网吧集体中毒 “网警”破获黑客大案

2006-09-04 作者:BitsCN 来源:中国网管联盟点评 投稿 收藏

自去年底以来，在网吧玩《传奇》游戏的玩家发现，在登录过《金华新闻网》后，电脑便会感染病毒，而且游戏帐号和密码随即被盗，不少玩家怀疑是本网在传播电脑病毒。金华公安局公共信息网络安全监察支队艰苦跟踪网络“黑客”的蛛丝马迹，顺藤摸瓜，终于在近日破获了这起在全省乃至全国罕见的利用“木马”病毒程序盗取《传奇》帐号及装备的案件，还本网以清白——
网管网www_bitscn_com

3月22日下午，市公安局赴湖北抓捕组押解一名网络犯罪嫌疑人回到金华，这标志着一起全省乃至全国轰动的网络大案圆满告破。在这起案件中，网络犯罪嫌疑人大肆盗取《传奇》账号和密码，出售游戏装备谋取巨额利润，根据某虚拟装备交易网站和银行往来流动资金统计，涉案金额上百万元。涉案犯罪嫌疑人祁建、曾涛等6人均落入法网，公安机关还缴获用于作案的电脑23台，冻结存于银行的赃款44万元。据警方和《传奇》游戏运营商证实，此案涉及金额之高、受害人数之多，以及集体作案方式之新，均称得上是全国第一。

中国网管联盟bitsCN.com

什么是《传奇》
网络游戏玩家都知道，《传奇》是一款韩国开发的网络在线角色扮演游戏。在这款游戏中，玩家通过在游戏中采矿、打猎等获得传奇币，传奇币可用来贸易。2001年初，上海盛大网络发展有限公司通过代理《传奇》介入网络游戏运营，大获成功。《传奇》迅速风靡全国，2004年以前，在网吧玩《传奇》的大多是集体行动，互相交流心得和显示自己的装备等级。据“盛大”有关负责人证实，全国的网民不过8000余万人，而目前《传奇》的注册玩家就有一亿多人（有的玩家一人注册多个账号），有效用户在2000万人左右，玩家人数高居各游戏榜首。据盛大公司发布的2004年运营报告，全年营业收入总额达13.67亿元，其中网络游戏业务的营业收入达到12.76亿元，这不仅创造了在线游戏的“传奇”，也创造了“盛大”董事长陈天桥在短短四年时间荣登国内富豪榜首的个人“传奇”。

网管下载dl.bitscn.com

    随着《传奇》的不断发展，许多玩家不惜花费巨资购买游戏装备。许多犯罪分子也瞄上了这个“市场”，利用植入“木马”病毒程序盗取游戏账号和装备，转手交易牟取利益。

   网吧集体中“毒”
    网络游戏玩家都知道，《传奇》是一款韩国开发的网络在线角色扮演游戏。在这款游戏中，玩家通过在游戏中采矿、打猎等获得传奇币，传奇币可用来贸易。2001年初，上海盛大网络发展有限公司通过代理《传奇》介入网络游戏运营，大获成功。《传奇》迅速风靡全国，2004年以前，在网吧玩《传奇》的大多是集体行动，互相交流心得和显示自己的装备等级。据“盛大”有关负责人证实，全国的网民不过8000余万人，而目前《传奇》的注册玩家就有一亿多人（有的玩家一人注册多个账号），有效用户在2000万人左右，玩家人数高居各游戏榜首。据盛大公司发布的2004年运营报告，全年营业收入总额达13.67亿元，其中网络游戏业务的营业收入达到12.76亿元，这不仅创造了在线游戏的“传奇”，也创造了“盛大”董事长陈天桥在短短四年时间荣登国内富豪榜首的个人“传奇”。

网管u家www.bitscn.net

随着《传奇》的不断发展，许多玩家不惜花费巨资购买游戏装备。许多犯罪分子也瞄上了这个“市场”，利用植入“木马”病毒程序盗取游戏账号和装备，转手交易牟取利益。
中国网管论坛bbs.bitsCN.com

《金华新闻网》深受其害
在网吧中“毒”事件中，有细心的网民发现，凡是中“毒”的网吧电脑，均安装了由市公安局公共信息网络安全监察支队提供的新版网吧安全管理系统，并且在上网后首先要进入《金华新闻网》主页。这是怎么回事呢？
　2004年下半年，为了引导全市网吧业的发展，规范网吧的经营行为，市公安局公共信息网络安全监察支队会同市文体局文化市场稽查支队配合市委宣传部，组织开展了“让主流媒体进网吧”的活动。活动要求，全市网吧6万多台电脑中必须将《金华新闻网》（www.jhnews.com.cn）设置为开机主页，目的是让每天数以万计的上网人员潜移默化地接受主流舆论引导，以抵制网上不健康文化的影响。为了方便网吧业主工作，网络监察支队在金华某网络运营商提供的服务器上安装了网吧安全管理系统，增加了设置，使所有网吧电脑只要打开浏览器即自动进入《金华新闻网》主页。此项活动开展以来，不仅丰富了网民的上网浏览内容，也促进了《金华新闻网》的发展。

网管下载dl.bitscn.com

　然而，自从受到网吧集体中“毒”事件影响后，网民由于担心电脑被病毒感染，不敢登录《金华新闻网》。不少网民甚至质疑《金华新闻网》，认为是《金华新闻网》在传播病毒，致使《金华新闻网》的声誉受到了极大的影响。而都市某报也以《公安的服务器染“病”　金华网吧集体中“毒”》为题，直指金华市公安局网络监察支队提供的网吧安全管理系统染“毒”，给正在紧张侦查此案的网络监察支队施加了无形的压力。网管u家www.bitscn.net

下“毒”者有意为之
　这一切早已引起了网络监察支队办案人员的注意。早在去年11月，市公安局网络监察支队办案人员就对染病网吧电脑内的病毒提取样本，进行了技术分析。经调查发现，这是一起人为的严重危害网络安全的犯罪行为。经请示领导同意，决定对此进行立案侦查。由于案情重大，该案还被省公安厅列为省厅督办案件。
　在网吧集体中“毒”事件中，被病毒感染的网吧服务器一般都安装有防火墙，能够有效防范病毒的侵袭，应该说是比较安全的。但由于网络监察支队提供的服务器是供各网吧下载的，涉及的范围很广，所以防范难度也大。网络监察支队认为，能够将病毒嵌入网吧服务器中，说明其具备较高的电脑网络技术，称得上是电脑“黑客”。网管bitscn_com
　“黑客”原指热心于计算机技术，水平高超的电脑专家，现在已泛指那些专门利用电脑搞破坏或恶作剧的家伙。网络监察支队发现了一种新的“木马”病毒程序，该病毒能利用电脑系统漏洞进入用户的电脑系统，通过修改注册表自动启动，将用户电脑中的所有登录《传奇》的账号、密码直接从端口进行截获。网络监察支队由此判断，攻击网吧决不是一般的犯罪嫌疑人，必定是一名“黑客”。
　“再高明的‘黑客’，也会在作案后留下蛛丝马迹。”网络监察支队利用先进的网络侦查技术，千方百计追踪病毒的来源，寻找“黑客”作案后留下的踪迹。办案人员从受害网吧提取了“木马”病毒样本进行分析，经过长达3个多月时间艰苦细致的侦查，初步锁定几名涉案嫌疑人。

网管联盟bitsCN@com

　侦查发现，该团伙以各自的家庭为主要作案场所，通过一名外省人将“木马”病毒程序植入指定网站，用户只要点击该网站即被电脑病毒感染。用户使用感染后的电脑，凡是《传奇》游戏的操作从端口均被截取，其《传奇》账号和密码均被复制到一个文本文件中，然后自动发送到指定的电子信箱。盗号者由此大肆盗取了玩家账号和密码，再通过盗取的账号、密码进入游戏，并对玩家账号所拥有的装备进行筛选，将高级别的装备在一些虚拟装备交易网站进行买卖，通过个人网上银行进入在线支付，完成交易。

网管下载dl.bitscn.com

谁是幕后真正主谋
　办案人员追踪到，植入受害电脑的“木马”病毒发挥作用后自动截取《传奇》账号和密码，形成的文本文件通过电子邮件全部先传送到jj@sina.com这一个人电子信箱内，再分发到另外几个电子信箱，然后再次分发到更多的电子信箱内。
　网络监察支队通过追踪，初步掌握了下层几名嫌疑对象的基本情况，可是，jj@sina.com接连的嫌疑对象是谁，一段时间来却始终难以突破。侦查人员通过剖析该“木马”病毒程序发现，程序内附带有“JJ”字样，可以肯定，造成网吧集体中“毒”、《传奇》账号和密码被截取的“木马”病毒正是此人所为。办案人员将该嫌疑对象称为“丁钩”，对他和其下线嫌疑对象的网络交流活动展开严密侦查。
　侦查人员发现，“丁钩”在QQ（最常用的网上聊天工具）上以“网络狩猎者”的身份，经常与一个叫“想想疯了”的网民保持联络。通过侦查发现，这名叫“想想疯了”的网民是金华人，真名姓陈，今年30岁。陈某曾向“网络狩猎者”购买了“木马”病毒，而正是这个“木马”病毒，造成了网吧集体中“毒”和《传奇》账号、密码被盗。

中国网管论坛bbs.bitsCN.com

　3月6日，网络监察支队对陈某进行了传唤，陈某很快交代了有关案情：
　“我是做医药生意的，平时对电脑有点在行，并通过《传奇》获取别人的账号和装备，在网上交易后得到钱财。虽说《传奇》游戏中的账号和装备都是虚拟的，但我已获取了钱财。
　　我在2002年5月1日开始接触《传奇》，玩了4个月，装备就被人偷走了，从此没有继续玩下去。2003年底，我通过上网浏览和查询，在一个技术论坛上发现有一个东北人在出售‘木马’生成器。这是一种电脑病毒，我与那个东北人通过QQ聊天认识后，花了1000元钱向他购买了一个，并通过它编制了许多电脑病毒，在《5173》、《灰鸽子》等网站出售，以120元到240元不等的单价卖出了20多个。
　2004年5月，我开始通过《5173》贩卖《传奇》装备，低价买进，高价卖出，从中赚取差价。2004年9月，我发现有人出售大量电子信箱。我很好奇，通过聊天发现，那些电子信箱里都是《传奇》的账号和密码。我就买了，先是和一个叫‘装备专用’的温州人进行了三次交易，付了5000元钱，对方给我一个信箱，里面有上万个电子邮件，接着我又与一个叫‘屠夫备份’的福建人进行了一次交易，付了2000多元，对方给了我一个网址，里面链接有3000多份电子邮件，都是《传奇》账号和密码。我拿到这些账号后，将里面的装备拿到网上交易，一直卖到今年春节前夕。

网管网www_bitscn_com

　刚开始时，我利用买来的‘木马’生成器编制病毒后出售。去年夏天，我在技术论坛上认识了一个网名叫‘网络狩猎者’的江苏扬州人，这人真名叫祁建，在南京开网吧，电脑编程比较厉害。我去年10月1日和他在南京见过面，并花了1000元钱买了他自己编的一个病毒，可以截取‘边锋’游戏账号和密码。后来，我和祁建联系，让他编写一个可截取《传奇》账号和密码的病毒。很快他就告诉我说编好了，我想他可能早就编好了。不过，当时我一直没将这个病毒放到网上卖，只是在去年底时，一个姓陈的金华人向我要，我才将这个病毒给了他。
　　我们截取《传奇》账号和密码后，登录《传奇》，将原账号内的装备转移到自己申请的《传奇》账号内，再通过专门的交易网站进行交易，按正常收费标准收费，通过电子银行转账。我自己用于收取装备的《传奇》账号有两个，获取了一些钱财。” 网管有家bitscn.net

金华南京同时收网 网管bitscn_com

　陈某的供述，揭开了幕后这名叫祈建的“黑客”真实面目。一个以祁建制作病毒，陈某、王某某等几名金华人传播病毒并盗取《传奇》账号的犯罪团伙终于浮出水面。
　　市公安局网络监察支队支队长江春傲是负责该案侦破工作的总指挥，回忆起抓捕行动的过程，至今仍历历在目。经决定，抓捕行动分成6个行动小组，在金华、南京两地同时展开，行动时间定在次日（3月7日）下午。由网络监察支队副支队长余魏明带领的一个行动小组于7日凌晨零时出发奔赴南京。
　　3月7日天刚亮，江春傲已端坐在市公安局的办公室里。从这个时候起，到次日凌晨的18个小时，是这位行动总指挥心理负担最重、也是最为忙碌的时刻。奔赴南京的行动小组成员一夜未眠，到达后仅休息了两个小时，就投入到紧张的工作中，他们很快取得了当地警方的支持和配合，掌握了祁建的基本情况。在金华，各个行动小组也同时到位。
　　3月7日下午，设在市公安局会议室里的抓捕行动指挥部，网络监察支队、特警支队的30余名民警整装待命，省网络监察总队有关负责人也赶到金华指导抓捕行动。随着江春傲一声令下，抓捕行动在金华、南京两地统一开始了。

中国网管联盟bitsCN.com

　　在金华，30余名办案民警分成5个行动小组，除第一组留守作为机动外，其余各组分头实施抓捕。很快，第二组报捷，第三组报捷，第四组报捷，一条条捷报传向指挥部。不过，在抓捕涉案人员之一的王某某时出现变数。行动开始后，行动小组发现此人不在家。通过侦查发现，他正从市区江北向江南移动，行动小组迅速在市区江南发现了正在驾车的王某某，众民警分头包抄，在大街上拦截下王某某，将其成功擒获。
　在南京，抓捕行动一开始并不顺利。祁建不在南京，而在扬州。行动小组立即赶赴扬州，在8日凌晨成功将他抓获。
办案民警通过检查涉案人员银行账户内的来往资金发现，通过变卖盗取的《传奇》装备，涉案人人员获利上百万元，盗取的《传奇》账号至少有六七万个之多！

网管联盟bitsCN_com

网络大案圆满告终

网管u家www.bitscn.net

　据在押的几名涉案人员交代，在网吧安全管理系统中下“毒”的并不是他们，那么，一定还有一名“黑客”级的涉案人员没有被发现。
　网络监察支队再次传唤了已被取保候审的陈某。陈某交代，他在某黑客论坛上曾认识一名湖北人，去年12月，陈某从祁建处拿到对付《传奇》的病毒后没过几天，这名湖北人就在QQ里告诉陈某，他已到金华。两人见面后，对方告诉陈某说他曾“黑”过很多网站（即用病毒攻击破坏网站），也曾“黑”过金华的网吧管理系统。陈某灵机一动，网吧管理系统连接每一台网吧电脑，如果把祁建的病毒植入该系统，那金华网吧里所有的电脑都会受感染，这样就能截取更多的《传奇》账号和密码。两人商量后达成一致意见，讲好由湖北人在网吧管理系统中下“毒”，陈某每截取一个《传奇》账号需支付给湖北人1元至1.5元。

网管bitscn_com

　　网络监察支队的办案民警又忙碌起来，通过几天严密侦查，于3月16日掌握了这名湖北人的行踪。3月17日，一个由网络监察支队民警和特警组成的行动小组出发，赴武汉实施抓捕。3月20日，捷报传来，这名湖北人在武汉落网了。此人名叫曾涛，20岁，湖北省公安县南屏镇人。
　　3月16日下午，网络监察支队举行全市网吧业主大会，向网吧业主通报了有关案情，使网吧集体中“毒”事件的真相大白于天下。
　　3月17日下午，上海盛大网络发展有限公司副总裁凌海带领有关人员专程赶到网络监察支队，向该支队破获此案表示衷心的感谢。分管销售管理和业务拓展的副总裁凌海说，虽然此前《传奇》账号和密码被盗事件屡屡发生，但金华警方破获的这起大案称得上是“天字第一号”。在此案中受害玩家人数之多，涉案金额之高，令公司管理层“非常惊讶，不可理解”。

网管bitscn_com

　　对于此案暴露出的《传奇》游戏安全方面的漏洞，凌海承认，网络安全问题历来是网络游戏运营商的一块“心病”，该公司也不例外。他打个比方说，这就好比再安全的保险柜也是可以打开的。盗号是运营商的“毒瘤”，公司客服中心每天处理的基本上都是用户投诉账号被盗的问题。最多的时候，公司总部一天要接待500名来自全国各地的《传奇》用户。凌海认为，运营商和玩家要采取防范措施，如聘请网络安全专家建立电脑病毒库进行杀毒，正确使用“密保”装置等，同时健全相关法律法规，从法律上提供保障。
在此，公安提醒广大玩家，在当前网上盗取虚拟物品的手段日益翻新、案件数量呈上升态势的情况下，更应加强自身的防范。

网管网www.bitscn.com