陜西的林華是“武林外傳”在普通不過的一個玩家了， 在虛擬的時空中他有著和現實生活一樣的需求——金幣和榮耀， 但如果你追問他一擲千金購買那些夢幻裝備來自何方， 最終你會順著一條復雜的黑金鏈條到達遠在廣東江門的一臺服務器。

這是最普通不過的一臺托管服務器， 但支撐這臺服務器的卻是一個成規模的掛馬集團， 通過這些集團的黑手， 形成了一個分工有序的龐大盜號產業鏈。 在這個產業鏈中滾滾流動的黑金， 黑客， 賬號， 木馬等罪惡的利益。 他們攪動著虛擬世界中的風云變幻， 神秘而隱蔽， 在云遮霧繞中很少有媒體能夠查訪到真相， 但今天， 我們完成這一“不可能完成的敘述”， 一些不為人知的內幕得以揭開……

盜號集團賺取的第一桶金

2009年3月6日， 住在海口的李飛像往常一樣打開電腦進入武林外傳， 然而系統提示他密碼不正確， 連續輸入了幾次之后， 他意識到最壞的事情發生了， 他的游戲賬號被盜了。 而更令他吃驚一幕發生在銀行大廳， 當他翻開自己的銀行對賬單時， 他發現對賬單中多了一項電子匯款， 這是一筆只有200元的匯款， 賬單中沒有顯示任何其它的信息， 沒有接收匯款人的姓名， 也沒有其它注釋。

李飛在過去的幾個月內， 都沒有辦理過任何匯款業務， 在他記憶力也沒有支出過任何200元整的消費。 而面對李飛的質問， 銀行工作人員也只能夠無奈的告訴他， 錢是在他自己的賬戶中匯走的， 他們并沒有能力幫助李飛查詢到這筆“小錢”究竟是做什么的。

李飛的憤怒情緒幾乎延續到了今天， 而現在他唯一能夠確認的是， 這筆錢是被某個在網頁中掛馬的黑客偷走了， 被盜之前他也聽說過掛馬及黑客， 但是沒有想到自己會成為其中的一名受害者， 更讓超出李飛想象的是， 他并不是唯一的受害者， 他只是上百萬個掛馬受害者中的一個。

金山副總裁王欣認為， 木馬病毒背后早已形成了一條巨大的黑色產業鏈。 目前在這條產業鏈中， 不論是制造木馬、傳播木馬、盜竊賬戶信息， 還是第三方平臺銷贓、洗錢， 已經形成了一個非常完善的流水線作業程序。

另一位銳甲反掛馬專家告訴我們， 這些千千萬萬個受害者電腦中的各種賬號最終會被洗白變成真金白銀， 而這些通過盜號獲取來的黑金最終會被多個復雜而龐大的集團瓜分掉。 激活這個龐大產業鏈的首先是盜號集團。

與以往黑客單打獨斗不同， 盜號集團分工明晰， 網游和網銀賬號并不互相交叉。 銳甲的反病毒專揀認為， 李飛的網游賬號被盜后很快會有集團內的小弟將賬號中的裝備轉移走， 然后經過洗錢一樣的程序洗白， 洗白的裝備被批發轉手倒賣給各類裝備交易商， 換成最終流向盜號集團的黑金。

掛馬集團撬開你電腦的大門

然而， 盜號集團并不是這筆黑金最終的歸屬， 這筆黑金最大的一部分要分給盜號集團的上游——掛馬集團。 掛馬集團是整個產業鏈的核心， 也掌握著盜號集團的命運。 他們在整個產業鏈中負責難度最高的掛馬工作。

根據銳甲反掛馬團隊追蹤發現， 掛馬集團通過制作黃色網站或入侵具有一定人氣的網站， 將木馬病毒掛到網站中， 無數的受害者都會感染掛馬集團特制的一種下載器木馬， 這種木馬程序并不會直接盜取用戶各種賬號信息。 和其它病毒不一樣， 這種“無毒”的程序叫下載器， 它只是在用戶的電腦中打開了一扇門， 一扇黑客可以任意出入的門。

而盜號集團正是利用這些可以隨時出入的后門， 將各種盜號病毒二次植入受害者的電腦中。 為了能夠達到植入盡量多電腦的目的， 盜號集團會選擇那些流量最大的掛馬集團。 根據金山毒霸云安全中心報告顯示， 雖有數以萬計的網站被掛馬， 但實際卻被指向到6家掛馬集團， 他們的攻擊次數超過總攻擊量的90%。

之所以會出現這種大型的掛馬集團， 主要是掛馬所利用的漏洞非常集中， 數量很少。 但新的高危漏洞被利用越來越快， 甚至出現0day漏洞被大量利用。 此外， 網馬、下載器、盜號木馬都擁有龐大的受害者群體， 也就是黑客口中的肉雞。 為應對殺毒軟件的剿殺， 這些惡意程序要不斷更新， 需要投入更多的網絡帶寬， 財力不濟的掛馬集團在競爭中被踢出局， 使得掛馬集團走向壟斷。

由于集團化更加龐大， 盜號集團盜取來的黑金大半會流入掛馬集團， 他們首先首先會支付給掛馬集團相當可觀的入門費用， 以及病毒下載器的推廣費用， 這些費用利用掛馬集團下載器植入自己的盜號程序， 而根據行業價格， 平均植入一個盜號木馬的價格在3000元左右。

金山的安全專家表示， 一個名為螃蟹集團的組織目前是最為活躍的盜號集團， 他們利用名為貓癬的下載病毒， 瘋狂的幫助盜號集團捆綁木馬， 而貓癬病毒每次可以28個盜號木馬， 如果僅僅計算這筆費用， 那么作為掛馬幕后黑手的螃蟹集團一個月的交易額就在84萬元， 而一年的總收入就會高達1000萬人民幣。 這些黑金是激活掛馬集團拼命釋放病毒獲取肉雞的源動力。

然而這個龐大帝國的黑金到此時并沒有停止， 由掛馬集團這里開始逐漸分流。

黑金流向的最后一站

在從盜號集團手中收取的傭金中， 掛馬集團會拿出相當一部分用來購買自己的“武器裝備”， 這種裝備就是他們所用的病毒下載器。 開發這種程序的是專門的木馬工作室， 他們通常會推出帶有自己品牌的木馬， 例如“貓癬下載器”就是一種。

制造這些下載器的病毒團伙收入豐厚超出了一般程序員的想象， 以時下最為流行的貓癬下載器為例， 目前售價在20萬左右人民幣。 而在通常的情況下， 這種特制的木馬下載器每年至少能夠出售兩套， 因此僅單買下載器一項， 病毒工作室就從掛馬集團那里能夠分的至少40萬元的黑金。

而除了這一項之外， 掛馬集團還會給有實力的病毒工作室提供售后服務傭金， 這部分傭金主要作為下載器被查殺后再次進行免殺的費用。 根據某木馬工作室的內部報價， 每次下載器變種免殺的服務費用是5萬元， 而根據反病毒專家提供的數字顯示， 每個下載器病毒通常每年會至少出現變種20次變種計算， 這些病毒工作室在變種免殺一項中的收入就可高達200萬。

網絡中一般的病毒作者工作室都是一到兩人組成， 分別扮演項目經理和實施人員角色。 而通常情況下， 項目經理是‘帶頭大哥’， 會分得三分之二的收入上百萬元左右薪金， 而即使是‘二線小弟’也能獲得上幾十萬年薪。

另一條分支來自于掛馬集團服務器維護費用， 他們通過頻繁更換服務器達到隱藏自己的目的， 但是對于現金流量近千萬的掛馬集團來講， 服務器只是這筆黑金中的小開銷， 這些開銷都由李飛這樣的受害者創造， 再由林華這樣的購買者消費， 形成一個無限循環的黑金市場。