网络病毒黑色产业链问题与对策

郝珊珊

(铁道警官高等专科学校警察管理系，河南郑州450053)

网络病毒黑色产业链问题与对策

郝珊珊

(铁道警官高等专科学校警察管理系，河南郑州450053)

随着我国信息化进程和计算机产业的发展，利用黑客技术进行的网络违法犯罪活动呈大幅上升趋势。在犯罪分子网上窃取信息并非法牟利的背后，一条完备、严密的网络病毒黑色产业链正逐渐浮出水面，目前它已形成了分工明确、组织清晰的结构体系。此类网络犯罪的打击整治策略和方法有完善相关立法，构筑网络安全的法律基础;网民应进一步提高信息安全意识，加大自身防范力度;有关部门应加大对网络病毒黑色产业链的整体打击力度。

网络病毒;黑色产业链;网络犯罪

综合2009年的安全形势，偷、盗、抢、骗仍然是信息网络安全的几大主要威胁，而盗号木马、黑客程序、后门程序和病毒已成为大多数职业黑客的敛财工具。病毒、木马背后巨大的网络病毒黑色产业链给整个互联网带来了更加严峻的考验，不管是网银中真实的钱，还是其他各种形式的虚拟财产，制造木马、传播木马、盗窃账户信息，到第三方平台销赃、洗钱，在网上已经形成了一个非常完善的流水性作业程序［1］。据统计，仅2008年，网络病毒黑色产业链的年产值已超过2．38亿元人民币，造成的损失超过76亿元，互联网已名副其实地步入了黑金经济时代。

一、网络病毒黑色产业链的结构特征分析

目前，在网络病毒黑色产业链中，不论是制造木马病毒、传播和盗窃账户信息，还是第三方平台销赃、洗钱，已经形成了一个非常完善的“制——售——窃——卖”一体化的流水作业程序，这条产业链主要由五个部分组成:挖掘安全漏洞，制造病毒木马，叫卖出售木马，挂马窃取用户信息，贩卖盗窃获利。这些环节形成了结构分工明确、效率快捷的工业化“生产线”。

(一)发掘漏洞

漏洞一般是设计者在软件设计上的缺陷或在开发时产生的错误，可大致分为系统漏洞、网站漏洞、软件漏洞等。国内用户常用的各种聊天软件、在线游戏平台、网上交易安全控件、下载工具、播放器软件、网络视频软件和IE等浏览器软件几乎都有严重安全漏洞曝光。通过各种漏洞，病毒和木马可以在用户不知情的情况下进入用户电脑中。漏洞是目前各种主流病毒赖以传播的主要渠道之一。因此，发掘漏洞并出售已掌控的漏洞信息也已成为黑色产业链中的一个赚钱环节。一些黑客的主要工作就是去网上扫描、搜集各种漏洞，再到地下交易网站进行销售。病毒的制造者会购买漏洞信息并据此有针对性地编制病毒，专司挂马的黑客也会购买漏洞信息以便有针对性地对存在漏洞的计算机发起有效攻击。

近一时期以来，由于微软公司的安全更新系统已经比较完善，又有第三方安全产品提供了自动安装微软补丁的功能，黑客们通过使用微软漏洞发起攻击的兴趣已越来越低。漏洞的发掘方向更多地转向了一些装机率高的第三方软件。如从早一些的迅雷、暴风影音、Realplay等播放软件，IE等浏览器，到最近出现的Adobe flash player和搜狗拼音输入法，这些软件不但拥有广泛的用户群体，而且没有固定的补丁发布期限，大部分使用者只要软件能正常使用就很少去为之打补丁或升级，因此，其用户面临的威胁较WINDOWS更为严峻［2］。由于多种漏洞的混合利用可以提高访问者中毒的几率，现在主流病毒大多综合利用系统漏洞和第三方软件漏洞。据江民科技统计，平均每个恶意网页在使用2．6个安全漏洞来传播病毒。

(二)木马病毒的制造与贩卖

利用网上购买来的漏洞信息，加上专业的病毒编程技术，黑客们可以在很短时间内制作出针对性极强的新病毒。如果说以前的病毒编写者还是为了炫耀技术、追求成就感，现在可以说非营利型病毒基本没有了，谋取经济利益已经成了他们最大的驱动力和目标，越来越多的人为了这一目标从事着组织、编写和控制各种木马病毒的活动，而木马或病毒更是直接以非法入侵用户电脑，非法窃取网游账号、网银密码、股票账号，非法窃取QQ号等信息为目的，带有明显的利益驱动的特征。

木马病毒的驱利性的增强，使得网上制作贩卖病毒、木马的活动日益猖獗，利用木马病毒技术进行网络盗窃、诈骗的网络犯罪活动数量呈快速上升趋势。一些人通过论坛、博客、网上贴吧、工作室、QQ群等形式来讨论木马病毒的制造技术，在网络社区公开举办“黑客速成班”、“木马培训班”以教唆、培训黑客技术的形式牟利，同时出售各种木马病毒产品，出租或定制木马、承接木马业务等。还有很多黑客程序，在网络上以低成本甚至是免费共享传播，为捕捉“肉鸡”提供有力的作恶工具［3］。而病毒的编写者把病毒程序编写出来以后，通过即时通信软件、论坛或他们自己的网站，以每个木马程序50至100元左右的价格销售，购买者就是专职盗号的人员(或机构)，后者按照区域划分为省级或者市级代理，最后把木马病毒程序按几十元到几百元不等的价格卖给黑客，再由黑客进行挂马传播。例如:“熊猫烧香”病毒的制造者李俊通过这种方式每天入账收入近1万元。

正因为存在丰厚的利益，病毒制造者不断追求技术突破，使得木马、病毒的感染率呈爆炸式增长，利用木马、病毒技术传播垃圾邮件和进行网络攻击、破坏的事件呈上升趋势，趋利性引发了大量的网络犯罪活动，对用户信息的安全造成极大威胁，从而危及网络的应用与发展。

(三)网页挂马传播病毒

在黑色产业链中，现在病毒的传播、推广与销售已经完全互联网化，主动进行传播的病毒已经非常少。病毒的销售一般通过一些技术论坛的推广和试用，在黑客网站进行叫卖、在百度贴吧或QQ群等渠道进行直销，或者在一些公开拍卖的网站，如淘宝、易趣等进行销售，或通过专门网站进行销售。

伴随着互联网的日益普及，2008年以来，网页挂马已成为木马病毒的主要传播途径之一。2008年1月至10月，全国约有8100多万台电脑曾经被病毒、木马感染，其中网页挂马感染的计算机超过了90%，可以看出“网页挂马”是黑客最喜爱的最常用的木马散播方式［4］。其传播方式为:入侵网站→篡改网页内容并植入木马→吸引用户访问挂马网站→用户电脑受到漏洞攻击而染毒→盗窃网民各种网络财产→第三方平台嚣张获利，这种渠道传播速度快，隐蔽性强，还可以精确统计收益，便于分赃，通过网页挂马的方式，病毒作者达到了获取经济利益的根本目的。从编写、传播到出售，整个黑色产业链的互联网化运作，导致了病毒数量和危害的暴增。以前黑客编写病毒、传播病毒、窃取账号、出售等各环节都需要自己来完成，由于现在整个链条通过互联网运作，从挖掘漏洞、制造病毒、传播病毒到出售窃取来的信息，形成了一个高效的流水线，黑客可以选择自己擅长的环节运作，从而提高了病毒散布的效率，增加了危害用户安全的程度。

为了更大地掘取利益，黑客们需要获取更多的点击率来提高挂马网站的访问流量，以达到更快传播病毒的目的。他们有的去色情网站收购流量，通常以100元∕万IP的价格支付报酬;有的雇佣专门的公司，利用关键词技术对自己经营的挂马网站逐渐优化和提高自己控制的挂马网站在搜索引擎中的排名，通过搜索中的排名位置的提前，提高用户的点击率;有的派专人搜寻热门门户网站、新闻网站、博客或论坛等的漏洞，植入和传播木马。

二、网络病毒黑色产业链的运作模式使网络犯罪呈现的新趋势

早在2004年，国内就已经出现一系列专门兜售木马程序和源代码程序的网站，病毒地下黑色产业链逐渐浮出水面。经过5年来的发展，黑色产业链涉及的各个部分已经形成了分工明确、组织清晰的结构体系，获取非法经济利益成为整个黑色产业链的最终目标。庞大链条的不断发展，必然推动了网络犯罪活动的发生，也使网络犯罪呈现出许多前所未有的新趋势。

(一)组织化、产业化的趋势

目前的网络犯罪早已摆脱了独立的散兵游勇式的个人冒险行为，而转变为并不严密的以集团性质的团伙犯罪行为，犯罪团伙人员数量庞大，成员分工明确，各司其职，有病毒木马的编写人员，有专门盗号者，有挂马者，有负责销售的，也有组织者。

与以往黑客单打独斗不同，随着“熊猫烧香”、“灰鸽子”、“机器狗”、“猫癣”等病毒的肆虐和一些网络犯罪案件的侦破，我们已可以清晰地看到，在利益的主导下，一条完备、严密的木马病毒的黑色产业链已日益成熟，伴随而来的网络犯罪已组织化、规模化、产业化。

根据360安全中心的监测，整个地下黑色产业从业人员已接近百万的规模，他们分工明确，工作领域互不交叉，互不实际接触，也互不知道对方的真实身份，却充分利用互联网这一平台在网上联系结伙作案，多地合作进行犯罪活动，团伙中有专人负责编写制造木马病毒，有专人负责攻击网站并植入木马，有专人实施盗窃，有专人进行销赃、洗钱等活动。团伙成员大多异地流窜作案，跨地跨行提款，再到网上进行购物洗钱。利益兑现安全快捷，令违法者屡试不爽。

随着网络犯罪全球化普及的趋势，犯罪分子秘密联络，内外勾结，充分利用网络团伙化和组织化发展。他们传递情报，相互配合，商讨犯罪手段和方法，提高作案能力，并利诱、教唆他人实施共同犯罪以非法牟取利益，这就导致网络犯罪的危害性更大、危险性更严重，类型和数量也越来越多。

(二)从业群体低龄化趋势

由于各种病毒制作工具、黑客软件、黑客教程的泛滥，自动化程度越来越高，黑客群体的技术准入门槛变得越来越低。在整个产业链中掌握编程技术的病毒制造者只是少数人。丰厚的非法利润、较低的技术需求，吸引了大批没有什么技术含量的靠出售贩卖账号、装备为生的人员加入到产业链中，入行者的年龄呈现低龄化趋势，年龄从10岁到30岁的从业者占了极高的比例，人员中有学生、高级知识分子、公司职员、电脑爱好者等［5］。出于对计算机技术的兴趣、对黑客技术的崇拜，加上又是网游的主力玩家，许多青少年为了炫耀技术的入侵他人电脑，盗取网游、网银账号和装备，盗窃QQ号或远程控制受害用户的系统，就显得十分自然。

三、应对网络病毒黑色产业链带来的网络犯罪问题

伴随网络病毒黑色产业链的市场化和规模化，网络违法犯罪案件数量大幅上升，涉及金额数目越来越大，网络病毒黑色产业链犯罪已成为近几年网络犯罪的主要表现形式，严重威胁了国家网络安全和网民的个人信息和财产安全，破坏了互联网健康、和谐的发展环境，对此必须予以坚决打击。下面是对处理网络病毒黑色产业链带来的犯罪问题的一些建议。

(一)完善相关立法，构筑网络安全的法律基础

根据中国互联网络信息中心公布的数据，近两年我国的互联网用户保持了两成以上的增速，为黑色产业链的生存和蔓延提供了难得的温床。而目前我国已出台的几十个有关计算机与网络安全方面的法律法规，虽然为维护网络秩序提供了一定的保障，但有些内容相对于高速发展的互联网的现状存在着明显的滞后，有些基本停留在“原则性”的层面，与网络斗争实际有一定的距离，有些法律法规的规定在具体应用上存在着缺失和不足，使得公安机关在侦查网络犯罪案件过程中，缺乏健全的法律体系依据，存在着立案难、定罪难、取证难和危害程度评估难等现状，容易使犯罪嫌疑人逃避处罚或被从轻处理。如《刑法》第285条只将违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的行为规定为犯罪，而对计算机系统的其他很多重要领域，如金融、证券、医疗、气象、城市电力等“网络系统”，则没有明文规定予以保护，保护范围过窄。同时，打击力度的不足，不能有效遏制犯罪案件的发生和发展，是造成网络黑客犯罪猖獗的重要原因之一。比如网银、网游盗号类案件，每年发案百万起以上，而立案查处的数目却非常小。再如 Q币、游戏装备、账号等虚拟财产的法律地位不明确，无法确定一些虚拟物品的价值，使得有些案件难以进入起诉、审判程序。因此，加强立法已成为我国网络安全管理的当务之急。有关部门应及时研究本国的新情况、新问题，并研究和借鉴国外网络犯罪立法的成果和经验，以有针对性地制定监管政策和法律法规，及时增补条例、规定、司法解释等形式，尽可能地缩小使网络监管与网络世界、现实社会的距离，尽量地克服滞后性。

(二)网民应进一步提高信息安全意识，加大自身防范力度

网络病毒地下产业链发展至今，已经具有了组织化、公开化和规模化的流水性作业程序。因此，任何连接到Internet上的关键任务系统必须清楚地了解所面临的问题，并知道采取何种措施使被成功攻击的机会达到最小。在此，对如何减少被动攻击，笔者提出如下几点建议。

1.培养及时更新计算机系统的良好安全习惯。据调查，有65%的计算机用户没有及时更新计算机系统和打补丁的习惯，有30%的用户从来没有为自己的计算机打过补丁，只有5%的一些计算机爱好者，会每天坚持完善自己的计算机系统［6］。木马病毒主要在网上搜寻存在漏洞和不安全设置的系统，及时关注和安装最新补丁、不断合理设置计算机系统就会大大降低被攻击的风险。用户平时就要打开自动升级服务，及时做系统漏洞的扫描与修复，使用QQ、迅雷、搜狗拼音、FLASH播放器等第三方软件的最新版本，做好预警防范措施。

2.安装杀毒软件和防火墙，并定期升级病毒库。上网时打开其实时监控功能，防止来自网络的攻击和破坏。现在，大多数用户普遍存在的问题是虽然装了杀毒软件但长期不升级病毒库，或者装多个杀毒软件和防火墙。杀毒软件长期不升级会致使许多新病毒得不到查杀，杀毒效果大打折扣。多重安装杀毒软件和防火墙会导致软件之间互相冲突，从而大大影响计算机的速度。

3.网银、网游、股票、邮箱、QQ号等网络密码在设置时不能过于简单，不要仅以生日或电话号码作为密码来保存，而要包括大小写字母、数字、特殊字符等的组合，以预防病毒通过密码工具进行猜测和破解。

4.提高警惕性，避免个人资料的泄露，抵制网络诱惑性信息。黑客团伙盗取QQ号的动机是为了获得里面的好友信息，他们一旦掌握了这些信息，便可以向你的好友下手，通过诈骗、勒索、盗窃等等手段来获得经济利益。因此，登录自己的账号时，尽量不要选“自动登陆”，不要在论坛中随意公开邮箱，也不要在QQ和MSN上公开透露个人的隐私资料信息。不要轻易打开陌生的邮件及附件，特别是那些向你索取银行账号和密码的邮件，一经发现，立刻删除。不随便接收QQ、MSN等即时通信软件传送的可疑文件和链接，不随意安装插件。，

5.对重要文件要经常做备份，有条件的建议选用文件备份服务器。

6.优化系统安全配置，提高系统安全性能。删除电脑中不必要的共享设置，关闭自动播放功能，关闭一些危险的开放端口，限制攻击者对攻击范围和攻击类型进行不同的尝试。

7.及时封锁敌意IP地址。一旦感觉到自己受到攻击，应该马上确定发起攻击的IP地址，并立即在外部路由器上封锁此敌意IP地址，同时还应立刻通知ISP和上游提供商封锁敌意数据包，以保持合法用户的通信和恢复正常的连接。

(三)加大对网络病毒黑色产业链的整体打击力度

只有从病毒的生产、销赃、获利的各个主要环节的源头和终端管理入手，多管齐下，共同治理，端掉“黑作坊”，斩断产业链，才能对网络病毒黑色产业链加以有效遏制。

一方面，公安机关网监、刑侦、经侦等部门要加强内部的技术、线索、警力等方面的协作配合，建成集发现、控制、侦查、打击、防范、管理于一体的网上技术体系，提高网上整体作战能力。

另一方面，要加强相关管理部门、企业单位之间的信息共享和打防协作。如加强国务院信息化办公室、公安部、工信部、中科院等机构的有关部门，以及国家计算机网络应急技术中心、中国互联网协会网络与信息安全工作委员会和一些网络安全产品生产厂商等不同部门的协同作战。成立专门机构，收集相关数据，揭示网络病毒黑色产业链的危害，扩大打击行为的社会影响力，研发应对网络病毒黑色产业链攻击的安全产品。从全社会控制、打压网络病毒黑色产业链藏身、活动的生存活动空间。

［1］禇德坤．网络犯罪呈现产业化趋势涉网案件侦破难度加大——访国家计算机病毒应急处理中心［J］．信息网络安全，2007，(8)．

［2］王润武．木马帝国黑金揭秘［J］．电脑报，2009，(12)．

［3］王占涛．“网页挂马”的罪与罚［J］．计算机世界，2008，(45)．

［4］刘向阳．木马病毒:植入电脑的间谍［J］．数码世界:A，2008，(12)．

［5］王新．网络黑色产业链问题成因及对策［J］．商场现代化，2008，(12)．

［6］吴志钊．网络黑金时代黑客攻击的有效防范［J］．产业与科技论坛，2008，(6)．

责任编辑:马 克

D918

C

1009－3192(2011)01－0034－04

2010－06－21

郝珊珊，女，河南新乡人，铁道警官高等专科学校警察管理系讲师。