賈建忠

烏魯木齊職業(yè)大學(xué) 新疆 830001

0 前言

近年來，隨著網(wǎng)絡(luò)安全技術(shù)的發(fā)展，單打獨(dú)斗、不具升級和不斷變種能力的病毒失去了生存空間。而中國電子商務(wù)領(lǐng)域的蓬勃發(fā)展和每年接近于 8000億元的網(wǎng)絡(luò)在線交易量為計(jì)算機(jī)惡意程序、病毒的發(fā)展帶來了新的機(jī)遇。以攫取非法所得和經(jīng)濟(jì)回報(bào)為目的，病毒產(chǎn)業(yè)進(jìn)入了一個(gè)目標(biāo)一致、分工明確、計(jì)劃周密的精細(xì)化發(fā)展階段。集團(tuán)化運(yùn)作成為了這個(gè)發(fā)展階段的一個(gè)重要特征。

1 病毒產(chǎn)業(yè)集團(tuán)化運(yùn)作的現(xiàn)狀

1.1 以攫取非法利潤為目標(biāo)

從病毒集團(tuán)的技術(shù)能力角度來看，其實(shí)他們具有更大的獲利能力和破壞力，但為了長期獲利，避免受到嚴(yán)厲打擊，利用病毒大范圍強(qiáng)制廣告推廣、惡意流量劫持等手段為其現(xiàn)階段的主要獲利方式，且以這種方式收益，在與雇主結(jié)算時(shí)具有一定的結(jié)果合法性因素。而針對網(wǎng)銀、股票、網(wǎng)購等盜號木馬的傳播和獲益，病毒集團(tuán)首腦還是有一定的顧忌的，畢竟這類盜號木馬能夠給用戶帶來巨大的經(jīng)濟(jì)損失，雖然短期獲益巨大但后患無窮，故此類病毒或木馬的傳播范圍受到病毒集團(tuán)的控制。針對電子商務(wù)領(lǐng)域直接盜取用戶資金的犯罪還沒有發(fā)展成為病毒集團(tuán)最主要的收入來源。但，值得注意的是，隨著網(wǎng)絡(luò)購物方式的普及，資金盜取行為也產(chǎn)生了明顯的抬頭傾向。

1.2 主要侵害方式和獲利手段

病毒集團(tuán)的侵害手段和獲利方式主要有：(1)通過惡意修改，在用戶的桌面生成某網(wǎng)站的快捷方式騙取點(diǎn)擊、鎖定瀏覽器主頁為某網(wǎng)站、修改瀏覽器收藏夾、導(dǎo)航條等，以賺取網(wǎng)站流量分成；(2)通過病毒或流氓代碼在用戶瀏覽器或顯示屏右下角強(qiáng)制彈出廣告窗口，賺取廣告流量費(fèi)用；通常每千臺計(jì)算機(jī)彈出廣告可獲利6-7元；(3)引誘導(dǎo)航網(wǎng)站合作，提供病毒幫助導(dǎo)航網(wǎng)站提高流量，參與廣告分成；(4)通過病毒使用流氓手段推廣合作廠商的軟件產(chǎn)品，在軟件中插入木馬等，即賺取推廣費(fèi)又可帶來進(jìn)一步侵害獲利；(5)制作釣魚網(wǎng)站，誘騙用戶輸入重要賬戶、密碼信息，直接盜取用戶資金；(6)制作、分發(fā)盜號木馬盜取用戶資金及其它重要信息。

病毒集團(tuán)的獲利方法和侵害手段是原先病毒從業(yè)者的集大成者。不同于后者的是病毒集團(tuán)掌控了大量的網(wǎng)站資源可以獲得穩(wěn)定的流量分成收益，故廣告推廣類的惡意代碼為目前病毒集團(tuán)的主要武器。病毒集團(tuán)通常推出一些以搶流量為目的的危害并不是很大的病毒降低自身的風(fēng)險(xiǎn)獲得穩(wěn)定的收益。由于病毒集團(tuán)通常擁有大量的國內(nèi)外服務(wù)器、域名、IP地址資源，故對于釣魚網(wǎng)站和針對網(wǎng)絡(luò)購物的惡性木馬采取自產(chǎn)自銷的經(jīng)營模式。即從編寫病毒及變種、傳播、提現(xiàn)一條龍自給式經(jīng)營，而通常不會將其中的某個(gè)環(huán)節(jié)的控制權(quán)以合作的模式交出去，提高自身的風(fēng)險(xiǎn)性。如：對某種木馬及變種的壟斷控制，不會以出售的方式將木馬控制端交給別的組織。

1.3 病毒集團(tuán)自我保護(hù)的方法

病毒集團(tuán)對于逃避網(wǎng)絡(luò)監(jiān)管部門和公安部門的打擊富有經(jīng)驗(yàn)。主要手段有三個(gè)：

(1) 低調(diào)從事

從其獲利模式上來講，主要從那些危害不大的灰色病毒及流氓軟件中獲益。這種做法不易引起巨大的社會反響和有關(guān)部門的強(qiáng)力追查。即使受到調(diào)查，因危害小也難以傷其元?dú)?。且如果不直接盜取用戶的資金、散布重要商業(yè)信息、破壞網(wǎng)站的運(yùn)營，從法律的角度來講，難以追究其責(zé)任。病毒集團(tuán)的決策者深知?dú)⒍拒浖S商可以殺滅其病毒及變種，但后者通常并沒有義務(wù)去深挖病毒來源，分析其幕后背景，而相關(guān)執(zhí)法部門又缺乏大量的數(shù)據(jù)支持和專業(yè)技術(shù)手段，故其發(fā)展策略在于擴(kuò)大對網(wǎng)絡(luò)資源的控制，以合法的推廣業(yè)務(wù)輔以暗中惡意代碼的手段積少成多，穩(wěn)定收益。在這種情況下，從個(gè)案入手追查，難以窺其全貌并施加嚴(yán)厲打擊。

(2) 狡兔三窟

病毒集團(tuán)的另一個(gè)有效手段是不斷變換IP和域名，一些發(fā)展成熟的病毒集團(tuán)甚至可以每天變換IP地址一次以上。他們通常將釣魚網(wǎng)站服務(wù)器架設(shè)在境外并在境外申請不需要提供實(shí)名登記的域名和IP，對于木馬控制端也是如此操作。通過互聯(lián)網(wǎng)將盜取或詐騙來的賬戶、密碼信息發(fā)至境外的服務(wù)器，在境內(nèi)由專人迅速提取現(xiàn)款，使得追查和打擊困難重重。

(3) 注重身份隱藏

病毒集團(tuán)招募的從業(yè)人員從個(gè)人的角度很難發(fā)現(xiàn)這個(gè)集團(tuán)的存在，他們通常只知道自己的上級雇主，而難以得知整體經(jīng)營情況和組織架構(gòu)，而組織的高層通常具有合法的互聯(lián)網(wǎng)業(yè)務(wù)和身份做掩護(hù)。

2 如何遏制病毒集團(tuán)的發(fā)展

2.1 要拓寬互聯(lián)網(wǎng)企業(yè)的出路

目前的互聯(lián)網(wǎng)企業(yè)經(jīng)營模式主要以廣告流量服務(wù)和訂制服務(wù)獲益。而網(wǎng)絡(luò)上大量的服務(wù)和應(yīng)用軟件是免費(fèi)這種無償提供的。模式造成掙錢的企業(yè)少、賠錢的多。為了獲利維持網(wǎng)站尤其是中小網(wǎng)站的運(yùn)營，很多網(wǎng)站的管理者不得不參加某些廣告聯(lián)盟或和某些有灰色業(yè)務(wù)的實(shí)體合作將網(wǎng)站中某些發(fā)布、控制權(quán)交由對方操控，以提高自己的訪問量獲取流量收益。而病毒集團(tuán)此時(shí)會偷偷的乘虛而入，在網(wǎng)站上做手腳。在移動(dòng)互聯(lián)業(yè)務(wù)方面，因?yàn)閷κ謾C(jī)用戶發(fā)送廣告其效果和隱蔽性差，移動(dòng)互聯(lián) SP服務(wù)提供商更加難以從正規(guī)渠道獲益。故應(yīng)該拓寬互聯(lián)網(wǎng)企業(yè)正常獲益的渠道。作為普通用戶也應(yīng)該明白，適當(dāng)?shù)馁M(fèi)用支出以維護(hù)互聯(lián)網(wǎng)內(nèi)容的安全性和互聯(lián)網(wǎng)無害服務(wù)提供的持續(xù)性是值得的。如：蘋果的iTunes Store就是一個(gè)很好的收費(fèi)平臺，雖然很多軟件收取一點(diǎn)費(fèi)用，但是維護(hù)了服務(wù)提供商的良性運(yùn)轉(zhuǎn)，并且使得用戶的移動(dòng)設(shè)備安全性得到很好的保護(hù)。蘋果智能終端操作系統(tǒng)幾乎沒有受到病毒的侵?jǐn)_?；ヂ?lián)網(wǎng)企業(yè)有了正常的生財(cái)之道，就不會給或者少給病毒集團(tuán)生存空間，也會自覺維護(hù)運(yùn)營環(huán)境。

2.2 各方全力配合形成合力

針對病毒集團(tuán)的種種自我保護(hù)措施，要遏制其發(fā)展勢頭，單打獨(dú)斗難以取得收效，必須由工信部或公安部等牽頭，集網(wǎng)絡(luò)運(yùn)營商、殺毒軟件廠商、有影響力的電子商務(wù)網(wǎng)站、網(wǎng)絡(luò)支付平臺等協(xié)力合作才可給其以有效打擊。國內(nèi)的三大網(wǎng)絡(luò)運(yùn)營商對于網(wǎng)絡(luò)基礎(chǔ)架構(gòu)安全具有不可推卸的責(zé)任，可與殺毒廠商合作追蹤毒源，屬于同一個(gè)病毒集團(tuán)的特定病毒攻擊一般會在某個(gè)時(shí)刻多點(diǎn)同時(shí)發(fā)起，并且其服務(wù)器地址分布也有跡可查。網(wǎng)絡(luò)運(yùn)營商可在殺毒廠商的技術(shù)、數(shù)據(jù)支持下有效封殺毒源IP。殺毒軟件廠商可為電子商務(wù)網(wǎng)站及網(wǎng)絡(luò)支付平臺提供鑒別釣魚網(wǎng)站及其它惡意網(wǎng)站的數(shù)據(jù)統(tǒng)計(jì)資料，并提供安全解決方案或訂制的網(wǎng)購防護(hù)軟件產(chǎn)品。殺毒軟件廠商之間也可通力合作，凝聚技術(shù)力量，為普通互聯(lián)網(wǎng)用戶提供惡意網(wǎng)址及域名識別的通用資料庫及軟件。司法部門和有關(guān)部委可牽頭組織、協(xié)調(diào)各方的行動(dòng)和合作，并且獲取所需的技術(shù)服務(wù)、證據(jù)支持。

2.3 用戶自己的警惕心和常識

作為一個(gè)沒有專門知識的普通用戶，避免病毒侵害應(yīng)該具備必要的警惕意識和常識。2010年以來，針對網(wǎng)銀和網(wǎng)上支付系統(tǒng)的盜取活動(dòng)日益猖獗。一些病毒集團(tuán)成員常在購物網(wǎng)站或網(wǎng)上店鋪設(shè)置病毒鏈接陷阱，一不小心就可能進(jìn)入一個(gè)虛假的支付頁面，將自己的賬號信息拱手相送。有時(shí)他們還采取一對一的方式誘騙用戶瀏覽或點(diǎn)擊某些內(nèi)容，暗中傳送木馬，轉(zhuǎn)移用戶賬戶資金。還有一些病毒集團(tuán)所控制的釣魚網(wǎng)站其內(nèi)容可以亂真，使得普通用戶無法識別，造成重大損失。在互聯(lián)網(wǎng)上規(guī)避風(fēng)險(xiǎn)一般人是可以做到的，重要幾點(diǎn)如下：①并不是裝了殺毒軟件和防火墻就是百分之百安全的，少去那些不健康的、不斷彈出廣告的、訪問量小的網(wǎng)站。②在淘寶、阿里巴巴等網(wǎng)站購物時(shí)，首先記住該網(wǎng)站在瀏覽器地址欄中的域名信息及支付寶等第三方支付平臺的域名，進(jìn)入支付頁面請對照是否有異常。③如果你懷疑某個(gè)網(wǎng)站是否假冒的，可在知名的搜索引擎網(wǎng)站搜索“域名查詢”，找到域名查詢網(wǎng)站后輸入待查網(wǎng)站的域名信息，可核實(shí)該域名的注冊實(shí)體、法人等信息。④如果想追查某個(gè)網(wǎng)站來源，也可打開命令行工具，使用Ping域名的方式獲知網(wǎng)站的IP地址，然后進(jìn)行IP地址查詢，確定其服務(wù)器地址是否在國外。⑤凡是自行彈出的中獎(jiǎng)信息窗體，幾乎全部是騙子所為，如果按照其指引一步步操作下去，會有麻煩。⑥沒有專門的知識和防護(hù)，盡量避免手機(jī)支付，特別是智能手機(jī)和普通PC機(jī)一樣也存在盜號木馬。

2.4 我們不能總是被動(dòng)接招

目前，對于網(wǎng)絡(luò)病毒主要采取殺毒軟件和各種安全防護(hù)措施的被動(dòng)查殺模式。殺毒措施總是遲于病毒一個(gè)相對的時(shí)間，而此時(shí)第一波侵害通常也是最重的危險(xiǎn)期已經(jīng)過去了，而且人們對于病毒的關(guān)注總是與其所造成的危害成正比的。如果不能主動(dòng)的破壞病毒傳播網(wǎng)絡(luò)，則防護(hù)措施做得再好也只是做到了亡羊補(bǔ)牢，費(fèi)心費(fèi)力。因此，對于病毒產(chǎn)業(yè)鏈尤其是病毒集團(tuán)應(yīng)該采取追本溯源的策略，遏制其發(fā)展?？尚械淖龇ㄊ?，依靠各安全廠商廣泛收集病毒攻擊相關(guān)資料并加以分析，如：某個(gè)病毒及其變種發(fā)展過程中其侵害的范圍和源頭追尋，如果發(fā)現(xiàn)該病毒最初出現(xiàn)時(shí)主要傳播的幾個(gè)網(wǎng)站及盜號控制端的 IP等信息并不斷關(guān)注其傳播范圍擴(kuò)大過程中的一些信息要素，就可為司法部門破獲幕后非法組織提供有力線索。成氣候的病毒集團(tuán)在技術(shù)防范上更加狡猾，主動(dòng)追查其在互聯(lián)網(wǎng)上活動(dòng)的蛛絲馬跡有賴于各技術(shù)部門攜手合力。對于租用境外服務(wù)器進(jìn)行違法活動(dòng)的組織，應(yīng)努力搜集證據(jù)，加強(qiáng)國際網(wǎng)絡(luò)安全合作，力求掃清安全死角。

此外，還因重視對那些危害相對較小的流氓軟件的傳播渠道進(jìn)行分析和信息收集。因?yàn)閾屃髁康臉I(yè)務(wù)是病毒集團(tuán)穩(wěn)定獲利的主要渠道，也是其在自我保護(hù)方面容易疏漏的一點(diǎn)，在這方面加強(qiáng)溯源可能會收到事半功倍的效果。

2.5 法律條款應(yīng)重新界定計(jì)算機(jī)病毒及破壞性程序

2000年4月公安部頒布實(shí)施的《計(jì)算機(jī)病毒防治管理辦法》、1994年2月國務(wù)院頒布的《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》中對計(jì)算機(jī)病毒的定義是：計(jì)算機(jī)病毒，是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。此定義中的病毒的特征及破壞作用已經(jīng)不能體現(xiàn)當(dāng)前惡意程序發(fā)展的趨勢。其中的自我復(fù)制性將當(dāng)前很多惡意程序界定在外。再如木馬程序及其它一些盜取信息、竊取資財(cái)?shù)膼阂獬绦蚨鄶?shù)不破壞計(jì)算機(jī)的使用功能也不毀壞數(shù)據(jù)。僅針對上述定義的計(jì)算機(jī)病毒進(jìn)行立法或?qū)嵤┠承l例具有很大局限性。2011年9月最高人民法院、檢察院聯(lián)合發(fā)布的《關(guān)于辦理危害計(jì)算機(jī)信息系統(tǒng)安全刑事案件應(yīng)用法律若干問題的解釋》中，為適應(yīng)當(dāng)前計(jì)算機(jī)領(lǐng)域犯罪的新形勢，對于利用木馬、僵尸網(wǎng)絡(luò)、釣魚網(wǎng)站等進(jìn)行的犯罪在刑法中適用的條款進(jìn)行了進(jìn)一步的解釋，并用計(jì)算機(jī)病毒等破壞性程序作為犯罪工具的主體名稱?？梢灶A(yù)見，隨著網(wǎng)絡(luò)犯罪形式的不斷豐富，法律層面的修訂和補(bǔ)充解釋必不可少。

如果在刑法中重新界定計(jì)算機(jī)病毒及破壞性程序，顯然有利于解決病毒集團(tuán)“鉆空子”的行為。病毒集團(tuán)很多謀利手段是“灰色的”，針對受侵害的個(gè)體來講危害不大，但其實(shí)施的范圍廣、能夠持續(xù)性非法獲利。如：搶流量、強(qiáng)制廣告等行為，嚴(yán)重影響了互聯(lián)網(wǎng)業(yè)務(wù)的健康發(fā)展和用戶體驗(yàn)。應(yīng)加強(qiáng)對其“流氓”行為的司法解釋。而刑法中“計(jì)算機(jī)病毒等破壞性程序”的說法值得斟酌，首先，計(jì)算機(jī)病毒不一定是以破壞性為目的的，其次“破壞性程序”僅是惡意程序中的一種類型。目前業(yè)界還出現(xiàn)了“軟性病毒”、“中性病毒”、“流氓軟件”等提法。以上情況表明從法律角度對計(jì)算機(jī)病毒及其特征進(jìn)行重新界定，使其適應(yīng)網(wǎng)絡(luò)安全形勢的新發(fā)展并成為違法行為軟件代碼的一個(gè)統(tǒng)稱十分有必要。

[1]李琦.互聯(lián)網(wǎng)病毒集團(tuán)幽靈難驅(qū).IT時(shí)代周刊[J].2011.

[2]段郴群.中國十大病毒集團(tuán)曝光.揭秘五大非法獲利手段[N].廣州日報(bào).2011.

[3]喻海松.關(guān)于辦理危害計(jì)算機(jī)信息系統(tǒng)安全刑事案件應(yīng)用法律若干問題的解釋的理解與適用[J].人民司法.2011.