2月28日《刑法修正案(七)》经批准后公布,根据新增的条款,南京鼓楼检察院近日以“非法侵入计算机信息系统罪”对一起盗号木马案提起公诉,使此案成为全国首例提供程序工具“非法侵入计算机信息系统罪”起诉的案件。
在这起案件的审查过程中,网络交易记录如何甄别,电子证据该如何固定,从未谋面的犯罪嫌疑人,可否认定为犯罪团伙?这些都是新类型案件摆在侦查人员面前的难题。
3月2日,南京市鼓楼区检察院的曹立检察官拿着一份起诉资料说,根据2月28日公布的《刑法修正案(七)》,这一起制作、传播“大小姐”盗号木马的案件于近日以“非法侵入计算机信息系统罪”起诉,这是全国首例以“非法侵入计算机信息系统罪”罪名起诉的案件(本报2月25日1版《南京警方破获“大小姐”木马案》对此曾进行过报道。)
2008年8月23日,“大小姐”木马案被移送到鼓楼检察院审查起诉,检察官们审查发现,这起案件错综复杂,是前所未见的高智商、高科技的新类型犯罪。
编程高手与“木马计”
这起案件的犯罪嫌疑人王业,是个只有初中学历的无业青年,四川绵阳人。他经常在网上花一两元钱下载一些木马病毒,再以几倍甚至是几十倍的价格卖给“菜鸟”们,挣些零钱花花,但利用这些半公开的木马挣钱总是不长久,很快就被杀毒软件杀掉。王业虽然学无所长,但他头脑灵活,他在“小本经营”时,发现QQ以及游戏的盗号木马最好销,如果能找个人根据不同的游戏制作不同的盗号木马,并且能根据杀毒软件不断升级的话,岂不是赚大了?于是,一个他自以为完美的“木马计”出炉了。
龙二是湖北武汉人,尽管通过自学成为编程高手,但由于学历不过硬,因此在求职时屡屡碰壁。这天,闲来无事的他在网上闲逛,看到了王业的招聘启事,两人一拍即合。2007年初,王业以每月2000元的薪酬聘请龙二为其编写盗号木马程序。
龙二不愧为编程高手,他着手编写木马程序后,很快就针对“征途”、“QQ自由幻想”、“问道”、“武林外传”等热门网络游戏,制作了四十多个不同的盗号木马,基本上三四天就能制作出一个木马病毒。这些木马都是嵌入式木马,嵌入一些防备较差的网站后,只要用户登陆这些被入侵的网站,用户的账号、密码就被窃取,账号上的游戏装备、Q币等虚拟财产就流入到王业等人的手中。被入侵的网站对这些病毒都感到很棘手,上海某政府网站被此病毒入侵后,杀毒无效,只好重建网站,没想到网站重建后,病毒仍然存在,可见其病毒的厉害。
龙二工作勤恳,制作木马水平也相当高,为了留住这个人才,王业将龙二的薪酬涨到每月4000元,在当时这也算是高工资了,龙二对此相当满意。但他并不知道,据王业自称,他制作的木马3个月挣来了3000万!
在检察官对王业进行讯问时,王业还说:“千万别告诉龙二我挣了多少钱,否则他要恨死我的!”
从未谋面的犯罪团伙
2008年2月,王业与浙江宁波的周山在网上相识,周山有着浙商的商业敏感与经营能力,王业告诉周山,谎称自己编写了几十个针对游戏的木马程序,周山在了解情况后,认为这些“小木马”有着“大商机”,于是,周山提出由他与朋友许四来当“木马总经销”,所得利润与王业五五分成,王业从言谈中发现周山很有经营头脑,可能扩大其收益,当下同意了。
周山接手后,马上对盗号木马进行了包装,统一称之为“大小姐木马”,并为“大小姐”申请了QQ专用号100000858作为网上总代理,此外,还申请了专门的网银账号、支付宝账号等。
随即,周、许二人又开始发展下线,他们以包断的方式,将“大小姐”木马中,针对不同游戏的木马包给不同的人,业内称这些人为“包马人”。根据游戏用户量不同,“包马人”必须付给“总经销”每月1万元到8万元不等,周山收到款后,将“大小姐”的木马生成器、收信程序以及更新版本通过QQ传给这些“包马人”。
周伍就是游戏“QQ自由幻想”的“包马人”,在接手这一款木马后,周伍盗取了无数游戏用户的账号,这些账号被“包马人”称为“信”,经过“洗信”(即将没有虚拟财产的“信”剔除),得到2000多个有效的“信”,通过变卖这些“信”里的虚拟财产,他一个人就获利百万元。
其他的“包马人”还有:陈六,他包下了针对“武林外传”的盗号木马,每月支付“包马费”1.2万元,后涨至1.5万元;盛七以每月2.5万元价格包下“征途”的盗号木马;范八以每月2.5万元包下“问道”的盗号木马;杨九以每月2万的价格包下“梦幻西游”的盗号木马……
“包马人”通过直接在网上传播、转卖,以及雇佣他人盗号等方式牟利,同时他们又发展其下线,称为“站长”。陈六就将“武林外传”的盗号木马发送给何十、吴十一等“站长”,由他们租用服务器放置木马,这些“站长”下线是“流量商人”,由他们来扩大木马的传播,同时“站长”们又从“流量商人”那儿收购大流量的“信”。杨某、郭某、程某等“流量商人”拿到木马后,疯狂攻击一些网站,甚至连政府网站也不放过,江苏、上海的一些政府网站也被嵌入病毒链接,以劫持这些网站的用户下载“流量商人”种下的木马。
2008年5月5日,由于“大小姐”入侵,江苏某厅政府网站陷入瘫痪,并由此案发。公安机关随即展开侦查。
2008年的夏天,这些“大小姐”背后的神秘黑客们,因为从来没有见过面,他们决定在上海聚会,为其中一人庆贺生日。对他们久已关注的公安机关,通过技术侦查获得此信息后,对他们进行了抓捕,并从他们随身携带的十余台笔记本电脑中,获取了大量的电子证据,这为后来此案的侦查带来很大的便利。
四次移送终起诉
这些交易记录如何甄别?哪些与本案有关,哪些是一般性交易记录?还有电子证据该如何固定?比如说,网上交易时,“支付宝”仅对交易记录保存两个月,没有交易记录的部分应如何固定证据?面对这些新类型证据,又如何认定?对于这些从未谋面的犯罪嫌疑人,可否认定为犯罪团伙?这都是摆在侦查人员面前的新难题。
2008年8月23日,这起木马案由公安机关移送至南京市鼓楼区检察院审查起诉。检察官们审查发现,这一类案件受害人非常不确定,因为大多数人虚拟财产遭窃后,都会自认倒霉,大都不会选择报警;另外,此类案件的案值也很难确定,尽管王业供述,他生意最好的时候,曾经3个月就挣了3000万,但在实际的审查过程中,只有数百万案值被确定。
在对涉案人员进行依法讯问后,本着对这起案件负责的态度,检察院以证据不足,事实不清为由,先后三次将本案退回公安机关补充侦查。
2月9日,公安机关第四次将此案移送审查起诉。
曹立说,多次退回补充侦查,是执法机关慎重办案的表现。因为这种新类型案件中,证据的取得、电子证据的固定与认定,都无先例可援。一方面,公安机关作出了大量的工作,他们面对的是海量信息,仅其中一人的交易记录他们就打印了800多页,更不要说那些聊天记录了。另一方面,检察机关及时介入此案,补充侦查时,对于证据如何以合适的程序调取、如何鉴定、如何转化等,检察院都给予侦查工作很多检察建议,并最终形成证据锁链。
这个占据我国木马盗号程序市场60%的“大小姐官司”,终于因其情节严重,危害特别大,而终于进入起诉阶段。(文中涉案人物为化名)