一位网络青年的堕落轨迹
网络社会
徐立(化名),河北省唐山市某钢铁公司的一名普通工人。这个刚满26岁的青年利用自己开发的BKDR-VB.CQ程序(文件名:IPxsrv.exe)构建了“僵尸网络(Bot.net)”,并利用它实施DDoS攻击。2005年2月3日,他被河北省唐山市路北区人民检察院依法以涉嫌破坏计算机信息系统罪批准逮捕……
从玩火到纵火
徐立没有接受过任何专业的计算机教育,只在钢铁公司附属的技校读过书,但是他从1999年就开始接触到互联网。在接触互联网初期,徐立被网络世界中丰富多彩的内容震撼了,他第一次知道了什么叫做网页,第一次“接触”到了远在天边的陌生网友。
不久,徐立迷恋上了当时Windows 98内嵌的一个聊天软件——Microsoft Chat。“当时QQ类软件还不盛行,而且ICQ在国内也不普及,最初的网民都是在聊天室中认识的,我在燕赵信息港的聊天室中就认识了很多网友。”但是他很快发现,网络中的一些高手,只要看谁不顺眼就可以将他踢出聊天室,即便自己不是聊天室管理员。徐立对这种能在聊天室中“踢人”的技术产生了浓厚兴趣,很快他也找到了一款能够在聊天室中踢人的软件,并在河北省燕赵信息港的聊天室中小试身手。
“网络攻击的成功给人带来的不仅仅是精神上的喜悦,更是一种无法形容的快感,于是我开始对黑客技术产生了浓厚的兴趣。”1999年,徐立已经不再满足单纯地在聊天室里踢人,他在mIRC这款开源的IRC聊天工具基础上开发出了自己的第一个聊天程序“XL_BOT”。由于这款工具在IRC聊天室中所显示的独特威力,很快就风行一时,最终某省信息港的聊天室因为BOT攻击和其它原因而被迫关闭。
什么是BOT
BOT是ROBOT(机器人)的缩写,是一组用来自动管理IRC聊天室、辅助进行聊天、甚至进行搞笑的程序。例如,大家可能都在聊天室里看到过某些人能够每次都打出不同的彩色文字、或者某人因为一说脏话就被踢出的情景吧?这就是用到了BOT。很多IRC客户端软件都提供了编写BOT的功能,例如Microsoft Chat、Pirch、mIRC等。
信息港聊天室的关闭并没有让徐立的行为得到遏制,相反,他开始在全国各个IRC聊天室中兴风作浪。为此,他还专门自学了大量的VB编程知识,并根据国外一些IRC踢人工具开发了一款黑客工具——Script。这款黑客工具通过扫描网络中的IP段,自动寻找被植入Subseven木马的计算机,然后再利用Subseven自身的漏洞让感染木马的计算机将Script下载到计算机中执行。掌握了大量的“肉鸡”后,徐立通过它们一起向IRC服务器进行攻击,轻易就能将聊天室的所有网友“轰炸”下线,国内甚至世界上一些著名的IRC服务器都曾被他攻击过。
感染灵魂的病毒
2000年,为了提高自己在IRC方面的技术和知识,徐立开始租用服务器搭建自己的IRC聊天室。在搭建服务器的过程中,徐立经受了各类网络攻击,他将自己遇到的所有的攻击方式重新整理并编写出了Script的升级版本——Msapp,这个程序大大提高了对IRC服务器的攻击能力。由于程序的攻击性大增,最高峰的时候,徐立控制了将近一万台“肉鸡”。随后他又不断地完善Msapp的攻击能力,让受害用户达到了近三万。
虽然徐立有一份相当稳定的工作,但为了虚拟的快感,他已经全然不顾,“在我看来,网络IRC中几乎没有能够和我抗衡的对手。”随后,他又针对Windows NT/2000/XP系统服务的启动方式,将Msapp升级为Rasinf,还利用手中掌握的“肉鸡”对甲骨文公司的Web服务器进行了10分钟的测试攻击,直至该服务器停止服务。
2004年,为了达到提高自己网站访问量等诸多目的,徐立再一次改进了Rasinf病毒,他不仅重写了全部代码,更将下载文件、发起拒绝服务攻击、终止主机进程、搜集主机系统信息、自身升级功能等威力更大的攻击方式添加到了病毒中,并将这款新的威力强大的木马病毒命名为IPxsrv(杀毒软件公司将它称为“僵尸病毒”)。
2004年6月份,徐立将编写完成的僵尸病毒通过托管在网通唐山公司的服务器进行大面积散播,根据检查机关保守统计,仅半年时间,僵尸病毒传染的计算机就将近四万台。
“我在当时已经掌握了很多‘肉鸡’了,在这个时候,我开始尝试性地攻击与我开展同样业务公司的服务器。”程序测试阶段,徐立先后对国内几家知名的门户网站的音乐下载站点进行攻击,取得了不小的战果,随后徐立将自己的第一个真正的目标锁定在一家在大陆的外资公司的服务器,这家公司与徐立所在的公司开展着同样的网络音乐下载业务,而且人气相当火爆。“他们网站的人气很旺,如果能够把他们消灭掉,那么我们网站很可能增加大量的分流出来的注册用户。”为了这个目的,徐立开始了自己第一次经过系统策划的网络攻击。
该公司网站很快就陷入了瘫痪。为了和黑客对抗,该公司甚至邀请了国内外许多知名安全公司,仍然无法恢复正常工作。绿盟的安全专家在谈到这件事情的时候说:“虽然他的攻击手段和攻击方式都非常原始,但是像这样的洪水攻击至今在世界上都没有很好的办法对付,包括Yahoo等国外的大公司,在遭到巨大的洪水攻击的时候,也会很无奈。”
“我们除了采用安全设备防堵之外,也寻找了国内外相关专家协助,我们甚至将服务器扩充、上传下载的流量采取了负载均衡的方式、网站软件改版、服务器分布架构变更等一系列措施。但他针对我们网站的攻击并无固定时间段和固定攻击方式,所以上述举措都无法防御这种针对性不强但很有目的的洪水攻击。最终我们的网站彻底瘫痪,无法提供正常服务。不算防御耗费的资金,仅仅下载业务就损失数百万元。”
依靠道德还是法律?
1998年,中国的网络安全事件几乎为零。随后的几年里,伴随着Internet浪潮对全民的“洗礼”,黑客攻击事件直线上升。值得我们注意的是,中国网络攻击事件的逐年增多似乎是一种包裹着“民族感和侠义”的畸形产物。从最早的绿色兵团攻击印尼网站到中国红客攻击美国网站……网民把破坏网络的黑客当作了心目中的英雄,当作了为民族伸张正义的勇士。
2001年以前,国内的多数黑客网站都均是纯粹探讨技术的安全站点,而今大部分却发展成为了“指导你狂刷Q币,让你无法查杀病毒,盗取任何账号”的网络黑店。病毒在换成金钱,黑客技术成为商品大量贩卖,这些已经极大地危害到了每一个网民。仅仅腾讯公司的QQ号码申诉网页,每天就要处理成千上万条盗号的投诉,黑客已经越来越脱离了道德的底线。据一项权威问卷调查显示:很多黑客要么认为自己技术水平高超,警察不会抓到他;要么感觉自己的事情不会引起警察注意;更有甚者认为网络无法律。
小资料:IPxsrv病毒
名 称:Backdoor.Win32.VB.xl(ipxsrv.exe) Backdoor.Win32.VB.xl(nwlink.exe)
病毒类型:感染Windows的木马
危害等级:高
文件长度:nwlink.exe(160,256字节);IPxsrv.exe(160,256字节)
感染系统:Windows NT以上版本
编写语言:Visual Basic 5.0/6.0
说 明:病毒图标和本地连接的图标类似,借以欺骗用户。不过需要满足某种条件后才被激活,计算机感染后会在%Windir%\System32\中生成nwlink.exe(160,256字节)和 IPxsrv.exe(160,256字节)两个文件,并开启 NWLink IPX Compatible Transport Protocol 服务,在进程中增加nwlink.exe和IPxsrv.exe。利用客户端可实现扫描、上传/下载文件、服务端升级、获得服务端操作系统版本及语言、处理器型号信息、URL信息以及HTTP、SMTP的相关操作,同时修改以下注册表文件:
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ RunServices]
感染方式:
通过IE漏洞使某些计算机自动下载并运行Quinal.101文件(QQ尾巴安装包,包含Qtadv.exe和Qtadv.dll两个文件)。在感染了QQ尾巴的计算机上使用QQ聊天时,聊天窗口中的信息会诱使对方点击第一条信息下方所附的网址链接至指定的IRC服务器,然后通过该IRC服务器发送指令给感染了QQ尾巴的计算机到指定地方下载Inst401.exe文件(IPxsrv.exe的自动安装包)。
具体症状:
在Microsoft Windows2000 Professional上运行IPxsrv.exe后:
1.C:\WinNT\System32目录下会生成两个文件,分别是IPxsrv.exe和nwlink.exe;
2.进程中有IPxsrv.exe和nwlink.exe在运行;
3.注册表文件会被修改,一般在[HEKY_LOCAL_MACHINE\ControlSet001\Ser vices]下添加“NWLIPX”项,实现自启动功能;
4.自动安装Microsoft Exchange Chat Service 5.5的Microsoft Windows2000 Server端,并自动创建聊天室;
安装了mIRC的机器,可以进入上述“肉鸡”创建的聊天室,通过特定指令对它进行下列操作:执行文件、删除文件、传送文件、查看进程列表、删除进程、发动或停止对特定目标的攻击。