隨著中國網民數量的增長,計算機病毒的傳播也由此前的簡單粗暴傳播方式變得更為隱蔽,并形成一套詳細的操作流程。而據金山云安全統計結果,目前,十大“病毒集團”已控制了互聯網上80%的病毒下載通道,主要的病毒集團每天可感染約20萬臺PC。僅流量收入一項,一年就可獲利1.2億—1.5億元。作為一名曾經的病毒集團內部人士、現已“金盆洗手”的趙勇(化名)對病毒集團的工作流程再熟悉不過了。他詳細解密了病毒產業鏈的運作過程。
病毒傳播隱蔽化
對于病毒集團來說,一般都會有一個項目負責人,其實一般情況下,病毒集團類似于皮包公司,團隊里一般人不多,少的一人,多的十幾人,項目負責人拿到來自上游廠商的任務后,就會向團隊里的人分派任務,一般分為三步,第一步是安排人負責工具制造,即制作病毒;第二步是流量控制,即安排人負責推廣病毒;第三步是收錢,即將通過病毒和木馬獲取的信息兌換成錢。“病毒程序寫得好的,一個月拿50萬元很輕松,前幾年,大中型病毒集團一年上千萬元的收入沒有問題” 。
不過早年病毒集團的手法比較簡單粗暴,一般都是通過盜取游戲裝備和游戲賬號等非法方式,然后靠倒賣來牟利。趙勇介紹說,病毒集團會制作一個病毒或者木馬,發現一些電腦系統漏洞之后,往往一夜間就會感染成千上萬臺電腦,其后病毒集團就開始“收成”,會不停地收到被感染電腦的賬號及“密碼箱”。掌握了用戶的密碼和賬號后,病毒集團會將游戲賬號賣出去,或者賣給專門的“洗號團伙”來牟利。
2007年后,由于游戲廠商經常更新游戲軟件,且殺毒廠商對病毒和木馬查殺很嚴格,加上病毒集團盜號后“變現”比較難,近年來病毒集團的操作方式也由惡意盜號變成了越來越“正規”的經營模式,更多的是通過“流量導向”,即給付費客戶導流量或者幫助其增加軟件下載量。不過,“日子越來越難”。基于此,趙勇選擇了退出病毒制作行業。
病毒集團的客戶主要來自于上游廠商,有大型互聯網上市公司,也有小型的互聯網公司。趙勇透露,據其了解,一家搜索引擎和輸入法廠商都曾經有過一兩個月裝滿用戶電腦的經歷,“用戶安裝量這么大,與其推廣手法顯然有關系” 。
不過,據一位下載站負責人王先生介紹,真實情況是,一個病毒集團往往會找到需要獲取流量的大型正規推廣上游付費廠商,告訴對方自己有正規的推廣渠道(即下載站或者導航站),獲得正規廠商認可拿到推廣許可后,病毒集團就會再找到下載站,告訴下載站有一個正規軟件需要推廣。
“這個軟件包經過下載站檢測,一般也沒有問題,但往往經過一段時間運行后,這個軟件包就會將包含的木馬內容通過遠程操作啟動致用戶電腦感染病毒或木馬,而病毒集團通過操作感染木馬和病毒用戶的電腦,同時推廣了正規的軟件和其他一些軟件” 。
病毒傳播收益模式
在病毒集團的下游,以王先生的下載站為例,下載站接到病毒集團的任務,一般一個軟件安裝收費兩三毛錢,最高不到五六毛錢,有時病毒集團也會承包一個下載站的廣告位置,一個月付兩三萬元。“問題是病毒集團很不好判斷,它們大多是以正規身份出現,其最初提供的軟件和下載包都沒有問題,而且推廣的業務也都來自于正規廠商” 。
不過,病毒集團因下載站的嚴格審核,還會選擇網址導航站作為其推廣的最新模式。據王先生介紹,病毒集團每成功鎖定一個導航站主頁可以掙到1元左右,安裝激活一個軟件掙到1元左右,成功引導網民注冊游戲ID,也可獲得相應回報。當瀏覽器主頁被鎖定到網址導航站后,網址導航站同樣可以收取廣告費用,而那些被病毒鎖定的網址導航站,還可以給一些電子商務網站帶去流量。
在完成交易后,網址導航站可以按照用戶在這些網址導航站提供的鏈接里發生的電子商務購買行為而收取分成,同時,有些病毒集團還可能隨時隱蔽修改導航鏈接,將網民引入釣魚欺詐網站。“網址導航站已經取代下載站成為一個新型的病毒集團推廣模式”。
一位門戶網站編輯同時又從事自己的小型網站推廣的站長告訴我們:“很多所謂的站長唯利是圖,他們制作的導航站或者小網站往往成為病毒和木馬擴散的新來源,為了賺幾分錢,不管是病毒還是木馬,什么活都敢接,就是他們把中國站長的名聲給搞臭了。”
據金山網絡安全專家李鐵軍介紹,病毒傳播已經形成了一個產業鏈,并且控制在少數集團的手里,金山網絡通過長期對產業鏈的傳播分析,發現每天由黑色產業鏈影響的網民中,近80%的網民為病毒集團操控的黑鏈所致,黃飛虎等前十大病毒集團操控了80%的病毒傳播,其中前五大病毒集團在所有病毒集團中已經占到了近60%的比例。“他們通過軟件下載、網盤傳播、成人視頻播放器、木馬、游戲外掛、小說下載等方式傳播和推廣” 。
而且病毒集團也在不斷探索新的盈利模式,網絡購物的火爆已經引發了病毒集團的關注,李鐵軍表示:“由于制作釣魚詐欺網站的成本很低,而且可以直接獲取經濟利益,流程更簡單,因此,2011年網購有可能成為病毒集團的主要盈利通道。”
知名互聯網人士洪波說,上游的廠商要負起責任來,因為如果上游廠商的安裝包可以被推廣者隨意修改,其實是上游廠商的推廣存在問題,所以上游廠商應該根據第三方提供的病毒集團特征和名稱,從源頭來斷掉病毒集團的收入來源。