揭秘木马病毒团伙背后利益链：制售形成销售网络

本报记者 余建斌 申琳 吴秋余　　核心提示　　涉及16个省市、涉案金额高达3000多万元，近日在江苏徐州宣判的全国最大制售“木马”病毒案引起了社会的广泛关注。　　“木马”病毒如何生产出来？犯罪团伙又如何利用“木马”病毒获利？记者调查发现，在“木马”病毒团伙犯罪背后隐藏有一个环环相扣的利益链和地下信息黑市。　　制作人、总代理、分代理，制售“木马”形成销售网络　　据办案人员透露，制售“温柔木马”系列病毒案由公安部挂牌督办，共涉及全国16个省市，涉案人员多达百余人，涉案金额3000多万元。　　在12月中旬的审判中，包括“温柔”系列“木马”的制作人、总代理商在内的11人因“提供侵入计算机信息系统程序罪”和“非法获取计算机信息系统数据罪”，分别被法院一审判处三年以下有期徒刑或拘役缓刑，并处罚金总计83万余元。　　负责此案审理的江苏省徐州市鼓楼区人民法院查明，2007年6月至2008年8月间，被告人吕轶众、曾毅夫等先后编写出针对40余款网络游戏的“木马”程序。2008年2月起，被告人严仁海接受曾毅夫委托，将该系列“木马”程序以其女友陈慧婷的网名“温柔”命名并总代理销售。　　此后，吕轶众又将该“木马”程序修改后分包给不同的一级代理商张帆、张金煌等人。由此，逐步形成了以严仁海、陈慧婷为总代理，张帆、张金煌等数十人为分代理的销售网络。　　至案发前，吕轶众等人制售的“温柔”系列“木马”程序达28款，盗窃游戏账号、密码超过530万组。被告人吕轶众、曾毅夫二人共同获利64.5万余元，严仁海、陈慧婷共获利31万元。　　网络犯罪分子具有知识化、年轻化的特点。此次宣判的11名涉案人员，8名是大专以上文化，10名是1980年之后出生，年龄最小的只有22岁。　　“‘木马’可能很简单，但它窃取信息的后果却可能相当严重”　　被称为“木马”的计算机病毒实际上是一段电脑程序。攻击者利用计算机系统和软件的漏洞，安装“木马”在受害者电脑上秘密运行，并通过配套的控制程序，远程控制中毒电脑。　　反病毒工程师唐威介绍，目前最流行也是应用最广泛的就是网页“挂马”，网民点击含有“木马”的网页时电脑就会染上病毒。而色情、博彩、网游外挂是最危险的三类网站。　　瑞星的最新数据显示，2009年1—10月其截获的十大带毒网站都是涉黄网站，53.6%的“木马”网站带有色情内容。　　“使用‘木马’生成器，一个小学生就会做‘木马’。‘木马’可能很简单，但它窃取信息的后果却可能相当严重。”专家评论说。　　法院工作人员介绍，“温柔木马”严重影响了几十款网络游戏计算机信息系统的正常运行，造成网易公司、北京畅游时代数码科技有限公司等多家游戏公司的重大经济损失，至少有数百万个游戏玩家的账号密码、游戏装备被盗。　　不法分子还能利用成千上万中了特殊的“木马”病毒的电脑，组成“僵尸”网络，进行大规模的网络攻击，甚至危害国家安全。今年5月19日，我国部分省份互联网瘫痪，正是缘于“僵尸”网络发起的对域名解析服务器大规模攻击所致。　　定制“木马”、出售“木马”、“木马”制作培训的信息在网络上随处可见　　“木马”病毒在网络上为何如此泛滥？专家告诉记者，利益驱动是主要动力，其背后隐藏有一个巨大的地下信息黑市。　　以“温柔木马”案为例，涉案人员之所以能在短时间内获取巨额利益，原因很简单——他们不缺买家。众多的网络游戏玩家成为他们潜在的买家和用户。　　记者打开互联网搜索引擎，搜索“木马”关键词，发现定制“木马”、出售“木马”、提供“挂马”业务甚至“木马”制作培训的网站链接有成千上万条。而在各种论坛上，这类帖子也随处可见。　　除了个人买家外，一些网络游戏“私服”网站也是潜在的买家。为了攻击竞争对手，他们向控制了“僵尸”网络的黑客付费，希望能“黑”掉竞争网站。　　与盗取网游账号相比，利用“木马”窃取信用卡账户、扰乱交易的危害性无疑更大。　　安全软件供应商赛门铁克公司针对全球的最新统计数据显示，信用卡的相关信息是地下信息交易中最常出售的商品，占总量的31%。在一些网站上，被窃取的信用卡账号每个售价从0.1美元到25美元不等，而被窃取的信用卡透支限额平均达到4000美元以上。　　取证难，立法缺陷影响打击“木马”犯罪　　“温柔木马”案的暴露起源于2008年7月29日。当日，江苏省公安厅接到网民举报称，徐州购物网病毒很严重。　　警方迅速开展侦查，同年11月相关涉案人员陆续被抓捕归案，而到今年12月宣判，时间已超过一年。　　“‘木马’病毒犯罪的特点是低风险、高回报，电子证据难以取得并固定。”瑞星攻防实验室首席研究员刘思宇以曾经轰动一时的“熊猫烧香”案为例说，10余个省市的警方历经两月的侦查取证，才将所有涉案人员抓捕归案。而为了形成完整的证据链条，还需要实地勘察受害者机器、控制者机器、涉案入侵服务器证据，才能定罪。　　北京邮电大学法律系教授刘德良认为，“木马”犯罪如此猖獗，与我国目前的立法缺陷有关：　　一方面，既有的刑法没有把网络公共安全视为公共安全的内容。刑法中关于危害公共安全的犯罪并不涉及对互联网上不特定主体的人身或财产和利益的危害行为。现行刑法及治安管理处罚法，把制作、传播、销售和利用“木马”等危险程序视为妨害公共秩序的行为。　　刘教授认为，妨害公共秩序和危害公共安全行为是性质截然不同的两种行为，后者更为严重，对其打击力度也应更大。由于既有法律把“木马”犯罪行为视为妨害公共秩序的违法行为，在客观上不利于对该类行为的规制。　　另一方面，刑法没有把存储于信息空间的有价值信息视为法律上的财产，导致对于“木马”犯罪行为无法使用刑法关于盗窃罪的有关规定。　　事实上，盗窃罪和刑法第285条第二款关于非法获取计算机数据的行为是两种性质不同的犯罪行为。一般来说，前者更为严重。