“熊猫烧香”案,中国首例利用网络病毒盗号牟利的网络案件。中了该病毒的电脑内部会生成带有熊猫图案的文件,盗号者追寻这些图案,利用木马等盗号软件,盗取电脑里的游戏账号密码,取得虚拟货币进行买卖。
2月3日,该病毒的制造者李俊落网。警方在此案背后发现了一个制“毒”、卖“毒”、传“毒”、盗账号、倒装备、换钱币的全新地下产业。一名涉案人员说,该产业的利润率高于目前的房地产。
而目前还没有一部完善的法律来约束病毒制造和传播,更无法来保护网络虚拟钱币的安全。现在对李俊如何量刑或将是个法律难题。
熊猫烧香病毒(赛迪网资讯中心配图)
李俊在2004年就曾编写过盗号软件,这次利用“熊猫”病毒获利暴露出了地下黑客产业的完整形态。本报记者吕宗恕
湖北仙桃警方告诉记者,根据李俊交代,他曾将“熊猫烧香”病毒出售给120余人,而被抓获的主要嫌疑人仅有6人,所以不断会有“熊猫烧香”病毒的新变种出现。
胡红义,仙桃市公安局网监大队教导员,在和李俊交谈后发现,“熊猫烧香”背后还有一个通过病毒盗取游戏装备再倒卖的黑色产业链。
李俊处于链条的上端,其在被抓捕前,不到一个月的时间至少获利15万元。胡红义说,而在链条下端的张顺目前已获利数十万了。
胡红义说,现在如何对李俊等人量刑将会是个难题。根据法律,制造传播病毒者,要以后果严重程度来量刑,但很难衡量“熊猫烧香”病毒所导致的后果。而病毒所盗取的是“虚拟财物”,就不构成“盗窃罪”,这可能导致李俊之外的很多嫌疑人量刑很轻或定罪困难。
卖病毒一年可买别墅
李俊在不到一个月的时间内就靠病毒牟利15万,一位反病毒专家说,李俊一年的获利就可买一幢别墅。
李俊和人说话时声音很小,回答问题速度很慢。他说,编写病毒原先不是出于商业目的。原始的“熊猫烧香”并不具有盗号功能。在根据网友要求修改了病毒后,来找他买程序的人才越来越多。
熟悉此案的胡红义说,根据警方掌握的情况,李俊烧香“的不同变种达到自己的最终需求。
凡是被“熊猫烧香”病毒感染的计算机就变成了“肉鸡”,即失去一切信息保护能力。于是,游戏账号和密码、QQ号码都被一封电子邮件传送到盗取者的电脑里。
盗取者就能轻易获取游戏账号里的虚拟货币。
李俊说,他先后在网上以每个病毒500元至1000元的价格出售病毒近20套。
当李俊和张顺接洽上后,张顺每天给李俊账上汇3500元,后来每天汇6000元。
直至被抓捕前,在总计不到一个月时间,李俊至少牟利15万元。
江民公司反病毒专家何公道在接受媒体采访时说,只要“熊猫烧香”作者愿意,他一年之内可以买一座别墅。
“漂白”网络黑钱
从制作病毒到贩卖病毒,在虚拟世界中已形成一条完整的产业链。
有了大量盗窃来的游戏装备、账号,并不能马上兑换成人民币。办案民警说,只有通过网上交易,这些虚拟货币才得以兑现。
胡红义介绍,盗来的游戏装备、账号、QQ账号甚至银行卡号资料被中间批发商全部放在网上游戏交易平台公开叫卖。一番讨价还价后,网友们通过网上银行将现金转账,就能获得那些盗来的网络货币。
这样原先的虚拟货币就变成了现实世界中的货币。装备,“他们这些网站可以称为盗号、买卖一条龙,现在看来熊猫烧香的背景远没有那么简单。”《瑞星2006年安全报告》为“熊猫烧香”整理出了一个完整的产业链。
首先编写病毒,然后攻击网站植入病毒,当用户感染(机器被黑客控制,构成僵尸网络Botnet),再窃取用户资料,最后在网上出售。在链条的每一个环节上都能产生巨大的经济利益。
厨师出身的王磊和李俊同处链条上端,他贩卖“熊猫烧香”病毒不足一个月,用赚的钱就已购买了一辆吉普车。
被“熊猫烧香”病毒控制的电脑会自动访问收费网站。据湖北省公安厅估算,一年会有数以百万计的访问量,能为那些收费网站提供数千万元的利润。张顺就通过“卖流量”获利数十万元。
比房地产获利快
在浙江丽水形成一个分工明晰的高利润病毒产业,有专人负责种植病毒,专人负责兑换QQ钱币。
李俊承认,这种通过病毒程序盗窃网络装备、货币的事,在虚拟的网络中早已存在,并在不断发展,甚至已经发展成为了一种并不合法的黑色产业。其中不乏一些在校的大学生,他们通过盗窃来的游戏账号、装备经交易后洗钱。
据仙桃警方办案人员透计算机病毒作者常常以获取经济利益为目标,之前出现的网银大盗、证券大盗、游戏大盗、QQ大盗等都是如此。
其中被江民公司截获的“证券大盗”三人犯罪团伙利用病毒程序,在不到2个月时间里,截获股民股票账户、密码,盗买、盗卖股票价值1141.9万元,非法获利38.6万元。而案发前,他们三人均有明确分工,配合密切。
李俊的同伙王磊说,从他们目前掌握的情况看,现在很多网民的电脑操作系统都留有后门,也没有及时下载补丁程序,甚至连必要的病毒防火墙也没有,因此,他们能轻松潜入进去。另外,一些大型商业网站、银行金融等部门的网络同样存在漏洞,其防范手段远远跟不上黑客技术的飞速发展,所以,账号被盗、密码丢失也就不稀奇了。
“熊猫烧香”如此巨大的传播范围,只要作者将病毒作一些小小改动,盗取中毒电脑上的网上银行密码、网络游戏虚拟装备等将易如反掌。
在“熊猫烧香”案中的涉案人员说,电脑病毒牟利产业已经是一个“比房地产获利更快,更容易的新型产业”。
亟须完善网络立法
仙桃公安局张良耀说,目前对网络立法明显滞后,如何保障网络虚拟财物还是个空白。
对于中国目前的网络信息安全现状,胡红义并国家金融、安全等信息系统之后再去加强安全监管,就为时太晚了!“胡红义还说,现在一些年轻人上网目的已经开始发生变化,从单纯的好玩变成了有经济目的,他们甚至通过网络漏洞牟利。一旦上网就想炫耀自己的水平,证明自己的电脑实力,因此,设法制造破坏。
“尽管网络是虚拟的,但已经形成一个社会,因此网络公德应该引起重视,不要以为在上网做了什么别人不会知道,那永远是错的。制造传播病毒其实是有迹可寻的。”胡红义说。
有人说,“李俊是一个网络天才”。一些网友甚至留言说:“今后他找工作不用愁了,只需要说‘熊猫烧香’就行了。”很多不法分子铤而走险“制毒、卖毒”,实际就是想钻法律的空子。仙桃市公安局网监大队副大队长张良耀说,除了下载补丁、升级杀毒软件外,有关网络立法也尤其重要。
犯罪嫌疑人抓到了,如何定罪量刑呢?张良耀说,根据法律,制造传播病毒者,要根据后果严重程度量刑,可“熊猫烧香”病毒导致的后果该如何衡量?受害人数以百万计,怎么可能一一来举证?其次,被盗的物品多是游戏装备等“虚拟财物”,即使大家都知道一个装备值1万元,但只要还没成为现实货币,就不构成“盗窃罪”,这可能导致李俊之外的很多嫌疑人量刑很轻或定罪困难。
-链接
“熊猫烧香”案取证难题
尽管李俊已到案,但有关网络取证等问题并不那么简单。如何证明所有中毒用户的"熊猫烧香"和变种病毒为李俊所写并传播的,一度成为警方取证难题。
仙桃市公安局网监大队教导员胡红义介绍,"熊猫病毒"等这些源代码都是电子数据文件,不像枪击的弹道痕、血迹、脚印等可以固定或者展示,且这些源代码很容易修改,给警方取证带来困难。
网络取证对设备的要求也很高,电子数据文件往往与特定的环境、时间、空间相关联。
因而很多时候还需要现场环境的取证,这势必对证据的真实性提出更高的要求。
此种情况下,仙桃警方将李俊电脑中提取的病毒样本送往国家计算机病毒应急处理中心鉴定,另外,从山东、浙江等处查获的涉案电脑,也被警方带回到湖北,以期进一步送检,来证明病毒和变种确为李俊所写和传播。
此外,他们电脑中还存有一些网络交谈记录,以期证实他们之间的关联。
据介绍,目前湖北检法机关已提前介入此案。
来自内部人士的消息说,因为此案为第一例计算机病毒牟利案,还没有审判网络制毒、传毒案的经验,提前介入便于更进一步全面了解此案的相关细节,做好取证工作。(n103)
