摧毁“大小姐”木马产业链

一款臭名昭著的“大小姐”黑客木马程序,在两年多的时间内躲过所有杀毒软件,使无以计数的QQ用户及游戏玩家的账号、密码被盗,其中的虚拟财产和虚拟装备被窃。此外,该黑客程序还导致江苏省水利厅的官方网站瘫痪,对网络安全构成严峻挑战,受到公安部的高度关注。

网站被黑,牵出木马“大小姐”

2008年5月6日这天,江苏省水利厅的工作人员一上班就发现,他们的官方网站页面无法打开,疑被黑客侵入。该网站主要承担公文办理、汛情传递等重要任务,日访问量5000人次。当时,全省已进入汛期,该网站能否正常运行,将直接影响防汛工作。当日,省水利厅即向南京警方报案。南京市公安局网警支队接警后,立即会同南京鼓楼公安分局组成专案组,立案侦查。

经过现场勘查,专案组确认,“江苏水利网”系遭到黑客攻击而瘫痪。黑客攻击政府网站,目的何在?办案人员经过连续几天的工作,终于查明,导致“江苏水利网”瘫痪的原因,是黑客将一款木马程序植入了网站后台程序。通过高科技侦查手段鉴别确认,黑客是在湖北省宜昌市某小区一民房内,对“江省水利网”发起的攻击。在宜昌市公安局网监支队的配合下,5月14日,南京警方犹如神兵天降,一举将逃离宜昌的犯罪嫌疑人何亮等人抓获。

审讯发现,何亮并非是直接攻击“江苏水利网”的人,他只是通过租用服务器,购买攻击者截获的点击用户流量。根据何亮等人的交代,专案组于5月20日在宜昌市精品国际一单元房内,将犯罪嫌疑人杨江平及其三名雇用人员抓获。

原来,杨江平是一名典型的网络黑客,他正是受雇何亮而攻击“江苏水利网”的。攻击的目的,是为了在该网站植入一款由何亮提供的域名代码,而一旦植入成功,用户只要点击该网站,就会跳转到由何亮控制的服务器上,而何亮的服务器上,设置了一种名叫“大小姐”的木马程序。杨江平本人赚钱的方式,只是向何亮卖流量,即中毒电脑越多,他获得的流量也就越大,赚的钱也就越多。之所以导致“江苏水利网”瘫痪,是因为杨江平雇用的新手,在攻击该网站时犯了低级错误。

通过对何亮、杨江平等6名归案者的审讯,专案组发现,犯罪嫌疑人攻击“江苏水利网”的目的,均是为了传播“大小姐”木马病毒。网络警察对“大小姐”木马病毒并不陌生,因为该盗号木马程序,曾屡屡窃取玩家游戏账号内的虚拟财产,对网络安全构成严峻挑战。而且杀毒软件又拿它没办法,所以该木马程序的编写及传播者,早就成了公安机关的打击对象。情况逐级上报后,引起了公安部的高度重视,随后公安部指定南京市公安局管辖“大小姐”系列木马病毒案,并于同年7月1日挂牌督办。

一网打尽,揭开黑客产业链

南京警方按照公安部的指令,追剿“大小姐”盗号木马的始作俑者。经过艰苦工作,专案组分别于6月13日在上海,6月24日在四川广元、绵阳等地,抓获了制作、传播“大小姐”系列木马病毒,涉嫌破坏计算机信息系统的团伙组织者王华、编写者龙斌及销售总周牧等10人。

经过对犯罪嫌疑人的逐一审讯,“大小姐”木马肆虐网络的真实面目,被一层层揭开。原来,王华以牟利为目的,自2006年下半年开始,雇用顶级编程高手龙斌,先后编写了40余款针对国内流行网络游戏的盗号木马。王华拿到龙斌编写的木马程序后,对外谎称为自己所写,同时寻找人销售,先后通过周牧等三人,在网上总销售盗号木马。该木马系列在传播销售时,被命名为“大小姐”木马。

购买了“大小姐”木马的犯罪嫌疑人,则分别针对“QQ自由幻想”、“武林外传”、“征途”、“问道”、“梦幻西游”等网络游戏,进行盗号。2009年2月23日,专门负责盗号并销售游戏装备的犯罪嫌疑人张某,在湖南益阳落网。在他的账户中,警方查获现金30余万元。由此,警方揭开了这个涉嫌制造、传播木马程序团伙的获利黑幕。

经查,王华靠销售“大小姐”木马程序,已获利1400余万元,至于王华等人到底侵害了多少游戏用户,目前难有准确的统计数字。据介绍,这些人先将非法链接植入正规网站,用户访问网站后,会自动下载盗号木马。当用户登录游戏账号时,游戏账号就会自动被盗取。犯罪嫌疑人将盗来的账号直接销售,或者雇用人员将账号内的虚拟财产转移出来,销售牟利。

据南京网警支队负责人介绍称:“大小姐”木马程序,事实上形成了一条黑色产业链,占据了我国“木马盗号市场”60%以上的份额,危害极大。

锁定证据,按刑法新条款定罪

2008年9月,侦查机关将该案向南京市鼓楼区检察院移送审查。当时,办案检察官面临着的最大困难,就是电子证据如何使用和固定。例如,犯罪嫌疑人的买卖交易都是在网上进行的,犯罪所得也都是通过“支付宝”等网上支付形式支付的。而“支付宝”的交易记录,只保留两个月时间,如何将犯罪所得与具体的犯罪行为联系起来呢?犯罪所得,其实都是源于买卖所窃取的“虚拟财产”,而受害者又很难找到,如何认定取得这些财产的非正当性呢?

为了证明犯罪嫌疑人的钱财,来源于犯罪所得,公诉科长曹立带领其他办案检察官,从犯罪嫌疑人QQ聊天记录和“支付宝“记录出发,寻找突破口。“我们从两个犯罪嫌疑人的QQ聊天记录入手,从中找出和案件相关的只言片语,仅这项工作,就用去800多张A4打印纸。”曹立如是说。

经过大量细致的工作后,嫌疑人窃取的数百万元“虚拟财产”犯罪所得的证据,最终被固定了。

此外,为了证明周牧等嫌疑人虽然没有直接参与植入木马程序的犯罪,但实际上也参与了网络犯罪,办案检察官又建议侦查机关,对周牧电脑中的7.省略