对有关病毒木马的案例分析 .pdfVIP

可编辑

对有关病毒木马的案例分析

通过学习网络安全法律法规，我们对“大小姐木马”与“熊猫

烧香病毒”做出了学习与分析。

一、“大小姐”病毒起因与发展。

2008年5月6日，南京市公安局网络警察支队接江苏省水利厅报

案称，该厅政务网站“江苏水利网”页面无法打开，怀疑疑被黑客侵

入。

据了解，江苏省水利厅网站主要承担公文办理、汛情下达等重要任

务，日访问量在5000人次。当时，江苏全省已进入汛期，该网站能

否正常运行将直接影响全省防汛工作。南京市公安局网络警察支队将

其立为破坏计算机信息系统案侦查，并迅速会同鼓楼公安分局抽调精

干警力，成立“5·6”专案组。

攻击是为植入“大小姐”木马专案组围绕省水利厅网站被黑客攻

击案，迅速开展勘查取证、侦查侦控、追查抓捕等侦查工作。去年5

月14日至6月6日，专案组在湖北宜昌、广西桂林、湖北潜江等地

抓获何某等6名犯罪嫌疑人，成功侦破水利厅网站被攻击案。

在侦破水利厅网站被攻击案件过程中，专案组发现，这些人攻击

水利厅网站的目的，是为了在该网站上植入一款名为

精品

可编辑

“大小姐”的木马盗号程序。而这个“大小姐”木马早已臭名昭著，

不少网络游戏账号均被该木马程序盗取过。

这一情况引起公安部高度重视，公安部指定南京市公安局管辖此

案，并于7月1日挂牌督办本案。专案组经艰苦工作，分别于6月

13日在上海、6月24日在四川广元、绵阳、10月10日在湖南长沙

抓获了制作、传播“大小姐”系列木马，破坏计算机信息系统犯罪团

伙的组织者王某、作者龙某及销售总代理周某等10人。犯罪嫌疑人

王某以牟利为目的，自2006年下半年开始，雇用犯罪嫌疑人龙某先

后编写了四十余款针对国内流行网络游戏的盗号木马。王某拿到龙某

编写的木马程序后，对外谎称为自己所写，同时寻找代理人进行销售，

先后通过周某等人在网上总代理销售木马，该木马系列在传播销售时

被命名为“大小姐”木马。购买了“大小姐”木马的犯罪嫌疑人，

则分别针对“QQ自由幻想”、“武林外传”、“征途”、“问道”、“梦幻

西游”等网络游戏进行盗号。今年2月23日，专门负责盗号并销售

游戏装备的犯罪嫌疑人张某在湖南益阳落网。在他的账户中，警方查

获现金30余万元；2007年以来，张某已支付给王某700余万元。而

王某靠销售“大小姐”木马，已非法获利1400余万元。据介绍，这

些人先将非法链接植入正规网站，用户访问网站后，会自动下载盗号

木马。当用户登录游戏账号时，游戏账号就会自动被盗取。嫌疑人将

盗来的账号直接销售或者雇佣人员将账号内的虚拟财产转移出后销

售牟利。

精品

可编辑

二、中国破获的国内首例制作计算机病毒的大案“熊猫烧香病毒”

[2007年2月12日]湖北省公安厅12日宣布，根据统一部署，湖

北网监在浙江、山东、广西、天津、广东、四川、江西、云南、

新疆、河南等地公安机关的配合下，一举侦破了制作传播“熊猫

烧香”病毒案，抓获病毒作者李俊（男，25岁，武汉新洲区人），

他于2006年10月16日编写了“熊猫烧香”病毒并在网上广泛传播，

并且还以自己出售和由他人代卖的方式，在网络上将该病毒销售

给120余人，非法获利10万余元。

其他重要犯罪嫌疑人：雷磊（男，25岁，武汉新洲区人）、王

磊（男，22岁，山东威海人）、叶培新（男，21岁，浙江温州人）、

张顺（男，23岁，浙江丽水人）、王哲（男，24岁，湖北仙桃人）

通过改写、传播“熊猫烧香”等病毒，构建“僵尸网络”，通过

盗窃各种游戏账号等方式非法牟利。

这是中国近些年来，发生比较严重的一次。影响较多公司，

造成较大的损失。且对于一些疏于防范的用户来说，该病毒导致

较为严重的损失。

由于此病毒可以盗取用户名与密码，因此，带有明显的牟利

目的。所以，作者才有可能将此病毒当作商品出售，与一般的病

毒制作者只是自娱自乐、或显示威力、或炫耀技术有很大的不同。