摧毁“大小姐”木马产业链

2009-10-19 09:07
检察风云 2009年15期
关键词:木马程序王华木马

宁 剑

一款臭名昭著的“大小姐”黑客木马程序,在两年多的时间内躲过所有杀毒软件,使无以计数的QQ用户及游戏玩家的账号、密码被盗,其中的虚拟财产和虚拟装备被窃。此外,该黑客程序还导致江苏省水利厅的官方网站瘫痪,对网络安全构成严峻挑战,受到公安部的高度关注。

网站被黑,牵出木马“大小姐”

2008年5月6日这天,江苏省水利厅的工作人员一上班就发现,他们的官方网站页面无法打开,疑被黑客侵入。该网站主要承担公文办理、汛情传递等重要任务,日访问量5000人次。当时,全省已进入汛期,该网站能否正常运行,将直接影响防汛工作。当日,省水利厅即向南京警方报案。南京市公安局网警支队接警后,立即会同南京鼓楼公安分局组成专案组,立案侦查。

经过现场勘查,专案组确认,“江苏水利网”系遭到黑客攻击而瘫痪。黑客攻击政府网站,目的何在?办案人员经过连续几天的工作,终于查明,导致“江苏水利网”瘫痪的原因,是黑客将一款木马程序植入了网站后台程序。通过高科技侦查手段鉴别确认,黑客是在湖北省宜昌市某小区一民房内,对“江省水利网”发起的攻击。在宜昌市公安局网监支队的配合下,5月14日,南京警方犹如神兵天降,一举将逃离宜昌的犯罪嫌疑人何亮等人抓获。

审讯发现,何亮并非是直接攻击“江苏水利网”的人,他只是通过租用服务器,购买攻击者截获的点击用户流量。根据何亮等人的交代,专案组于5月20日在宜昌市精品国际一单元房内,将犯罪嫌疑人杨江平及其三名雇用人员抓获。

原来,杨江平是一名典型的网络黑客,他正是受雇何亮而攻击“江苏水利网”的。攻击的目的,是为了在该网站植入一款由何亮提供的域名代码,而一旦植入成功,用户只要点击该网站,就会跳转到由何亮控制的服务器上,而何亮的服务器上,设置了一种名叫“大小姐”的木马程序。杨江平本人赚钱的方式,只是向何亮卖流量,即中毒电脑越多,他获得的流量也就越大,赚的钱也就越多。之所以导致“江苏水利网”瘫痪,是因为杨江平雇用的新手,在攻击该网站时犯了低级错误。

通过对何亮、杨江平等6名归案者的审讯,专案组发现,犯罪嫌疑人攻击“江苏水利网”的目的,均是为了传播“大小姐”木马病毒。网络警察对“大小姐”木马病毒并不陌生,因为该盗号木马程序,曾屡屡窃取玩家游戏账号内的虚拟财产,对网络安全构成严峻挑战。而且杀毒软件又拿它没办法,所以该木马程序的编写及传播者,早就成了公安机关的打击对象。情况逐级上报后,引起了公安部的高度重视,随后公安部指定南京市公安局管辖“大小姐”系列木马病毒案,并于同年7月1日挂牌督办。

一网打尽,揭开黑客产业链

南京警方按照公安部的指令,追剿“大小姐”盗号木马的始作俑者。经过艰苦工作,专案组分别于6月13日在上海,6月24日在四川广元、绵阳等地,抓获了制作、传播“大小姐”系列木马病毒,涉嫌破坏计算机信息系统的团伙组织者王华、编写者龙斌及销售总代理周牧等10人。

经过对犯罪嫌疑人的逐一审讯,“大小姐”木马肆虐网络的真实面目,被一层层揭开。原来,王华以牟利为目的,自2006年下半年开始,雇用顶级编程高手龙斌,先后编写了40余款针对国内流行网络游戏的盗号木马。王华拿到龙斌编写的木马程序后,对外谎称为自己所写,同时寻找代理人销售,先后通过周牧等三人,在网上总代理销售盗号木马。该木马系列在传播销售时,被命名为“大小姐”木马。

购买了“大小姐”木马的犯罪嫌疑人,则分别针对“QQ自由幻想”、“武林外传”、“征途”、“问道”、“梦幻西游”等网络游戏,进行盗号。2009年2月23日,专门负责盗号并销售游戏装备的犯罪嫌疑人张某,在湖南益阳落网。在他的账户中,警方查获现金30余万元。由此,警方揭开了这个涉嫌制造、传播木马程序团伙的获利黑幕。

经查,王华靠销售“大小姐”木马程序,已获利1400余万元,至于王华等人到底侵害了多少游戏用户,目前难有准确的统计数字。据介绍,这些人先将非法链接植入正规网站,用户访问网站后,会自动下载盗号木马。当用户登录游戏账号时,游戏账号就会自动被盗取。犯罪嫌疑人将盗来的账号直接销售,或者雇用人员将账号内的虚拟财产转移出来,销售牟利。

据南京网警支队负责人介绍称:“大小姐”木马程序,事实上形成了一条黑色产业链,占据了我国“木马盗号市场”60%以上的份额,危害极大。

锁定证据,按刑法新条款定罪

2008年9月,侦查机关将该案向南京市鼓楼区检察院移送审查起诉。当时,办案检察官面临着的最大困难,就是电子证据如何使用和固定。例如,犯罪嫌疑人的买卖交易都是在网上进行的,犯罪所得也都是通过“支付宝”等网上支付形式支付的。而“支付宝”的交易记录,只保留两个月时间,如何将犯罪所得与具体的犯罪行为联系起来呢?犯罪所得,其实都是源于买卖所窃取的“虚拟财产”,而受害者又很难找到,如何认定取得这些财产的非正当性呢?

为了证明犯罪嫌疑人的钱财,来源于犯罪所得,公诉科长曹立带领其他办案检察官,从犯罪嫌疑人QQ聊天记录和“支付宝“记录出发,寻找突破口。“我们从两个犯罪嫌疑人的QQ聊天记录入手,从中找出和案件相关的只言片语,仅这项工作,就用去800多张A4打印纸。”曹立如是说。

经过大量细致的工作后,嫌疑人窃取的数百万元“虚拟财产”犯罪所得的证据,最终被固定了。

此外,为了证明周牧等嫌疑人虽然没有直接参与植入木马程序的犯罪,但实际上也参与了网络犯罪,办案检察官又建议侦查机关,对周牧电脑中的7.5万余封“信”,用技术手段进行鉴别。如果这些“信”来自“大小姐”的收信程序,就能证明其实际参与了犯罪活动。经过鉴别,这些“信”大多来自“大小姐”木马的收信程序,其中2000余封“信”中,含有网游、QQ账号及密码等用户保密信息。

2009年2月中旬,此案以“破坏计算机系统罪”,被公诉到鼓楼区人民法院。主审法官在认真翻阅了所有的卷宗材料后,发现起诉书上的一些关键数据模糊,如被告人的非法所得,被写成“数万元”、“数百万元”等,这样可能会影响到案件的判决。

正在此时,《刑法修正案(七)》公布实施,其中对“非法侵入计算机系统罪”新增设的第二、第三款,恰恰指向了王华、龙斌等提供黑客犯罪工具的人。针对这一情况,法院要求公诉方,明确所有起诉认定事实,并建议适用《刑法修正案(七)》新增设的条款予以公诉。经过警方的三次补充侦查,鼓楼区检察院终于巩固了案件的全部证据,并于2009年3月31日,向法院提交了变更罪名后的起诉书。

鼓楼区人民法院对这起新类型、适用法律新条款的案件高度重视。主审法官在做了大量的前期工作后,于2009年5月16日公开开庭,对案件展开审理。经长时间庭审,法院查明了六名被告人的犯罪事实。

2009年6月5日上午,鼓楼区人民法院对这起案件作出一审宣判。法院认为:被告人王华、龙斌等人违反国家规定,提供专门用于侵入、非法控制计算机信息系统的程序,或采用技术手段获取计算机信息系统中存储的数据,情节严重,其行为均已构成非法侵入计算机信息系统罪,属共同犯罪。法院依据查明的事实,综合考虑被告人的认罪态度及悔罪表现,依据《中华人民共和国刑法》第285条第二款、第三款;第25条第一款;第64条之规定,判处王华有期徒刑一年二个月,并处罚金50万元;判处龙斌有期徒刑一年,并处罚金10万元。另外四名被告人,也分别被判处一年或一年以上的有期徒刑,并处罚金。被告人王华、龙斌、周牧、周桂林等人的非法所得予以没收,上缴国库;作案工具8台笔记本电脑予以没收。

证据难搜,打击力度须加强

由于王华等人的犯罪都是在网上进行,加上受害对象的无法确认以及电子证据的本身不确定性等因素,所以,公诉机关指控一伙人的犯罪事实,与他们的实际作案情况存在着差异。法院对于此案的证据认定方式,也不同于其他案件。

本案主审法官邓友华认为:计算机网络的犯罪近年来大量增多,这种行为在《刑法修正案(七)》未实施之前,打击和惩处起来都有一定的难度。该法修正案的公布实施,进一步严密了法网,增强了刑法打击网络犯罪的威慑力。尤其是将提供非法黑客工具、软件的行为,作为犯罪处理,这对网络上曾经一度逍遥法外的黑客学校、黑客网站来说,可以说是厄运当头。

针对此案的判决,案件公诉人鼓楼区检察院公诉科科长曹立在接受采访时说:“《刑法修正案(七)》对‘非法侵入计算机系统罪新增的两款内容,并没有将犯罪嫌疑人窃取网民信息交易获利等行为认定为犯罪,这必然影响打击网络犯罪的效果。因为有暴利存在,很难避免今后不会出现更多的‘熊猫烧香和‘大小姐等。”曹立还说:“‘虚拟财产虽然在现实中没有使用价值,但从此案中可以看出,它有着实实在在的交易价值。”针对在办理这起网络犯罪案中发现的问题,曹立建议:一要对网上“木马”等攻击性病毒软件,要像对武器一样严格管理;二要从立法、执法两个方面,继续加大对网络犯罪的打击力度。■

编辑:韩铁马hjcfy@126.com

猜你喜欢
木马程序王华木马
小木马
骑木马
杀灭木马程序,幸福就会来临
小木马
旋转木马
江苏省侨办主任王华:侨的力量推动着我
王华主任随江苏新闻文化参访团赴台访问圆满成功
恶意木马程序——Trojan_Generic
王华主任会见韩国知识文化财团理事长辛圣恩一行
木马更加专业化网络攻击成主角