二、强盗与小偷：病毒木马

（一）恶意程序综述

病毒和木马一般可以统称为恶意程序或恶意软件。前者往往具有一定的显性破坏性，而后者则更倾向于默默窃取；前者更像是打砸抢烧的强盗，而后者则更像是暗中出手的小偷。但在实践中，我们往往很难将二者严格区分。有些病毒也带有木马特征，有些木马也会带有病毒特征。

早期的安全专家往往会把“自我复制性”或“自我传播性”作为病毒木马的一个必备属性。但进入21世纪的第二个十年，恶意程序的大范围、无差别攻击已经越来越少见，而精准攻击或点对点攻击则已经成为绝对主流。因此，我们也就不能再把传播性作为病毒木马的基本属性。

那么，病毒和木马究竟有没有必备属性呢？具有传播性？具有破坏性？具有秘密窃取性？其实这些都不是。我们来看如下几个例子。

有一种盗号木马，其功能非常简单，只是引导用户打开一个网址，但这个网址是一个仿冒登录的钓鱼页面。

有一种诈骗木马，其作用只是在用户手机上弹出一条虚假信息，如虚假促销活动或虚假客服电话。

有一种下载者木马，其本身并没有任何实际功能，只是到某个网址去下载一个文件，但如果被下载的文件是木马，那么这个下载器也就成了木马。

显然，如果按照传统的认知标准来看，这些程序根本算不上是病毒或木马。但其明显的“恶意”让我们有理由认为它们就是病毒或木马。所以，从本质上说，判断一个程序是否为病毒木马，主要就是看它是否具有“恶意”，以及具有哪种恶意，而具体的技术手段都不重要。这也就是为什么在今天，安全工作者更倾向于将病毒和木马统称为恶意程序的原因。

（二）互联网上的强盗——病毒

病毒的破坏性是指该病毒对计算机系统造成的破坏现象，如破坏或删除文件、将硬碟格式化及进行拒绝服务等攻击。这类病毒的代表有冲击波、震荡波、CIH等。

不过，这种单纯以破坏为目的的病毒大多是早期黑客的作品。黑客们制作并传播这类病毒的主要目的是炫技和引发社会关注，一般并不包含任何经济企图。而现如今，目的如此“纯粹”的黑客已经越来越少，大多数黑客实施破坏的同时，往往会带有盗窃、勒索等经济目的。甚至绝大多数的攻击者放弃破坏性目的，实施更加隐蔽的攻击。

下面简要介绍几种破坏性病毒。

1．冲击波

冲击波（Worm.Blaster或Lovesan，也译为“疾风病毒”）是一种散播在Microsoft操作系统，如Windows XP与Windows 2000的蠕虫病毒，爆发于2003年8月。此蠕虫第一次被注意到是在2003年8月11日。它不断繁殖并感染，在8月13日达到高峰，之后借助ISP与网络上散布的治疗方法，病毒扩散得到有效抑制。在2003年8月29日，一个来自美国明尼苏达州的18岁年轻人Jeffrey Lee Parson由于创造了Blaster.B的变种而被逮捕，并在2005年被判处18个月的有期徒刑。

该蠕虫会不停地利用IP扫描技术寻找网络上系统为Windows XP或Windows 2000的计算机，找到后就利用DCOM RPC缓冲区漏洞攻击该系统，一旦攻击成功，病毒体将会被传送到对方计算机中进行感染，使系统操作异常，不停倒计时重启，甚至导致系统崩溃。另外，该病毒还会对微软的一个升级网站进行拒绝服务攻击，导致该网站堵塞，使用户无法通过该网站升级系统。在2003年8月16日以后，该病毒还会使被攻击的系统丧失更新该漏洞补丁的能力。据微软2004年官方发布的数据显示，全球至少有800万台计算机遭到过冲击波病毒的感染。

2．震荡波

2004年5月1日，震荡波（Worm.Sasser）开始在互联网上肆虐。该病毒利用Windows平台的Lsass漏洞进行传播，中招后的系统将开启128个线程去攻击其他网上的用户，可造成机器运行缓慢、网络堵塞，并让系统不停地进行倒计时重启。

震荡波病毒在全球感染了数百万台计算机，受害者中不乏英国海岸警卫队、欧盟委员会、高盛及澳大利亚Westpac银行这样的知名公司或机构。很多安全公司认为，震荡波是历史上极具破坏力的病毒。

震荡波是德国一名高中生编写的，他在18岁生日那天释放了这个病毒。由于编写这些代码的时候他还是个未成年人，因此德国一家法庭认定他从事了计算机破坏活动，但仅判了缓刑。

3.CIH

CIH病毒是一种能够破坏计算机系统硬件的恶性病毒，1998年6月开始出现，是中国台湾的一个大学生编写的。CIH的载体是一个名为“ICQ中文Ch_at模块”的工具，并以热门盗版光盘游戏或Windows 95/98为媒介，经互联网各网站互相转载，使其迅速传播。

CIH属于恶性病毒，当其发作条件成熟时，会破坏硬盘数据，同时有可能破坏BIOS程序。其具体发作特征为：以2048个扇区为单位，从硬盘主引导区开始依次往硬盘中写入垃圾数据，直到硬盘数据被全部破坏为止。最坏的情况下，硬盘（包括C盘）所有数据（含全部逻辑盘数据）均被破坏，某些主板上的Flash ROM中的BIOS信息也将被清除。

有统计报告显示，CIH给全球（主要受害者在中国）计算机用户造成约5亿美元经济损失。

（三）互联网上的窃贼——木马

木马（Trojan），是指可以非法控制计算机，或在他人计算机中从事秘密恶意活动的恶意程序。木马通常有两个可执行程序：一个是控制端，另一个是被控制端。木马这个名字来源于古希腊传说（荷马史诗中木马计的故事，特洛伊木马一词的本意是特洛伊城，也就是木马计故事发生的地点）。

木马程序是目前比较流行的恶意程序。与传统的病毒不同，它们一般不会自我繁殖，也并不“刻意”地去感染其他文件或破坏系统。它通过自身伪装来吸引用户下载执行，一旦木马感染成功，木马的控制者就可以在受害者的计算机上进行诸如秘密操控、文件窃取、强弹广告等恶意操作，甚至可以完全远程操控被感染的主机。而那些被木马操控的计算机主机，一般称为肉鸡或僵尸网络计算机。

木马的产生严重危害现代网络的安全运行。区别于早期的计算机病毒，木马不再是黑客为了炫技而制作的，而纯粹是为获取经济利益。下面简单介绍几种常见的木马程序。

1．盗号木马

盗号木马是最早流行的一类民用木马程序，主要用于盗取网银账号、网游账号和社交账号等网络账号和密码。盗号木马的常见盗号方式包括：监控用户键盘输入、监控软件交互接口、透明窗隐藏覆盖、仿冒钓鱼盗号等。

曾经流行一时的QQ粘虫木马就是使用透明窗隐藏覆盖技术来盗号的。当用户打开QQ聊天软件时，QQ粘虫木马会在QQ登录窗口的相同位置生成一个相同大小、透明、看不见的窗口。此时，用户以为自己是在QQ登录窗口输入的账号和密码，但实际上却是在木马制造的透明窗中输入的，于是，QQ号和密码就这样被盗取了。

仿冒钓鱼盗号技术最为简单，但也最为有效。其实际上就是仿冒某款软件，或者引导用户打开一个钓鱼盗号网页来实现盗号。这种木马在手机中更为常见。

木马盗取用户账号和密码后，一般会通过发送电子邮件或向远程脚本程序提交的方式把盗取的信息发送给木马作者，而受害者一般没有任何感觉。

2．远控木马

远控木马，即远程控制类木马。一旦受害者的计算机中招，攻击者就可以通过远程登录的方式，部分或全部控制用户计算机。此时，受控计算机也就变成了我们常说的肉鸡或僵尸。

常见的远控木马有以下几种。

代理木马：用户感染代理木马后，会在本机开启HTTP、SOCKS等代理服务功能。黑客把受感染的计算机作为跳板，以被感染用户的身份进行黑客活动，达到隐藏自己的目的。

FTP木马：FTP木马打开被控制计算机的21号端口（FTP所使用的默认端口），使每一个人都可以在不用密码登录的情况下，用一个FTP客户端程序连接到受控制端的计算机，并且可以进行最高权限的上传和下载，窃取受害者的机密文件。新型FTP木马还添加了密码功能，这样，只有攻击者本人才知道正确的密码，从而进入对方计算机。

DDoS木马：是专门用于发动DDoS攻击的一类木马。通常情况下，攻击者会将这种木马植入某个网站的服务器，之后遥控这个木马，使用被控制网站的系统和网络资源，对其他网站或网络设备发起DDoS攻击。关于DDoS攻击技术原理及影响，详见第三章。

3．流氓推广木马

所谓流氓推广木马，是指木马程序会强制在用户的计算机或手机上下载和安装用户并不需要的东西，包括软件、广告等。具体来说，有以下几种常见类型。

网页点击型：这是较早出现的一类流氓推广木马。网页点击型木马会恶意模拟用户点击广告等动作，在短时间内可以产生数以万计的点击量。病毒作者的编写目的一般是赚取高额的广告推广费。此类病毒的技术简单，一般只是向服务器发送HTTP GET请求。

安装推广程序型：通过诱导用户下载、与正规软件捆绑下载等方式进行传播，用户点击下载木马程序后，计算机可被远程控制强行下载安装各种广告插件、软件和游戏，并篡改浏览器主页。

悄悄刷流量型：木马下载进入计算机系统后，在后台偷偷刷广告流量获利，整个过程用户没有感觉。2015年7月，360互联网安全中心曾经截获一款名为“流量僵尸”的手机木马，该木马会在后台静默访问某知名导航网站，并联网获取关键词，模拟真实用户的搜索行为，在该导航网站上进行搜索操作，从而实现为该导航网站和指定搜索引擎刷流量的目的，进而谋取不法商业利益。检测显示，用户每次手动解锁屏幕，该木马都会在后台刷一次流量，平均每次消耗用户手机流量0.76MB，按照每个用户平均每天解锁手机屏幕150次计算（参考第三方实验统计），该木马平均每天约消耗每位用户手机流量114MB。

4．窃私木马

这类木马多见于智能手机终端，它们是专门用来窃取用户隐私信息的。而在隐私窃取类手机恶意程序中，绝大多数都是专门窃取个人信息，包括通讯录、短信、通话记录、银行信息、社交软件聊天记录、录音和照片等，严重危害用户手机安全。第三方评估显示，手机恶意程序平均每年从用户手机中窃取的联系人信息超过14.4亿条，短信记录超过71.8亿条。

抽样统计显示，67.4%的窃私木马会窃取短信信息，34.8%会窃取手机银行信息，10.0%会窃取手机联系人信息，3.7%会窃取手机通话记录，2.0%会窃取社交软件（如微信、QQ等）聊天记录，1.8%会窃取手机录音信息，0.1%会窃取手机照片信息。需特别说明的是，木马窃取用户手机短信的重要目的之一就是窃取用户的短信验证码，这是犯罪分子非法使用用户账户、盗刷用户网银的重要方法之一。

不过，超过半数的窃私木马会窃取用户手机中2种以上的个人信息，只有45.1%的窃私木马只窃取单一类型信息。

（四）互联网上的敲诈者——勒索软件

1．勒索软件的感染

勒索软件（也称敲诈者病毒）是近年来增长迅速且危害巨大的网络安全威胁之一。与前述的各类病毒和木马不同，勒索软件既不是以单纯的破坏为目的的，也不是为了控制或偷窥用户，而是不法分子通过加密用户文件、锁屏等方式劫持用户文件等资产或资源，并以此敲诈用户钱财的一种恶意程序。受害者一般只有支付赎金，加密的文件才能解密。

感染勒索软件后，攻击者为了提醒受害者支付赎金，计算机桌面一般会被篡改。下图为计算机感染勒索软件后的一些现象。

勒索软件经常攻击的是Office办公文档、图片及视频等类型的文件，因为这些文件往往是受害者计算机上的重要资料，受害者相对来说更愿意为这些文件的解密支付赎金。文件被加密后，其后缀名会被篡改。被篡改的后缀名也常常被用来对勒索软件命名。下图为Locky、Wallet、Cerber、Btc等几个家族的勒索软件发作后，篡改文件后缀名的示例截图。

2．勒索软件的传播

勒索软件主要有以下几种常见的传播方式：邮件附件传播、服务器入侵传播、利用漏洞自动传播、通过软件供应链进行传播和利用挂马网页传播。

早期的勒索软件主要都是通过邮件附件传播的，带毒邮件的发送目标一般为高价值个人，如企业高管。2016年，受意大利网络军火商Hacking Team漏洞攻击代码泄露，以及大量新的IE浏览器、Flash插件漏洞曝光的影响，挂马攻击成为勒索软件传播的主要传播渠道，普通个人成为新的无差别攻击目标。而在2017年，人工渗透入侵中小企业服务器，以及利用漏洞发起蠕虫攻击，成为新的主流攻击方式，攻击目标也因此从个人转向机构服务器和关键信息基础设施。

2016年，三家印度银行、一家印度制药公司、美国好莱坞长老教会纪念医学中心、美国南卡罗来纳州霍里县多所学校、国内某央企等企业、机构的计算机都曾遭遇敲诈者病毒的攻击。

2017年1月至11月，360互联网安全中心共截获计算机端新增勒索软件变种183种，新增控制域名238个。全国至少有472.5万多台用户计算机遭到了勒索软件攻击，平均每天约有1.4万台国内计算机遭到勒索软件攻击。约15%的勒索软件攻击是针对中小企业服务器发起的定向攻击。Cerber、Crysis、WannaCry这三大勒索软件家族的受害者最多，共占到总量的58.4%。其中，Cerber占比为21.0%, Crysis占比为19.9%, WannaCry占比为17.5%。

3．关于WannaCry

在所有的勒索软件中，最有名的当属WannaCry，即永恒之蓝勒索蠕虫。该病毒于2017年5月在全球范围内大规模爆发，它利用了据称是窃取自美国国家安全局的黑客工具EternalBlue（永恒之蓝）实现了全球范围内的快速传播，在短时间内造成了巨大损失。

360互联网安全中心于2017年5月12日中午13时44分，截获了WannaCry的首个攻击样本，是世界上最早截获该病毒的公司。而在随后的短短几个小时内，就有包括中国、英国、美国、德国、日本、土耳其、西班牙、意大利、葡萄牙、俄罗斯和乌克兰等国家报告遭遇WannaCry的攻击，大量机构设备陷入瘫痪。

根据360互联网安全中心的数据统计显示，仅仅30多个小时，360互联网安全中心便已截获遭WannaCry病毒攻击的我国政企机构IP地址29372个。而从后续国内外媒体披露的情况来看，在全球范围内遭受此次WannaCry病毒攻击的国家超过100个。

从事后分析来看，WannaCry的大规模传播绝非偶然。除政企机构普遍存在的计算机更新不及时，系统防护能力弱等客观原因外，WannaCry所独有的一些新型特点也是其得以成功传播的关键。WannaCry最主要的特点是：勒索软件+蠕虫病毒+永恒之蓝三位一体。蠕虫传播方式使WannaCry得以快速扩散，而军用级武器永恒之蓝则使WannaCry得以成功渗透进入内网和隔离网络，造成大量关键信息基础设施的破坏。下图为计算机遭到永恒之蓝勒索蠕虫攻击后的现象。

4．勒索软件与比特币

比特币（Bitcoin）是一种网络虚拟货币，它是基于特定数学原理设计出来的虚拟货币，特点是分散化，匿名，只能在数字世界使用，不属于任何国家和金融机构，并且不受地域的限制，可以通过特定的网络交易平台兑换，也因此被部分不法分子当成洗钱工具。

2008年全球金融危机爆发，当时有人用“中本聪”的化名发表了一篇论文，描述了比特币的模式。2009年，不受央行和任何金融机构控制的比特币诞生。与法定货币相比，比特币没有一个集中的发行方，而是完全由网络节点的计算生成。而且从理论上讲，比特币的总量是有上限的，即2100万个。也正是由于其数量的“绝对有限”，因此被认为比任何现实货币，包括黄金、白银，更加保值。

比特币的制造很特别，它是由计算机生成的一串串复杂代码组成，谁都有可能参与制造比特币，制造比特币的过程又被称为“挖矿”。

正是由于比特币并非由金融机构发行，兑换和使用非常自由，交易过程可以越过所有的金融系统监控，难以溯源和追踪，因此，几乎所有的勒索软件都要求使用比特币作为支付赎金的货币。从某种程度上说，勒索软件使比特币迅速走入了人们的现实生活。

曾经的一段时间里，比特币的交易活动主要集中在中国等亚洲地区国家。但是，为落实2017年9月4日中国人民银行等七部委发布的《关于防范代币发行融资风险的公告》精神，积极响应国家监管，比特币中国于北京时间2017年9月27日中午12时关闭数字资产和人民币充值功能，并于9月30日中午12时停止所有交易业务。

不过目前，已有日本、美国等国家公开承认比特币的合法性。而比特币恰恰就是这样一种货币：只要有一部分人承认它，只要有办法将其兑换成法定货币，它就能够流通并长期存在。比特币中国关停之后，比特币曾经经历了短暂的下跌，随后又开始不断地快速上涨。截至2017年12月月底，部分比特币交易平台上的比特币交易价格已经突破了4万元人民币兑1比特币。

5．手机勒索软件

如今，勒索软件的攻击范围已经涵盖Windows、Mac、Android、iOS和虚拟桌面。除加密数据文件外，在手机上还有很多其他的勒索方式，如强制锁屏、修改屏幕解锁密码、修改PIN密码、勒索图片强制置顶等。这些勒索方式在技术上都可以解锁，但对于绝大多数普通网民而言，仍有一定的难度。下图是几个手机被勒索软件锁屏勒索的界面。