2008年8月以来,江苏省徐州警方辗转16个省市,50多个地级市,经过1个多月的艰苦努力。一举成功破获了由公安部督办的“8·2”特大制作、传播“温柔”系列木马团伙案件,共抓获涉案人员110人。
昨天,徐州警方向记者公布了此案的侦破始末,根据徐州市公安局网监支队公布的信息,上述“温柔”系列木马非法入侵各类网站1200多个,盗取网络游戏40余款,盗取网游账号1000万之多,涉案金额高达3000余万元。
“温柔”木马入侵游戏账户1000万之多
2008年7月29日,江苏省公安厅互联网违法犯罪举报中心接到一网民举报,“徐州购物网有病毒,很严重。”接到这一举报后,江苏省公安厅网警总队与徐州市公安局网警支队,立即着手对“徐州购物网”进行了技术分析。分析的结果让民警大吃一惊,网站服务器被安装了25款可疑程序,其中有15款是当前在互联网上非常流行的“温柔”系列木马程序。只要网络用户登录“徐州购物网”,电脑就会自动下载运行这些程序。而中了这些木马程序的玩家一旦登录,游戏账号以及密码就会被立即发送到木马所指定的一些邮箱内。
经过对“温柔”系列木马程序的追踪,警方发现自2008年6月,江苏省公安网警部门破获制作传播“大小姐”系列木马病毒特大团伙后,“温柔”系列木马病毒便迅速扩张。截至2008年8月,“温柔”系列木马病毒非法入侵各类网站1200多个、盗取的网络游戏达40余款,占领了全国盗号木马份额的50%,成为继“大小姐”团伙之后国内最大盗号木马团伙。
在与国内市场占有率最高的十家游戏商进行联系后,徐州警方调取了他们的后台数据。民警发现,有接近百分之四十的用户都被植入了这种“温柔”系列木马程序。据统计,被“温柔”系列木马程序所盗取的网游账号也达到了1000万之多。
虚拟财产也是真金白银
许多不了解网络游戏的人通常会提出这样的问题:“游戏里的东西不都是假的吗?不能吃也不能穿,有什么利益可图呢?”
其实不然,网络游戏大都是一种角色扮演游戏,比如“传奇”游戏,玩家角色的提升要靠杀死怪物来提高经验值,同时,武器装备也要通过杀死怪物来得到。玩家的装备越好,杀怪的速度也就越快。因此,一些极品装备正是每个玩家都梦寐以求的。许多游戏玩家都通宵达旦地守在电脑旁打装备,有人做过调查,游戏中一件极品装备的取得,往往需要玩家点击鼠标几亿次,甚至几十亿次才能获得。游戏中的虚拟财产也和现实中的真金白银一样,凝聚着玩家的劳动成果和心血。因此,虚拟的装备可以在现实中进行交易,一些玩家也不惜花重金来购买这些装备。
在调集了“温柔”系列木马盗号团伙的银行账号后,徐州警方发现,仅2008年6月到8月这两个月的时间,这一团伙银行账号所流转的资金就高达2400万人民币,而具体的涉案金额应该在3000万元人民币左右。
“温柔”团伙浮出水面
“温柔”系列木马的大范围传播,直接导致了众多网络游戏用户账号、密码和虚拟装备被盗,网民反响强烈。从“温柔”木马涉案区域、涉案金额情况看,整个“温柔”系列木马程序“链性”团伙成员涉及四川、重庆、湖南、山东、河南、广东、广西、浙江、安徽、福建、云南、江苏、江西、上海、湖北、海南等16个省市。
2008年8月初,江苏省公安厅网警总队向徐州市公安局网警支队下发了立案通知书,随后公安部专门下发文件,指定此案由徐州市公安局管辖。接到命令后,徐州市公安局领导十分重视这一案件,张丰程副局长亲自挂帅指挥案件的侦破工作,徐州市公安局开发区分局、云龙分局、市公安局网警支队全警参战。公安部、省公安厅有关领导和网侦专家亲自一线指导。
参战的民警们深知,早一日破案就会让成千上万的计算机用户少受一点损失。然而,网络世界是虚拟的,能够制作、传播“温柔“木马病毒的人又都是隐藏在网络世界的高手。那么,徐州警方会以什么为突破口从虚拟世界中将犯罪嫌疑人抓入法网呢?
“温柔”系列木马病毒的制作和传播者大都在夜间进行活动,这给侦破工作带来相当大的困难。为了实时了解跟踪犯罪团伙的动向,民警们也干脆打破自己生活规律,晚上工作白天睡觉。终于,经过近一个月的侦查,专案组逐步确定了“温柔”系列木马的写马、卖马(总代理、代理)、挂马、买卖流量、收信、洗信、第三方支付平台销赃等多个环节的80多名犯罪嫌疑人,他们分布在北京、湖南、山东、河南、广东、浙江、安徽,福建、云南、江苏等16个省市的50多个地级市。
警方奔赴千里抓嫌犯
“温柔”案件中,作案嫌疑人互不相识,仅通过网络工具定时、定点联系,然而组织机构又异常严密,上下线联系也非常频繁。这意味着,抓捕工作稍有不慎,就可能打草惊蛇,让嫌疑人望风而逃,以致案件前功尽弃。那么,面对这样一个人员众多、组织严密,地域上又十分分散的团伙,“温柔”专案组会如何开展抓捕行动呢?
为了执行这次抓捕任务,徐州市开发区分局全力以赴,徐州网监支队、徐州云龙分局加强配合,抽调了133名警界精英,并组织他们对取证工作进行了专门的培训。2008年8月24日,专案指挥部命令33个抓捕小组立即奔赴指定地点,对犯罪嫌疑人的身份、地址进行调查确定。
“温柔”系列木马病毒程序的总代理严一与陈兵是这起案件的关键性人物,他们是木马制造者与使用者之间的桥梁与纽带,是这次大规模抓捕的重点对象。2008年8月24日,负责抓捕总代理严一与陈兵的民警率先赶赴昆明。26日,在当地警方的配合下,徐州警方几经周折终于确定了严一与陈兵的两个可能藏身的地点,并迅速向专案指挥部作了汇报。由于分赴其他城市的抓捕组还没有完全到位,于是指挥部要求昆明抓捕组对两个可能藏身点进行蹲守。
昆明的天就像娃娃的脸说变就变。晚上10点多钟,天降大雨,街上早已空无一人。民警们只能瞪大了眼睛坐在面包车上进行蹲守。雨越下越大,而为了节省经费,民警所租的车辆车况一般,很多地方都漏着雨。为了躲雨,民警将车辆开到了大厦对面的屋檐下,而那个地方的蚊子太多了,民警们躲过了雨,但是躲不过蚊子的侵袭。为了不打草惊蛇,在车内蹲守的民警不敢开灯,也不敢发出太大的声音,车内很静,只有蚊子的嗡嗡声,就这样民警们一直守到了天亮。
昆明抓捕组只是分赴全国的33个抓捕组的一个缩影。而留守徐州的指挥部的民警也不轻松,他们必须保持24小时头脑清醒,随时应对可能发生的突发情况。饿了,就靠方便面充饥;困了,就趴在办公桌上休息。脑里想的是不断变化的案件进展,耳边听到的是不间断的电话铃声,眼里看到的是同事们不断忙碌的身影,手机每天都要换2-3次电池。经过5天5夜的艰苦鏖战,2008年8月27日18时,专案指挥部认为时机已经成熟,于是命令分赴在全国的33个抓捕组同时展开抓捕行动。
各抓捕小组在接到命令后迅速展开抓捕行动,从8月27日到9月3日,仅仅一周时间,在当地警方的配合下,徐州警方克服重重困难,共抓捕到案制作木马程序合伙人、传播木马总代理、一级代理、流量商、洗信人等重要团伙犯罪成员80名,扣押作案工具服务器、电脑主机、U盘等电子储存介质150余件,暂扣涉案赃款250余万元,圆满完成专案组先期制定的抓捕任务。
案情真相大白
经过徐州警方审理调查,“温柔”木马案件终于水落石出。犯罪嫌疑人吕天与曾可合作制作完成了“温柔”这一病毒,专门用于盗窃游戏玩家的账号、密码。2007年10月,他们找到了严一与陈兵,让他们作为“温柔”系列木马病毒的总代理向全国发售,并且经过预谋协商,约定了营利分成。自2007年10月至2008年3月,由吕天与曾可先后编写了针对国内流行的“QQ自由幻想”、“挑战”、“梦幻西游”、“赤壁”、“征途”、“魔兽世界”、“天龙八部”、“热血传奇”、“QQ魔芋”等40余款网络游戏的“温柔”系列木马程序并提供技术支持。
2008年3月,严一、陈兵在“温柔”网站打出广告,寻求分代理。很快,就形成了以严、陈二人为总代理,卢景、梁秋、黄鑫等人为销售分代理的网上传播销售网络。总代理将“温柔”系列木马盗号程序销售、传播给分代理,然后由分代理将木马按技术配置后提供给一些流量商人(租用木马服务器能够把木马挂到网站上的人),最后由流量商人针对不同游戏盗号木马以不同方式植入互联网一些网站。
在网民访问这些被植入“温柔”系列木马病毒的网站时,计算机就会自动下载木马程序并隐藏,一旦上网用户登录自己的游戏账户,木马程序就会自动运行,盗取游戏玩家输入的用户名和密码,并形成一封信(一个用户和密码称为一封信)存入代理预先租用的服务器内,“信”被流量商出售给洗信人,后经洗信人将盗取的“游戏信封”进行整体销售(转卖)或拆封(洗信)盗取游戏玩家的虚拟财产,并变卖得利。
这些犯罪嫌疑人通过互联网传播木马程序的行为,不仅侵害游戏玩家的利益,更严重的是破坏了网络游戏系统的安全运行,严重影响了各大网络游公司的生产经营秩序,造成了重大的经济损失。
记者了解到,自2008年3月到7月,短短的4个多月时间,木马制作者非法牟利120余万元;总代理(兼一级代理)层次非法牟利80余万元;一级代理、流量商层次非法牟利几万至几十万元不等,“洗信”盗卖游戏虚拟财产人员非法牟利几千至十余万元不等。
截至目前,特大制作、传播“温柔”系列木马团伙中归案人员已达110人。据了解,徐州市鼓楼区人民法院近日将对这起震惊全国的网络大案进行审理。
(注:文中当事人系化名)
通讯员 陈琛
快报记者 邢志刚