QQ大盗的背后

　　“如果把用户的QQ信息比作一头牛，各层转卖者就像一条流水线，牛在流水线上被依次剥皮去肉，最后剩下的骨头也被充分利用。”2012年12月10日上午，江苏省常州市公安局网络安全支队(以下简称常州网安支队)第三大队副大队长瞿俊告诉记者。活跃用户超过7亿的网络聊天工具QQ早已成为黑客们的目标。近期，经过四个月的调查，常州市公安局破获了一起利用“掠夺者”“Q币大盗”“NewQ大盗”三款木马软件的盗号团伙。不到一年时间，数千万个QQ号被盗，盗号量占全国被盗QQ号总数的90%，造成数百万用户4000多万元的财产损失。

　　盗号拿“信”

　　近日，常州网安支队接到了一起关于QQ被盗的报案，涉及160个Q币。警方对受害人电脑进行电子勘验，一款叫做“掠夺者”的木马程序被发现。这款程序不仅能盗取QQ密码，而且还能避开腾讯公司的验证系统而对Q币进行转移。与此同时，网安支队又接到了另外一起通过QQ进行诈骗的报案，在受害人的电脑中发现了一款叫做“Q币大盗”的木马程序。木马所指向的服务器成为唯一的破案线索。

　　涉案服务器的注册地位于南通市，而他的租用者却远在天津，访问过该服务器的IP地址则遍布全国各地。专案组陆续锁定了15个省(市、区)，31名犯罪嫌疑人。其中包括掌握着“掠夺者”“Q币大盗”“NewQ大盗”三款木马的犯罪嫌疑人。

　　27岁的于阔是“Q币大盗”的总代理，2012年年初，于阔从同行“帅公子”即“掠夺者”木马的控制者钮华建手中拿到了这款木马样本。经破解，该木马可以将“信”直接发到他的服务器上。按于阔的话说，“这款马非常好用，兼容性强，信也很稳定。”

　　“信”是QQ盗号行业的术语，一组QQ用户名和密码称为一个“信”。而批量传送给黑客信息在圈内叫做“信封”，根据产品不同分为“装备信封”“QQ信封”等等。通过黑客工具，将信里面有价值的信息(QQ靓号，QQ币，有价值的游戏装备等)筛选出来的过程称为“洗信”。

　　据了解，一部分这类木马来自技术交流论坛，一些技术高手会在论坛上炫耀自己的技术能力，而这时一些盗号团伙就会把这个源文件进行破解后为己所用。而更多的时候，是在警方端掉一个盗号团伙后，他们直接将没人控制的木马重新破译据为己有。

　　“掠夺者”木马的操控者钮华建就是在今年年初，看到之前的盗号团伙被警方端掉后，找人破译了无人操控的“掠夺者”木马，自己一步步发展起来。

　　洗“信”牟利

　　当“掠夺者”等木马盗取海量QQ号码后，于阔、钮华建这些总代理就会将号码分批卖给下线的“洗信工作室”。

　　腾讯公司安全中心在2012年7月发布的《QQ盗号产业链分析和应对》报告指出，QQ盗号的黑色产业已经呈现集团化及行业细化的特征。

　　常州网安支队第三大队副大队长瞿俊说，现在只要会使用QQ的人基本就可以成立一个洗信工作室。他们可以从总代理那里直接买“信”，然后将“信”中有价值的Q币、游戏币转移出来，通过“5173”“淘宝”等交易平台变现，就可以完成牟利过程。

　　于阔对记者说，一般一万个信会卖1000块钱，但这些信是可以重复售卖的。第一步先是洗“Q币”，在支付一定报酬后，于阔会把存有海量信的服务器密码转给第一级“洗信人”。让他们在规定时间内把里面Q币全部转到一个指定账号，洗过Q币以后，于阔会同样再把“箱子”交给下一级的“洗信人”，由他们在规定的时间内，把游戏装备、游戏积分、游戏账号以及游戏币等凡是能兑换成钱的游戏财物转走，存入固定账号。“箱子”里的账号经过两轮洗币的账号，还会交给下一级“洗信人”进行第三步剥削挑QQ靓号。

　　靓号被挑完后，于阔还会将“箱子”交给在海量QQ空间内植入广告的团队。瞿俊说，“于阔、钮华建这个团伙每天能盗四五十万个QQ号，半年下来就有数千万个QQ号，其中大部分QQ网友开通了QQ空间，面对如此庞大的受众群，这级"洗信人"把代理的各种游戏、色情等广告放进空间，赚取高额推广费不费吹灰之力。”

　　最后，被榨净的QQ号还会卖给黑客用来编写密码词典。黑客进行编译、分析、比对后，从而对客户网银账户进行破解。在行业内，各个洗信工作室有各自的专攻项目，而且会非常“守信用”，绝不相互侵犯利益。

　　幕后“挂马”人

　　对于阔、钮华建这样的总代理来说，拥有一款效果稳定的木马和下级“洗信人”只是第一步，他们更需要将木马植入到用户的电脑中，才能真正获得利益。因此掌握着大量网站资源的人被总代理们格外珍视，这些人在行业内被称为“流量商”，即“挂马”人。

　　瞿俊介绍说，流量商或者自己是网站的站长，或者与很多网站站长熟识，他们将病毒木马挂在点击率较高的网页上，当用户点击到那些弹出窗口时，木马病毒就“种”到了用户的计算机上。“流量商就像黑老大一样控制着我们。”在看守所中的于阔反反复复对记者说，“他让我干什么，我就得干什么。”

　　于阔说，流量商会要求他到指定的人手中去买服务器，包括防火墙等一系列的东西。“如果不做，他马上就把我的马撤下来。”而且这些流量商在选择合作的下线盗号总代理时，通常都会有非常苛刻的要求，于阔说，他们通常会要求总代理能够提供几种木马的下载，同时还要保证马的更新和免杀，而且还要有渠道能够包销所有的信。

　　瞿俊介绍说，这些流量商通常都具有一定的技术，如果某些网站不同意“挂马”或者挂了别人的马，流量商就会暴力攻击这些网站的服务器，强迫网站接受挂马。

　　在侦破过程中，专案组成员发现流量商是盗号整个流程中“旱涝保收”的一个环节，据了解，流量商根据IP流量对网站进行付费，1万IP大约需要80元~120元人民币，而流量商向总代理收费则是按信收费，1万信800元~1000元不等。瞿俊说，“一般一个质量比较好的站，4万左右的流量就可以拿到1万信。此次抓捕的一个流量商，封存账号内就有280万元。”

　　如今，在看守所里的于阔非常关心自己会受到什么样的审判，同时也不断地强调，“如果不抓住流量商，就不可能杜绝盗号，他们随时可以找到替代我们的人。”

　　据《中国新闻周刊》