摧毀“大小姐”木馬產業(yè)鏈

一款臭名昭著的“大小姐”黑客木馬程序，在兩年多的時間內躲過所有殺毒軟件，使無以計數(shù)的QQ用戶及游戲玩家的賬號、密碼被盜，其中的虛擬財產和虛擬裝備被竊。此外，該黑客程序還導致江蘇省水利廳的官方網(wǎng)站癱瘓，對網(wǎng)絡安全構成嚴峻挑戰(zhàn)，受到公安部的高度關注。

網(wǎng)站被黑，牽出木馬“大小姐”

2008年5月6日這天，江蘇省水利廳的工作人員一上班就發(fā)現(xiàn)，他們的官方網(wǎng)站頁面無法打開，疑被黑客侵入。該網(wǎng)站主要承擔公文辦理、汛情傳遞等重要任務，日訪問量5000人次。當時，全省已進入汛期，該網(wǎng)站能否正常運行，將直接影響防汛工作。當日，省水利廳即向南京警方報案。南京市公安局網(wǎng)警支隊接警后，立即會同南京鼓樓公安分局組成專案組，立案偵查。

經(jīng)過現(xiàn)場勘查，專案組確認，“江蘇水利網(wǎng)”系遭到黑客攻擊而癱瘓。黑客攻擊政府網(wǎng)站，目的何在?辦案人員經(jīng)過連續(xù)幾天的工作，終于查明，導致“江蘇水利網(wǎng)”癱瘓的原因，是黑客將一款木馬程序植入了網(wǎng)站后臺程序。通過高科技偵查手段鑒別確認，黑客是在湖北省宜昌市某小區(qū)一民房內，對“江省水利網(wǎng)”發(fā)起的攻擊。在宜昌市公安局網(wǎng)監(jiān)支隊的配合下，5月14日，南京警方猶如神兵天降，一舉將逃離宜昌的犯罪嫌疑人何亮等人抓獲。

審訊發(fā)現(xiàn)，何亮并非是直接攻擊“江蘇水利網(wǎng)”的人，他只是通過租用服務器，購買攻擊者截獲的點擊用戶流量。根據(jù)何亮等人的交代，專案組于5月20日在宜昌市精品國際一單元房內，將犯罪嫌疑人楊江平及其三名雇用人員抓獲。

原來，楊江平是一名典型的網(wǎng)絡黑客，他正是受雇何亮而攻擊“江蘇水利網(wǎng)”的。攻擊的目的，是為了在該網(wǎng)站植入一款由何亮提供的域名代碼，而一旦植入成功，用戶只要點擊該網(wǎng)站，就會跳轉到由何亮控制的服務器上，而何亮的服務器上，設置了一種名叫“大小姐”的木馬程序。楊江平本人賺錢的方式，只是向何亮賣流量，即中毒電腦越多，他獲得的流量也就越大，賺的錢也就越多。之所以導致“江蘇水利網(wǎng)”癱瘓，是因為楊江平雇用的新手，在攻擊該網(wǎng)站時犯了低級錯誤。

通過對何亮、楊江平等6名歸案者的審訊，專案組發(fā)現(xiàn)，犯罪嫌疑人攻擊“江蘇水利網(wǎng)”的目的，均是為了傳播“大小姐”木馬病毒。網(wǎng)絡警察對“大小姐”木馬病毒并不陌生，因為該盜號木馬程序，曾屢屢竊取玩家游戲賬號內的虛擬財產，對網(wǎng)絡安全構成嚴峻挑戰(zhàn)。而且殺毒軟件又拿它沒辦法，所以該木馬程序的編寫及傳播者，早就成了公安機關的打擊對象。情況逐級上報后，引起了公安部的高度重視，隨后公安部指定南京市公安局管轄“大小姐”系列木馬病毒案，并于同年7月1日掛牌督辦。

一網(wǎng)打盡，揭開黑客產業(yè)鏈

南京警方按照公安部的指令，追剿“大小姐”盜號木馬的始作俑者。經(jīng)過艱苦工作，專案組分別于6月13日在上海，6月24日在四川廣元、綿陽等地，抓獲了制作、傳播“大小姐”系列木馬病毒，涉嫌破壞計算機信息系統(tǒng)的團伙組織者王華、編寫者龍斌及銷售總代理周牧等10人。

經(jīng)過對犯罪嫌疑人的逐一審訊，“大小姐”木馬肆虐網(wǎng)絡的真實面目，被一層層揭開。原來，王華以牟利為目的，自2006年下半年開始，雇用頂級編程高手龍斌，先后編寫了40余款針對國內流行網(wǎng)絡游戲的盜號木馬。王華拿到龍斌編寫的木馬程序后，對外謊稱為自己所寫，同時尋找代理人銷售，先后通過周牧等三人，在網(wǎng)上總代理銷售盜號木馬。該木馬系列在傳播銷售時，被命名為“大小姐”木馬。

購買了“大小姐”木馬的犯罪嫌疑人，則分別針對“QQ自由幻想”、“武林外傳”、“征途”、“問道”、“夢幻西游”等網(wǎng)絡游戲，進行盜號。2009年2月23日，專門負責盜號并銷售游戲裝備的犯罪嫌疑人張某，在湖南益陽落網(wǎng)。在他的賬戶中，警方查獲現(xiàn)金30余萬元。由此，警方揭開了這個涉嫌制造、傳播木馬程序團伙的獲利黑幕。

經(jīng)查，王華靠銷售“大小姐”木馬程序，已獲利1400余萬元，至于王華等人到底侵害了多少游戲用戶，目前難有準確的統(tǒng)計數(shù)字。據(jù)介紹，這些人先將非法鏈接植入正規(guī)網(wǎng)站，用戶訪問網(wǎng)站后，會自動下載盜號木馬。當用戶登錄游戲賬號時，游戲賬號就會自動被盜取。犯罪嫌疑人將盜來的賬號直接銷售，或者雇用人員將賬號內的虛擬財產轉移出來，銷售牟利。

據(jù)南京網(wǎng)警支隊負責人介紹稱:“大小姐”木馬程序，事實上形成了一條黑色產業(yè)鏈，占據(jù)了我國“木馬盜號市場”60%以上的份額，危害極大。

鎖定證據(jù)，按刑法新條款定罪

2008年9月，偵查機關將該案向南京市鼓樓區(qū)檢察院移送審查起訴。當時，辦案檢察官面臨著的最大困難，就是電子證據(jù)如何使用和固定。例如，犯罪嫌疑人的買賣交易都是在網(wǎng)上進行的，犯罪所得也都是通過“支付寶”等網(wǎng)上支付形式支付的。而“支付寶”的交易記錄，只保留兩個月時間，如何將犯罪所得與具體的犯罪行為聯(lián)系起來呢?犯罪所得，其實都是源于買賣所竊取的“虛擬財產”，而受害者又很難找到，如何認定取得這些財產的非正當性呢?

為了證明犯罪嫌疑人的錢財，來源于犯罪所得，公訴科長曹立帶領其他辦案檢察官，從犯罪嫌疑人QQ聊天記錄和“支付寶“記錄出發(fā)，尋找突破口。“我們從兩個犯罪嫌疑人的QQ聊天記錄入手，從中找出和案件相關的只言片語，僅這項工作，就用去800多張A4打印紙。”曹立如是說。

經(jīng)過大量細致的工作后，嫌疑人竊取的數(shù)百萬元“虛擬財產”犯罪所得的證據(jù)，最終被固定了。

此外，為了證明周牧等嫌疑人雖然沒有直接參與植入木馬程序的犯罪，但實際上也參與了網(wǎng)絡犯罪，辦案檢察官又建議偵查機關，對周牧電腦中的7.5萬余封“信”，用技術手段進行鑒別。如果這些“信”來自“大小姐”的收信程序，就能證明其實際參與了犯罪活動。經(jīng)過鑒別，這些“信”大多來自“大小姐”木馬的收信程序，其中2000余封“信”中，含有網(wǎng)游、QQ賬號及密碼等用戶保密信息。

2009年2月中旬，此案以“破壞計算機系統(tǒng)罪”，被公訴到鼓樓區(qū)人民法院。主審法官在認真翻閱了所有的卷宗材料后，發(fā)現(xiàn)起訴書上的一些關鍵數(shù)據(jù)模糊，如被告人的非法所得，被寫成“數(shù)萬元”、“數(shù)百萬元”等，這樣可能會影響到案件的判決。

正在此時，《刑法修正案(七)》公布實施，其中對“非法侵入計算機系統(tǒng)罪”新增設的第二、第三款，恰恰指向了王華、龍斌等提供黑客犯罪工具的人。針對這一情況，法院要求公訴方，明確所有起訴認定事實，并建議適用《刑法修正案(七)》新增設的條款予以公訴。經(jīng)過警方的三次補充偵查，鼓樓區(qū)檢察院終于鞏固了案件的全部證據(jù)，并于2009年3月31日，向法院提交了變更罪名后的起訴書。

鼓樓區(qū)人民法院對這起新類型、適用法律新條款的案件高度重視。主審法官在做了大量的前期工作后，于2009年5月16日公開開庭，對案件展開審理。經(jīng)長時間庭審，法院查明了六名被告人的犯罪事實。

2009年6月5日上午，鼓樓區(qū)人民法院對這起案件作出一審宣判。法院認為:被告人王華、龍斌等人違反國家規(guī)定，提供專門用于侵入、非法控制計算機信息系統(tǒng)的程序，或采用技術手段獲取計算機信息系統(tǒng)中存儲的數(shù)據(jù)，情節(jié)嚴重，其行為均已構成非法侵入計算機信息系統(tǒng)罪，屬共同犯罪。法院依據(jù)查明的事實，綜合考慮被告人的認罪態(tài)度及悔罪表現(xiàn)，依據(jù)《中華人民共和國刑法》第285條第二款、第三款;第25條第一款;第64條之規(guī)定，判處王華有期徒刑一年二個月，并處罰金50萬元;判處龍斌有期徒刑一年，并處罰金10萬元。另外四名被告人，也分別被判處一年或一年以上的有期徒刑，并處罰金。被告人王華、龍斌、周牧、周桂林等人的非法所得予以沒收，上繳國庫;作案工具8臺筆記本電腦予以沒收。

證據(jù)難搜，打擊力度須加強

由于王華等人的犯罪都是在網(wǎng)上進行，加上受害對象的無法確認以及電子證據(jù)的本身不確定性等因素，所以，公訴機關指控一伙人的犯罪事實，與他們的實際作案情況存在著差異。法院對于此案的證據(jù)認定方式，也不同于其他案件。

本案主審法官鄧友華認為:計算機網(wǎng)絡的犯罪近年來大量增多，這種行為在《刑法修正案(七)》未實施之前，打擊和懲處起來都有一定的難度。該法修正案的公布實施，進一步嚴密了法網(wǎng)，增強了刑法打擊網(wǎng)絡犯罪的威懾力。尤其是將提供非法黑客工具、軟件的行為，作為犯罪處理，這對網(wǎng)絡上曾經(jīng)一度逍遙法外的黑客學校、黑客網(wǎng)站來說，可以說是厄運當頭。

針對此案的判決，案件公訴人鼓樓區(qū)檢察院公訴科科長曹立在接受采訪時說:“《刑法修正案(七)》對‘非法侵入計算機系統(tǒng)罪’新增的兩款內容，并沒有將犯罪嫌疑人竊取網(wǎng)民信息交易獲利等行為認定為犯罪，這必然影響打擊網(wǎng)絡犯罪的效果。因為有暴利存在，很難避免今后不會出現(xiàn)更多的‘熊貓燒香’和‘大小姐’等。”曹立還說:“‘虛擬財產’雖然在現(xiàn)實中沒有使用價值，但從此案中可以看出，它有著實實在在的交易價值。”針對在辦理這起網(wǎng)絡犯罪案中發(fā)現(xiàn)的問題，曹立建議:一要對網(wǎng)上“木馬”等攻擊性病毒軟件，要像對武器一樣嚴格管理;二要從立法、執(zhí)法兩個方面，繼續(xù)加大對網(wǎng)絡犯罪的打擊力度。■

編輯:韓鐵馬hjcfy@126.com