科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航



ZDNet>网络频道>ZD评测>“灰鸽子”木马背后庞大的黑色产业链条

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

这是一个隐藏在超过20000000 台接通网络的计算机中的木马,每一台中了此木马的电脑就是控制者手里的“肉鸡”,成为刀俎下的鱼肉。这些“肉鸡”在控制者手中就像大白菜一样被卖来卖去,低至1分一只,高达5块一只 。

来源:zdnet网络安全 2008年04月16日

关键字:杀毒软件 木马 反病毒 病毒防范 防病毒 病毒

这是一个隐藏在超过20000000 台接通网络的计算机中的木马,每一台中了此木马的电脑就是控制者手里的“肉鸡”,成为刀俎下的鱼肉。这些“肉鸡”在控制者手中就像大白菜一样被卖来卖去,低至1分一只,高达5块一只 。

这个木马形成了一个庞大的帝国,这个帝国里面有着严格的等级,有着完备的商品流通体制,有着骇人听闻的偷窥、盗窃、欺骗和敲诈,还有着年收入数千万甚至数亿元 的“病毒富翁”……

(文中人物名除标示有单位名称外其他均为化名)

“肉鸡”是一个美好的名字,总是让人情不自禁的想到一顿香喷喷的饭菜。然而打开百度“灰鸽子”贴吧,触目惊心。一台台中毒的电脑被称为“肉鸡”在网上公开叫卖,内陆“鸡”1毛到4毛每台,辽宁“鸡”5毛到8毛每台,广东肉鸡1块一台,港台“鸡”3块,外国“肉鸡”5块 ……

从“肉鸡”上盗取的QQ号码、游戏币、游戏帐号、隐私资料等将会被通过一些手段在互联网上肆意交易。一些人成为了富豪,更多的人则成了受害者。

李明就是在三年前一次偶然的聊天后变成了一个“肉鸡”贩子,也从一个受害者变成了一个害人者。

“肉鸡”汹涌的产业链

“在别人电脑上种上‘灰鸽子’木马,对方电脑就会成为你的‘肉鸡’,任你宰割。”李明介绍说。

“在圈呢,用灰鸽子木马去控制别人机器的人被成为客户端,而被控制的‘肉鸡’则被成为服务端。客户端可以在服务端的上做任何事情,以至于“战场”清理完毕,服务端也不能发现任何蛛丝马迹。”李明解释到。

李明就是这样在朋友的介绍下开始使用“灰鸽子”的。开始时他兼职抓“肉鸡”,一天抓100只“鸡”左右,每天能有百八十块钱的收入。当他抓“鸡”的数量与日俱增、技术也越来越娴熟时,他干脆辞掉了公职。他还买下一些客户端不打算再玩了而低价出售的“肉鸡”,然后倒手卖出去赚个差价。“这样的收入比我以前的工作赚的多很多。”

圈内公开的行价是内陆“鸡”1毛到4毛每台,辽宁“鸡”5毛到8毛每台,广东“肉鸡”1块一台,港台“鸡”3块,外国“肉鸡”5块 ……

因为辽宁、广东“肉鸡”玩游戏的多,买来后能窃取更多游戏币,“肉鸡”的利用价值更高,所以价钱更贵一些。

有互联网分析人士指出港台和国外“鸡”之所以高价,是为了盗取魔兽等一些流行游戏国外服务器的帐号。魔兽金币在国外服务器的价格是国内的两倍。

经过一年的摸索,李明已经被“晚辈”称为老师了,他在倒卖“肉鸡”的同时开始带徒弟。对“菜鸟”级的徒弟手把手的教他怎么装软件、怎么种木马、怎么样让木马通过杀毒软件免杀、怎么抓“肉鸡”、怎么玩“肉鸡”。

这种手把手的培训,学费一般为200元 。如果“徒弟”求“师”心切,也肯开出300甚至更高的价格 。那些具有基础电脑知识的人开始在网站上寻找各种文字的或者视频的教程,这种教程也在论坛上随处可见。这些所谓的“抓鸡教程”的市场需求也非常广大。而这些“徒弟”也非常容易捞回成本:抓“肉鸡”出售或转让,盗“肉鸡”的游戏帐号、QQ号等转手出售,控制“肉鸡”点击广告点击网站,甚至偷拍点“肉鸡”主人的裸照敲诈几万 等各种手段无所不用其极。

“人的心理的阴暗面一旦被激发,就很难控制。”李明说。

李磊是李明的一个“鸽友”,他倒卖“肉鸡”,一个月抓10万台“肉鸡”就能轻轻松松赚到至少1万块钱。而且这还不包括窃取“肉鸡”电脑上的QQ号、游戏帐号、游戏币、银行帐号等进行交易所获得的收入。同时他每个月还能带数十个徒弟。虽然月入几万,但是觉得需要玩一些更刺激的。李磊开始盗取“肉鸡”的QQ号码、游戏币、游戏帐号,然后通过一些网络交易手段将这些“赃物”交易出去。再到后来他开始窃取“肉鸡”电脑上的一些隐私的资料、图片、视频等,然后把它们公开,并以此为乐。

在一些电子商务交易站点,“肉鸡”的卖主们俨然是一副“诚信经营”的模样,采用诚信打分制,让买主给他们打分 。他们通过交易网站、网络支付等正当的交易手段销售从“肉鸡”上盗窃来的QQ号码、QQ币、游戏币、名人隐私资料、私人照片、私人视频等,买家和卖家的交易就这样在网上如火如荼的进行。李磊在“运气好”的时候,一晚上能盗取1000个QQ号码,一个卖10块,就能卖1万块。

除了倒卖“肉鸡”、销售盗窃赃物外,他们还操纵“肉鸡”,让“肉鸡”成为他们谋利的工具。在某个QQ群里,一群操控者正在讨论如何更好的通过操控“肉鸡”点击国外的某些点击付费的网站,通过点击欺诈来获得更多的收入。按照行价点击一次就能给“肉鸡”控制者带来0.3美金的收入 。

同时“灰鸽子”制作者及转卖者要控制下线也非常容易。对软件稍作修改留个后门,让这些控制“肉鸡”的机器再变成半个“肉鸡”,然后再吃他们从“肉鸡”那带来的好处。这在行业里叫做“黑吃黑” 。

这种暴利刺激着更多的人加入进来。

据统计,从百度上搜索的讨论灰鸽子的论坛有数十个之多。其中灰鸽子工作室每天的浏览量大概在12000 人;凤凰灰鸽子论坛目前共有会员33802 个,其中最高有1124 人同时在线;灰鸽子社区目前共有会员523 人;这还不算上其他许多大众社区网站以及对此跃跃欲试的游客或好奇者。

一个庞大的“灰鸽子”帝国日渐形成。

年入数千万的“木马”富豪

在这个庞大的帝国里,一切想成为控制者的人都得像李明一样花100元 从“灰鸽子”工作室的网站上购买灰鸽子控制端软件,然后每年付给该网站100元的管理费用(这个标准时有变化)。

在Alexa3月12日排名中,灰鸽子工作室全球排名是351998位,中国排名30561位。并且网站还吸引了来自香港、澳大利亚和新西兰的网民。网站在这几个国家的排名也都非常靠前,在香港的排名是142816位,在澳大利亚162416位。 足可见如此之多的人对网络偷窥、盗窃、跟踪、不正当交易的兴趣。

笔者算了一笔帐,2006年全年灰鸽子工作室峰值独立访问的IP就是1.7万/天,峰谷是0.6万/天,平均峰值为1.2万。按照互联网的一般规律,5%的访问者会下载购买,那么一天就有600人下载购买。则它的收入一天就是6万,那么该工作室一年的收入就是2190万,而且它不用缴税。Alexa的统计显示,2005年灰鸽子工作室网站IP访问的均值要比1.2万高得多 ,也就是说2005年在灰鸽子工作室的收入远不止2190万。

据一位从2003年初就开始卖二手“灰鸽子”的人士向笔者透露,灰鸽子工作室网站一年的收入远远不止这些。该人士指出,“灰鸽子”工作室开发的这个程序有多个流通渠道流通出去 ,这些渠道可能卖的有破解版(即盗版),但也在帮助它销售。另外它可能有线下销售模式。此外,它还可以代理制作销售其他木马或病毒。另外有使用者在网站上发帖举报灰鸽子制作者在一些销售出去的软件上留有后门 ,以用来控制“控制者”,和他们分享“肉鸡”带来的收益。“它一年的收入估计不下1亿”,该人士表示。

网站上的资料显示,该网站只有两个成员,客服都用QQ取代,客服电话在偏僻的安徽某县,另聘请有一个法律顾问。因此人力及办公等成本极为低廉,几乎为0。

一年至少1亿?笔者觉得太不可思议了,简直无法想象卖木马能卖这么多钱。一位在中关村某IT公司混迹多年的人士这样对笔者说“别小看这些人,他们好多人的资产比一些中小规模的公司的资产都要大得多。前一阵媒体报道热烈的“熊猫烧香”病毒的主角李俊,一个月至少获利15万 太小意思了。这些人赚足了钱之后,就开始漂白自己,摇身一变成为富有正义感的企业家。”

真假“木马”凸显法律监管的漏洞

这个受害者集体声讨的木马,在其官方网站——灰鸽子工作室上的名字叫做“远程管理软件”。麦卡菲、金山毒霸、卡巴斯基、瑞星等几乎所有的信息安全厂商都将这个叫做“灰鸽子”的软件作为木马来查杀,然而它一直辩称自己是“远程管理软件”。

“哪个网管会用这种工具管理网内电脑?除非他是窥私癖,或者有其他特殊目的。”一位网管这么说。他管理着整个公司上百台电脑。

在“灰鸽子”的功能介绍中,制作者将其定义为“远程管理软件”。然而它可以在“被管理者”一无所知的情况下,在被“管理”的计算机上做任何事情:它可以模仿Windows资源管理器,可以对文件进行复制、粘贴、删除、重命名、远程运行等,可以上传下载文件(夹),断点续传,文件数据加密传输;查看远程系统信息、剪切板查看、进程管理、窗口管理、服务管理、共享管理、代理服务、MS-Dos模拟、插件管理;实施远程控制命令;捕获屏幕,并能把本地鼠标键盘的动作传送到远程实施控制;它可以查看远程摄像头,还有语音聊天功能;它还可以对自动上线的“肉鸡”实施关机、重启、打开网页等一切命令;以及其他一切的控制、修改、偷窥、盗窃、敲诈等功能。

金山毒霸的工程师李铁军直言不讳的说“它就是一个木马,带有再明显不过的木马特征。我们就是要查杀它,而且我们现在的专杀可以查杀它的任何变种。”就在李铁军和他的同事在准备推出灰鸽子专杀工具之际,一位自称是灰鸽子客服的人员打来电话,称希望“慎重考虑”。

“它如果没有这么大财力是不敢做出这种有威胁意味的举动的,至少说明灰鸽子工作室每年获得的收益至少是数千万元级别的。”李铁军称。

这样一个具有再明显不过的病毒特征的“灰鸽子”,其制作者和得益者都将它称之为“远程管理软件。”其制作者这样说“我只是私自造了一把枪,他们买去杀人还是自卫与我无关。”然而更多的是无数受害者的声讨。李明坦白的说“我们这些得益者们并不是在自卫,我们一开始就是用它来杀人。”

更为可笑的是在灰鸽子工作室网站的二级网页上竟然将“计算机信息网络国际联网安全保护管理办法”条条罗列出来 。在其首页上也标注了其聘请的法律顾问。

有法律专家指出,中国的互联网立法比国外要落后许多。《计算机信息网络国际联网安全保护管理办法》中规定制造和传播病毒是违法的,但是对于木马、黑客程序、“流氓软件”等并没有清晰的界定。这就导致了2006年出现的“流氓软件”的艰难诉讼。也导致了诸如“灰鸽子”这样的木马制造者能钻法律的空子,并且在网上肆意敛财。

在灰鸽子工作室的网站上只有正规的线上支付渠道、联络QQ号码和无人接听的远在安徽某县的电话。这就是许多病毒、木马、黑客程序制作者一贯采用的方式:即便出了事,想立刻找到他们也并不是一件容易的事情。

“尽管法律监管存在漏洞,但是‘出来混迟早是要还的’”。李明说。今年年初,李明退出江湖,有了一笔积蓄的他开始着手洗白自己。

安全形势堪忧

然而,洗白并不能洗去受害者所受的伤害。

由CNNIC发布的《2006年中国互联网络发展状况统计报告》显示至2006年年底我国可上网计算机总数为5940万台。网民对网络安全感的认同率仅有28.8%,其余的71.2%的网民都对网络的安全深感担忧。有45.4%的网民非常担忧木马的入侵。

根据Alexa统计显示,2006年平均每天有600人购买下载“灰鸽子”控制端木马软件。按照互联网的一般规律,正版和盗版的比例为1:9,那么每天就有6000人下载和使用正版或者盗版的“灰鸽子”控制端软件。这样计算下来,一年有2190000人使用过“灰鸽子”控制端软件。按照一人至少控制过10台“肉鸡”计算,2006年,我国至少有21900000台计算机曾至少一次变成“灰鸽子”控制者的“肉鸡”。这个绝对值非常的惊人。

一位不愿透露姓名的“灰鸽子”控制者说“这个数目是非常庞大的。被我控制过的’肉鸡’前后就超过40000台左右。5940万台可上网电脑 中有近40%的联网电脑都至少被“灰鸽子”的控制者控制过一次。如果这些互联网用户知道自己的计算机在被“灰鸽子”木马监视着一举一动,那将会是非常恐怖的,甚至会引起恐慌。”

有分析人士指出,如果“灰鸽子”控制端用户数量按照目前的速度增长,那么到2007年底,我国将至少有一半可上网电脑将至少一次变成“肉鸡”。

如此庞大的群体的隐私该如何保护,被侵犯的隐私权以及被盗取的虚拟财产甚至真实财产又该如何保护?这不仅仅是法律的问题,更是一个巨大的社会问题。

就在此文写就之际,一位心理学家这样分析:对于自制力比较差的群体,或者具有反社会心理倾向的群体,现实中没有表露的人性的阴暗面会在网络上加倍的呈现。加上利益的驱使,引诱更多的人进入其中。灰鸽子不仅仅是一个后门木马,更像是一个邪教,在怂恿那些跃跃欲试的人们到网络上去偷窥、盗窃、破坏、敲诈……

李明的洗白并不能洗去他心里的伤痛。三年前他在北京中关村一个电脑卖场做销售工作。在一次聊天中,QQ上一个未曾谋面但是聊得很投机的网友给他发来了一个文件。文件的内容让他大吃一惊:文件里面有李明的过往聊天记录、存在电脑上的照片、公司的文件,还有QQ视频抓拍的图像和短片……他陷入了极度恐慌中,继而是好奇,再后来他就变成了彻底的害人者。

“我洗白了自己,但是洗不去心里的阴影”。李明这样说。

一个多年的IT从业者这样评说这群人“他们活在一个看不见的阴暗世界中。”

相关资料:

第一起互联网敲诈案

海淀区法院刚刚审结了一起侵入别人电脑,盗取对方电脑中极其隐私的资料,然后借机敲诈勒索的案件。该案犯名叫李金华,他使用“灰鸽子”木马窃取了受害人存在电脑上的裸体照片,然后给受害人发消息,敲诈14万元。在7万元已得手的情况下,李金华仍然继续敲诈受害人。最后受害人报警,李本人也获刑6年。虽然罪犯绳之以法,但是这件事却在受害者心中永远留下了阴影。

该案件已经于3月7日中午12点在北京电视台3套《法制进行时》播出。

数据资料:

1、2006年网络新增威胁73%来自木马攻击

2、在06年截获的各类病毒中,专门盗取网银、网游等网络财产和QQ号的木马占了51% ,这已经成为网络第一大威胁。

3、其中灰鸽子木马已经在2007年2月病毒 数量中占据12.5%,位列木马威胁第一。

以上数据来自于金山《中国互联网2006年度信息安全报告》

4、根据Alexa的统计,浏览灰鸽子工作室网站的新增用户占全球互联网用户的数量均值为0.001%/天。按照一般网站的浏览人数比与新增浏览人数的比例为0.05%:60万/天,推测出灰鸽子工作室每天的新增浏览人数为1.2万。 关于Alexa的统计数据可登陆Alexa网站查阅:http://www.alexa.com/data/details/traffic_details?q=www.huigezi.net&url=www.huigezi.net

5、根据互联网销售的一般规律,会有5%的浏览用户选择在线购买,一年的服务费用为100。因此计算时候采用1.2万×5%×100元=6万元。由于采用的1.2万人次的数据是均值,因此计算当年收入时即用6万×365天=2190万。

6、根据以上计算,每天新增付费下载用户为600人。根据通用的盗版正版比例9:1计算,安装“灰鸽子”控制端软件的新增人数每天为6000人。一年为219万人。保守计算,一人控制10台肉鸡,那么一年至少做过一次“肉鸡”的可上网电脑为2190万台。这个比例接近2006年我国可上网电脑台数的40%。

 

“灰鸽子”控制“肉鸡”示意图

灰鸽子产业链

推广二维码
邮件订阅

如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

重磅专题