恶意软件之祸

　　恶意软件已经成为网络诈骗的重要工具，社会危害极大，监管问题亟需引起重视

　　近日，国家互联网应急中心通过自主监测和样本交换形式发现了73个窃取用户个人信息的恶意程序，导致29243个用户感染病毒。该类病毒通过短信进行传播，并私自窃取用户短信和通讯录，对用户信息安全造成了严重威胁。

　　2017年9月，工信部公布了2017年第二季度检测发现问题手机应用软件名单。三星应用商店、中兴应用商店、百度手机助手等15家应用商店的共计42款应用软件名列其中。

　　近年来，随着移动互联网的发展，恶意软件正在从电脑端转移到手机等手持设备终端。

　　“这些软件通过入侵用户手机，窃取其个人信息，或进行恶意‘吸费’、甚至恶意操控用户手机，实施网络诈骗。”阿里巴巴集团副总裁余伟民告诉《瞭望东方周刊》。

　　猎豹移动的监测数据显示：2016年安卓手机病毒检出量比2015年增长了32.6%。

　　“事实上，互联网技术兴起之后，恶意软件对用户的危害从未停止过，且随着日益发达的网络渗透到社会生产生活的各个角落。”余伟民说。

　　更为严重的是，随着技术的进步，恶意软件的制作技术门槛不断降低，并已在网络上形成了成熟的灰黑产业链条。

　　本刊记者接触到的多位专家强调，恶意软件已经成为网络诈骗的重要工具，社会危害极大，监管问题亟需引起重视。

　　从电脑端到移动端

　　2017年5月12日，勒索软件WannaCry（想哭）在全球范围内大面积传播，100多个国家和地区的数万台电脑遭感染，中国部分高校内网、大型企业内网和政府机构专网也遭受攻击。

　　这并不是人们第一次感受到病毒软件的“恶意”。

　　阿里巴巴集团安全部总监虞煜军向《瞭望东方周刊》介绍，事实上，中国每家网络安全公司每年都能拦截到3000万～4000万个新的电脑恶意软件。

　　猎豹移动提供给《瞭望东方周刊》的数据显示，2016年其安全实验室捕获的病毒样本近4000万个，其中新增病毒特征超过1700万个，仅一月份就捕获近500万个病毒样本。而全年监测到感染病毒的电脑主机超过8100万台。

　　“根据我们的分析，2016年捕获的电脑病毒主要是恶意软件和木马下载器。”猎豹移动安全工程师李铁军告诉《瞭望东方周刊》。

　　李铁军强调，仅就电脑病毒来说，其峰值出现在2014年，当年猎豹移动捕获的恶意程序超过1.3亿个，之后无论是病毒样本的数量还是电脑主机的感染量都呈现出了下降的趋势，“相比2015年，2016年我们捕获的电脑病毒样本减少62.2%，新增病毒特征下降了58%，感染病毒的电脑主机减少了36.9%。”

　　他分析认为，这一方面是由于国家加大了对恶意网站的打击力度，同时各大搜索引擎也主动屏蔽大量虚假广告推广，而部分虚假商品的推广渠道开始转向社交平台。

　　与此同时，随着移动互联网的发展，手机恶意软件检出量迅速增长。

　　李铁军介绍说，从2012年开始，安卓手机的病毒检出量连续4年快速增长，增长量达到16倍之多，其中仅2016年就比上一年增长了32.6%。

　　猎豹移动的数据显示：2016年其月均收集安卓应用样本192万个，恶意应用检出率月均56万个，恶意应用总检出率约29%。

　　“也就是说差不多每3个安卓应用就有1个是恶意应用。但2013年时，这一比率还只有6%。”李铁军说。

　　这些安卓手机病毒分布于世界各地，中国、印度、印尼的感染量位居前三，占总感染量的40%。

　　此外，2016年猎豹移动安全中心累计拦截垃圾短信超1.5亿条，累计拦截广告骚扰电话2777万次，诈骗电话4273万次。

　　成为网络诈骗工具

　　无论在电脑端还是移动端，恶意软件的危害不容小觑。

　　“目前，恶意软件已经成为了各种网络诈骗的工具。”北京邮电大学互联网治理与法律研究中心副主任谢永江在接受《瞭望东方周刊》采访时直言。

　　以目前常见的电商抢购软件为例。

　　近年“双11”期间，打击通过恶意软件倒卖优惠券的网上黄牛党成为阿里巴巴网络安全部的一项新任务。该部门工作人员的日常工作就是对平台的下单量进行监控，然后对可疑的订单进行回源分析。而在这个过程中，工作人员多次发现黄牛党通过恶意抢购软件倒卖平台的优惠商品，一款名为黑米的软件便是其中之一。

　　黑米是目前黄牛党中流行的纯抢购软件，内置作者的10～15个账号，支持用户导入最多20个账号。该程序具有实现模拟用户手动登录淘宝账号并进行批量下单的功能，同时还可以调用第三方打码平台发送非常规图形验证码，借以绕过淘宝安全防护系统的人机识别验证机制。这款软件还可以通过重新拨号更换IP地址以绕过淘宝安全防火，突破对同一IP地址不能频繁发送网络请求的限制。

　　正是借助黑米等恶意抢购软件，黄牛党在虚拟的社交、交易空间，避开或者突破购物网站计算机信息系统安全保护措施，实现机器自动登录、自动批量下单、自动付款，抢占其他正常用户的下单请求，再转手卖出。

　　“可以说这些黄牛党以极低甚至是零的成本圈起了一个黑色暴利王国，剥夺了其他正常用户的交易机会，也破坏了诚信、公平交易的市场秩序。”阿里巴巴集团安全部总监连斌对《瞭望东方周刊》说。

　　他总结了目前电脑端恶意软件的一些行径：通过劫持杀毒软件，机器中毒后杀毒软件无法开启杀毒；下载多个严重占用资源的软件一并开启，使用户系统几近瘫痪；修改浏览器主页，并在桌面释放伪淘宝、伪IE等熟悉的图标，诱骗用户点击，从而使用户进入钓鱼网站，严重的会导致用户财产损失。

　　而手机恶意软件则主要是用来窃取用户的隐私信息，后台下载消耗流量，或者弹出广告，推广安装其他应用并以此牟利。“也可能是监控和发送短信，从而造成用户的资费损失。”连斌认为。

　　形成灰黑产业链

　　值得注意的是，不管是在全球还是在中国，从恶意软件的制作到传播，再到利益收割，已经实现了产业化，形成了一条严密的灰黑产业链。

　　虞煜军坦言，目前恶意软件的制作成本相对非常低，几个人的小团伙，甚至个人都可以迅速地做出来。

　　事实上，早在2012年，国外研究人员就发现一些勒索软件的16种不同变体被不同的犯罪团体所用。但这些勒索软件的程序可以追溯到同一个人。

　　“研究人员由此推断，这是勒索软件开发者根据不同的客户要求开发出不同的变体。”虞煜军强调。

　　国内的恶意软件也大体如此。

　　警方透露的资料显示，黑米的设计者张某毕业于软件工程专业，在QQ群结识了任某后，两人合作用一周的时间制作出了这款恶意软件。但因使用效果不佳，两人又通过互联网找到陈某，帮其做了黑米抢购软件官方网站并出售该软件。同时陈某也成为该抢购软件销售代理。后张、任两人又陆续开发了黑米华为、黑米魅族及黑米天猫（淘宝）抢购软件，并在其官方网站上大量销售。

　　而一些成本小的恶意软件甚至不需要单独购买，制作者只需要在成熟软件的基础上进行简单的再开发，“这其中的技术含量和要求并不是很高，懂一些编程知识就可以做到。”对此，虞煜军深感无奈。

　　在销售恶意软件的暗网上，这并非孤例。在暗网上甚至有专门的恶意软件生成器售卖，制作者通过现成的模板，可以用“傻瓜模式”制作恶意软件。

　　在这个生态中，传播充当了颇为吃重的角色。

　　中国科学院信息工程研究所教授翟起滨认为，恶意软件的传播渠道将直接决定其传播规模。

　　如WannaCry本身的技术并不亮眼，但它通过Windows系统的“EnternalBlue”漏洞进行传播，便快速蔓延全球。

　　余伟民告诉本刊记者，无论是在电脑端，还是在移动端，目前恶意软件都有自己成熟的传播渠道，也有一群专门做传播的人。

　　电脑端恶意软件主要是通过浏览器下载、绑定播放器、即时聊天工具等方式进行传播。而手机恶意软件的传播渠道主要是应用市场、短信链接、浏览器广告链接、手机出厂预装等。“其中应用商店是主要传播渠道。”李铁军强调。

　　虞煜军则认为，平台、群组、云盘和一些网络存储媒介等可能成为恶意软件的传播载体。他举例称，有一些公司专门开发有后门的应用软件。如他们制作一个手电筒的程序，用户下载之后，一旦打开应用程序，软件就会把用户所有的信息窃取走。

　　缺乏系统监管

　　在恶意软件肆虐网络空间的同时，目前的监管体系仍不能做到完全杜绝隐患。

　　在谢永江看来，在网络空间里，恶意软件的传播渠道和方式多种多样，有一些软件的服务器还可能在境外，“甚至有一半左右的恶意网站的服务器被托管在美国、韩国、日本、香港等境外国家和地区，监管起来确实有诸多困难。”

　　“恶意软件已经形成了完整的产业链，其毛利在行业里也已经公开化了，要彻底杜绝其在网络空间的传播，非常困难，几乎是不可能的。”对此，余伟民也表达了自己的担忧。

　　但谢永江也强调，仍然有一些方法，可以遏制恶意软件的肆意蔓延。

　　对于安卓手机恶意软件检出率大幅增高，其中一个主要原因就是安卓的第三方应用市场百花齐放，但安全审查能力不足。

　　对此，谢永江认为，政府监管部门应该督促应用商店，确保其切实履行好自己的审查责任，“手机厂商或者应用商店运营平台应该把好第一道关，对进入其应用商店的软件进行审查，确保恶意软件无法轻易上架。”

　　虞煜军则强调，对恶意软件的管理不能仅靠封杀，也不能单纯依靠打击，而应追溯源头，对软件的发布和传播者进行处罚。

　　首先是建立软件市场的准入机制。虞煜军建议，可以建立“黑名单”机制，对禁止传播的软件，要有规范标准，违规则必须承担相应的后果。

　　同时，还要积极推进标准和规范的落实。多位专家和业内人士表示，目前，对于恶意软件的监管，涉及到通信管理、公安、工信、工商管理等多家政府职能部门，但监管责任却并不明晰。

　　另一方面，政府对恶意软件的监管大多是针对大公司，但恶意软件往往是小团伙和个人制作和传播，这些人目前很难纳入监管的视野。

　　对此，连斌指出，从技术层面来讲，在恶意软件的制作者搜集软件制作所需要的源代码和其他素材的时候，甚至在软件进入传播渠道后，通过技术检测和监控就能够发现，并追踪到源头，及时制止。

　　“人工智能的发展为彻底解决恶意软件问题提供了一种可能的技术路径。”翟起滨说。

　　而虞煜军想要强调的是，技术手段不仅能够覆盖到所有的恶意软件制作和传播群体，也能将事后惩处变为事前监管。

　　余伟民认为，可以像管理枪支一样管理恶意软件，“国家的枪支管控系统，就是不仅管控已经组装好的枪支，对枪支的核心配件也有严格的管控。同样，恶意软件的制作和传播也是由多方组成的，也应该建立一个严密的管控系统。”

　　《瞭望东方周刊》记者王辉辉/浙江杭州 北京报道