出處:財經
從炫耀技術的“行為藝術”到龐大產業鏈中的一環,不斷進化的病毒正在像癌癥一樣,威脅著日漸勃興的互聯世界
一只可愛的熊貓,舉著三炷香。2006年底,曾經憨態可掬的“國寶”一夜之間成了廣大電腦用戶談之色變的主角——因為這一形象已經有了新的含義:“熊貓燒香”病毒(Worm.WhBoy.cw)。
這種病毒及其變種把感染的程序文件圖標統統改成熊貓舉著三根香的模樣,還可以盜取用戶賬號、密碼,并且破壞文件系統等。到2007年2月,已有上百萬個人用戶、網吧及企業局域網用戶遭受感染和破壞。
2月12日,湖北省公安廳宣布,已經成功偵破“熊貓燒香”病毒案,并抓獲六名犯罪嫌疑人。但截至《財經》發稿,新的變種仍在出現,“熊貓燒香”仍然余煙繚繞。
其實何止“熊貓燒香”,如今電腦病毒已是一個進化得無比復雜和龐大的家族。它們是一個個程序,但可以自我復制,并且在電腦主人不注意或者未經許可的情況下,感染其他程序,進而自動尋找下一個宿主。因其病理學特征與在人體上肆虐的生物病毒一樣,故而名之為“電腦病毒”。
大約20年前,當時更多地作為技術炫耀而產生的電腦病毒,如今卻在如此深刻地影響著整個行業,乃至整個世界,并儼然已經形成一個自成一體的“黑色產業”。
“幽靈”興起
早在1972年,美國著名科幻小說家大衛杰洛德(David Gerrold),就在一本小說中虛構了一種像真正的病毒一樣運行的電腦程序“病毒”(Virus),并且引入了另外一種叫做“疫苗”(Vaccine)的程序與之相抗衡。
1982年,風靡一時的漫畫書《X戰警》(X-MEN)中,更是首次出現了“電腦病毒”(computer virus)這個名詞。
但直到1983年,當時還在美國南加州大學攻讀電子工程的弗雷德科恩(Fred Cohen)在其博士論文里,才給出了電腦病毒的第一個學術定義,這也是今天公認的標準。
不過,這一論文并沒有引起太多人的注意,似乎只有他和很少一部分人認為這種可以自我復制的程序,日后會成為電腦世界的大患。
一般認為,早在1981年,在蘋果電腦上就誕生了首個電腦病毒。這個病毒完全是一個美國高中生的惡作劇:病毒被附著在游戲上,游戲一旦啟動50次后,就會出現黑屏,并且顯示一首作者自創的詩歌。和早期其他病毒一樣,這看上去更像技術愛好者的“行為主義”藝術,并不會對被感染的電腦造成實質性損害。
第一個針對個人電腦(PC)的病毒,是1986年一對巴基斯坦兄弟巴斯特(Basit)和阿姆賈德(Amjad)出于防止盜版的目的所寫的C-BRAIN病毒。這段寫在軟盤啟動扇區中的病毒,被稱為“巴基斯坦”病毒。
一開始,電腦病毒被很多人看成僅僅是一種“創造性的娛樂”,并沒有太多的惡意成分。但很快就顯示出了其另一面——巨大的破壞性。
1988年,讓人們至今記憶猶新的“黑色星期五”病毒(實際上叫耶路撒冷病毒)爆發。它可以感染所有后綴為.exe、.com的可執行文件,并在每個是星期五的13號刪除所有運行中的程序。
在這一年,中國也出現了“小球”病毒。
弗雷德科恩目前是美國紐黑文大學教授,還擔任其創立的專業信息安全機構Fred Cohen & Associates的CEO。他在接受《財經》記者采訪時表示,電腦病毒具有如此巨大的潛在破壞性,其實并不奇怪。由于個人電腦操作系統本身存在的漏洞,加之用戶缺乏對系統文件有效的控制,病毒可以改寫系統文件甚至操作系統本身。即便是安全系數較高的UNIX系統,在他看來,一個軟件高手八個小時內就可以編制一個可以攻破它的病毒。
在上世紀80年代,電腦主要為DOS操作系統時期,病毒主要依存于.EXE、COM等可執行文件。進入90年代,微軟公司的視窗(WINDOWS)逐漸成為個人電腦的標準操作系統之后,通過文檔文件傳播的宏病毒和專門針對32位文件的32位病毒也隨之出現。
其中,最著名的32位病毒是臺灣青年陳盈豪于1998年編寫的CIH病毒。它在每個月26日發作,將用戶的硬盤格式化,甚至還可能破壞主板BIOS內的資料,導致電腦無法開啟。
互聯網的興起以及逐漸普及,則成為下一個轉折點,通過網絡傳播的第二代病毒開始出現。其本質與基于文件的第一代病毒有很大差異,它的傳播基于網絡、郵件和瀏覽器,蠕蟲(worm)和木馬(Trojan horse)無疑更是網絡病毒中的代表。
與通常需要依附在某個程序上不同,蠕蟲是一段獨立的代碼,它像寄生蟲一樣生存在宿主計算機內部。它的“頭部”是一段用以取得系統許可的密碼或ID,可以利用宿主計算機的資源對自身進行改寫,把其數據加到自己身上,讓自己變得越來越大,并控制計算機上可以傳輸文件或信息的功能,而后繼續沿著網絡傳播。蠕蟲病毒一旦進入計算機網絡中,就可能造成系統癱瘓、網絡中斷。
“木馬病毒”是一些表面上看似有用的電腦軟件,實際上卻是危害計算機安全并導致嚴重破壞的程序。它可以成為別人控制這臺計算機的“后門”,從而竊取用戶的信息。
進化之路
目前已成長為電腦大國的中國,也成為電腦病毒的“主戰場”之一。
根據國家計算機病毒應急處理中心的統計,截至2006年5月,感染病毒的電腦比例約為74%,比高峰時下降了14個百分點。但分析人士指出,隨著電腦總量的迅速增加,以及互聯網在中國社會、經濟生活中的普及,電腦病毒尤其是通過網絡傳播的新型病毒的危害卻更加嚴峻。
中國互聯網絡信息中心公布的最新數據顯示,截至2006年上半年,中國的互聯網用戶已經接近1.4億,上網電腦總量也接近了6000萬臺。與上一年同期相比,這兩個數字都保持了兩成以上的增速。這無疑為網絡傳播病毒的滋生和迅速蔓延提供了難得的溫床。
國家計算機網絡應急技術處理協調中心(CNCERT/CC)抽樣監測結果顯示,2006年,中國大陸地區約4.5萬個IP 地址的主機被植入“木馬”,與2005年同期相比增長一倍。
單純從技術而言,自電腦病毒上世紀80年代被創造出來后,其本身并沒有太多實質性的進步。科恩對《財經》記者指出,“在最近這15年里,病毒制造者從他們的知識上和技術上都沒有明顯的進步。”
但他也承認,從傳播方式和手段上說,電腦病毒實現了一個質的飛躍。
以“熊貓燒香”病毒為例,北京盼達信息安全技術有限公司總經理金楷在接受《財經》記者采訪時表示,“熊貓燒香”確實沒有太多技術創意,之所以能夠造成如此大的破壞,很大程度上是因為它感染了多個訪問量高的大型門戶網站和論壇,并通過這些網站大面積傳播,造成了此次大規模的爆發。
“它主要是利用了這個特殊的位置,而沒有革命性的技術。”金楷強調。
顯然,雖然技術上沒有革命性的突破,但電腦病毒本身也在不斷進化,以便更好地適應新的傳播途徑,以及生存環境。
金山軟件股份有限公司反病毒實驗室主管戴光劍告訴《財經》記者,“熊貓燒香”病毒在很短的時間內就出現了120多個變種。這種“自我更新機制”使得不少反病毒軟件都難以一一應對。
除了自我更新,病毒還通過欺騙、偽裝等手段來增加其生存能力。一些論壇上的帖子,會要求打算瀏覽特定圖片的用戶點擊下載一個壓縮包;但這些貌似圖片的東西,其實是“灰鴿子病毒”,用戶一旦中毒,釋放“灰鴿子”的人就可以遠程控制這臺計算機。這種社會工程學類型的攻擊方式,也會出現在游戲外掛、QQ等即時通信工具上。
在戴光劍看來,目前很多病毒都已經發展到了“混合型”的階段,無論是在傳播渠道還是制作水平上。
“熊貓燒香”就集合了多種不同的傳播方式,包括U盤傳染、文件感染、局域網感染等。它不僅可以實現多重目的,而且可以不斷自我更新,這讓反病毒軟件難以鎖定它的特征。
更重要的是,病毒制造和傳播現在越來越容易,它已經不再是只有技術高手才能涉足的“禁地”了。
目前在黑客中間頗為流行的Rootkit,為網絡攻擊者提供了從獲得網絡上傳輸的用戶名和密碼,到安裝“木馬”程序、為攻擊者提供后門,以至隱藏攻擊者目錄和進程的程序,甚至日志清理程序等一整套技術。
這些未知的病毒,很難通過以病毒特征為主要手段的常規方式加以預防。雖然眾多廠商已經推出了實時掃描用戶電腦等服務,但由于會對電腦本身的運行速度造成影響,所以,還無法取代傳統的殺毒手段。
黑色產業
在科恩看來,對于電腦病毒,也許最嚴峻的挑戰還不是因傳播方式變化而帶來的質變,而是傳播目的所發生的變化。
他對《財經》記者指出,當病毒從破壞文件系統演化到竊取商業信息以后,實質上“就已經從一個技術游戲變成了一個犯罪工具”。
如今,越來越多的新病毒被設計用來傳播間諜軟件、制造垃圾郵件、實施“釣魚”欺詐等。現在病毒制造者是出于個人的私利,而不是技術探索目的,來編寫病毒。
“現在病毒爆發同以往最大的變化,是病毒制造者從單純的炫耀技術,轉變成以獲利為目的;前者希望病毒盡量被更多的人知道,但后者希望最大程度地隱蔽病毒,以更多地獲利。”金楷說。
金山反病毒實驗室主管戴光劍則對《財經》記者透露,在業界,一個可以被控制的電腦被叫做“肉雞”。在國內可以賣到0.5元到1元人民幣一只,這樣的“肉雞”可以使用幾天;如果可以使用半個月以上,則可以賣到幾十元一只。對于病毒制造者和“經紀人”而言,如果控制了幾十萬甚至上百萬臺這樣的“肉雞”,盈利空間是可以想象的。
這樣的“肉雞”構成的“僵尸網絡”(BotNet)既可以用來對企業網絡實施集中攻擊,還可以發送垃圾郵件,以及點擊廣告等。
CNCERT/CC抽樣監測發現,中國大陸地區約有1000多萬個IP地址的主機被植入僵尸程序;境外約1.6萬個IP對中國境內的僵尸主機實施控制,這些IP主要位于美國、韓國和中國臺灣等。
“熊貓燒香”病毒可以實現的一個重要功能,就是盜取用戶賬號和密碼,從而竊取用戶的虛擬財產;而一旦盜取了諸如裝備、點卡等虛擬財產,就可以通過很多網上交易平臺完成“銷贓”,并從中獲利。
據悉,2006年金山截獲的各類病毒中,專門盜取網銀/網游等網絡財產和QQ號的“木馬”占了51%。病毒的絕大多數變化都圍繞此中心展開,已成為眾多網民面臨的第一大威脅。
北京江民新科技術有限公司技術總監嚴紹文在接受《財經》記者采訪時強調,金錢誘惑往往比個人愛好更持久、更有吸引力,這也在很大程度上導致了現在病毒遍地開花的嚴峻局面。
與此同時,部分殺毒軟件廠商,到底在這個“黑色產業”中扮演著什么樣的角色?電腦病毒市場上是否也在真實演繹著另類“無間道”,這或許仍然是個謎團。
長期以來,不少網絡用戶一直在指責某些殺毒軟件廠商實際上在暗地參與制造以及傳播新的電腦病毒,從而維持公眾對于病毒的“恐慌心態”,以便從中獲利。
畢竟,根據上海艾瑞市場咨詢有限公司(iResearch)的研究,與電腦病毒的斗爭也意味著一個同樣龐大的市場。據其預測,到2007年,網絡版和單機版殺毒軟件的市場規模有望超過30億元人民幣。
但無論如何,電腦病毒的威脅都將長期存在。
一種悲觀的理論是,電腦病毒將與電腦同在,就像人類永遠無法徹底消除生物病毒這個幽靈一樣。
在科恩看來,歸根結底,現在的計算機世界還是一個適者生存的時代——如果病毒的生存能力超過你的防御能力,你就必然會被入侵。惟一的辦法還是增強自身的“免疫力”,即更謹慎地管理自己的計算機系統,而不是僅僅依賴于選擇某種可信的防御技術。
防御病毒的策略可以有很多,要看你愿意為了安全而犧牲多少效率。盡量不運行來自陌生人的程序,有完整的保護策略和恢復手段,盡量用基于光盤的系統——所有這些,都會減少電腦病毒生存的可能。
