新调查显示，大多数感染了恶意软件的个人电脑可能都已如此，这要归功于日趋活跃的地下市场从中作梗，为雇人安装恶意软件的犯罪团伙和兜售被黑电脑使用权的黑客们牵线搭桥。

安装付费服务（PPI）在地下网络论坛中得到大肆宣扬。客户们拿出各自的恶意软件——如垃圾邮件程序、伪装的反病毒软件，或窃取密码的木马程序——到PPI服务上，反过来，PPI服务按照每千个成功的恶意软件安装，根据受害目标的所在地理位置收取7—180美元不等的费用。

PPI服务也会吸引隐藏在企业名头之下的恶意软件散播商，或者称“成员组织”，也就是一群以解决如何在受害者电脑上安装恶意软件为己任的黑客。惯常的安装方法包括在公共文件共享网络上上载感染程序代码；黑掉合法网站并自动下载感染文件到访问计算机上；在被黑计算机上隐秘运行感染程序。这些“成员组织”仅仅在成功地安装恶意软件后才能得到报酬。它们通过一个编织进安装程序的唯一且静态的组织代码来通知PPI服务并获取酬劳。

2010年8月，美国加州大学伯克利分校的研究员们和马德里软件开发技术高级研究所一起，通过暗中阻截多个成员组织的账户成功渗入了四个较强的PPI服务组织。他们搭建了一个系统，能够自动定期下载被这些PPI服务推出的恶意软件安装程序。

研究专家们分析了100多万个PPI服务的安装程序。这项分析引出了一个令人震惊的发现：全球排名中的前20种恶意软件，有12种雇佣了PPI服务。

“深入这项研究后，我不认同PPI服务会成为潜在的传播恶行的第一媒介，”加州大学伯克利分校的电气工程和计算机科学系副教授韦恩·帕克森（Vern Paxson）表示。“我们感觉到僵尸网络潜在的价值已达到每年几百万美元，因为它们为犯罪团伙提供了一种在全球散播恶意软件的外包方法。”

研究专家们打算绘制出这些服务传播的恶意软件的地理分配地图，因此他们发明了一种自动的下载恶意软件安装程序的方法。他们利用一些服务，如Amazon的EC2云计算平台和允许用户在全球各地计算机之间任意连接和匿名通讯的Tor免费服务，哄骗付费安装程序认为那些请求来自全球各地。

以在测试系统上运行恶意软件时这些软件产生的网络通信类型为依据，系统对收集来的恶意软件进行了分类。研究专家们称他们小心避免了成员组织账户在测试安装时得到PPI支付的报酬。

PPI服务的分析显示他们最常攻击欧洲和美国的个人电脑。这些地区比其他大多数地区都要富有，而成员组织攻击这些地区时拿到的酬劳也最高。

但研究专家们猜测除了价钱之外还有其他的因素可能会影响PPI客户的地区选择。比如，一个垃圾邮件程序如Rustock会只要求一个唯一的互联网地址来传播垃圾邮件而不求其他；但伪装的反病毒软件却需要受害者用信用卡付款或银行付款，因此可能需要多种语言支持或付款手段。

研究团队还发现PPI服务几乎总会在受感染系统上安装僵尸程序，使其进行各种各样的“点击诈骗”行为，包括对广告标签的假冒或自动点击以获取广告收入。

另一个不经意的发现可能有助于解释感染上一种恶意软件的个人电脑为何很快便又感染上了其他多种恶意程序：一次攻击策划中的下载程序经常会从其他攻击策划中获得其他下载程序。换句话说，来自一个PPI服务的成员组织有时也会成为其他PPI服务的客户。结果，由成员组织传播的很多恶意安装程序会夹带着多种其他类型的恶意软件攻击目标计算机。

“我们怀疑这些多PPI服务成员组织中有一部分会从事套利。他们试图利用某PPI服务对特定地区的恶意软件安装支付的高安装费和另一PPI服务对客户收取的低安装费之间的差价，”研究专家写道。

这种动态的行为会导致PPI市场中不可避免的利益冲突，对客户和成员组织都有害：一个成员组织安装的恶意软件数量越多，收取的安装费就越多。但恶意软件安装得越多，受感染系统的户主发现并解决感染问题的可能性就越大。

PPI服务的厄运即将到来，多方力量在集结起来关闭僵尸网络。近几个月来，安全研究公司、互联网服务提供商，及执法机构共同努力打掉了几个世界上最大的僵尸网络。例如，3月份，微软公司与一些安全公司共同打击了Rustock僵尸网络，使其势力大减，那可是全球最为活跃的垃圾邮件僵尸网络之一。

伯克利的研究专家们认为，即便守护者们能够清除一个僵尸网络——通过劫持其控制服务器甚至远程清理受感染计算机——这个僵尸网络的控制者也可以花费极少的费用借助一个或多个PPI服务进行重建。

“在今天的市场中，针对每一个目标主机的全部攻击过程仅花费几分钱而已——对僵尸网络控制者来说足够便宜，可以轻易地从头重建僵尸网络，而面对他们的守护者们则花费着大量金钱和精力来进行围捕工作，”研究专家写道。

(责任编辑：)