第1章 :网络大盗 目前在网络中有一种叫做木马的病毒程序木马也叫特洛伊木马,讲的是古希腊士兵化装后藏在敌方城市的木马内,夜晚出来打开城门把军队引进来的故事。那么如今我们所说的木马程序,也和这个故事相似,但是这个木马程序攻击的不是城市,而是您的电脑。 浙江省浦江县广播电视局的一名工作人员,2004年11月12号,洪政下班回家,他象往常一样打开电脑浏览股市的情况。当时,我说怎么我们帐户上面的股票都没了,后来我老婆过来了,我问她你有没有动,她说没动,今天没动。我说怎么会没了呢,我们原来买的是广电电子,股票一股都没了,卖掉了,当时买的是广电电子是21100股,11.792元买一股。 一共累计多少钱? 还有一股是科大创新是2千股,这个成本是14.024元,两个资金总共是20多万,他有人把我股票卖掉了。 洪政股票帐户上金额高达二十几万的股票不知何时被人抛售一空,换成了一堆一文不名的垃圾股,直接损失达8万多元。 我的帐户和密码他们怎么会知道的。 洪政怀疑自己的密码和帐户是被人盗用了,于是,赶快到当地公安机关报了警,而当时,警方已经接到了多个股民的报案,从2004年10月中旬至11月下旬,短短一个多月的时间内,长沙、南昌、深圳、广州、杭州等地的警方相继接到一些股民报案,这些股民纷纷表示自己股票账号上的资金被别人非法操控。 这次电脑打开,就是进入我股票的操作的这个系统进去,一看吓了一跳,有一个就是宜宾纸业给我买进了两万多,一般我是买几千的,他一下子两万多时候,吓了一跳,我想出事情了,好像有黑客袭击了。 那么在刚开始接到股民报案的时候,我们都认为这个很有可能是一些股民的误操作,但是当这个报案股民越来越多的时候,引起了中国证监会和我们公安部的高度重视。然后针对各地案发的线索汇总起来,各种线索露出以后,有一些线索出现在我们江西省南昌市。 警方在排查中发现了一个疑点,那就是犯罪嫌疑人上网作案的地点是移动的,由此判断犯罪嫌疑人很有可能使用的是手提电脑。然而,顺着这条线索往下查,仍然无法确定犯罪嫌疑人的具体方位。 那么我们通过在互联网上的一些虚拟身份的一些含量的搜索,我们比对了网上线索和我们真实作案人的活动轨迹的一个比对。 通过与股民们交谈,警方发现丢失帐号的股民有一个共同的特点,就是这些人都曾经登陆过一个类似北京首放的网站,“北京首放”是全国著名的股票咨询网站,而股民们登陆的这个网址与北京首放在书写上相似,但却并不相同。警方怀疑这个假冒的首放网站很有可能被植入了木马程序,股民一旦点击这个网站,自己的帐号、密码信息就会泄露出去。于是,南昌警方开始锁定这个网站。通过网络侦测,这个网络木马大盗上网卡的ip地址显示作案的地点在安徽省前山县。 2004年12月中旬,南昌警方经过侦测发现犯罪嫌疑人活动的地点在安徽省前山县,在当地警方的协助下,确定了犯罪嫌疑人正呆在一个宾馆里,随后警方采取行动,将正在网上用木马病毒实施作案的三名犯罪嫌疑人抓获。这个曾经给股民带来恐慌的惊动公安部的网络大盗,让人很难以与眼前的这三个二十来岁的毛头小伙联系起来。 起先凭兴趣,就是一直感觉这个好玩,又能赚到钱,所以就这样玩了。 张勇原来是南昌学院计算机系的学生,因贪玩无心学习,刚读完大一,就被学校开除了,被学校开除以后的张勇,凭借自己在计算机上的天赋,在网上靠出售自己编的软件程序赚钱,三年的时间,他就赚了十多万元钱,手里有了点积蓄,张勇又想炒股票发财,而这次他炒股失败了,不甘心的张勇就动起了歪脑筋。 就是一开始,我自己以正常的去上网亏了钱,亏了钱之后就正好想到了我利用这种技术可以拿到人家的帐号去操作这个股市来获利。 熟知网络技术的张勇在网上注册了一个假冒的北京首放网站,并在里面放置了木马病毒。 “木马”程序是目前比较流行的病毒文件,与一般的病毒不同,它不会自我繁殖,也并不“刻意”地去感染其他文件,它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种者电脑的门户,使施种者可以任意毁坏、窃取被种者的文件,甚至远程操控被种者的电脑。 就这样股民只要点击假冒的首放网站,股民的帐户、密码网络交易情况便会统统在张勇等人的掌握之中。北京首放网站是一个指导股民炒股的著名的网站,那么犯罪嫌疑人张勇是如何假冒的首放网站的呢? 那么有一个知名网站,叫做首放网站,它就多一个英文一个g,它这个少了一个英文g,那么人家误以为是首放网站,因为首放网站是一个知名网站,误认为是首创网站以后,这些股民在网上交易的股民会点击这个网站,股民的帐户和密码操作的整个流程他会记录下来,那么自动发送到他的指定帐户上,记录帐户以后,他就知道被害人有多少股票,有多少钱。 象洪政这样的股民就是毫无戒备地浏览了犯罪嫌疑人张勇在网上注册的假冒的北京首放网站。把自己的帐户和密码泄露出去都不知道。 一开始没感觉不一样的地方。 现在呢? 现在感觉到有不一样的地方,后面少了一个g,拼音字母少了一个g。 设置好了这个木马程序陷阱之后,张勇邀来中学同学王浩和邹亮帮忙。 张勇啊,张勇操盘的,他是专门负责在股市上操盘,那个王浩是专门去取钱,还有开那个cdma卡,我负责是整理邮箱的(股民)密码帐号。 2004年10月18日,张勇等三人来到长沙市,经过事先的筹借,三人出资5万元作为初期的投资。之后,三人出钱制作了一张假身份证,在国泰君安证券长沙五一东路营业部开设了股票账号。 10月20日,三人用假身份证开设的股票账号以12.30元的均价购入成交量小的股票金宇车城4000股。次日,使用盗来的股票账号和密码将股民吴某、周某股票账号内的股票全部以低价抛出,获取资金后,大量购进了22万股金宇车城的股票,将这支冷门的股票恶意抬高了价格,随后张勇又将其他股民股票账户内剩余的资金,以13.44元的高价购入自己手中的4000股金宇车城股票。从中获差价利润4000多元。 自己投了五万块钱进去操纵,就真的就获利4000多块钱,这是第一次。 什么都在自己控制之中。 不费吹灰之力,一天就获利几千元,巨额利益的诱惑使得三人越走越远。从2005年10月到11月一个月的时间里,他们通过低价抛出、高价买进股票的交易方式,疯狂操纵全国各地50多位股民的股票帐户,盗卖、盗买他人的股票价值达一千多万,给他人造成了直接经济89万元,并且从中获利38万元。被盗的人不止我一个。 股民洪政“被盗人据他们(公安)说有53个损失也挺多的现在关键的问题我们(要求)一个吗惩罚犯罪分子利用高科技来犯罪要惩罚他们,再一个弥补我们的损失。 他(张勇)要实施盗窃,要达到他窃取他人财物的目的话,就必须通过这个木马程序,通过网络来实现的,通过网络,还必须通过证券交易系统,这个就是跟一般的盗窃罪相比较的话,就比较特殊,也比较少见,这个来说实际都是很少见的这种作案手法,我们提起公诉的时候是以盗窃罪来定罪的。 是有点违规,违反了证券的规则,但是不会认为是盗窃,还有判重刑这一类的。 被告人邹亮 我的意思是,我是反正不认为我们这种行为是能定性为盗窃。 北京大学法学院教授白建军 如果说把人家的股票从账户里,利用高科技的手段偷出来,去低价买入自己高价抛出的股票,从中获利的行为,不是偷的话那么可以设想,你把别人家的电视机29寸的。 大彩电盗走了然而呢,换回来一个9寸的黑白(电视机),难道不是偷吗,其实道理都是一样的,显然是一种秘密占有。 他为什么说定他盗窃罪呢?他一方面是把被害人的财产低价抛出,高价去买他的财产,这样就造成了被害人差价的损失,这个差价的一部分利润就转给被告人的帐户上,那么他实际上取得了被害人的一个财产所有权,所以我认为这个是构造盗窃罪最主要的方面。 北京大学法学院教授白建军 换句话说他是利用股票市场,利用了证券市场实施的特殊的,科技含量比较高的盗窃,但是科技含量再高再利用了,或者别的什么市场,仍然改变不了他是盗窃刑法上的属性。 2005年7月28号,南昌人民检察院指控犯罪嫌疑人张勇、王浩、邹亮犯盗窃罪,向南昌市人民中级法院提起公诉,2005年9月8号,全国第一例利用木马程序犯罪案在南昌市人民中级法院一审开庭,审判长宣读了判决结果。 江西省南昌市中级人民法院刑二庭庭长潘荣健 判决如下:请起立,一,被告人张勇犯盗窃罪,判处无期徒刑,剥夺政治权利终身,并处没收个人全部财产。 另两名被告人王浩、邹亮也分别以盗窃罪判处13年、12年的有期徒刑。 据了解,全国第一例判决利用木马程序犯罪案的三名被告人张勇、王浩、邹亮分别提出了上诉。而本案中受害的50多名股民的损失还没有着落。 据有关部门统计,2004年给个人电脑用户造成损害的病毒,网络木马程序的数量占到了半数以上,木马,它的传播途径主要是通过聊天软件、浏览网页和网络下载等,专家建议,不要随便点击和下载oicq、msn等聊天软件和不明来历的网站、网页,用户的个人电脑上要建立好防火墙,如果遭受黑客和木马程序的入侵,要及时对个人的信息、资料、密码做适当修改来确保安全。 第2章 :Trojan horse(特洛伊木马) 古希腊传说,特洛伊王子帕里斯访问希腊,诱走了王后海伦,希腊人因此远征特洛伊。围攻9年后,到第10年,希腊将领奥德修斯献了一计,就是把一批勇士埋伏在一匹巨大的木马腹内,放在城外后,佯作退兵。特洛伊人以为敌兵已退,就把木马作为战利品搬入城中。到了夜间,埋伏在木马中的勇士跳出来,打开了城门,希腊将士一拥而入攻下了城池。后来,人们在写文章时就常用“特洛伊木马”这一典故,用来比喻在敌方营垒里埋下伏兵里应外合的活动。 《荷马史诗》的特洛伊战记,故事说的是希腊人围攻特洛伊城十年后仍不能得手,于是阿迦门农受雅典娜的启发:把士兵藏匿于巨大无比的木马中,然后佯作退兵。当特洛伊人将木马作为战利品拖入城内时,高大的木马正好卡在城门间,进退两难。夜晚木马内的士兵爬出来,与城外的部队里应外合而攻下了特洛伊城。 鉴于木马的巨大危害性,我们将分原理篇,防御与反击篇,资料篇三部分来详细介绍木马,希望大家对特洛伊木马这种攻击手段有一个透彻的了解。 【一、基础知识】 在介绍木马的原理之前有一些木马构成的基础知识我们要事先加以说明,因为下面有很多地方会提到这些内容。 一个完整的木马系统由硬件部分,软件部分和具体连接部分组成。 (1)硬件部分:建立木马连接所必须的硬件实体。控制端:对服务端进行远程控制的一方。服务端:被控制端远程控制的一方。INTERNET:控制端对服务端进行远程控制,数据传输的网络载体。 (2)软件部分:实现远程控制所必须的软件程序。控制端程序:控制端用以远程控制服务端的程序。木马程序:潜入服务端内部,获取其操作权限的程序。木马配置程序:设置木马程序的端口号,触发条件,木马名称等,使其在服务端藏得更隐蔽的程序。 (3)具体连接部分:通过INTERNET在服务端和控制端之间建立一条木马通道所必须的元素。控制端IP,服务端IP:即控制端,服务端的网络地址,也是木马进行数据传输的目的地。控制端端口,木马端口:即控制端,服务端的数据入口,通过这个入口,数据可直达控制端程序或木马程序。 用木马这种黑客工具进行网络入侵,从过程上看大致可分为六步(具体可见下图),下面我们就按这六步来详细阐述木马的攻击原理。 一.配置木马 一般来说一个设计成熟的木马都有木马配置程序,从具体的配置内容看,主要是为了实现以下两方面功能: (1)木马伪装:木马配置程序为了在服务端尽可能的好的隐藏木马,会采用多种伪装手段,如修改图标,捆绑文件,定制端口,自我销毁等,我们将在“传播木马”这一节中详细介绍。 (2)信息反馈:木马配置程序将就信息反馈的方式或地址进行设置,如设置信息反馈的邮件地址,IRC号,ICO号等等,具体的我们将在“信息反馈”这一节中详细介绍。 【二、传播木马】. (1)传播方式: 木马的传播方式主要有两种:一种是通过E-MAIL,控制端将木马程序以附件的形式夹在邮件中发送出去,收信人只要打开附件系统就会感染木马;另一种是软件下载,一些非正规的网站以提供软件下载为名义,将木马捆绑在软件安装程序上,下载后,只要一运行这些程序,木马就会自动安装。 (2)伪装方式: 鉴于木马的危害性,很多人对木马知识还是有一定了解的,这对木马的传播起了一定的抑制作用,这是木马设计者所不愿见到的,因此他们开发了多种功能来伪装木马,以达到降低用户警觉,欺骗用户的目的。 (一)修改图标 当你在E-MAIL的附件中看到这个图标时,是否会认为这是个文本文件呢?但是我不得不告诉你,这也有可能是个木马程序,现在已经有木马可以将木马服务端程序的图标改成HTML,TXT,ZIP等各种文件的图标,这有相当大的迷惑性,但是目前提供这种功能的木马还不多见,并且这种伪装也不是无懈可击的,所以不必整天提心吊胆,疑神疑鬼的。 (二)捆绑文件 这种伪装手段是将木马捆绑到一个安装程序上,当安装程序运行时,木马在用户毫无察觉的情况下,偷偷的进入了系统。至于被捆绑的文件一般是可执行文件(即EXE,COM一类的文件)。 (三)出错显示 有一定木马知识的人都知道,如果打开一个文件,没有任何反应,这很可能就是个木马程序,木马的设计者也意识到了这个缺陷,所以已经有木马提供了一个叫做出错显示的功能。当服务端用户打开木马程序时,会弹出一个如下图所示的错误提示框(这当然是假的),错误内容可自由定义,大多会定制成一些诸如“文件已破坏,无法打开的!”之类的信息,当服务端用户信以为真时,木马却悄悄侵入了系统。 (四)定制端口 很多老式的木马端口都是固定的,这给判断是否感染了木马带来了方便,只要查一下特定的端口就知道感染了什么木马,所以现在很多新式的木马都加入了定制端口的功能,控制端用户可以在1024——65535之间任选一个端口作为木马端口(一般不选1024以下的端口),这样就给判断所感染木马类型带来了麻烦。 (五)自我销毁 这项功能是为了弥补木马的一个缺陷。我们知道当服务端用户打开含有木马的文件后,木马会将自己拷贝到WINDOWS的系统文件夹中(C:WINDOWS或C:WINDOWSSYSTEM目录下),一般来说原木马文件和系统文件夹中的木马文件的大小是一样的(捆绑文件的木马除外),那么中了木马的朋友只要在近来收到的信件和下载的软件中找到原木马文件,然后根据原木马的大小去系统文件夹找相同大小的文件,判断一下哪个是木马就行了。而木马的自我销毁功能是指安装完木马后,原木马文件将自动销毁,这样服务端用户就很难找到木马的来源,在没有查杀木马的工具帮助下,就很难删除木马了。 (六)木马更名 安装到系统文件夹中的木马的文件名一般是固定的,那么只要根据一些查杀木马的文章,按图索骥在系统文件夹查找特定的文件,就可以断定中了什么木马。所以现在有很多木马都允许控制端用户自由定制安装后的木马文件名,这样很难判断所感染的木马类型了。 【三.运行木马】 服务端用户运行木马或捆绑木马的程序后,木马就会自动进行安装。首先将自身拷贝到WINDOWS的系统文件夹中(C:WINDOWS或C:WINDOWSSYSTEM目录下),然后在注册表,启动组,非启动组中设置好木马的触发条件,这样木马的安装就完成了。安装后就可以启动木马了,具体过程见下文: ①由自启动激活木马 自启动木马的条件,大致出现在下面6个地方: 1.注册表:打开主键,在其中寻找可能是启动木马的键值。 2.目录下有一个配置文件win.ini,用文本方式打开,在[windows]字段中有启动命令load=和run=,在一般情况下是空白的,如果有启动程序,可能是木马。3.目录下有个配置文件,用文本方式打开,在]中有命令行,在其中寻找木马的启动命令。 4.:在C盘根目录下的这两个文件也可以启动木马。但这种加载方式一般都需要控制端用户与服务端建立连接后,将已添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行。 5.*.INI:即应用程序的启动配置文件,控制端利用这些文件能启动程序的特点,将制作好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件,这样就可以达到启动木马的目的了。 6.启动菜单:在“开始——程序——启动”选项下也可能有木马的触发条件。 ②由触发式激活木马 1.注册表:打开文件类型\d主键,查看其键值。举个例子,国产木马“冰河”就是修改HKEY_CLASSES_ROOT下的键值,将“C:”该为“1”,这时你双击一个TXT文件后,原本应用NOTEPAD打开文件的,现在却变成启动木马程序了。还要说明的是不光是TXT文件,通过修改HTML,EXE,ZIP等文件的启动命令的键值都可以启动木马,不同之处只在于“文件类型”这个主键的差别,TXT是txtfile,ZIP是WINZIP,大家可以试着去找一下。 2.捆绑文件:实现这种触发条件首先要控制端和服务端已通过木马建立连接,然后控制端用户用工具软件将木马文件和某一应用程序捆绑在一起,然后上传到服务端覆盖原文件,这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马又会被安装上去了。 3.自动播放式:自动播放本是用于光盘的,当插入一个电影光盘到光驱时,系统会自动播放里面的内容,这就是自动播放的本意,播放什么是由光盘中的AutoRun.inf文件指定的,修改AutoRun.inf中的open一行可以指定在自动播放过程中运行的程序。后来有人用于了硬盘与U盘,在U盘或硬盘的分区,创建Autorun.inf文件,并在Open中指定木马程序,这样,当你打开硬盘分区或U盘时,就会触发木马程序的运行。 木马作者还在不断寻找“可乘之机”这里只是举例,又有不断的自启动的地方被挖掘出来。 (2)木马运行过程 木马被激活后,进入内存,并开启事先定义的木马端口,准备与控制端建立连接。这时服务端用户可以在MS-DOS方式下,键入NETSTAT-AN查看端口状态,一般个人电脑在脱机状态下是不会有端口开放的,如果有端口开放,你就要注意是否感染木马了。下面是电脑感染木马后,用NETSTAT命令查看端口的两个实例: 其中①是服务端与控制端建立连接时的显示状态,②是服务端与控制端还未建立连接时的显示状态。 在上网过程中要下载软件,发送信件,网上聊天等必然打开一些端口,下面是一些常用的端口: (1)1——1024之间的端口:这些端口叫保留端口,是专给一些对外通讯的程序用的,如FTP使用21,SMTP使用25,POP3使用110等。只有很少木马会用保留端口作为木马端口的。 (2)1025以上的连续端口:在上网浏览网站时,浏览器会打开多个连续的端口下载文字,图片到本地硬盘上,这些端口都是1025以上的连续端口。 (3)4000端口:这是OICQ的通讯端口。 (4)6667端口:这是IRC的通讯端口。除上述的端口基本可以排除在外,如发现还有其它端口打开,尤其是数值比较大的端口,那就要怀疑是否感染了木马,当然如果木马有定制端口的功能,那任何端口都有可能是木马端口。 【四.信息泄露】 一般来说,设计成熟的木马都有一个信息反馈机制。所谓信息反馈机制是指木马成功安装后会收集一些服务端的软硬件信息,并通过E-MAIL,IRC或ICO的方式告知控制端用户。 从反馈信息中控制端可以知道服务端的一些软硬件信息,包括使用的操作系统,系统目录,硬盘分区况,系统口令等,在这些信息中,最重要的是服务端IP,因为只有得到这个参数,控制端才能与服务端建立连接,具体的连接方法我们会在下一节中讲解。 【五.建立连接】 这一节我们讲解一下木马连接是怎样建立的。一个木马连接的建立首先必须满足两个条件:一是服务端已安装了木马程序;二是控制端,服务端都要在线。在此基础上控制端可以通过木马端口与服务端建立连接。 假设A机为控制端,B机为服务端,对于A机来说要与B机建立连接必须知道B机的木马端口和IP地址,由于木马端口是A机事先设定的,为已知项,所以最重要的是如何获得B机的IP地址。获得B机的IP地址的方法主要有两种:信息反馈和IP扫描。对于前一种已在上一节中已经介绍过了,不再赘述,我们重点来介绍IP扫描,因为B机装有木马程序,所以它的木马端口7626是处于开放状态的,所以现在A机只要扫描IP地址段中7626端口开放的主机就行了,例如图中B机的IP地址是202.102.47.56,当A机扫描到这个IP时发现它的7626端口是开放的,那么这个IP就会被添加到列表中,这时A机就可以通过木马的控制端程序向B机发出连接信号,B机中的木马程序收到信号后立即作出响应,当A机收到响应的信号后,开启一个随即端口1031与B机的木马端口7626建立连接,到这时一个木马连接才算真正建立。值得一提的要扫描整个IP地址段显然费时费力,一般来说控制端都是先通过信息反馈获得服务端的IP地址,由于拨号上网的IP是动态的,即用户每次上网的IP都是不同的,但是这个IP是在一定范围内变动的,如图中B机的IP是202.102.47.56,那么B机上网IP的变动范围是在202.102.000.000——202.102.255.255,所以每次控制端只要搜索这个IP地址段就可以找到B机了。 【六.远程控制】 木马连接建立后,控制端端口和木马端口之间将会出现一条通道。 控制端上的控制端程序可藉这条通道与服务端上的木马程序取得联系,并通过木马程序对服务端进行远程控制。下面我们就介绍一下控制端具体能享有哪些控制权限,这远比你想象的要大。 (1)窃取密码:一切以明文的形式,*形式或缓存在CACHE中的密码都能被木马侦测到,此外很多木马还提供有击键记录功能,它将会记录服务端每次敲击键盘的动作,所以一旦有木马入侵,密码将很容易被窃取。 (2)文件操作:控制端可藉由远程控制对服务端上的文件进行删除,新建,修改,上传,下载,运行,更改属性等一系列操作,基本涵盖了WINDOWS平台上所有的文件操作功能。 (3)修改注册表:控制端可任意修改服务端注册表,包括删除,新建或修改主键,子键,键值。有了这项功能控制端就可以禁止服务端软驱,光驱的使用,锁住服务端的注册表,将服务端上木马的触发条件设置得更隐蔽的一系列高级操作。 (4)系统操作:这项内容包括重启或关闭服务端操作系统,断开服务端网络连接,控制服务端的鼠标,键盘,监视服务端桌面操作,查看服务端进程等,控制端甚至可以随时给服务端发送信息,想象一下,当服务端的桌面上突然跳出一段话,不吓人一跳才怪 木马和病毒都是一种人为的程序,都属于电脑病毒,为什么木马要单独提出来说内?大家都知道以前的电脑病毒的作用,其实完全就是为了搞破坏,破坏电脑里的资料数据,除了破坏之外其它无非就是有些病毒制造者为了达到某些目的而进行的威慑和敲诈勒索的作用,或为了炫耀自己的技术.“木马”不一样,木马的作用是赤裸裸的偷偷监视别人和盗窃别人密码,数据等,如盗窃管理员密码-子网密码搞破坏,或者好玩,偷窃上网密码用于它用,游戏帐号,股票帐号,甚至网上银行帐户等.达到偷窥别人隐私和得到经济利益的目的.所以木马的作用比早期的电脑病毒更加有用.更能够直接达到使用者的目的!导致许多别有用心的程序开发者大量的编写这类带有偷窃和监视别人电脑的侵入性程序,这就是目前网上大量木马泛滥成灾的原因.鉴于木马的这些巨大危害性和它与早期病毒的作用性质不一样,所以木马虽然属于病毒中的一类,但是要单独的从病毒类型中间剥离出来.独立的称之为“木马”程序. 一般来说一种杀毒软件程序,它的木马专杀程序能够查杀某某木马的话,那么它自己的普通杀毒程序也当然能够杀掉这种木马,因为在木马泛滥的今天,为木马单独设计一个专门的木马查杀工具,那是能提高该杀毒软件的产品档次的,对其声誉也大大的有益,实际上一般的普通杀毒软件里都包含了对木马的查杀功能.如果现在大家说某某杀毒软件没有木马专杀的程序,那这家杀毒软件厂商自己也好像有点过意不去,即使它的普通杀毒软件里当然的有杀除木马的功能. 还有一点就是,把查杀木马程序单独剥离出来,可以提高查杀效率,现在很多杀毒软件里的木马专杀程序只对木马进行查杀,不去检查普通病毒库里的病毒代码,也就是说当用户运行木马专杀程序的时候,程序只调用木马代码库里的数据,而不调用病毒代码库里的数据,大大提高木马查杀速度.我们知道查杀普通病毒的速度是比较慢的,因为现在有太多太多的病毒.每个文件要经过几万条木马代码的检验,然后再加上已知的差不多有近10万个病毒代码的检验,那速度岂不是很慢了.省去普通病毒代码检验,是不是就提高了效率,提高了速度内?也就是说现在好多杀毒软件自带的木马专杀程序只查杀木马而一般不去查杀病毒,但是它自身的普通病毒查杀程序既查杀病毒又查杀木马! 第3章 :在工商局注册“木马”公司? 有要学盗号的要木马的要QB的进啊220.189.195.*09:5861.163.80.* 271谁有能盗取CSOL的盗号木马j92914966209:02117.35.28.* 761DNF被骗的人进来117.69.213.*07:44122.159.199.* 117775收到号徒弟211.140.18.*07:34122.159.199.* 57143盗号木马远控834333040mguiotui8-11124.167.23.* 76781出游戏箱子挂量技术传授等QQ97633471hackykkcn8-11hackykkdos 848142★出售热门网络游戏信封★信誉有目共睹★群号:4808887121.204.214.*8-11mh3525 189074盗QQ木马……诚心的来222.247.62.*8-11jigbrgs 44043出售各类木马以及远程控制,要的联系QQ12679342鄂A38678-11jigbrgs 37741木马远程控制全部免杀363575894cghjnhj8-11jigbrgs 102351远程控制,盗网游,QQ等等,密码破解,攻击非正规服务器221.205.159.*8-11jigbrgs 51443盗加QQ1098004932xiaotian03068-11jigbrgs 282◆DNF木马出售◆125.81.162.*8-11125.81.155.* 211出售信件和盗号可以演示如果你的号丢了可以找我QQ1054155769123.12.128.*8-11219.132.145.* 1406找人接盗号活220.175.152.*8-10125.93.82.* 1353专业教人盗号。诚信第一。速度第二。59.53.130.*8-10125.93.82.* 90出售淘宝交易和5173交易骗人手发买东西少给钱QQ1054155769123.4.211.*8-10123.4.211.* 50出售淘宝交易骗人手段先教一小步淘宝号必须有钱QQ1054155769123.4.211.*8-10123.4.211.* 130盗各种网络号和QQ号QQ1054155769飞跃工做室代连各种大型游戏123.12.128.*8-9123.12.128.* 40出售天龙征途信封其他没代连天龙和征途成心的在出售盗号木马123.12.128.*8-9123.12.128.* 2147教盗各种游戏号10分钟叫你学会。QQ529784108骗人死我包你满意123.12.134.*8-9218.76.86.* 59022本人帮盗网游任何游戏号!!!诚心收《徒弟》·····120.86.114.*8-9124.225.145.* 482悬赏:寻一盗号高手盗取一征途游戏资料,号称最难盗取的。123.54.28.*8-9114.240.61.* 160帮我盗个号122.233.184.*8-9122.233.184.* 192★长期收各类游戏点卡,寻求合作、即时结款▇123.55.107.*8-9222.88.182.* 200找个师傅教盗游戏号苏州的可以当面教58.211.34.*8-9—— 270找个师傅教我58.211.34.*8-9—— 2243203000收DNF木马生成器淘宝交易.好用可以长期合作222.170.59.*8-9—— 882教学~刷7钻Q币·会员~+563706131h152520078-9—— 170找师傅117.25.177.*8-8—— 580谁能教我盗号啊教个大概就可以了剩下的我自己学222.132.200.*8-8—— 200请人盗个QQ号价格商量电话15178790421请速度联系222.181.162.*8-8222.181.162.* 2746求购盗号软件jwd52538-8120.5.9.* 37512我要免费拜永久的师傅,要学盗号!!!124.67.203.*8-8123.169.42.* 39718收徒弟,教盗号。耐心教。郑州可当面教。115.56.102.*8-8117.23.253.* 392324QQ盗号木马原理(代码)昊月天威8-7113.87.51.* 491找个免费交我盗号的师傅我就跟他混了60.171.9.*8-7113.87.51.* 1327至盗号者米耐希爾之力8-7211.140.18.* 80找师傅、要天津的123.150.219.*8-7123.150.219.* 2954跪求盗号高手,教我破解密码,急!事后定重谢!!!!qq2133008-7—— 973找个能免费教我盗网络游戏号的“师傅”222.213.253.*8-6h15252007 210教学~刷7钻Q币·会员~+392124122125.82.251.*8-6125.82.251.* 50求盗笑傲无双游戏!60.28.165.*8-660.28.165.* 320出售千里马木马个人版60.3.188.*8-560.3.188.* 861100QB求盗QQ高手帮忙盗个QQ号xl884915168-5h15252007 932教学~刷7钻Q币·会员~+QQ76707812benbencxz8-5h15252007 60ddddddddddddd问君能有几多乐8-5问君能有几多乐 1351出售木马,定做木马。116.22.202.*8-5125.73.165.* 310本人诚心找师傅一名教我盗网游账号真心学习有免费的请加我Q59.48.6.*8-559.48.6.* 1695找老师教我盗号…… 网络游戏中的盗号木马 盗密报卡解绑过程登陆的时候通过木马盗取玩家的密码,并且用盗取的密码进入密码保护卡解除绑定的网页页面,在通过木马把玩家登陆时候的三个密码保护卡数换成密码保护卡解绑需要的三个数,1次就能骗到密码保护卡解除绑定需要的三个数了,再解除绑定,玩家的帐号就跟没密码保护卡一样.电话密码保护也一样,玩家打了电话,然后登陆的时候通过木马让玩家不能连接服务器并盗取玩家的密码,然后盗取账号者就2分内可以上去了盗取玩家财产。 更好的反击盗取账号者措施 1.设置角色密码(可结合密码保护卡), 2.设置背包密码,背包分二部分(G也分2部份,1大额,1小额),一部分需要密码(可以放重要的财产),一部分不要密码(放置常用物品),可结合密保卡。 3,装备栏设置密码保护卡,上线后需要输入密保卡解除装备栏的密报卡数,才能使用技能,如果不解除绑定,不能使用技能并且无法交易。 4,仓库通过密码打开后,与背包相同。 5,设置退出密码,输入退出密码正常才能下线,非正常下线5分内补能登陆。 6设置下次登陆地点,玩家下线时可以选者下次登陆的IP段(以市为单位,不在IP段里面的IP,不能登陆) 6计算机绑定,对于有计算机的玩家可以绑定CPU编号,这点某些杀毒软件有这个技术,你们估计也有这技术。 7,上述六点可结合密码保护卡,并且可以设置多张密码保护卡,登陆界面一张密码保护卡,角色界面一张密码保护卡,背包一张密码保护卡,仓库一张密码保护卡,退出登录一张密码保护卡。补充:密保卡可随自己意愿绑定,但是追号大于等于2,背包,仓库等可以用同1张密保卡(最好不和登陆用同1张),关于手机密保可改为,登陆时不需打手机,登陆后所有物品全部无法交易出售,无法发言,在登陆后打手机才可解除,可防止手机密保在登陆界面被木马利用 8,加强游戏本身防木马能力。可以和杀毒软件公司合作设置一款专门用于魔兽的杀毒软件 9,加入网吧IP段保护 10,这需要网游公司对现有密码系统升级 在计算机领域中,它是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点。 所谓隐蔽性是指木马的设计者为了防止木马被发现,会采用多种手段隐藏木马,这样服务端即使发现感染了木马,由于不能确定其具体位置,往往只能望“马”兴叹。 所谓非授权性是指一旦控制端与服务端连接后,控制端将享有服务端的大部分操作权限,包括修改文件,修改注册表,控制鼠标,键盘等等,而这些权力并不是服务端赋予的,而是通过木马程序窃取的。 从木马的发展来看,基本上可以分为两个阶段。 最初网络还处于以UNIX平台为主的时期,木马就产生了,当时的木马程序的功能相对简单,往往是将一段程序嵌入到系统文件中,用跳转指令来执行一些木马的功能,在这个时期木马的设计者和使用者大都是些技术人员,必须具备相当的网络和编程知识。 而后随着WINDOWS平台的日益普及,一些基于图形操作的木马程序出现了,用户界面的改善,使使用者不用懂太多的专业知识就可以熟练的操作木马,相对的木马入侵事件也频繁出现,而且由于这个时期木马的功能已日趋完善,因此对服务端的破坏也更大了。 所以所木马发展到今天,已经无所不用其极,一旦被木马控制,你的电脑将毫无秘密可言。 第4章 :木马产业链(1) 福建蔡先生网银中全部21万元存款不翼而飞了。”央视3·15晚会曝光的网盗揭示了一个可怕的事实:地下木马产业正通过灰鸽子、上兴远控、Ghost木马等各种“肉鸡”控制工具,疯狂侵蚀着互联网安全甚至财富。随着“网上大盗”数量的不断增多,这一黑色产业也在不断壮大和分工。目前已经发展为包括木马制造、木马传播、密码窃取、洗钱等环节在内的完整产业链形态。 其实,木马产业链背后是巨大的利益,在黑客已经从纯技术交流转向获取非法利益的时候,所有的东西已经变味。 “只要装上灰鸽子,然后在别人电脑上种上灰鸽子木马,对方电脑就会成为你的‘肉鸡’,任你宰割。”刘晓远(化名)介绍说。一方是控制端,另一方是被控制端,控制端可以在被控制端的“肉鸡”上做任何事情,然后再把“战场”清理得了无痕迹。 其实,刘晓远原来也是一个受害者,但自从朋友开始使用木马兼职“抓鸡”后,他干脆辞掉公职,干起了出售“肉鸡”的工作。据了解,一天抓100只“鸡”不成问题,能有百八十块的收入。 其实,“肉鸡””的价格近几年也在随行就市地增长。几年前圈内公开的行价是最低“肉鸡”1毛到4毛一台,辽宁“肉鸡”5毛到8毛一台,广东“肉鸡”1元一台,港台“肉鸡”3元一台,外国“肉鸡”5元一台。 而昨天,《第一财经日报》记者在百度灰鸽子贴吧上看到,内地“肉鸡”1毛一台,而欧洲、美国、中国台湾、加拿大、日本等地的“肉鸡”竟然卖到10元一台。 其实,刘晓远已经不仅仅满足于倒卖”肉鸡”,同时开始带徒弟。对“菜鸟”级的徒弟手把手地教他怎么装软件,怎么种木马,怎么样让木马通过杀毒软件免杀,怎么抓“肉鸡”,怎么玩“肉鸡”,学费一般为200元。如果“徒弟”求“师”心切,也肯开出300元甚至更高的价格。 据了解,像刘晓远这样的人,仅仅是底层,有能力高强的“鸽友”,一个月抓10万台“肉鸡”,就能轻松赚到1万元。 而根据奇虎360的调查,这个黑色产业的规模已经达到每年10亿元,并以极快的速度增长。 石晓虹说,目前全国的“肉鸡”最少有400万台,如果黑客大规模操纵起来,会造成极大的社会危害。 “木马不是单一的群体,可能是几十万人在制造木马。”奇虎网总裁齐向东表示。 石晓虹说,仅360安全卫士每天收集的可疑木马样本就超过40万。这一次木马被央视曝光,正说明它已成为一个严峻的社会问题,以木马为主要工具的商业“黑客群”对互联网经济形成了极大的破坏力。 木马已经形成制作、木马播种、流量交易、虚拟财产套现等诸多环节,俨然形成了一个完整的黑色产业链。 木马制作环节的人为木马作者,他们制作网游盗号木马、远程控制木马、木马下载器等各类木马产品和黑客工具,一般是以一个垄断性的条款出售给木马播种环节的人(圈内称为“包马人”),并负责售后的维护和更新,随时对杀毒软件进行“免杀”制作,业内称木马作者每月的收入在1万至5万元的级别。 而“包马人”则是整个木马产业的核心部分,一方面从木马作者手中购得产品,另一方面又从流量交易环节中购得网络流量,实施“挂马”后就开始从中招用户电脑中盗取各类有价值的信息,其中以网游账号、QQ账号、网银账号等为主,再把赃物出售给虚拟财产的“套现”环节。 流量交易环节包括很多不良网站的站长,如色情网站和一些个人网站,他们把访问者出卖给“包马人”,主动在自己网站“挂马”换取金钱;此外还有一些善于入侵“拿站”的黑客,他们也受雇于“包马人”,攻击访问量高同时安全性较差的各类网站,为“包马人”挂马提供平台。 近几年来,360、瑞星、金山等就侦测到多起知名网站如暴风影音、大智慧实时行情页面等被挂马的现象,而用户一旦访问被挂马的页面,则立即中招,成为“肉鸡”。 近日,瑞星通过“云安全”系统截获了一个黑客建立的染毒电脑销售网站,登录这个网站,就可以看到他们总共控制了多少台“肉鸡”、染毒电脑的IP地址等详细数据。 瑞星安全专家分析,这是黑客用来向“客户”销售“肉鸡”的网站,客户可以选择“肉鸡”的IP地址,然后按照台数和控制时间等等条件付款,获得这些“肉鸡”的控制权。 其实,盗号、网银上的资金丢失等还只是木马危害的冰山一角。据石晓虹介绍,雇用黑客对第三方商业或个人网站进行攻击,已发展成许多黑客牟利的一项常规业务,而这一行为被称为黑客“拿站”。 据调查,在黑客提供的各种“服务”中,“拿站”被明码标价,价格随目标网站安全级别与任务难易程度在“一千至上万元不等”。 在百度的“拿站”贴吧中,作者看到“拿人”公开出价4000、5000元拿一个站,更有甚者,出价20万元拿一个站。 在一个专门从事“拿站”业务的QQ群中,作者看到,有很多人专门从事“拿站”业务,甚至还有从事此事的中介。而黑客一旦收取佣金后,就会替客户入侵指定网站,使雇主获得该网站的后台管理权限,进而由黑客或雇主直接实施“挂马”、盗取信息、篡改内容等非法行为。 石晓虹说,如今木马已经形成完整产业链,很多盗号木马工作室甚至都已形成品牌,而许多黑客在网上的非法行为更是泛滥到了令人发指的地步。 由公安部挂牌督办的“8.2”全国最大的制作、传播“温柔”系列木马团伙案件,今天上午在江苏省徐州市鼓楼区人民法院公开开庭审理,“温柔”木马病毒的制作人吕某、曾某,销售总代理严某、陈某等11名被告人到庭受审。 公诉机关指控,2007年5月至2008年8月间,被告人吕某、曾某等为牟利先后编写出国内流行的风云、完美国际、武林外传,QQ自由幻想等40余款网络游戏的木马程序,用于窃取网络游戏玩家的帐号、密码。期间,两被告人根据被告人严某的要求,对该程序进行改进、更新。并约定由严某代理销售该木马程序,吕某、曾某提供技术支持,营利分成。 2008年3月,严某将上述程序以其女友陈某的网名“温柔”冠名为“温柔”木马,在互联网上传播销售,并逐步形成了以严某、陈某为总代理,以被告人某等30多人为分代理的传播销售网络。他们将该木马程序置入网站由网民点击,网民点击该网站时便会立即中木马病毒,该木马程序自动植入网民的计算机系统并运行,致使该木马程序在互联网上广泛传播。中了这些木马程序的网民一旦登录自己的网络游戏账号,游戏帐号和密码就会被立即自动发送到木马所指定的一些邮箱内。其他涉案人员根据购买的帐号信息登陆该游戏玩家的网络游戏,将帐号内的游戏币、游戏装备等盗出在网上销售获利。 至2008年8月,“温柔系列”木马病毒非法入各类网站1200多个,严重影响了40余款网络游戏计算机信息系统的正常运行,占全国盗号木马份额的50%,造成网易公司、北京畅游时代数码科技有限公司等13家游戏公司重大经济损失,至少造成800余万个游戏玩家的游戏帐号密码、游戏装备被盗,其计算机信息系统被非法侵害。 通过上述犯罪行为,各被告人攫取了巨大的经济利益。其中,吕某、曾某各获利32万余元,严某和陈某共获利31万余元,张某等被告人牟利20至50万余元,其他被告人牟利几千至十万元不等。 公诉机关认为,曾某等被告人违反国家规定,故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重,其行为触犯了《中华人民共和国刑法》第二百八十六条第三款的规定,犯罪事实清楚,证据充分,应当以破坏计算机信息系统罪追究其刑事责任。 据悉,该案共涉及16省市110人,涉案金额3000余万元。目前已经进入诉讼程序的有30余人,法院近期将陆续公开开庭进行审理。据主审法官介绍,由于涉案人数众多、案情特别复杂,此案的审理大约需要两天时间。 第5章 :木马产业链(2) 2009年5月25日,CCTV2报道了“大小姐”木马案件调查,另人们吃惊的是其组织严密,分工明确,技术与商业的“完美”结合,形成了木马经济网络,它标志着“木马经济产业链”已经成熟,已经成为不可忽视的社会性问题。 木马技术来源于网络安全管理工具,黑客拿来使用,无论是僵尸网络的控制台,还是秘密信息的收集工具,都让人感到该技术的“可怕”。若推动该技术发展的只是一些技术的爱好者、热情的体验者,可能对社会的危害性还不是很大,但随着“产业链”的形成,研究木马、推广木马成为该产业链的起点,是后期经济发展的支柱,木马技术的开发就进入了“主动、快速”发展阶段;受经济与政治利益的驱使,为木马研发提供了大笔的资金支持,有了资金,就可以获得一流的工作环境、一流的技术人才、一流的售后服务,以及最新的理论支持… 所谓产业链,就是商业化运用已经形成一条完整的因果链,从木马开发到传播,从信息收集到木马回家,从虚拟资产到现实货币,产业链的各个环节都出现了“职业”经理人,分工明确,配合默契,效率很高,在与安全厂商的查杀与躲避搏弈中,略占上风。目前有关木马事件的新闻报道少了,不是因为安全厂商的技术高了,更不是因为木马销声匿迹了,而是木马的目标明确了,赚钱方式流水线化了…所谓知道的人越少越好,不再张扬了。 木马产业链按照其工作的重点,分为三个环节:经营过程、传播过程、工作过程。 1)经营过程 经营过程的核心是木马管理者,也就是木马的“主人”。其任务是组织木马开发、木马推广、虚拟资产变现等,是木马经济链的起始与终结。 首先“主人”雇佣木马设计者,定制、开发自己特用的木马,并象管理新技术产品一样,维持产品的不断技术升级、版本的不断更新,以保持自己的木马能够躲避市场上安全厂家的查杀。 其次“主人”雇佣木马代理商推广“播种”其木马,木马要发挥作用的前提是要进入被攻击者的计算机,把木马送到有各种安全防护措施保护的用户电脑内,不是一件容易的事情。因此,木马代理商职业就诞生了,代理商主要是任务是推广渠道的管理,而真正的推送者多数是职业黑客,他们负责攻击他人的电脑与公众网站,取得权限后,把木马植入用户电脑。这不仅是技术活,而且是“力气活”,“主人”的目标是木马“播种”的数量,在成本第一的IT行业,采用层层外包的经营方式是比较常见的。 最后是“主人”最终目标的实现,木马被植入大众电脑后,会主动与自己的主人联系,汇报自己目前的地位与权限。主人可以“经营”两种业务:一是把木马控制的计算机作为自己的“僵尸部队”,在大兵团作战的DDOS攻击中,可以命令这些“部队”攻击自己要摧毁的任何目标,这种方式是大家熟悉的“网络黑社会”。二是让木马收集电脑里的“有价值”信息,如银行卡密码、游戏密码、QQ账号等,直接可以在网上出售,实现利润;当然也可以收集私人照片、企业文件、商业文件、涉密信息等,总之是一切可以买卖交易,赚钱的有价值信息,都是木马收集的对象。 经营过程是木马产业链的核心环节,是木马商业价值变现的环节,但木马的“主人”往往不是技术拥有者,而是纯粹的“商人”,木马技术含量高的环节是通过雇佣木马设计者、木马推广者来完成的。 2)传播过程 木马代理商一般雇佣木马推广者,为其传播木马,一般来说都是职业黑客,因为是个“力气活”,通常是初级黑客,当然也不乏高手,主要看出价高低。木马传播也需要“特种”思维,在与安全公司的较量中,这的确是第一场“攻坚”战。木马是一个小软件,在你不注意的时候,安装在你的电脑中,黑客攻击是比较直接的方式,获得你计算机的控制权,就跟它自己的计算机一样方便,但这样一个一个的攻击,成本高,时间长,因此设计可以大规模、自动入侵方式是必然的。首先是通过蠕虫、病毒的自传播技术,想水一样渗透到网络的各个角落,通过移动介质,还可以进入保密的私有网络,但是病毒与蠕虫是目前计算机防范的重点,能有多大的效果还是不很确定的,同时,木马进入私有网络,不能“回家”,也起不到作用。互通、平等、开放的互联网,很快成为木马传播的最佳场地。先是黑客攻击网站,修改网页,把木马挂上去,在广大网民“网上冲浪”的时候,把木马植入你的电脑;伪装的方式可谓五花八门,通过邮件、漂亮图片、优美视频等,诱惑你点击,或执行“恶意”链接;后来通过MSN、QQ、博客、论坛等共享上传信息,把木马悄悄地送给“欢乐”的冲浪者。 传播途径中的技术发展非常惊人,目前已经从系统漏洞、到应用漏洞、社会行为方向发展,从主动攻击向诱惑、钓鱼方向发展。尤其是SQL注入、网页挂马、XSS等通过网站的传播成为主流传播渠道。 3)工作过程 木马就是进入电脑的“间谍”,你当然会严加防范,想尽办法把它扼杀在摇篮里。所以,木马不能只躲避,总是要工作的,若木马不能“顺利工作”,整个木马经济的链条都会断裂,后期的利益不能继续,产业链就会崩溃。 木马进入电脑的工作分为四个阶段: 植入:不被发现地安装自己,这个过程是在传播过程的后期一定要完成的,否则前功尽弃。此阶段是安全厂家查杀的重点,为了不被发现,各种加密、化整为零、尾随跟进、冒充“领导”等躲避技术层出不穷。 ?启动:进入电脑后,一定要找合适的机会启动自己,获得“工作”的权利,简单的可以加入注册表,复杂的可以尾随在系统进程中。启动自己要躲过各种主机监控措施,给自己合法的身份证,当然,启动后,为了自己“工作”的的方便,屏蔽安全措施对自己的监视,获取一些“特殊”的权限与身份,消除有关的日志行为记录…都是必要的准备工作。 ?收集:信息收集是木马的实际工作阶段,躲过了安装时的检查,躲过了启动时的监控,一般来说木马已经成为电脑中的“合法公民”了,但木马要干的事情就不一定合乎常规了,如监视你的键盘、窃取你的屏幕、监听你的通讯等,做这些事情也需要躲避检测系统,否则还没有“干成坏事”就被抓,前边的努力也都付之东流了。 ?回家:木马与病毒、蠕虫的区别就是要回家,要找到自己的“组织”。木马的目标是听从“组织”的召唤,控制你的电脑也好,监视你的电脑也好,盗取信息也好,都要联系到“组织”。如何能在不被你发现的时候,联系上木马“主人”,这个过程是攻防博弈、生死相加的过程。回家的技术也多种多样,不仅仅是直接、间接的通讯连接、信息上载,也可能是个普通电子邮件,也可能寄生在某些系统软件的升级进程… 木马与“主人”取得联络后,就基本实现了整个木马工作过程,若是以控制为目的的话,你的电脑也就正式“加入”木马主人的僵尸部队。 木马在传播与工作过程中各个环节,都有可能因被发现而夭折,因此,防范木马的技术也多种多样,但由于木马的商业利益驱使,木马在躲避技术上发展迅猛,尤其是在启动、回家过程。木马的设计人员往往是对系统非常熟悉的高手,不仅熟悉操作系统的各个操作环节,而且熟悉安全措施的种种漏洞,熟悉各种应用的漏洞… 目前,市场上流行了很多的一些木马制作工具,使用这些工具,普通的人员也可以制造出大量的新型木马。但是,由于工具的限制,这些木马虽然在“长像体貌”上是有些不同,但其工作原理与方式基本一样,也就是他们有相同家族的DNA,通过“行为检测”技术,很多厂家在推行“主动”木马防御技术。 一个人犯罪并不可怕,可怕的是有组织、有计划的犯罪。“木马经济产业链”是黑客技术产业化的一个成功案例,希望这个案例能够引起社会有关方面的足够重视,因为这已经不仅仅是计算机安全技术能解决的问题了。 第6章 :木马产业链(3) “包马人”则是整个木马产业的核心部分,一方面从木马作者手中购得产品,另一方面又从流量交易环节中购得网络流量,实施“挂马”后就开始从中招用户电脑中盗取各类有价值的信息,其中以网游账号、QQ账号、网银账号等为主,再把赃物出售给虚拟财产的“套现”环节。 流量交易环节包括很多不良网站的站长,如色情网站和一些个人网站,他们把访问者出卖给“包马人”,主动在自己网站“挂马”换取金钱;此外还有一些善于入侵“拿站”的黑客,他们也受雇于“包马人”,攻击访问量高同时安全性较差的各类网站,为“包马人”挂马提供平台。 近几年来,360、瑞星、金山等就侦测到多起知名网站如暴风影音、大智慧实时行情页面等被挂马的现象,而用户一旦访问被挂马的页面,则立即中招,成为“肉鸡”。 近日,瑞星通过“云安全”系统截获了一个黑客建立的染毒电脑销售网站,登录这个网站,就可以看到他们总共控制了多少台“肉鸡”、染毒电脑的IP地址等详细数据。 瑞星安全专家分析,这是黑客用来向“客户”销售“肉鸡”的网站,客户可以选择“肉鸡”的IP地址,然后按照台数和控制时间等等条件付款,获得这些“肉鸡”的控制权。 冰山一角 其实,盗号、网银上的资金丢失等还只是木马危害的冰山一角。据石晓虹介绍,雇用黑客对第三方商业或个人网站进行攻击,已发展成许多黑客牟利的一项常规业务,而这一行为被称为黑客“拿站”。 据调查,在黑客提供的各种“服务”中,“拿站”被明码标价,价格随目标网站安全级别与任务难易程度在“一千至上万元不等”。 在百度的“拿站”贴吧中,记者看到“拿人”公开出价4000、5000元拿一个站,更有甚者,出价20万元拿一个站。 在一个专门从事“拿站”业务的QQ群中,记者看到,有很多人专门从事“拿站”业务,甚至还有从事此事的中介。而黑客一旦收取佣金后,就会替客户入侵指定网站,使雇主获得该网站的后台管理权限,进而由黑客或雇主直接实施“挂马”、盗取信息、篡改内容等非法行为。 在百度灰鸽子贴吧上看到,内地“肉鸡”1毛一台,而欧洲、美国、中国台湾、加拿大、日本等地的“肉鸡”竟然卖到10元一台。 实,木马产业链背后是巨大的利益,在黑客已经从纯技术交流转向获取非法利益的时候,所有的东西已经变味。 “只要装上灰鸽子,然后在别人电脑上种上灰鸽子木马,对方电脑就会成为你的‘肉鸡’,任你宰割。”刘晓远(化名)介绍说。一方是控制端,另一方是被控制端,控制端可以在被控制端的“肉鸡”上做任何事情,然后再把“战场”清理得了无痕迹。 其实,刘晓远原来也是一个受害者,但自从朋友开始使用木马兼职“抓鸡”后,他干脆辞掉公职,干起了出售“肉鸡”的工作。据了解,一天抓100只“鸡”不成问题,能有百八十块的收入。 其实,“肉鸡””的价格近几年也在随行就市地增长。几年前圈内公开的行价是最低“肉鸡”1毛到4毛一台,辽宁“肉鸡”5毛到8毛一台,广东“肉鸡”1元一台,港台“肉鸡”3元一台,外国“肉鸡”5元一台。 其实,刘晓远已经不仅仅满足于倒卖”肉鸡”,同时开始带徒弟。对“菜鸟”级的徒弟手把手地教他怎么装软件,怎么种木马,怎么样让木马通过杀毒软件免杀,怎么抓“肉鸡”,怎么玩“肉鸡”,学费一般为200元。如果“徒弟”求“师”心切,也肯开出300元甚至更高的价格。 据了解,像刘晓远这样的人,仅仅是底层,有能力高强的“鸽友”,一个月抓10万台“肉鸡”,就能轻松赚到1万元。 而根据奇虎360的调查,这个黑色产业的规模已经达到每年10亿元,并以极快的速度增长。 石晓虹说,目前全国的“肉鸡”最少有400万台,如果黑客大规模操纵起来,会造成极大的社会危害。 黑色产业链 “木马不是单一的群体,可能是几十万人在制造木马。”奇虎网总裁齐向东表示。 石晓虹说,仅360安全卫士每天收集的可疑木马样本就超过40万。这一次木马被央视曝光,正说明它已成为一个严峻的社会问题,以木马为主要工具的商业“黑客群”对互联网经济形成了极大的破坏力。 木马已经形成制作、木马播种、流量交易、虚拟财产套现等诸多环节,俨然形成了一个完整的黑色产业链。 木马制作环节的人为木马作者,他们制作网游盗号木马、远程控制木马、木马下载器等各类木马产品和黑客工具,一般是以一个垄断性的条款出售给木马播种环节的人(圈内称为“包马人”),并负责售后的维护和更新,随时对杀毒软件进行“免杀”制作,业内称木马作者每月的收入在1万至5万元的级别。 而“包马人”则是整个木马产业的核心部分,一方面从木马作者手中购得产品,另一方面又从流量交易环节中购得网络流量,实施“挂马”后就开始从中招用户电脑中盗取各类有价值的信息,其中以网游账号、QQ账号、网银账号等为主,再把赃物出售给虚拟财产的“套现”环节。 流量交易环节包括很多不良网站的站长,如色情网站和一些个人网站,他们把访问者出卖给“包马人”,主动在自己网站“挂马”换取金钱;此外还有一些善于入侵“拿站”的黑客,他们也受雇于“包马人”,攻击访问量高同时安全性较差的各类网站,为“包马人”挂马提供平台。 近几年来,360、瑞星、金山等就侦测到多起知名网站如暴风影音、大智慧实时行情页面等被挂马的现象,而用户一旦访问被挂马的页面,则立即中招,成为“肉鸡”。 近日,瑞星通过“云安全”系统截获了一个黑客建立的染毒电脑销售网站,登录这个网站,就可以看到他们总共控制了多少台“肉鸡”、染毒电脑的IP地址等详细数据。 瑞星安全专家分析,这是黑客用来向“客户”销售“肉鸡”的网站,客户可以选择“肉鸡”的IP地址,然后按照台数和控制时间等等条件付款,获得这些“肉鸡”的控制权。 其实,盗号、网银上的资金丢失等还只是木马危害的冰山一角。据石晓虹介绍,雇用黑客对第三方商业或个人网站进行攻击,已发展成许多黑客牟利的一项常规业务,而这一行为被称为黑客“拿站”。 据调查,在黑客提供的各种“服务”中,“拿站”被明码标价,价格随目标网站安全级别与任务难易程度在“一千至上万元不等”。 在百度的“拿站”贴吧中,记者看到“拿人”公开出价4000、5000元拿一个站,更有甚者,出价20万元拿一个站。 在一个专门从事“拿站”业务的QQ群中,记者看到,有很多人专门从事“拿站”业务,甚至还有从事此事的中介。而黑客一旦收取佣金后,就会替客户入侵指定网站,使雇主获得该网站的后台管理权限,进而由黑客或雇主直接实施“挂马”、盗取信息、篡改内容等非法行为。 石晓虹说,如今木马已经形成完整产业链,很多盗号木马工作室甚至都已形成品牌,而许多黑客在网上的非法行为更是泛滥到了令人发指的地步。 第7章 :漏洞(1) 漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。具体举例来说,比如在IntelPentium芯片中存在的逻辑错误,在Sendmail早期版本中的编程错误,在NFS协议中认证方式上的弱点,在Unix系统管理员设置匿名Ftp服务时配置不当的问题都可能被攻击者使用,威胁到系统的安全。因而这些都可以认为是系统中存在的安全漏洞。 一、漏洞与具体系统环境之间的关系及其时间相关特性 漏洞会影响到很大范围的软硬件设备,包括作系统本身及其支撑软件,网络客户和服务器软件,网络路由器和安全防火墙等。换而言之,在这些不同的软硬件设备中都可能存在不同的安全漏洞问题。在不同种类的软、硬件设备,同种设备的不同版本之间,由不同设备构成的不同系统之间,以及同种系统在不同的设置条件下,都会存在各自不同的安全漏洞问题。 漏洞问题是与时间紧密相关的。一个系统从发布的那一天起,随着用户的深入使用,系统中存在的漏洞会被不断暴露出来,这些早先被发现的漏洞也会不断被系统供应商发布的补丁软件修补,或在以后发布的新版系统中得以纠正。而在新版系统纠正了旧版本中具有漏洞的同时,也会引入一些新的漏洞和错误。因而随着时间的推移,旧的漏洞会不断消失,新的漏洞会不断出现。漏洞问题也会长期存在。 因而脱离具体的时间和具体的系统环境来讨论漏洞问题是毫无意义的。只能针对目标系统的作系统版本、其上运行的软件版本以及服务运行设置等实际环境来具体谈论其中可能存在的漏洞及其可行的解决办法。 同时应该看到,对漏洞问题的研究必须要跟踪当前最新的计算机系统及其安全问题的最新发展动态。这一点如同对计算机病毒发展问题的研究相似。如果在工作中不能保持对新技术的跟踪,就没有谈论系统安全漏洞问题的发言权,即使是以前所作的工作也会逐渐失去价值。 二、漏洞问题与不同安全级别计算机系统之间的关系目前计算机系统安全的分级标准一般都是依据“橘皮书”中的定义。橘皮书正式名称是“受信任计算机系统评量基准”(TrustedComputerSystemEvaluationCriteria)。橘皮书中对可信任系统的定义是这样的:一个由完整的硬件及软件所组成的系统,在不违反访问权限的情况下,它能同时服务于不限定个数的用户,并处理从一般机密到最高机密等不同范围的信息。 橘皮书将一个计算机系统可接受的信任程度加以分级,凡符合某些安全条件、基准规则的系统即可归类为某种安全等级。橘皮书将计算机系统的安全性能由高而低划分为A、B、C、D四大等级。其中: D级——最低保护(MinimalProtection),凡没有通过其他安全等级测试项目的系统即属于该级,如Dos,Windows个人计算机系统。 C级——自主访问控制(DiscretionaryProtection),该等级的安全特点在于系统的客体(如文件、目录)可由该系统主体(如系统管理员、用户、应用程序)自主定义访问权。例如:管理员可以决定系统中任意文件的权限。当前Unix、Linux、WindowsNT等作系统都为此安全等级。 B级——强制访问控制(MandatoryProtection),该等级的安全特点在于由系统强制对客体进行安全保护,在该级安全系统中,每个系统客体(如文件、目录等资源)及主体(如系统管理员、用户、应用程序)都有自己的安全标签(SecurityLabel),系统依据用户的安全等级赋予其对各个对象的访问权限。 A级——可验证访问控制(VerifiedProtection),而其特点在于该等级的系统拥有正式的分析及数学式方法可完全证明该系统的安全策略及安全规格的完整性与一致性。' 可见,根据定义,系统的安全级别越高,理论上该系统也越安全。可以说,系统安全级别是一种理论上的安全保证机制。是指在正常情况下,在某个系统根据理论得以正确实现时,系统应该可以达到的安全程度。 系统安全漏洞是指可以用来对系统安全造成危害,系统本身具有的,或设置上存在的缺陷。总之,漏洞是系统在具体实现中的错误。比如在建立安全机制中规划考虑上的缺陷,作系统和其他软件编程中的错误,以及在使用该系统提供的安全机制时人为的配置错误等。 安全漏洞的出现,是因为人们在对安全机制理论的具体实现中发生了错误,是意外出现的非正常情况。而在一切由人类实现的系统中都会不同程度的存在实现和设置上的各种潜在错误。因而在所有系统中必定存在某些安全漏洞,无论这些漏洞是否已被发现,也无论该系统的理论安全级别如何。 所以可以认为,在一定程度上,安全漏洞问题是独立于作系统本身的理论安全级别而存在的。并不是说,系统所属的安全级别越高,该系统中存在的安全漏洞就越少。 可以这么理解,当系统中存在的某些漏洞被入侵者利用,使入侵者得以绕过系统中的一部分安全机制并获得对系统一定程度的访问权限后,在安全性较高的系统当中,入侵者如果希望进一步获得特权或对系统造成较大的破坏,必须要克服更大的障碍。 系统安全漏洞是在系统具体实现和具体使用中产生的错误,但并不是系统中存在的错误都是安全漏洞。只有能威胁到系统安全的错误才是漏洞。许多错误在通常情况下并不会对系统安全造成危害,只有被人在某些条件下故意使用时才会影响系统安全。 漏洞虽然可能最初就存在于系统当中,但一个漏洞并不是自己出现的,必须要有人发现。在实际使用中,用户会发现系统中存在错误,而入侵者会有意利用其中的某些错误并使其成为威胁系统安全的工具,这时人们会认识到这个错误是一个系统安全漏洞。系统供应商会尽快发布针对这个漏洞的补丁程序,纠正这个错误。这就是系统安全漏洞从被发现到被纠正的一般过程。 系统攻击者往往是安全漏洞的发现者和使用者,要对于一个系统进行攻击,如果不能发现和使用系统中存在的安全漏洞是不可能成功的。对于安全级别较高的系统尤其如此。 系统安全漏洞与系统攻击活动之间有紧密的关系。因而不该脱离系统攻击活动来谈论安全漏洞问题。了解常见的系统攻击方法,对于有针对性的理解系统漏洞问题,以及找到相应的补救方法是十分必要的。 系统攻击是指某人非法使用或破坏某一信息系统中的资源,以及非授权使系统丧失部分或全部服务功能的行为。 通常可以把攻击活动大致分为远程攻击和内部攻击两种。现在随着互联网络的进步,其中的远程攻击技术得到很大发展,威胁也越来越大,而其中涉及的系统漏洞以及相关的知识也较多,因此有重要的研究价值。 第8章 :漏洞(2) 苍蝇不盯无缝的蛋,入侵者只要找到复杂的计算机网络中的一个缝,就能轻而易举地闯入系统。所以,了解这些缝都有可能在哪里,对于修补它们至关重要。通常,裂缝主要表现在软件编写存在bug、系统配置不当、口令失窃、明文通讯信息被监听以及初始设计存在缺陷等方面。 1、软件编写存在bug 无论是服务器程序、客户端软件还是操作系统,只要是用代码编写的东西,都会存在不同程度的bug。Bug主要分为以下几类: (1)缓冲区溢出:指入侵者在程序的有关输入项目中了输入了超过规定长度的字符串,超过的部分通常就是入侵者想要执行的攻击代码,而程序编写者又没有进行输入长度的检查,最终导致多出的攻击代码占据了输入缓冲区后的内存而执行。别以为为登录用户名留出了200个字符就够了而不再做长度检查,所谓防小人不防君子,入侵者会想尽一切办法尝试攻击的途径的。 (2)意料外的联合使用问题:一个程序经常由功能不同的多层代码组成,甚至会涉及到最底层的操作系统级别。入侵者通常会利用这个特点为不同的层输入不同的内容,以达到窃取信息的目的。例如:对于由Perl编写的程序,入侵者可以在程序的输入项目中输入类似“XXX”的字符串,从而使perl让操作系统调用邮件程序,并发送出重要的密码文件给入侵者。借刀杀人、借Mail送“信”,实在是高! (3)不对输入内容进行预期检查:有些编程人员怕麻烦,对输入内容不进行预期的匹配检查,使入侵者输送炸弹的工作轻松简单。 (4)多任务多线程的程序越来越多,在提高运行效率的同时,也要注意XXX的问题。比如说:程序A和程序B都按照“读/改/写”的顺序操作一个文件,当A进行完读和改的工作时,B启动立即执行完“读/改/写”的全部工作,这时A继续执行写工作,结果是A的操作没有了表现!入侵者就可能利用这个处理顺序上的漏洞改写某些重要文件从而达到闯入系统的目的,所以,编程人员要注意文件操作的顺序以及锁定等问题。 2、系统配置不当 (1)默认配置的不足:许多系统安装后都有默认的安全配置信息,通常被称为XXX但遗憾的是,XXX还意味着XXX。所以,一定对默认配置进行扬弃的工作。 (2)管理员懒散:懒散的表现之一就是系统安装后保持管理员口令的空值,而且随后不进行修改。要知道,入侵者首先要做的事情就是搜索网络上是否有这样的管理员为空口令的机器。 (3)临时端口:有时候为了测试之用,管理员会在机器上打开一个临时端口,但测试完后却忘记了禁止它,这样就会给入侵者有洞可寻、有漏可钻。通常的解决策略是:除非一个端口是必须使用的,否则禁止它!一般情况下,安全审计数据包可用于发现这样的端口并通知管理者。 (4)信任关系:网络间的系统经常建立信任关系以方便资源共享,但这也给入侵者带来借牛打力、间接攻击的可能,例如,只要攻破信任群中的一个机器,就有可能进一步攻击其他的机器。所以,要对信任关系严格审核、确保真正的安全联盟。 3、口令失窃 (1)弱不禁破的口令:就是说虽然设置了口令,但却简单得再简单不过,狡猾的入侵者只需吹灰之力就可破解。 (2)字典攻击:就是指入侵者使用一个程序,该程序借助一个包含用户名和口令的字典数据库,不断地尝试登录系统,直到成功进入。毋庸置疑,这种方式的关键在于有一个好的字典。 (3)暴力攻击:与字典攻击类似,但这个字典却是动态的,就是说,字典包含了所有可能的字符组合。例如,一个包含大小写的4字符口令大约有50万个组合,1个包含大小写且标点符号的7字符口令大约有10万亿组合。对于后者,一般的计算机要花费大约几个月的时间才能试验一遍。看到了长口令的好处了吧,真正是一两拨千斤啊! 4、嗅探未加密通讯数据 (1)共享介质:传统的以太网结构很便于入侵者在网络上放置一个嗅探器就可以查看该网段上的通讯数据,但是如果采用交换型以太网结构,嗅探行为将变得非常困难。 (2)服务器嗅探:交换型网络也有一个明显的不足,入侵者可以在服务器上特别是充当路由功能的服务器上安装一个嗅探器软件,然后就可以通过它收集到的信息闯进客户端机器以及信任的机器。例如,虽然不知道用户的口令,但当用户使用Telnet软件登录时就可以嗅探到他输入的口令了。 (3)远程嗅探:许多设备都具有XXX,(远程监控)功能以便管理者使用公共体字符串(XXXXXX)进行远程调试。随着宽带的不断普及,入侵者对这个后门越来越感兴趣了。 5、设计存在缺陷 (1)TCP/IP协议的缺陷:TCP/IP协议现在已经广为应用、但是它设计时却是在入侵者猖狂肆虐的今天之很早以前设计出来的。因此,存在许多不足造成安全漏洞在所难免,例如smurf攻击、ICMPUnreachable数据包断开、IP地址欺骗以及SYNflood。然而,最大的问题在于IP协议是非常容易“轻信”的,就是说入侵者可以随意地伪造及修改IP数据包而不被发现。现在Ipsec协议已经开发出来以克服这个不足,但还没有得到广泛的应用。 第9章 :创富时代(1) “网赚”指的就是利用电脑、服务器等设备通过Internet(因特网)从网络上赚钱。目网赚前网赚的方式有电子商务、推销商品、介绍会员、代理广告、冲浪赚钱、游戏赚钱、下载软件赚钱、博彩赚钱等等。他是社会发展到一定阶段的历史产物,有其产生、发展和消亡的过程。 而目前对于普通大众来说,最简单易做的有“收信赚钱”、“点击赚钱”、“调查赚钱”、“冲浪赚钱”“搜索赚钱”。由于这种赚钱方式投资较少,有时只要有一台能上网的电脑就行,所以人们有时又形象地称它为“免费赚钱”。以下所说的网赚公司在没有特别说明的情况下就是指这些“收信赚钱”、“点击赚钱”、“调查赚钱”、“冲浪赚钱”“搜索赚钱”的公司。 网赚通常由用户、中介网站和广告主三方面构成。“收信赚钱”其中用户就是普通大众,广告的最终接收者,本人便是其中之一;广告主就是提供广告中所涉及的产品和服务的商家,是最终付出广告费用的一方;中介网站呢,便是运用互联网技术将广告主的广告传送到用户那里,并与用户一起分享获得的广告收入,是直接与用户打交道的一方。说白了,我们从网络上赚到的钱就是广告费的一部分。你看了他的广告,他付你钱。广告费与网络的结合产生了网络赚钱这一新时期的产物。现在“花钱买顾客”已经成为很平常的事情了。 目前,这些公司大多数是国外一些发达国家的,如美国。国内也出现了一些网赚公司,但还不完善。 网赚起步阶段约于1992年萌芽,广告公司利用学术资源TELNET协议对特定用户进行文字广告投放。隔年,大量技术员纷纷投入成人与博奕网站之核心技术研发,于1995年的网赚起了正面的广泛作用,其中以奠定网赚的计数正确之安全性为最。 会员制营销(AssociatePrograms)。Gifts.com在1994年10月发起对国际户联网用户提供自由申请计划,随后数十家公司纷纷发起会员营销计划。二年后,1996年7月,亚马逊公司(Amazon.com)提出更进一步的整合方案,对世界各地的互联网用户发起一项前所未有的「联合会员营销计划」。此计划包含销售提成,点击提成,广告显示次数等提成,但实际应用于广大网民仍仅有销售提成之项目。伴随亚马逊公司策略之成功,多数网民方才开始对网赚有了初浅认识。 1997年,搜索赚钱,注册赚钱,任务赚钱,介绍赚钱,调查赚钱,游戏赚钱等等皆应运而生,但客户端之作弊方式层出不穷,广告公司之计数系统仍未臻完善。隔年,伴随微软技术的重大突破(MicrosoftWindows98),许多广告组件得以成功继承,客户端只要下载广告组件即可播放广告条,此类进行冲浪的赚钱方式正式展开。 随着2003年3月GOOGLE公司推出了adsense,AdSense网络广告开始在互联网上泛滥.随后百度广告联盟,阿里巴巴广告联盟的和一些个人的小联盟兴起,使一些中小站有了明确的收益,一些有网络基础和资本的人开始转行做网站,一些小网站,小联盟开始层出不穷.这同时也带动了一些人职业炒米(炒米:炒作域名,低价注册一些可能成为品牌和常见词汇的域名,囤积起来.等待机会高价卖出.国内的大型的炒米站有名富,易名).更有一些个人团队开设了网赚学习班,授课课程从网站建设到网站收益.但由于教学的不专业,加上学习者多为无网络基础的人.授课结果可想而知. 网赚这个词在国外基本上等同于SOHO这个词。SOHO的全称是:SmallOffice(and)HomeOffice,意思是是小型办公室、家庭办公室的意思,实际上就是自由职业或自由职业者的意思。所以网上赚钱只不过是我们引申出来的意义。 当然,SOHO也代表了一种更为自由、开放、弹性的工作方式。 几年前,人们所说的SOHO一族还大多指那些专门的自由职业者:自由撰稿人、平面设计师、工艺品设计人员、艺术家等。而近两年,随着互联网在各个领域的广泛运用及电脑、传真机、打印机等办公设备在家庭中的普及,SOHO成为越来越多的人可以尝试的一种工作方式,而它的内涵与形式也在发生变化。 SOHO作为一种时尚、轻松、自由的生活方式和生活态度,即可以专注一职,也可以是兼职工作,您都可以自豪的称自己是SOHO一族。于是,我们更愿意把SOHO叫成SuperOffice(and)HumanOffice,即超级的办公室、人性化的办公室。 综上所述,网赚就分为两种,一种是专注一职,即:专职。另外一种是兼职工作,即:兼职。 互联网是SOHO的根本。一些优秀的网页设计SOHO族几乎都有自己的个人网站;每天在家中更新网页,是这类SOHO族的主要工作内容。这些优秀的个人网站逐渐引起IT公司的关注,于是,个人网站与大网络公司合作或被其收购的新闻在IT业界层出不穷,这些SOHO族们又开始了新的事业。也有不少人利用自己的一技之长开始了网上信息和咨询服务的尝试,成为信息服务这门行业的SOHO族。最常见的SOHO职业还有音乐创作、产品销售员、平面设计、广告制作、服装设计、商务代理、做期货、炒股票等等。SOHO族这样自由而又浪漫的工作方式吸引了越来越多的中青年人加入这个行列,在这片天空里,他们的才华得到充分的展露。 网赚新手学习大厅(23) 不懂就要问,这里是网赚菜鸟翱翔的天空,网赚新手进步的天堂。18221625122009-8-1316:16 byyiyepiaoling 网赚经验交流区(19) 有交流才有进步,有分享才有创新。网赚经验的交流与分享助你我网赚事业更上一层楼!11694331332009-8-1316:16 byyiyepiaoling 拉下线广告区(71) 网赚的核心就是争取下线,下线越多赚的越多。加油!31945974222009-8-1316:16 byyiyepiaoling 最新网赚资讯(16) 信息就是金钱,掌握第一手的网赚信息是你赚取更多财富的基础。13831345892009-8-1316:17 byyiyepiaoling 合作返佣专区(5) 上下线合作返佣区,合作互助,实现双赢。5709133002009-8-1311:40 byyang19781105 收款贴图秀(8) 收款贴图展示区,到手的钱才是网赚的根本动力4365114422009-8-1316:17 byyiyepiaoling 网赚骗子揭发区 网赚黑心骗子揭发区,让可恶的骗子网赚站无立足之地。161343322009-8-1220:33 by86548783 网赚论坛专题讨论 论坛主题帖数最后发表版主 邮件点击网赚区(17) 邮件赚钱和点击赚钱是最简单流行的网赚,一般邮件站兼有点击赚钱。10876280232009-8-1316:17 byyiyepiaoling 冲浪网赚区(2) 讨论冲浪赚钱的方方面面6987179112009-8-1311:01 by277 注册网赚区(2) 注册赚钱相对麻烦一些,但是佣金高很多。在此交流注册类网赚。5926136242009-8-1310:52 bytczxyc 调查赚钱区(29) 调查赚钱经验,公司,技巧交流区4326107162009-8-1311:01 by277 MLM网赚专区 MLM网赚讨论277463712009-8-1223:27 byz7811169 HYIP风险投资区(2) HYIP高收益投资讨论。高风险,高收益,投资需三思。237455952009-8-1311:40 byyang19781105 国内网赚专版(35) 国内网赚,没有语言的障碍。网赚更轻松!8319214472009-8-1316:17 byyiyepiaoling 欧元网赚交流(19) 赚欧元讨论区。美元赚多了,也赚点欧元。290674732009-8-1311:40 byyang19781105 其他网赚区(11) 第10章 ;创富时代(2) 曾雪去年七月大学毕业,准备在今年秋天出国留学,她特别爱看时尚杂志,每月都要花一百多买几本杂志。但是在家啥也不干等着出国的这段空白期,她没好意思问爸妈要钱买在他们看来就是一堆彩色废纸的时尚杂志。于是,她开始在网上参加在线调查,自己赚点小零钱买杂志。 “每天大概做5个调查,能赚10~15块钱”,曾雪说,一个月下来大概能赚几百元,这些钱她除了拿来买杂志,还能有点剩余用来坐地铁。而调查的内容可就是五花八门,既有很专业的医疗器械使用偏好调查,也有美容习惯调查,多数都是她在一个做调查赚钱的网友QQ群里找到的网址。她说,他们这个群落也有个名字,叫做“调客”。 据了解,在国外有很多人专门以上网填写调查问卷为生。由于很多企业在做市场营销的过程中,需要靠分析大量用户数据来制定产品策略,所以一些专门的产品调研机构近年也冒了出来。但是现在国内很多问卷网站如问道网等都是免费的,填写问卷的人也不能获得报酬。一般来说,一些企业和专业的科研机构、心理学研究机构会推出有偿问卷,希望以微小的报酬吸引更多人填问卷,获得更具体的数据。 曾雪告诉记者,一般来说每填一张问卷的报酬在5~20元左右,这些付费的调查问卷一般都长到令人发指,还必须填上邮箱或MSN,比那些义务问卷要繁复得多。而且,作为颇“专业”的调客,曾雪说要准备多个网上帐户、支付宝都很有必要,因为网上调查的报酬一般都是打到参与者的网上帐户里,没有指定银行账户的话,只能浪费十几元的收入,“但是做调查就是靠积少成多,不能觉得是小钱就不要”。 住在广州碧桂园的蔡小仪是资深淘客,她家的三个大柜子里满是用完的化妆品外壳,只要一谈到化妆品,她就能跟人侃上大半天。以前她很喜欢在淘宝的论坛上发试用心得,或是对比几款功能一样的化妆品,她在论坛上结交的网友有几百号人,人缘极佳,网友们都昵称她“小菜”或“菜菜”。不过现在,要想让菜菜发个经验贴可不容易。 从2007年底开始,一位淘宝网友介绍菜菜做淘客,工作很简单,就是帮淘宝的店主推广产品。“他们说我在论坛有点小名气,又擅长写产品试用帖,使用经验贴”,菜菜只不过是需要将兴趣变成一份兼职工作,在每次写完使用心得或是经验介绍后,顺便贴出淘宝店主的链接然后标明“这个店里有这产品卖”。其实她有不少淘宝网友做淘客已经好几年了,她们在论坛发的帖子很少被人认为有广告嫌疑,因为他们对产品的介绍、体验写的特别详细,在每个产品后面附上一条连接方便淘友按图索骥,看上去也很自然。 刚开始做淘客的时候,菜菜和一位相熟的卖家合作,报酬按月固定计算,而菜菜要做的则是每月固定发贴,卖家还对发贴的长度、图片几张、介绍多少产品作了具体规定。后来,菜菜和手头上的几个“客户”约定,除了有基本的佣金之外,还得收一定的提成,“很难说是不是我带过去的客,所以到底怎么算提成就很混乱”,所以她尽量跟网友说要告诉店主是她介绍去买东西的。最多的时候,她每月能从三个卖家手里赚近三千元。 去年12月底,淘宝研发出了一个正式的淘客平台,让网民更好地参与“人肉营销”并从从中赚取佣金。据了解,目前这个平台已经有近十万用户,他们把卖家待推广商品的广告链接在聊天、论坛、博客或者个人网站贴出来传播,如果有网友通过这个链接进入淘宝商铺形成了购买,淘客就能从中抽取提成。现在菜菜也注册成了正式的淘客,越来越多的人来竞争,不过她倒不担心,“淘客本质上是口碑营销,不是靠人肉就能做成买卖的”。 某科技有限公司属下有个没有中文网名、只有网址的网站,该网站声称只要点击注册支付了加盟费成为会员,公司就会提供一个个人网站和一个用来点击广告的广告机软件给会员。其工作人员称,接到一些广告公司的业务委托,需要大量会员不停地点击网页上的广告。公司会根据点击量发钱,这样会员在家就可以轻轻松松赚到钱了。 不少已加盟的会员怀疑,这样大量点击让广告点击率不断增加,从而让广告客户误以为浏览广告的网民很多,以骗广告客户再次交钱登广告。另外,王先生等会员还反映,交了208元加盟后,对方称要先介绍几个人交208元成为会员才可以有用广告机点击广告赚钱的机会,他们怀疑遇到了网上传销。记者就此事进行了调查。 市民王先生在网络上开了家网店,由于平时空闲的时间比较多,就想看看有没合适的兼职可以做。王先生称,7月31日,他在网络上看到利某科技有限公司(下简称“科技公司”)属下一家网站,这网站声称,只要少许的投资,每天利用两个小时就可以轻轻松松赚到钱,他一下子就被这网站给吸引住了。 这家网站的首页上贴了几篇文章,其中一篇文章洋洋洒洒地用了几千字来介绍用网络赚钱的好处,而另一篇文章则说,只要加盟了科技公司后,加盟的会员就可以有多种赚钱的模式。当时王先生仔细地看了该公司挂在网站上的视频教程,觉得操作很简单,就马上通过QQ跟网站上的客服人员联系。 在QQ上,客服人员告诉他说,接到一些广告公司的业务委托,需要大量的会员不停地点击网页上的广告。首先在网站上点击注册并交208元成为科技公司的VIP会员,客服人员会给VIP会员免费搭建网站,然后提供一个广告机软件。之后,VIP会员就可以用广告机“刷”广告。 据一些会员推测,用广告机不停“刷”广告,会让广告客户误以为浏览广告的网民很多,从而达到让广告客户再次交钱登广告的目的。会员在“刷”了一定数量的广告后,网站就会给会员发钱了。 王先生见这个网站说得那么诱人,权衡了一下,就交了208元加盟注册成了该网站的VIP会员。之后,王先生发现实际情况与该公司网站上说的不符。 王先生被加进了一个QQ群里,负责人让他先去看看QQ群共享里面的文件,了解一下新会员的工作。该公司给了王先生一个个人网站后,要求王先生先发展5个会员,让这些会员都交加盟费,然后才能拿到“刷”广告的广告机软件。 据王先生称,当时,他看到要先发展5个会员才可以使用那个广告机软件,立刻起了疑心。他怀疑这个网站是一个传销的网站,于是就退出了该QQ群,并联系客服人员退还已交付的加盟费,但对方却不予理会。过了几天,王先生又多次想加入该QQ群,却被对方以先发展会员为由拒绝加王先生进QQ群。 根据王先生的报料,浏览了该网站,发现网站搭建粗糙简单,有些链接甚至不能点击进去。该网站的工作人员做了一个视频教程摆在网站上,教导会员怎么使用该广告机软件进行赚钱。记者想联系一下该网站的客服工作人员,但是在网站上,记者并没有看到网站上面有客服人员的电话,只有一个客服QQ号。 与王先生所说的一样,该公司的客服人员在QQ上称,交了208元加盟成为了该公司的会员后,公司就会免费为会员搭建一个网站和提供一个广告机软件,公司会把广告放到提供给会员的网站上,网站上的广告每天都会专门有人更新,会员只要每天使用公司提供的广告机软件去点击网站上的广告就可以获得收入。这工作的操作过程非常简单,登录广告机软件,输入用户名并锁定,然后在输入框输入验证码就可以了,输入一个验证码,此广告机会自动点击广告十次,点击一次能获得0.1元,每天大概输入验证码200次就可以有200元的收入。 客服人员在QQ上称,这个广告机软件实际上是一个作弊的软件,用来点击广告客户挂在网站上的广告。因此,会员点击的越多,赚得钱越多。 在QQ群里联系上一名网名为“以寒”的网友。她说,最近闲着没事,就想找份兼职的工作。她在网络看到科技公司,然后在QQ和客服人员聊了聊,了解了详细情况。当时,她看到这家公司的网上资料,有营业执照等,她感觉这个公司还挺可信的。客服人员对她说,公司绝对真实可靠,只要交208元加盟注册成为会员,公司会提供500M的网站空间,还将一个广告机软件给会员使用“刷”广告赚钱。 网友“以寒”称,客服人员给她的解释是,208元是教材费和网站使用费。她就想交就交吧,如果成功了就可通过“刷”广告挣钱,如果被骗就当买个教训。等她交了加盟费后,客服人员给了她一个QQ群号让她加进去。她就问客服人员,广告机软件可以使用了吧?客服人员却要求她先看完资料了再说,但看完资料她才知道要想拿到广告机软件必须再发展5个会员! 客服人员告诉她说,这是公司制度,是为了防止有些会员的恶意行为。“以寒”问客服人员说:“我发展会员时,能把交钱后还得发展5个会员的信息告诉他们吗?”客服人员回答道:“绝对不可以!” 在“网赚18群”QQ群里,网名为“网兼代理”的网友也告诉记者称,他加盟注册成为该公司的会员已经有1个多月了,一开始他以为交了钱加盟成为会员之后,就可以马上使用广告机软件“刷”广告赚钱。但是客服人员让他先到“网赚18群”QQ群共享里下载一些文件来看,并没有提供软件给他。他看到一个文档上写着:要会员做好发展新会员的准备,到各大流量、效果比较好的兼职网去发帖子宣传,如北京263网、兼职网、客齐集网等,每天坚持宣传200个帖子,宣传的语言最好简单、有诱惑力等,这样才有机会发展新会员成为下线,当新会员交了加盟费后,就会有100元的提成。 “网赚代理”称,由于已经交了208元的加盟费,就只有照着要求做下去了。到昨日为止,他总共发展了4个会员。 在网上搜索了一下,发现这家公司已有不少会员投诉。不少会员称误信网上宣传一时冲动交加盟费,都被要求发展下线会员,才能开始“赚钱”。有会员已向网络警察报案。 以欲加盟者的身份在QQ群里要求加盟。记者问客服人员:“是否真要发展到5个会员,才可以拿到广告机软件?”一开始时,该客服人员不断地对记者说,并没有这回事,纯属谣传!待记者把王先生在QQ群里拿到的资料给客服人员看时,该客服人员表示,他们是采取五级代理制度。客服人员举例说:“当你发展一个会员时,你能得到100元,你的一级上线人员能得到20元,二级上线人员能得到10元,三级上线人员能得到10元,四级上线人员能得到8元,五级上线人员就没有分钱了。会员可以不停地发展新会员加盟公司网站,这样会员及其4个上线人员都会有收不完的钱。” 该客服人员一再强调,他们发展下线与非法传销是有区别的,不能把发展下线与传销等同起来。他说,每一位会员加盟公司时都是经过深思熟虑后才自愿参加的,会员仅需投入208元就可以,不需再增加其他的费用,一旦发展了新会员,会员当天就可以申请提成,而非法传销则是每月到公司结账。 深圳市律协民事法律业务委员会副主任、广东广和律师事务所律师郭璇玲说,《禁止传销条例》中定义了什么是传销:传销,是指组织者或者经营者发展人员,通过对被发展人员以其直接或者间接发展的人员数量或者销售业绩为依据计算和给付报酬,或者要求被发展人员以交纳一定费用为条件取得加入资格等方式牟取非法利益,扰乱经济秩序,影响社会稳定的行为。这个公司网站的行为,跟传销的模式很相似。另外,网站让会员不停点击网页上的广告,让广告的点击率不断增加,从而让广告客户误以为浏览广告的网民很多,以达到让广告客户再次交钱登广告的目的。这些行为涉嫌欺诈。权益受到伤害的会员,可到有关部门举报,要求进行调查。