[转帖]“灰鸽子”和网络黑帮

风行水上

<TABLE cellSpacing=0 cellPadding=8 width="100%" align=center border=0>

<TR vAlign=top align=middle>
<TD width="100%" height=66>
<DIV align=center><B><FONT color=#ff0000 size=5>“灰鸽子”和网络黑帮 </FONT></B>




<FONT color=#0099cc>南方周末　  　2007-03-29 14:34:41</FONT></DIV></TD></TR>
<TR vAlign=top>
<TD width="100%"><FONT>


　　■边走边说
　　□李铁军
　　
　　从今年2月开始，我陆续接到好几个朋友的电话抱怨，说自己电脑中的资料被偷盗。其中一个好友竟然被人偷拍了裸照放到了网站上。之前也有过朋友告诉我丢QQ号码什么的，不过双方都没有在意。
　　我在杀毒行业已做了5年。5年前，我是一名医生，但由于极度热爱计算机而加入了一家软件厂商，成为一个反病毒工程师。其实反病毒工程师和医生是一样的，都是悬壶济世。一个是在现实世界中救人，一个是在虚拟世界中救人。
　　这个偷人电脑上东西的“贼”就叫做“灰鸽子”。这个病毒其实我早有耳闻，之前我圈内的同行们一直将它列为年度毒王。
　　3月12日，我在自己的博客中开始对“灰鸽子”进行解密。作为一个虚拟世界中的“医生”，我需要提醒这个虚拟的世界，这里有一个小偷和抢劫敲诈犯，它的作案过程无声无息无影无踪。我要告诉这个虚拟的世界，这个小偷长什么样子，它是怎么实施偷盗和敲诈的。
　　很快我就发现，原来在虚拟世界中被偷过东西的人确实不少，我的博客的访问量一下子突破了2万。但在3月13日下午，我接到了一个电话，对方说自己是“灰鸽子”的人，并且建议我不要乱写乱说。此时，我的其他同事们已经研发出了对这个隐形的贼的有效抓捕办法。我明白，这种警告不仅仅是针对我的，也是针对我的同事们的。
　　我开始去调查这个“灰鸽子”，调查是从自己使用“灰鸽子”开始的。之前我做的工作就是在论坛里、网站上、QQ群中监控各种漏洞，发现并收集各种病毒、木马等样本，并把这些样本交给我的同事们。
　　事实上，我的同事们早在2月25日就已在通宵达旦地研究“灰鸽子”了。这些反病毒精英们分成了黑白两方，做“灰鸽子”攻防演习。黑方扮演黑客、病毒攻击一方，用海量“灰鸽子”变种样本攻击白方。白方则扮演处于防御状态的用户，用各种方法抵御进攻，查杀变种样本。
　　有人说，强盗总是比警察厉害。因为他们在公共场所可以随意开枪，而警察拔枪时却总在担心会不会误伤群众。而我在使用“灰鸽子”控制我的另一台电脑的过程中，我从互联网上了解到更加触目惊心的情景。
　　在一个虚拟的世界中，每一个人都可能在毫无知觉的情况下被这个“灰鸽子”软件的使用者卖来卖去。如果这个人电脑上有价值的东西多，那么卖的价钱就好；如果有价值的东西不多，卖的价钱就低。有1分钱一台的还有5块钱一台的。有人一天晚上能抓来3000台电脑———这些被控制的电脑就叫做“肉鸡”———然后再按1块一台的价格把控制权卖出去，一天晚上就能获得3000块。这种层层控制、纠葛不清的利益关系让“灰鸽子”形成了一个庞大的帝国。
　　还有它偷来的一些私密信息包括聊天记录、文字、视频等都被卖来卖去，或者被人放到网络上集体欣赏。
　　这让我极度地震惊。这已经远远超出了我对病毒的想象，也明白了打电话向我哭诉的那个朋友的心情。
　　为了更了解“灰鸽子”所构建起来的这个庞大的帝国中的秘密，我在百度贴吧上找到一个买卖“肉鸡”的QQ群号码，而这样的号码多得不计其数。我加入了这个名叫“黑帮38组”的QQ群卧底。这个群里的成员已经发展到快接近200人的上限。进入QQ群，群公告中赫然写着这样的帮规：
　　“本帮立志于利用黑客技术赚钱的研究，在本帮学习后，要为本帮服务。即：学习时是免费的，但在你取得收入后就应该报答黑帮，每天上交你的收入的15％，具体数目按当时通知为准。如有没良心的不交我们只能说很遗憾了。不知报答者必死！帮里将向你提供各种黑客工具，不得外传。本帮主要提供挂分赚钱的方法，只要外网的加入。”
　　这中间所指的挂分赚钱，就是指只要是“黑帮38组”的成员，他们任何一个人发展的“肉鸡”，帮主都要往“肉鸡”中装一个点击广告的插件，让“肉鸡”不停地点击国外广告，点击一次帮主就可获得0.3美金。
　　在卧底的过程中，我听到了更多关于“灰鸽子”木马帝国骇人听闻的内幕。“黑帮38组”群里一个“灰鸽子门徒”曾经问我，你知道什么叫远程看现场么？我说不知道。对方说：“SB，这是现在的流行语。装上‘灰鸽子’，好多‘肉鸡’经常整夜挂机玩游戏，你就可以远程开启摄像头，看两口子现场啊，还有声音，刺激得很，要不要我们经常交流一下相互的视频啊？”
　　当我们的专杀就位后，我们的网站遭到了上万台被控制的“肉鸡”的攻击。
　　3月21日，“灰鸽子”工作室正式“关门”，我们取得了阶段性的胜利。但就在“灰鸽子”工作室“关门”两天后，一篇帖子赫然出现在我眼前：4月1日集体对金山发动攻击，特此通知！
　　较量还没有结束……(作者为金山反病毒工程师)
</FONT>
<TABLE width="100%">

<TR>
<TD></TD>
<TD></TD></TR>
<TR>
<TD></TD>
<TD></TD></TR>
<TR>
<TD></TD>
<TD></TD></TR>
<TR>
<TD></TD>
<TD></TD></TR>
<TR>
<TD></TD>
<TD></TD></TR>
<TR>
<TD></TD>
<TD></TD></TR>
<TR>
<TD></TD></TR></TABLE></TD></TR></TABLE>

令狐箫琴

<P>我想起熊猫烧香了...恐怖啊~~</P>

山野村夫

<P>我刚重装完机器，前天就中毒了，拿正版诺顿2007都杀不掉，手工删除也不管用。</P><P>给朋友的短信也没敢发，一直等到刚才。</P>

幽兰

<P>真烦人</P>

哥舒翰

偶昨天用的朋友传的2007传美版QQ,没想到里面有很多毒,最严重的是有个cmd.exe的文件被从注册表里更改了,一开机CPU就达到百分之百,今天只有重装系统了,唉,苦啊!!![em06]

幽兰

<P>我觉得我的电脑也有问题</P><P>最近老是点到一些网页就忽然死掉了</P><P>ctrl+alt+shift也是半天没反应</P><P>只有reset</P><P>但查毒也没查出什么</P>

神州貨郎

用超級巡警試一下。或者其他的類似工具。下載地址：http://www.91kb.cn/read-htm-tid-139.html

火狐瀏覽器(Firefox)不易被木馬、間諜軟件感染，如果經常中木馬，建議使用Firefox。如果用慣了ie,火狐可能不太方便。

朱雀清明

<DIV class=quote><B>以下是引用<I>哥舒翰</I>在2007-3-31 22:31:23的o(︶︿︶)o 唉：</B>
偶昨天用的朋友传的2007传美版QQ,没想到里面有很多毒,最严重的是有个cmd.exe的文件被从注册表里更改了,一开机CPU就达到百分之百,今天只有重装系统了,唉,苦啊!!![em06]</DIV>
<P>cmd.exe?</P>
<P>您真是厉害！您知道这个是什么么？就是“DOS服务器”啊，应该说，WIN XP所有的DOS运行都是依赖它的——因为XP不提供DOS环境（不信？试验一下：首先“开始&gt;运行&gt;cmd ”然后再“开始&gt;附件&gt; 命令提示符”</P>

湘十一郎

火狐浏览某些论坛可能不方便，但是防病毒的确不错

轩辕箫歌

我的个神啊