网页挂马是目前最“流行”的恶意程序入侵方式之一。简单地说，挂马就是在特定网页中嵌入恶意程序，即植入网页木马。浏览者登录被挂入木马的网页时，会在不知不觉中造成系统资源的被攻击或者个人资料的泄露。有数据说，当今有超过80%的病毒传播是通过这样的方式传播的。

　　鬼马机灵的小虎玩魔兽有两三年了，他平常很谨慎，从来不上任何奇怪的网站，上QQ和MSN也不接收别人的莫名软件，从不轻易把自己的账号和密码告诉其他人，而且杀毒，防火墙，错位密码，PIN码保护，密保卡，一个都不少。但就是这样，不久前暴发的一款病毒却害得他的账号被盗，“身家”被洗劫一空。

　　“账号里的装备和武器至少能卖1500元，还有2万的虚拟金币，相当于200人民币呢。这个号玩了两三年，投入的点卡就有四五千块了，”小虎心痛地说，“这还不算，账号被改了密码，盗号者还谎称是我，然后向游戏里的朋友借金币买点卡。”“玩魔兽没被盗过都不算玩过这个游戏！”小虎现在终于开始理解某位资深玩家的感慨和心境，“这简直是一夜回到三年前，前面投入的时间、金钱全打水漂了。”

　　究竟是谁偷走了小虎的账号和装备？两天以后，小虎得知，这个病毒的名字叫“猫癣”，也叫“犇牛”。有安全厂商统计说，在春节前后短短一个月时间里，有数百万台次电脑像小虎一样被“猫癣”病毒感染。

　　“挂马集团”是幕后推手

　　据了解，这个猫癣二代通过下载特殊usp10.dll释放到游戏安装目录进行盗号,这个新型盗号木马会盗取魔兽世界、大话西游onlineII、剑侠世界、完美系列游戏、梦幻西游、魔域等十余款热门网游，“什么游戏热门就盗什么”是猫癣变种最主要的特点。

　　反毒安全专家指出，“猫癣”、“犇牛”不同于以往的多数木马程序：它是一个木马下载器，一次会下几十种木马，在电脑里混合感染。少清除其中任何一个，这个病毒就有可能没完没了地重复感染，而且后期“猫癣”木马下载器不但能通过释放不同基础系统动态文件来不断“复活”，而且具备了像“熊猫烧香”和“磁碟机”那样全盘感染的能力。有人将它称为“最防不胜防”的木马。

　　短短一个月时间，恶意网页创下累计约3000万台次计算机的访问量，造成约数百万台次电脑感染。一位不愿意透露姓名的反病毒专家称，在经历了两次“产业”大分工之后，一个包括了制造、销售、推广、甚至分销、乃至售后服务的“黑色链条”正在浮出水面。正是链条式的分工运作，加剧了病毒规模化效应，猫癣成为其中的最新的代表性产品。

　　金山毒霸云安全中心最先报告发现猫癣幕后推手——螃蟹集团，螃蟹集团将猫癣下载器及用于漏洞攻击的网马链接上传到位于广东某市的托管服务器上，并通过入侵流量较大的知名网站，购买网站流量等方式广泛挂马。当用户访问这些被挂马的知名网站时，就会不知不觉被安装上猫癣下载器。

　　“螃蟹集团是目前活跃在圈中的五大挂马集团之一。”金山安全产品专家告诉记者。

　　“产业化”运作日显规模

　　“从销售龙头，到链尾的‘虾米’，基本就是一个挂马集团了。俗称的‘买毒卖毒’，主管链上的销售这块。挂马的上线是制作木马的研发，下线就是销赃收购的盗号集团，有时三方整个是一个完整的挂马集团产业链。”安全产品专家说。

　　日前，记者通过QQ联系到一位了解产业链条、熟悉病毒销售模式的“sales”，他不肯透露姓名，最“熟悉”链条销售渠道的“中间环节”，可以说是“一位中层干部”。据了解，挂马集团主要收入来源于两个方面：盗号集团支付给他们的盗取费用+病毒层层的推广费。圈内人这样帮我们解读：一个号是几千，盗得多必然给得就多，这就相当于业绩提成；推广费就是基本工资，不给钱人家怎么可能帮你做。“病毒销售的目的就是尽可能广泛地传播，遵从的都是一个模式，猫癣也不例外，只是它的产业链特别长。从龙头到下面的虾米，分销渠道多，传的就广，链条上各个环节赚的就越多。”

　　记者在QQ上借“盘道”为名，让他介绍了病毒链条的具体销售流程：批发商-包马人-站长是销售链条的几个环节，自上而下，从大到小，“通过介绍了解到：木马程序编完后，由挂马集团处于第一梯队的批发商购得，提高价格转手租给大量的包马人，针对不同游戏的木马包给不同的人，就是包马人，也就是各个游戏的木马垄断人；根据游戏用户量不同，每个包马人都必须付给批发商每月五位数左右的”租用费“；然后，包马人作为“游戏大虾”又开始招募“徒弟”——站长，专职盗号。之后，盗号集团把这些被盗用户的个人信息、账号、游戏装备等虚拟财产再次出售交易。

　　“这是一个层层销售、环环相扣的过程，你雇我，我再雇他。一个账号从小虾传到龙头那，长了好多倍，每个环节挣的都是差价，但足以养活一大批人，最后整个挂马集团的获利至少是百万级别的，猫癣在千万级。”

　　成员从未谋面完成千万级交易

　　计算机安全专家指出，与现实生活中的团伙不同，这种“网络病毒黑势力”是通过互联网进行分工和指派任务的，甚至“成员们”彼此从未见过面，但是就是在这种情况下，竟完成了千万级的交易获利。

　　以猫癣为例，挂马集团收取的入门费平均一个盗号木马价格在3000元左右，一个猫癣下载器通常情况下可以挂到28个盗号木马，费用一个月份收取一次。而盗号木马通过缴纳入门费，被列入下载器列表后，还需支付给挂马集团一定的下载推广宣传费用。据金山毒霸云安全中心统计，2月份，猫癣病毒的感染量200万台，也就是说有200万木马的流量数，挂马集团还会从中得到大概每一次流量一分钱的收益。入门费加上下载推广收入，螃蟹集团年收益总额估算可达到1600万左右。巨大的利润使病毒的肆虐更加猖獗。与此同时，这样的网络犯罪，与普通的犯罪相比也显得更加隐蔽和狡猾。

　　“通常都是利用临时QQ群的形式集会，所有活动完全通过网上实施，销售也是在网上，很多成员甚至都没见过对方。他们将窃取的有价信息转卖，整个作案过程完全实现了互联网化。”安全专家说道。

　　正因为如此，2月28日刚获通过的《刑法》第7次修正案规定，非法侵入、控制民用电脑或为他人侵入、控制民用电脑提供工具的不法行为，最高将获7年徒刑。

　　“网上不法行径如果不能得到遏制，将继续助长黑客泛滥的势头，而且还将对许多涉世不深的青少年网友产生严重误导。”360安全专家石晓虹博士认为，“修正案中对‘提供专业程序、工具’的量刑规定，有助于从木马编写、制作的源头上进行整治，无疑对网络暗黑势力将起到极大的震慑作用。但由于木马传播属于网络行为，速度非常快，而且很多网站和网友在不知情的状态下都可能会成为木马传播者的帮凶，这都加大了取证和技术追踪的难度。”文/本报记者 任笑元