國(guó)內(nèi)黑客第5大高手編寫盜號(hào)木馬被抓

Win7之家（ airtaxifl.com）：國(guó)內(nèi)黑客第5大高手編寫盜號(hào)木馬被抓

      計(jì)算機(jī)程序員關(guān)雷(化名)號(hào)稱國(guó)內(nèi)黑客第5大高手，有著一份外人羨慕的高薪工作�？伤�居然鬼使神差地答應(yīng)了“朋友”的邀請(qǐng)，編寫并發(fā)布盜號(hào)木馬，供盜號(hào)團(tuán)伙盜取“傳奇世界”、“冒險(xiǎn)島”、“永恒之塔”等游戲里玩家的賬號(hào)密碼，他則從中收取維護(hù)升級(jí)木馬的勞務(wù)費(fèi)。南京幾個(gè)玩家失竊后向警方報(bào)了案，經(jīng)偵查，公安網(wǎng)監(jiān)部門抓獲了關(guān)雷、孫立光，以及購(gòu)買木馬并實(shí)施盜號(hào)的李駿等8個(gè)下家。將這個(gè)網(wǎng)絡(luò)犯罪團(tuán)伙，從木馬程序作者到批發(fā)商，再到盜號(hào)實(shí)施者以及掛網(wǎng)流量商來(lái)了個(gè)“一鍋端”。

　　他倆是上線

　　黑客高手應(yīng)邀改裝木馬

　　1980年出生的關(guān)雷大學(xué)讀的是數(shù)學(xué)專業(yè)，由于愛好計(jì)算機(jī)成了一名高手，就職于北京一家計(jì)算機(jī)信息公司任程序員，號(hào)稱國(guó)內(nèi)黑客第5大高手，他的網(wǎng)名“帝國(guó)大叔”和QQ號(hào)長(zhǎng)期位列國(guó)內(nèi)網(wǎng)絡(luò)頂級(jí)黑客排行榜。記者搜索了該排行榜，果然發(fā)現(xiàn)與關(guān)雷資料吻合的人，屬于頂級(jí)黑客之一。2008年年底，有個(gè)叫“遠(yuǎn)洋”的網(wǎng)友慕名加了關(guān)雷的QQ，“遠(yuǎn)洋”和關(guān)雷聊天說(shuō)自己有個(gè)網(wǎng)站，老是被人攻擊，想請(qǐng)關(guān)雷幫忙做安全維護(hù)，他每個(gè)月付給關(guān)雷一兩千元維護(hù)費(fèi)。關(guān)雷當(dāng)時(shí)就上了“遠(yuǎn)洋”提供的網(wǎng)站地址，發(fā)現(xiàn)已經(jīng)被人攻擊了，身為高手的他很快找到了漏洞并給補(bǔ)上，隨后，“遠(yuǎn)洋”信守諾言地將1000元錢打給關(guān)雷。從那以后，“遠(yuǎn)洋”的網(wǎng)站一旦遭到攻擊，他就找關(guān)雷給維護(hù)，并打款將費(fèi)用付給關(guān)雷。

　　2009年八九月間，這兩個(gè)網(wǎng)友的關(guān)系處得比較熟絡(luò)了。一天，“遠(yuǎn)洋”和關(guān)雷在QQ上聊天，說(shuō)起做游戲的盜號(hào)木馬很賺錢，并從網(wǎng)上發(fā)給關(guān)雷一個(gè)木馬，讓他破解看看。

　　這個(gè)技術(shù)對(duì)關(guān)雷來(lái)說(shuō)還不是小菜一碟，他很快破解了。關(guān)雷通過(guò)脫殼、免殺、再加殼等程序，做成一個(gè)改良版的木馬生成器。一切搞定后，關(guān)雷將改好的木馬發(fā)給“遠(yuǎn)洋”，“遠(yuǎn)洋”測(cè)試后回復(fù)“可以使用”，但這個(gè)木馬沒有賣出去，因此就不付錢給關(guān)雷了。過(guò)了幾天，“遠(yuǎn)洋”又給關(guān)雷發(fā)來(lái)一個(gè)“新奇跡世界”游戲的盜號(hào)木馬，關(guān)雷如法炮制地破解、修改后回傳，這一次“遠(yuǎn)洋”反饋說(shuō)賣掉了，很快給關(guān)雷的卡上匯去5000元錢。

　　閉著眼睛掙了20多萬(wàn)“閑錢”

　　關(guān)雷交代，他后來(lái)又給“遠(yuǎn)洋”做過(guò)“魔獸世界”、“冒險(xiǎn)島”、“永恒之塔”等游戲木馬，他給自己的木馬加殼，一來(lái)逃避殺毒軟件的查殺，二來(lái)可減少木馬的占用空間，三來(lái)通過(guò)給木馬加密，也要防止別人偷他的木馬。“遠(yuǎn)洋”收到木馬后在網(wǎng)絡(luò)批發(fā)出賣，因?yàn)榫W(wǎng)絡(luò)游戲會(huì)不時(shí)地更新，因此木馬也需要更新修改，這更新維護(hù)的活也只有關(guān)雷能干，有時(shí)“遠(yuǎn)洋”還給他發(fā)來(lái)新的木馬樣本，由關(guān)雷負(fù)責(zé)破解。游戲木馬提供給“遠(yuǎn)洋”后，關(guān)雷每隔一兩個(gè)星期就要更新維護(hù)一次，“遠(yuǎn)洋”按月給他的銀行卡打錢，開始的幾個(gè)月每個(gè)月支付幾千元，隨著工作量的加大，后來(lái)每個(gè)月的報(bào)酬達(dá)到一兩萬(wàn)元。2010年9月，“遠(yuǎn)洋”付給關(guān)雷的錢越來(lái)越少，說(shuō)是木馬不好賣，關(guān)雷就不想再做了，接下來(lái)的兩個(gè)月里，“遠(yuǎn)洋”不斷地催促他繼續(xù)做維護(hù)，關(guān)雷給他做了“冒險(xiǎn)島”、“永恒之塔”、“龍之谷”三個(gè)木馬的免殺，收到“遠(yuǎn)洋”的10000元錢后，就再也看不到對(duì)方上線了，關(guān)雷心里也犯嘀咕，心想“遠(yuǎn)洋”怕是給抓起來(lái)了。其實(shí)，關(guān)雷幫“遠(yuǎn)洋”做事一直有擔(dān)憂，兩人緊密聯(lián)系了一段時(shí)間后，他覺得自己的QQ號(hào)用得太多了，感覺早晚要出事，于是換了個(gè)QQ號(hào)與“遠(yuǎn)洋”聯(lián)系。

　　“遠(yuǎn)洋”前后共給關(guān)雷匯了二十多萬(wàn)元，關(guān)雷的程序員工作收入本就不菲，生活中他并不缺錢，這些錢打到卡上后他也一直沒用過(guò)。

　　關(guān)雷知道這些木馬可以將游戲的密碼、賬號(hào)、游戲里的角色、二級(jí)密碼、游戲金幣等參數(shù)一起發(fā)送到指定的地址，而且根據(jù)“遠(yuǎn)洋”的要求，他在“冒險(xiǎn)島”和“永恒之塔”兩款游戲里給“遠(yuǎn)洋”留過(guò)后門，通過(guò)后門，“遠(yuǎn)洋”可以輕松截取游戲中各個(gè)玩家的游戲信息，盜號(hào)更是小菜一碟，但他并沒有去追問(wèn)“遠(yuǎn)洋”購(gòu)買這些木馬程序的目的，而是選擇“睜一只眼閉一只眼”，幫助“遠(yuǎn)洋”更新和維護(hù)木馬程序。

　　這樣的合作直到今年1月，南京接連有三個(gè)玩家發(fā)現(xiàn)游戲裝備被盜，有個(gè)玩家連游戲密碼都被人改掉了，三人先后向警方報(bào)了案。南京警方網(wǎng)監(jiān)部門經(jīng)偵查，于1月11日在北京將關(guān)雷抓獲。

　　木馬批發(fā)商獲利買輛車

　　“遠(yuǎn)洋”的真名叫孫立光，沈陽(yáng)人，他有個(gè)網(wǎng)站做外掛下載，因?yàn)闀r(shí)常被人攻擊所以慕名找到關(guān)雷。這期間看到別人賣木馬賺了錢，并且聽說(shuō)木馬盜號(hào)一個(gè)月能掙10萬(wàn)元，加之網(wǎng)上有人聯(lián)系他買木馬，怎奈自己沒這個(gè)技術(shù)，于是請(qǐng)關(guān)雷來(lái)寫木馬程序，先后讓關(guān)雷給他寫了“奇跡世界”等六款木馬程序。孫立光轉(zhuǎn)手在網(wǎng)上的QQ群里叫賣，先后把木馬批發(fā)賣給了網(wǎng)名叫“90后”的網(wǎng)友。由于網(wǎng)絡(luò)游戲會(huì)定期升級(jí)，孫立光賣出的木馬也需要定期做相應(yīng)的修改，于是孫立光和“90后”談好每個(gè)月要收取維護(hù)費(fèi)，其中“奇跡世界”每個(gè)月費(fèi)用為五六千元，“冒險(xiǎn)島”是每個(gè)月7000-10000元，“永恒之塔”頭一個(gè)月是15000元，之后每個(gè)月略有減少。孫立光每個(gè)月通過(guò)網(wǎng)絡(luò)和“90后”結(jié)算后，按10%-20%給關(guān)雷提成，孫立光給關(guān)雷的木馬做獨(dú)家代理，充當(dāng)二道販子短短幾個(gè)月就獲利7.5萬(wàn)元，他瀟灑地買了輛中華轎車開起來(lái)。

　　他們是下家

　　買馬者設(shè)工作室“洗信”盜號(hào)

　　孫立光的下家“90后”是遠(yuǎn)在廣西柳州的李駿。早在2008年，李駿的同學(xué)胡軍在玩“奇跡世界”游戲時(shí)認(rèn)識(shí)一個(gè)玩家，對(duì)方告訴他通過(guò)“洗信”可以賺錢，還能獲得好的裝備，當(dāng)時(shí)對(duì)方發(fā)給他“奇跡世界”的10個(gè)賬號(hào)和密碼，胡軍付給玩家30元，他把買來(lái)賬號(hào)上的裝備轉(zhuǎn)移到自己的賬號(hào)上，對(duì)比了一下如果花錢買要花100多元，于是動(dòng)心想做“洗信”的買賣，和同學(xué)李駿商量后一拍即合。

　　2009年夏天，李駿出資購(gòu)買了電腦，聘請(qǐng)胡軍等人成立了一個(gè)“洗信工作室”，所謂的“洗信”就是盜取游戲玩家的賬戶和密碼。李駿負(fù)責(zé)在網(wǎng)上聯(lián)系賣木馬的，和賣家熟悉后就交給同學(xué)胡軍保持聯(lián)系，胡軍同時(shí)負(fù)責(zé)“洗信”。生意好的時(shí)候，洗信工作室每個(gè)月能掙2萬(wàn)元，李駿按工作室利潤(rùn)的兩成分給胡軍，對(duì)于其他雇來(lái)的洗信操作人員，則根據(jù)工作量每月發(fā)給他們1500-2000元工資。從“洗信工作室”成立到案發(fā)被抓，李駿和胡軍共獲利15萬(wàn)元左右，他倆的同學(xué)王長(zhǎng)竹得知后也想搞這一行，于是向李駿討教，李駿把他們已經(jīng)洗過(guò)的“二手信”發(fā)給他，讓剛?cè)腴T的王長(zhǎng)竹先熟悉熟悉。

　　2010年11月18日早上，南京玩家小強(qiáng)上網(wǎng)時(shí)驚奇地發(fā)現(xiàn)，自己在“奇跡世界”游戲61區(qū)的游戲裝備被偷了，裝備市值2000元左右，這些裝備有的是他在游戲里購(gòu)買的，有的是在游戲里自己制作的，花的都是游戲幣，而游戲幣是他先后花了1萬(wàn)多元人民幣充值后換取的。小強(qiáng)開始不清楚賬號(hào)是如何被盜的，后來(lái)他上網(wǎng)查詢了一番，得知是中了一種木馬，于是到公安機(jī)關(guān)報(bào)了案。南京警方先后接到數(shù)位游戲玩家的類似報(bào)案，網(wǎng)監(jiān)部門立案后展開偵查，先后將李駿、胡軍、孫立光和關(guān)雷等人抓獲。

　　合作伙伴開“后門”吃里扒外

　　李駿落網(wǎng)后交代，他們通過(guò)流量商在網(wǎng)上掛木馬，游戲玩家一旦瀏覽了流量商掛木馬的網(wǎng)站，就會(huì)自動(dòng)下載木馬，木馬就會(huì)把玩家輸入的賬號(hào)和密碼以及游戲種類、玩家身份等信息(即盜號(hào)者所稱的“信”)發(fā)到指定的網(wǎng)頁(yè)里。李駿通過(guò)胡軍及其他雇員操作，獲取賬號(hào)和密碼進(jìn)入這款游戲，找到這個(gè)玩家的身份名，隨即進(jìn)入玩家的角色，將玩家的裝備洗出來(lái)拿到網(wǎng)上交易，由于別的玩家都不愿以現(xiàn)金直接交易，他們就將裝備換成游戲幣后再交易換成現(xiàn)金。

　　李駿只負(fù)責(zé)出資，“洗信工作室”的具體事務(wù)都交給胡軍去做，他只是每天登錄木馬作者制作的網(wǎng)頁(yè)，通過(guò)網(wǎng)頁(yè)查看收到的信掌握流量。這個(gè)網(wǎng)頁(yè)行話叫“箱子”，他將“箱子”的地址發(fā)給胡軍和其他工作室成員，由他們直接登錄，按照各自分工的區(qū)域來(lái)洗信。李駿開始并不太懂“箱子”的奧秘，到后來(lái)他漸漸感到洗出來(lái)的“信”越來(lái)越少，經(jīng)過(guò)一番調(diào)查這才發(fā)現(xiàn)胡軍背著自己留了個(gè)后門，把洗出的信截留10%悄悄賣給王長(zhǎng)竹，先后賣出七八百封信獲利兩三千元。原來(lái)，王長(zhǎng)竹發(fā)現(xiàn)李駿發(fā)給自己的都是洗過(guò)的“二手信”，轉(zhuǎn)而找到胡軍求購(gòu)，李駿、胡軍及洗信工作室其他成員落網(wǎng)后，王長(zhǎng)竹也一并被抓獲歸案，本案中同時(shí)落網(wǎng)的，還有為洗信工作室掛網(wǎng)出售流量的成都人伍山。伍山交代，他在網(wǎng)上接受廣西網(wǎng)友“90后”委托將木馬掛網(wǎng)，對(duì)方盜得一個(gè)游戲賬號(hào)付他4元錢。伍山通過(guò)朋友買到某網(wǎng)站的權(quán)限后，將“90后”交給他的木馬掛了上去，短短一天半時(shí)間就進(jìn)了50多封信，拿到“90”后匯來(lái)的200多元后，他覺得這活計(jì)輕松又賺錢，便專心干起這個(gè)買賣，四五個(gè)月便賺了1.2萬(wàn)余元。(文中人物、網(wǎng)名均為化名)

　　通訊員 孟軍 孫長(zhǎng)慶

　　本報(bào)記者 魏曉昕

　　中國(guó)頂級(jí)黑客網(wǎng)絡(luò)資料(2010版)

　　sunwear

　　日娃哥。EST核心成員。圈內(nèi)皆知他手握很多未公開漏洞。滲透入侵和漏洞方面的高手，曾是編程內(nèi)核牛人。曾經(jīng)入侵過(guò)世界頂級(jí)黑客組織Metasploit，劍橋大學(xué)等眾多高端機(jī)構(gòu)。幾年前的世界最頂級(jí)兩大黑客大會(huì)defcon和blackhat都對(duì)他有過(guò)報(bào)道。

　　刺

　　刺哥，大風(fēng)哥。身材瘦弱。是中國(guó)黑客圈內(nèi)純技術(shù)黑客組織幻影旅團(tuán)創(chuàng)始人。中國(guó)頂級(jí)黑客之一。目前好像就職于淘寶公司網(wǎng)絡(luò)安全部門。也是手握很多未公開漏洞的人。很多影響力很大的0day都是出自幻影旅團(tuán)。WebZine的發(fā)起人。并且發(fā)展過(guò)WIKI的系統(tǒng)。還曾遠(yuǎn)赴美國(guó)參加世界頂級(jí)黑客大會(huì)blackhat。

　　dm

　　國(guó)內(nèi)頂級(jí)地下黑客組織0x557核心成員。是漏洞挖掘、利用方面的高手。不用說(shuō)，手里的漏洞也是多的可以批發(fā)了。目前就職于世界著名反病毒殺毒軟件公司麥咖啡(剛剛被intel收購(gòu))�，F(xiàn)在還寫起了iphone,ipad下的安全軟件�？磥�(lái)是個(gè)全能選手。

　　tombkeeper

　　于某。傳說(shuō)中的tk教主。國(guó)內(nèi)著名黑客組織安全焦點(diǎn)核心成員。就職于綠盟科技，俗稱婦科圣手。對(duì)windows操作系統(tǒng)以及漏洞等方面的研究可以說(shuō)是非常精通。而在安全焦點(diǎn)論壇，最近幾年一直被人奉為TK教主。對(duì)于其他領(lǐng)域的科學(xué)也有著獨(dú)到的見解。文筆思想也是很獨(dú)特的。

　　isno

　　安全焦點(diǎn)核心成員之一。目前就職于北京一家公司。曾經(jīng)寫過(guò)很多漏洞溢出方面的分析利用文章(WEBDAV,IDQ,IDA等)。exploit也寫過(guò)很多�，F(xiàn)在較為低調(diào)。