國內(nèi)黑客第5大高手編寫盜號木馬被抓

Win7之家（ afsion.com.cn）：國內(nèi)黑客第5大高手編寫盜號木馬被抓

      計算機程序員關(guān)雷(化名)號稱國內(nèi)黑客第5大高手，有著一份外人羨慕的高薪工作。可他居然鬼使神差地答應(yīng)了“朋友”的邀請，編寫并發(fā)布盜號木馬，供盜號團伙盜取“傳奇世界”、“冒險島”、“永恒之塔”等游戲里玩家的賬號密碼，他則從中收取維護升級木馬的勞務(wù)費。南京幾個玩家失竊后向警方報了案，經(jīng)偵查，公安網(wǎng)監(jiān)部門抓獲了關(guān)雷、孫立光，以及購買木馬并實施盜號的李駿等8個下家。將這個網(wǎng)絡(luò)犯罪團伙，從木馬程序作者到批發(fā)商，再到盜號實施者以及掛網(wǎng)流量商來了個“一鍋端”。

　　他倆是上線

　　黑客高手應(yīng)邀改裝木馬

　　1980年出生的關(guān)雷大學(xué)讀的是數(shù)學(xué)專業(yè)，由于愛好計算機成了一名高手，就職于北京一家計算機信息公司任程序員，號稱國內(nèi)黑客第5大高手，他的網(wǎng)名“帝國大叔”和QQ號長期位列國內(nèi)網(wǎng)絡(luò)頂級黑客排行榜。記者搜索了該排行榜，果然發(fā)現(xiàn)與關(guān)雷資料吻合的人，屬于頂級黑客之一。2008年年底，有個叫“遠洋”的網(wǎng)友慕名加了關(guān)雷的QQ，“遠洋”和關(guān)雷聊天說自己有個網(wǎng)站，老是被人攻擊，想請關(guān)雷幫忙做安全維護，他每個月付給關(guān)雷一兩千元維護費。關(guān)雷當(dāng)時就上了“遠洋”提供的網(wǎng)站地址，發(fā)現(xiàn)已經(jīng)被人攻擊了，身為高手的他很快找到了漏洞并給補上，隨后，“遠洋”信守諾言地將1000元錢打給關(guān)雷。從那以后，“遠洋”的網(wǎng)站一旦遭到攻擊，他就找關(guān)雷給維護，并打款將費用付給關(guān)雷。

　　2009年八九月間，這兩個網(wǎng)友的關(guān)系處得比較熟絡(luò)了。一天，“遠洋”和關(guān)雷在QQ上聊天，說起做游戲的盜號木馬很賺錢，并從網(wǎng)上發(fā)給關(guān)雷一個木馬，讓他破解看看。

　　這個技術(shù)對關(guān)雷來說還不是小菜一碟，他很快破解了。關(guān)雷通過脫殼、免殺、再加殼等程序，做成一個改良版的木馬生成器。一切搞定后，關(guān)雷將改好的木馬發(fā)給“遠洋”，“遠洋”測試后回復(fù)“可以使用”，但這個木馬沒有賣出去，因此就不付錢給關(guān)雷了。過了幾天，“遠洋”又給關(guān)雷發(fā)來一個“新奇跡世界”游戲的盜號木馬，關(guān)雷如法炮制地破解、修改后回傳，這一次“遠洋”反饋說賣掉了，很快給關(guān)雷的卡上匯去5000元錢。

　　閉著眼睛掙了20多萬“閑錢”

　　關(guān)雷交代，他后來又給“遠洋”做過“魔獸世界”、“冒險島”、“永恒之塔”等游戲木馬，他給自己的木馬加殼，一來逃避殺毒軟件的查殺，二來可減少木馬的占用空間，三來通過給木馬加密，也要防止別人偷他的木馬�！斑h洋”收到木馬后在網(wǎng)絡(luò)批發(fā)出賣，因為網(wǎng)絡(luò)游戲會不時地更新，因此木馬也需要更新修改，這更新維護的活也只有關(guān)雷能干，有時“遠洋”還給他發(fā)來新的木馬樣本，由關(guān)雷負責(zé)破解。游戲木馬提供給“遠洋”后，關(guān)雷每隔一兩個星期就要更新維護一次，“遠洋”按月給他的銀行卡打錢，開始的幾個月每個月支付幾千元，隨著工作量的加大，后來每個月的報酬達到一兩萬元。2010年9月，“遠洋”付給關(guān)雷的錢越來越少，說是木馬不好賣，關(guān)雷就不想再做了，接下來的兩個月里，“遠洋”不斷地催促他繼續(xù)做維護，關(guān)雷給他做了“冒險島”、“永恒之塔”、“龍之谷”三個木馬的免殺，收到“遠洋”的10000元錢后，就再也看不到對方上線了，關(guān)雷心里也犯嘀咕，心想“遠洋”怕是給抓起來了。其實，關(guān)雷幫“遠洋”做事一直有擔(dān)憂，兩人緊密聯(lián)系了一段時間后，他覺得自己的QQ號用得太多了，感覺早晚要出事，于是換了個QQ號與“遠洋”聯(lián)系。

　　“遠洋”前后共給關(guān)雷匯了二十多萬元，關(guān)雷的程序員工作收入本就不菲，生活中他并不缺錢，這些錢打到卡上后他也一直沒用過。

　　關(guān)雷知道這些木馬可以將游戲的密碼、賬號、游戲里的角色、二級密碼、游戲金幣等參數(shù)一起發(fā)送到指定的地址，而且根據(jù)“遠洋”的要求，他在“冒險島”和“永恒之塔”兩款游戲里給“遠洋”留過后門，通過后門，“遠洋”可以輕松截取游戲中各個玩家的游戲信息，盜號更是小菜一碟，但他并沒有去追問“遠洋”購買這些木馬程序的目的，而是選擇“睜一只眼閉一只眼”，幫助“遠洋”更新和維護木馬程序。

　　這樣的合作直到今年1月，南京接連有三個玩家發(fā)現(xiàn)游戲裝備被盜，有個玩家連游戲密碼都被人改掉了，三人先后向警方報了案。南京警方網(wǎng)監(jiān)部門經(jīng)偵查，于1月11日在北京將關(guān)雷抓獲。

　　木馬批發(fā)商獲利買輛車

　　“遠洋”的真名叫孫立光，沈陽人，他有個網(wǎng)站做外掛下載，因為時常被人攻擊所以慕名找到關(guān)雷。這期間看到別人賣木馬賺了錢，并且聽說木馬盜號一個月能掙10萬元，加之網(wǎng)上有人聯(lián)系他買木馬，怎奈自己沒這個技術(shù)，于是請關(guān)雷來寫木馬程序，先后讓關(guān)雷給他寫了“奇跡世界”等六款木馬程序。孫立光轉(zhuǎn)手在網(wǎng)上的QQ群里叫賣，先后把木馬批發(fā)賣給了網(wǎng)名叫“90后”的網(wǎng)友。由于網(wǎng)絡(luò)游戲會定期升級，孫立光賣出的木馬也需要定期做相應(yīng)的修改，于是孫立光和“90后”談好每個月要收取維護費，其中“奇跡世界”每個月費用為五六千元，“冒險島”是每個月7000-10000元，“永恒之塔”頭一個月是15000元，之后每個月略有減少。孫立光每個月通過網(wǎng)絡(luò)和“90后”結(jié)算后，按10%-20%給關(guān)雷提成，孫立光給關(guān)雷的木馬做獨家代理，充當(dāng)二道販子短短幾個月就獲利7.5萬元，他瀟灑地買了輛中華轎車開起來。

　　他們是下家

　　買馬者設(shè)工作室“洗信”盜號

　　孫立光的下家“90后”是遠在廣西柳州的李駿。早在2008年，李駿的同學(xué)胡軍在玩“奇跡世界”游戲時認(rèn)識一個玩家，對方告訴他通過“洗信”可以賺錢，還能獲得好的裝備，當(dāng)時對方發(fā)給他“奇跡世界”的10個賬號和密碼，胡軍付給玩家30元，他把買來賬號上的裝備轉(zhuǎn)移到自己的賬號上，對比了一下如果花錢買要花100多元，于是動心想做“洗信”的買賣，和同學(xué)李駿商量后一拍即合。

　　2009年夏天，李駿出資購買了電腦，聘請胡軍等人成立了一個“洗信工作室”，所謂的“洗信”就是盜取游戲玩家的賬戶和密碼。李駿負責(zé)在網(wǎng)上聯(lián)系賣木馬的，和賣家熟悉后就交給同學(xué)胡軍保持聯(lián)系，胡軍同時負責(zé)“洗信”。生意好的時候，洗信工作室每個月能掙2萬元，李駿按工作室利潤的兩成分給胡軍，對于其他雇來的洗信操作人員，則根據(jù)工作量每月發(fā)給他們1500-2000元工資。從“洗信工作室”成立到案發(fā)被抓，李駿和胡軍共獲利15萬元左右，他倆的同學(xué)王長竹得知后也想搞這一行，于是向李駿討教，李駿把他們已經(jīng)洗過的“二手信”發(fā)給他，讓剛?cè)腴T的王長竹先熟悉熟悉。

　　2010年11月18日早上，南京玩家小強上網(wǎng)時驚奇地發(fā)現(xiàn)，自己在“奇跡世界”游戲61區(qū)的游戲裝備被偷了，裝備市值2000元左右，這些裝備有的是他在游戲里購買的，有的是在游戲里自己制作的，花的都是游戲幣，而游戲幣是他先后花了1萬多元人民幣充值后換取的。小強開始不清楚賬號是如何被盜的，后來他上網(wǎng)查詢了一番，得知是中了一種木馬，于是到公安機關(guān)報了案。南京警方先后接到數(shù)位游戲玩家的類似報案，網(wǎng)監(jiān)部門立案后展開偵查，先后將李駿、胡軍、孫立光和關(guān)雷等人抓獲。

　　合作伙伴開“后門”吃里扒外

　　李駿落網(wǎng)后交代，他們通過流量商在網(wǎng)上掛木馬，游戲玩家一旦瀏覽了流量商掛木馬的網(wǎng)站，就會自動下載木馬，木馬就會把玩家輸入的賬號和密碼以及游戲種類、玩家身份等信息(即盜號者所稱的“信”)發(fā)到指定的網(wǎng)頁里。李駿通過胡軍及其他雇員操作，獲取賬號和密碼進入這款游戲，找到這個玩家的身份名，隨即進入玩家的角色，將玩家的裝備洗出來拿到網(wǎng)上交易，由于別的玩家都不愿以現(xiàn)金直接交易，他們就將裝備換成游戲幣后再交易換成現(xiàn)金。

　　李駿只負責(zé)出資，“洗信工作室”的具體事務(wù)都交給胡軍去做，他只是每天登錄木馬作者制作的網(wǎng)頁，通過網(wǎng)頁查看收到的信掌握流量。這個網(wǎng)頁行話叫“箱子”，他將“箱子”的地址發(fā)給胡軍和其他工作室成員，由他們直接登錄，按照各自分工的區(qū)域來洗信。李駿開始并不太懂“箱子”的奧秘，到后來他漸漸感到洗出來的“信”越來越少，經(jīng)過一番調(diào)查這才發(fā)現(xiàn)胡軍背著自己留了個后門，把洗出的信截留10%悄悄賣給王長竹，先后賣出七八百封信獲利兩三千元。原來，王長竹發(fā)現(xiàn)李駿發(fā)給自己的都是洗過的“二手信”，轉(zhuǎn)而找到胡軍求購，李駿、胡軍及洗信工作室其他成員落網(wǎng)后，王長竹也一并被抓獲歸案，本案中同時落網(wǎng)的，還有為洗信工作室掛網(wǎng)出售流量的成都人伍山。伍山交代，他在網(wǎng)上接受廣西網(wǎng)友“90后”委托將木馬掛網(wǎng)，對方盜得一個游戲賬號付他4元錢。伍山通過朋友買到某網(wǎng)站的權(quán)限后，將“90后”交給他的木馬掛了上去，短短一天半時間就進了50多封信，拿到“90”后匯來的200多元后，他覺得這活計輕松又賺錢，便專心干起這個買賣，四五個月便賺了1.2萬余元。(文中人物、網(wǎng)名均為化名)

　　通訊員 孟軍 孫長慶

　　本報記者 魏曉昕

　　中國頂級黑客網(wǎng)絡(luò)資料(2010版)

　　sunwear

　　日娃哥。EST核心成員。圈內(nèi)皆知他手握很多未公開漏洞。滲透入侵和漏洞方面的高手，曾是編程內(nèi)核牛人。曾經(jīng)入侵過世界頂級黑客組織Metasploit，劍橋大學(xué)等眾多高端機構(gòu)。幾年前的世界最頂級兩大黑客大會defcon和blackhat都對他有過報道。

　　刺

　　刺哥，大風(fēng)哥。身材瘦弱。是中國黑客圈內(nèi)純技術(shù)黑客組織幻影旅團創(chuàng)始人。中國頂級黑客之一。目前好像就職于淘寶公司網(wǎng)絡(luò)安全部門。也是手握很多未公開漏洞的人。很多影響力很大的0day都是出自幻影旅團。WebZine的發(fā)起人。并且發(fā)展過WIKI的系統(tǒng)。還曾遠赴美國參加世界頂級黑客大會blackhat。

　　dm

　　國內(nèi)頂級地下黑客組織0x557核心成員。是漏洞挖掘、利用方面的高手。不用說，手里的漏洞也是多的可以批發(fā)了。目前就職于世界著名反病毒殺毒軟件公司麥咖啡(剛剛被intel收購)�，F(xiàn)在還寫起了iphone,ipad下的安全軟件�？磥硎莻�全能選手。

　　tombkeeper

　　于某。傳說中的tk教主。國內(nèi)著名黑客組織安全焦點核心成員。就職于綠盟科技，俗稱婦科圣手。對windows操作系統(tǒng)以及漏洞等方面的研究可以說是非常精通。而在安全焦點論壇，最近幾年一直被人奉為TK教主。對于其他領(lǐng)域的科學(xué)也有著獨到的見解。文筆思想也是很獨特的。

　　isno

　　安全焦點核心成員之一。目前就職于北京一家公司。曾經(jīng)寫過很多漏洞溢出方面的分析利用文章(WEBDAV,IDQ,IDA等)。exploit也寫過很多�，F(xiàn)在較為低調(diào)。