以下为访谈实录:
主持人:各位网友大家好,欢迎大家来到TOM访谈间。相信大家对前段时间的熊猫烧香病毒还记忆犹新,可是一两个月过去之后又有一种新的病毒出现在——“灰鸽子”病毒。访谈前,我用在百度上搜索了一下,发现在网页上有4680篇关于“灰鸽子”的报道,而且前11页都是今年以来最新的报道,今天请到金山毒霸的工程师我们介绍一下,这个到底是什么样的病毒,它的背后又有怎样的故事。为了保护我们的工程师的安全,今天我们镜头会用虚焦的方式来处理,至于原因我们以后会做出解释。首先请反病毒工程师跟大家打一个招呼?
工程师:大家好。
近距离“接触”灰鸽子病毒
主持人:“灰鸽子”到底是什么样的病毒?
工程师:“灰鸽子”不是一个普通的病毒。现在的病毒定义比较宽泛,它是一个典型的木马(木马查杀软件下载),它不具备主动传播的特性,但是它以其他的方式进入到用户的计算机当中,它带来的危险是很大的。其实很多人不知道你中了这个病毒,当它进入你计算机,你完全感受不到,没有任何东西留下。本身木马具备一些自毁的特征,它入侵到你的系统之后,完成它需要的工作后可以远程把这台机器上的木马系统卸载(卸载工具下载)掉,你就什么都不知道了。
主持人:请工程师给我们演示一下吧。
工程师:已经有一台电脑中了刚刚布下的木马,这台我们叫“肉鸡”的电脑……
主持人:“肉鸡”是什么概念?
工程师:这台电脑被其他的计算机远程控制,而且被任意控制,这台电脑就是变成“肉鸡”,可以任意宰割了。
主持人:跟以前的僵尸电脑差不多吗?
工程师:也不一样,这个太可怕了,他的功能可以强大到跟你本地操作这台电脑是完全一样的。它已经是这台电脑的主人了。
主持人:对方怎么实现的?
工程师:它用一个木马程序,控制端就是远程的黑客,来控制你的电脑,他们之间建立一种链接之后,控制端就有管理权限,想做什么就可以做什么。
主持人:可是普通木马电脑都可以做到想要他做什么就可以做什么吗?
工程师:它只能实现一些比较简单的功能,比如偷走你的QQ号,就是比较功能单一的,而这种(病毒)功能非常强大,完全可以监管你的系统。
主持人:现在你的电脑上是不是已经开始…
工程师:对,我现在这台机器已经控制着远处的那台机器了。这台机器是我设置的一台虚拟机器。我可以对“肉鸡”随便操作。可以把我的文件传给他,也可以复制他的文件、修改注册表,和本地管理这台机器是完全一样的。
工程师:远程软件在使用的时候首先会发出链接桌面的请求,需要验证计算机口令,而这个就不需要,轻松点一个键,就可以在你桌面上做任何操作:管理这台计算机、添加帐户,想拿走什么资料,如果你计算机上安装有网络银行,直接可以通过你的网络银行操作都可以。
主持人:也就是说它对我这台电脑的损伤,可能不仅仅是它可以控制我的电脑,而是在控制电脑的同时达到其他的目的。
工程师:对,我分析有这么几种,一种是直接从你的电脑获取资料,还有就是可以拿走你有价值的资料,QQ号,还有银行帐号。这是一种比较常见的说法,除此之外还有别的危害,他可以把这台机器当做一个跳板,隐藏自己本身,然后攻击别人的时候,利用你的编码去攻击目标,目标正在被攻击的电脑肯定查不到攻击的人是谁,他一查就是这台“肉鸡”在攻击,真正的攻击者却藏在它的后面。
主持人:当你远程控制我的电脑时,我这个主人完全不知道你在对我的电脑进行操作吗?
工程师:是的,完全不知道。你用远程桌面的时候,对方的操作一般你都可以看得到。而这个病毒却可以实现非常强大的管理,黑客不需要直接在桌面上操作。但是这里却有一个文件管理系统,通过它我们可以很清晰看到磁盘某一个结构,可以随意删掉某一个文件,再到桌面上看那个文件已经删掉了,他在后台就可以操作完成了。这个软件里面还有很多类似的功能,有一个中文记录器,启动它,“肉鸡”的主人敲键盘的动作都被记录下来。这样一来,就可以轻松获取帐号等一些有价值的信息。熊猫烧香有一个非常显著的特征,它感染你电脑之后,你会清晰看到我中毒了,我能够看得到,但是“灰鸽子”病毒入侵之后没有任何感觉。而熊猫烧香功能目的是非常单一的,而这个软件是非常强大的管理功能,已经成了一个管理器,这台机器的主人能做什么,那台远程计算机的人也可以做什么。
为何仅金山毒霸监测到灰鸽子病毒大规模爆发?
主持人:昨天,瑞星,江民汇报灰鸽子没有大规模爆发,而且近三个月感染用户每个月呈现20到30%的趋势,为什么国内各家的不同安全软件公司对同一种病毒的结果的检测和数字有这么大差异呢?
工程师:各公司对事件的统一的口径没有统一的规范。对一些感染性的软件,比如这台机器出现一个病毒,感染了几百个文件,可能就说它为几百个文件,比如有一家公司把“灰鸽子”去年排名第一名。后来又出现一个蠕虫病毒,“灰鸽子”感染量3%,威金是5%。但是我们需要大家分析一下,威金是一个蠕虫病毒,也是感染式的,可以通过所有的方式传播,跟熊猫烧香差不多,而“灰鸽子”病毒它是一个木马(木马查杀软件下载),木马的感染方式非常特殊,必须是通过一种欺骗的手段,通过网络下载也好,传文件也好,必须要有受害者自己运行木马,如果不去运行它,这个木马根本传不过来。我们觉得木马的感染性是非常强的,他的危害性、传播性绝对不会低于威金病毒。
关于“远程控制软件”和病毒之争?
主持人:昨天,灰鸽子工作室发出声明回应金山:“首先声明我们工作室是2003年初建立的,定位于软件管理的开发,主要开发“灰鸽子”远程系列“……最后是说本网站只做“灰鸽子”远程管理软件注册使用。你们如何界定远程控制软件和病毒?你们为什么把他们所说的这种远程控制软件当做一个电脑的病毒呢?
工程师:不光我们把它当做病毒,全国所有的杀毒软件都把它当做病毒。它的功能太强大了,因为它跟远程控制软件的区别是很明显的。
主持人:怎么说呢?
工程师:网管肯定是需要远程管理软件,服务端在安装的时候,都有非常明确的途径,什么产品的授权等等,这些都有非常明确的提示,而木马种植到你服务端上任何提示都没有,任何一个对方框都没有给你返回。远程管理软件需要管理员通过一个端口去管理,而我们发现“灰鸽子”木马,在这个方向上是越走越远,它已经走到绝对是木马需要的一个功能,它很多设计的功能是不需要的,他的目标用户就是企图使用这些软件,达到他的一些不法目的。他的用户群都变了,跟远程软件控制是绝对两码事。我问了网管会不会用“灰鸽子”做管理软件,而他们根本不会使用的。
主持人:哪一些功能不是远程控制软件所必须需要的?
工程师:比如刚才提到的键盘记录,哪个管理员需要远程的记录?还有一个很变态的功能,可以远程控制你计算机的摄像头,我就不相信哪个网管需要计算机摄像头?这是绝对不需要的。工程师:某些用户,一些特殊用户需要是可以的。但是我们在论坛上去找,是些什么人在用,可能很多网民都知道,买这种软件的人到底是什么人,“灰鸽子”他一定是都知道是什么样的人使用他们的软件!这种情况是很容易区分的。
主持人:这个软件除了具有你认为是不必要一些功能以外,还有一些其他网站管理员需要的一些功能,你怎么看待,包含着一些我们看起来是正常,必需的需要的功能。
工程师:有一些功能网管是需要的,但是这中间肯定有一个管理的口令。还有一个非常重要的因素,就是远程管理软件会对通讯进行一定的加密。远程管理软件通常具备这样的功能,把这台机器通讯进行加密,其他人监听以后也听到的是一些没有用的资讯。而这个软件自责不是这样做的,它的很多功能就是方便别人怎么去实现非法目的。还有一个表现,“肉鸡”客户端为了不让任何人知道,他发出的图标都是我们常用的文件图标,比如他给你发一个程序,这个图标他库里有很多,他做这些图标,就是让那边人看到这些图标不小心就点,就执行了,而且那边程序有非常强的执行性。一个正常的网管不可能在那台机器服务之后没有任何界面出来,但是这个是绝对没有的,这些全都隐藏了,这样设计的目的就和病毒没有什么区别了,很多病毒就这么干的。
主持人:如果其他的朋友购买这个软件之后,可以对这个软件进行修改吗?可以做到其中不利的因素,让它变成一个更适合进行网管这样一份工作的远程控制软件吗?
工程师:我想没有任何人想做这个,没有人愿意再这个基础上改改,对安全不利所有去掉,做出一个正规的出来,他宁愿选择一个不受限制,而且不收钱的软件。
主持人:在《“灰鸽子”背后的暴利产业》文章中提到有一些人利用这样的软件赚钱,他们怎么利用病毒来赚钱呢?
工程师:两年前,我春节回家的时候发现很多小孩天天在网吧里面混,他们在网吧里面下木马,偷号,偷完号之后去卖钱。因为
他们没有正当的工作,偷号换来的钱就玩游戏。我们就发现本身这个软件自己做销售,通过口碑相传,现在应该是非常多的人,含有不法企图的人觉得这个软件确实很好用,用起来的代价非常低,他这个软件可以用一年,买这个软件的人可以非常容易,他可以通过各种渠道把这个钱赚回来,我们在很多论坛当卧底也好,可以察看这些人做什么,我们发现有一些交易的群体、社区的圈子,他们都在交流这个话题。大家都把它当病毒杀,就有人在说怎么把这些软件进行加工,让这些软件都杀不掉,这个在论坛上叫“免杀软件”。除此之外,还有一个特殊的群体,比如在QQ群里面,还有一些社区里面,有人传帮接代批量带徒弟。我们看最终这些人学会干什么,就发现里面藏着一个特殊的产业,他们大量偷盗,直接从你的电脑上偷东西卖。还有一些案例,发现远程“肉鸡”有一些非常有价值的文档,然后用它来敲诈勒索。还有一种比较不精明的赚钱手段,这种手段基本对“肉鸡”那边带来影响特别小又很隐蔽,就是用这些“肉鸡”来点广告,赚广告商的钱。在论坛上吹到说一个月可以赚一万块钱,他做一个网站挂上去,一个晚上就发现有上千台机器跟上来,论坛上很多人都在炫耀,看我多牛我们把几万台“肉鸡”挂在机上去了。
主持人:这个软件开发出来之后,他买了之后大家会干什么,也许有人拿他做远程控制工具,像网管,还有人点击广告赚钱,有这样一种说法,这些软件销售商和制作方,他们不应该去为这个购买者的一些不法行为负责。您怎么来看?
工程师:我们论坛里面发现做这些事提出一些反驳的意见,比如这个软件是一把刀,买刀的人去做什么,跟买刀的人没什么关系,他们把它比喻为一把菜刀,这种刀可以在超市买得到,但是三尺长的大砍刀是在超市里面买不到的。有一个网友就把这个比喻成三尺长的大砍刀,它可做的功能绝对不是一个小刀做的功能,你了解它之后你相信它不是一个水果刀的功能,应该是受管制的软件。
主持人:这个软件的诞生并不是在2007年就有的,很早就有了。如同你所说的,具备应该有被管制的特性,为什么直到2007年还会存在着?
工程师:对,最主要一个因素,目前我们国家有计算机病毒管理防止条例里面,把计算机病毒定义为三点定义他为病毒,第一是有病毒的软件,第二是有害的软件,第三是进行自动传播的软件。熊猫烧香刚好这三个特征都符合,就会危害互联网的安全,而这个病毒因为缺少自动传播的特性,所以使我们相关的法律法规没有对它很好的规范。我们觉得应该对法学界的专家做出解释,我了解这是一个比较大的障碍。这个软件能够存在这么长时间,有关病毒的定义对它约束力不够很有关系,除此之外,软件的开发者、获得的利益,因为他做这个软件,刚开始是模仿,实现这些功能,后来发现这种通道,获得的利益,可能比他做远程控制软件要容易得多,而且没有法律进行管制。所有人都可以来做,我们算网站的流量,算它每天卖多少流量,他一年的收益可能在两千万。可能具体的多少,还是他自己能说得清楚。
主持人:我们还有一个问题,在其他两家反病毒软件公司并没有提出这个病毒在大规模爆发的时候,金山提出来了,在01年就诞生了一个病毒,一直持续到今年,我们金山提出来说它现在又大规模爆发,提醒大家注意,而且同时我们矛头所指向的工作室也站出来说我们是一个远程控制室,而不是一个病毒,这些种种表明说在金山软件公司在进行炒作吗?
工程师:对我们看到这样的报道,说我们在炒作,我们对杀毒软件资料的播报,提供给公众是一种义务。但是我们发现传播的病毒播报方式,发现用户对这个东西的响应没什么感觉。后来发现这个病毒受害者是越来越多。我们数据库发现被这个入侵感染越来越多,隐藏性更强了,普通网民中毒之后,完全不知亲,网民是没感觉的。我们应该把“灰鸽子”这个软件所有的威胁性,通过我们媒体告诉给所有广大用户,实际上炒作用在金山头上是有点冤的。我们主要目的就是要让这样非常强的危害性的软件在互联网彻底消失,让我们网民更有安全感。
主持人:可是这段时间之内金山一直处于高曝光的时期,包括你也接受一些采访,其实金山在这段时间之内,包括在市场影响方面估计也有一些提升,与此同时,也会在毒霸软件销售商带来提升,大家都在怀疑,把这个病毒炒热了,最后导致的结果是金山的毒霸卖得更好了。
工程师:我们把“灰鸽子”真相告诉给网民的时候,我们做出这样准备,我们损害是十万人的利益,如果损害他们的利益,通过正常的渠道他们没有办法跟我们抗衡,以黑客的手段攻击我们的业务,我们做好“灰鸽子”的期间,把真相告诉给网民的时候,我们业绩是在下降的,是急剧下降的,因为我们网站受攻击者的干扰,我们很多业务是受到很大影响的。
主持人:现在已经造成这样的一个结果了吗?
工程师:这方面已经有这样的一个结果,因为昨天用户访问我们网站的时候,因为速度非常慢。因为黑客控制了数万台“肉鸡”,我们星期三发布新闻纸后,晚上10点,一直持续到昨天晚上这个攻击就一直没有停止过。这方面对我们的业务其实有很大的影响,我们也做好这方面的准备,和以前打的商业作战是不一样的。我们直接和危害网络安全的,有组织的网络黑势力做斗争,显然这些网络黑势力,不会用正当的手段,肯定会用这样一些手段对付我们。
主持人:这也是我们为什么这次访谈中间要进行一些画面上的处理,最后我还想了解一下关于这个病毒我们普通消费者应该怎么样查杀,或者是怎么样去预防?
工程师:这个是我们最需要告诉网民的,首先网上会有各种各样的陷阱,很多网站都挂着折算的木马。“灰鸽子”之类的软件是表现最突出的一种,然后它就会通过各种各样的手段,欺骗让我们普通用户成为“肉鸡”,并且我们普通用户太容易成为“肉鸡”了,因为它的安全意识不够强,这种木马进入系统没感觉,基本上网民对这个木马没什么认识,所以我们告诉他真相以后,可能这方面会有所警觉,然后他可以不停的升级系统,及时做出防范措施,降低这种风险是有好处的。
主持人:谢谢各位网友,参与我们今天的访谈,也谢谢工程师,祝愿大家在以后的上网过程中间,能够平平安安,尤其是不要中毒。
加好友 
发短信
Post By:2007-3-27 10:56:30
