机器狗’招商”，李铁军说。

　　因为“机器狗”本身并不偷东西，只是破坏用户的杀毒软件。因此“机器狗”就变成了病毒的渠道商，“机器狗”这类的木马下载器允许“木马”及其他病毒加入其下载名单。而想要进入用户电脑安置“木马”及病毒的病毒犯罪者要想加入这些渠道商的名单中，必须向拥有并控制一定数量用户电脑的木马下载器的“渠道商”缴纳至少几百元到几千元的“入门费”。

　　李铁军还发现一个有趣的现象，就是这些“渠道商”也像正常的商业行为中的资源互换一样，“机器狗”、“AV终结者”、“磁碟机”这样的“木马下载器”之间也互相推送，这样病毒就可以通过两三个渠道进入用户电脑。他们也很有行规，渠道相互配合，最后木马从哪个渠道进入机器的就向哪个渠道交费。

　　李铁军针对受害用户的描述及杀毒日志分析后，发现这个“机器狗”病毒并不是一个病毒在作案，“机器狗”、“AV终结者”、“磁碟机”充当了其他木马传播的通道，无数的木马借道“聚合”在一起，合伙盗取用户的虚拟财产。

　　这种被统称为“木马下载器”的病毒并不具备亲自盗号的能力，但是它们可以对抗安全软件和系统自带安全工具对系统的保护，然后再下载各种各样的木马。它所有的目的只有一个：那就是让其他木马能畅通无阻的进入用户的电脑，而为所欲为。目前感染这类“木马下载器”病毒的电脑已有数十万台。

　　“传统的利用浏览器挂木马不仅速度有限，而且官方发布的补丁很多，可利用的漏洞已经不多。而这种新的通道，可以让木马迅速在杀毒软件恢复元气之前得到自己想要的利益。”李铁军说，这些木马下载器的功能正在日臻完美，售价也在不断攀升，同时一条全新的链条形成，病毒开始进入“渠道”时代。

　　网络隐性富豪挑战反病毒厂商

　　借新通道下载的盗号木马让拥有木马下载器的人收益颇丰。李铁军算了一笔账：一个QQ号卖几分钱，一个晚上买上几万个，然后利用所有盗来的QQ用户资料，诱骗用户拨打声讯电话，一夜不仅捞回本还能赚个几十万元。

　　网游更是盗号木马重灾区，网游装备是盗号者的目标。针对不同的游戏，“木马下载器”都会增加各种各样的保护功能，以保证木马通过渠道商到达用户电脑后能放心作案。

　　对于《传奇》这样的网游，保护不是特别严格，“木马下载器”能卖到3000元左右；而像《奇迹》，因为游戏本身保护严格，因此“木马下载器”能卖到1万元以上。

　　在“熊猫烧香”、“灰鸽子”肆虐的时候，病毒产业链是制造木马、传播木马、盗窃账户信息、第三方平台销赃、洗钱，分工非常明确。“AV终结者”、“机器狗”、“磁碟机”等病毒的出现让这个灰色产业链发生了新的变化，新增出木马下载器这道渠道环节。技艺高超的“木马下载器”将掌控所有病毒的命运，而这些“下载器”的制作者也将成为隐性的富豪。

　　金山、瑞星、趋势等反病毒厂商面对这些隐性富豪的挑衅，纷纷推出专杀工具，又开始了新一轮的技术较量。

　　“‘磁碟机’所采用的反病毒软件技术是目前病毒发展的流行趋势，还会被后续的众多病毒所吸纳和采用，这给安全业界敲响了警钟，杀毒软件需要在提高杀毒能力的同时兼顾自我防护能力。所以，消费者购买安全产品时也要将这个因素考虑在里面。”趋势科技相关人士提醒道。