博客首页|TW首页| 同事录|业界社区

屈伟

创业路上的程序猿

疯狂的挂马者1:解读网页木马的灰色产业链

郑昀的《他们在创新,我们在做什么?》中说在天朝的最有创造力的人“10%的人在复制互联网先进国家的应用,40%的人在复制前者的copycat应用,20%的人在尝试如何制造垃圾并推送给大家,20%的人忙于配合监管,5%在正正经经做电子商务,剩下5%在做注定要被封掉的应用。” 其实他说漏了一个。至少有10%的人制作投放木马并从中牟利。

看看瑞星的每日瑞星每日安全播报,包括奇虎、金山做安全软件的公司网站都被挂马,甚至连门户和大型新闻网站:搜狐新浪网易新华网都被挂过马。这年头,基本上就没有没被挂过马的网站。

你每天访问的网站中,至少有一个是被挂马的,或者说被挂过马。你的各种帐号密码和隐私数据早已被各种流氓软件和木马偷了无数遍了,只不过有些对他们不能直接产生经济价值而懒得用。

之所以挂马者如此疯狂,是因为背后一条利润巨大的灰色产业链。链条结构如下:制作木马网页->嵌套在有漏洞的网页上->用户访问->中毒->将用户网银、网游、QQ等帐号和密码发送至指定地邮箱或服务器->盗取用户网银余额、网游装备、Q币等获利。

当然也有些木马不是为了获取网银密码,或是在用户电脑里安装一个程序,用来弹出广告或做见不得人的勾当。(跟暴风等流氓软件类似)

在这个产业链上,有这样一些人:

1. 木马运营者。组织制作者开发木马,组织站长或挂马者将带木马的网页挂在自己或他人网站上,通过木马获取的各种帐号获得收益。

2. 木马制作者。一般利用Windows或ie漏洞制作网页木马。用浏览器访问就可能中招。木马制作者需要不断更改自己的木马,以使得杀毒软件不报毒(也就是免杀木马)

3. 挂马者。分2种人,

1)站长。将木马放在自己的网站上。以隐藏的iframe或javascript代码形式将木马加载在自己网页上,用户访问时浏览器就会加载木马网页。所以你能在各个站长聚集的流量统计网站上看到“高价收购流量!”。下图是我刚刚在一个流量统计网站上的截图:

运营者一般按木马网页被访问的IP数给站长付费,每一万IP每天100-150块钱。而一般1万IP每天的网站如果放广告联盟中收益最高的google adsense,一个月的收入不会超过100美元.

2)“破坏者”(他们不配用黑客这个词,暂时这么称呼吧)。通过非法途径获取他人网站的控制权限,然后将木马网页代码加在网站上。盈利方法跟站长类似,一般有木马运营者或流量组织按ip数付钱。

当然这中间还有一层“代理商”,连接运营者和站长的。

计算一下,如果挂马者攻破了一个10万ip的网站,加入了木马网页代码。按1万ip100元计算,放一天就是1000块。一个月的收入是3万。如果木马很高明,杀毒软件也查不出来,网站管理员很难及时发现。而再算算木马运营者,10万ip意味着有10万人可能中木马。这其中至少10%的人使用网银、网游或QQ里有剩余Q币,也就是1万人。 木马运营者获得的收益至少是挂马者的10倍以上,不让不会如此疯狂。

挂马者之所以如此疯狂,是因为有一条成熟的木马产业链。链条最底层的挂马者都能获得巨大收益。

下篇介绍挂马者常用的黑他人网站的技巧。

Tags: , ,

浏览数: 次 星期六, 09月 12th, 2009 小站长

6条评论 to 疯狂的挂马者1:解读网页木马的灰色产业链

  1. 支持大哥!!

  2. 漠岚 on 09月 14th, 2009
  3. 多介绍些 打击木马网页的方法!谢谢!

  4. refugeeLR on 10月 30th, 2009

发表评论