木马制作的故事 木马病毒产业链的诞生

在希腊神话里，特洛伊木马背后是一个凄美的故事。可在如今的互联网世界里，木马背后隐藏着的是一条罪恶的产业链。如果不是因为上周，徐州市鼓楼区人民法院对“温柔木马”等11名犯罪嫌疑人的公开审理，这个王国里的黑幕或许依旧尘封。

新京报制图/林军明

目标 访问量大的“薄弱”网站

在整个犯罪集团的网络中，黑客首先攻击安全性较低的网站页面，在其中置入预先编辑好的木马病毒，这一过程即是传统意义上的“挂马”。

在此前“温柔木马”案中，犯罪嫌疑人就是利用木马感染了在徐州当地拥有较高访问量的“徐州购物网”，并大肆传播病毒。而来自奇虎公司360安全卫士的监测数据，国内多家网站都曾因为系统漏洞等原因成为黑客“挂马”的首选目标，其中不仅包括安全防范意识相对薄弱的政府网站、校园网站，众多知名的商业网站甚至杀毒软件官网也未能幸免。

上周，“温柔木马”案11名来自不同城市的被告向所有受损失的网民道歉”。但是这样的表态并没有得到网民的认同。

作为受害人之一的网游《征途》资深玩家夏先生说，尽管犯罪嫌疑人落网了，但自己的损失却没办法得到弥补。在过去的三年时间里，最惨的一次损失超过10万元。而按照运营商制定的游戏规则，此种因玩家电脑中毒导致的虚拟财产丢失，概不负责。

定罪 “破坏罪”或“盗窃罪”的争论

按照目前公开的资料，上述11名被告被提起公诉的罪名是“破坏计算机信息系统”，按照《刑法》的相关规定，应处五年以下有期徒刑或者拘役；后果特别严重的，处五年以上有期徒刑。

不过也有法律界人士认为，在“木马”产业链已经成型的情况下，“木马”的制造、销售方在从事上述活动时很明确地知道自己的所作所为是为了“盗窃本属于他人的虚拟财产”，因此应更多参考共同盗窃犯罪量刑。按照我国刑法规定，盗窃罪如果符合“数额特别巨大”，最高可处死刑。“数额特别巨大”被定义为“盗窃公私财物价值人民币3万元至10万元以上”。

“温柔木马”涉案金额高达3000万。负责审理此案的徐州市人民法院刑事审判法庭在审判结束后表示，由于此案线索复杂，牵涉面广，将在合议庭合议后择日宣判。

某知名法律界人士说，“当虚拟世界和现实世界交叉起来后，一部分人很容易发现，自己可以通过掌握的技术优势去伤害他人的虚拟利益，并把这些虚拟利益转化为现实的收益。当这种诱惑足够大，而惩罚机制又长期缺位的时候，群体性的犯罪就成为一种必然后果。”

溯源 只为了“开个玩笑”

2000年朱宇(化名)在清华大学的研究生宿舍里摆弄“冰河”的时候，打破头他也想不到原来这么两段小程序能在几年后对整个网络世界造成如此巨大的影响。“冰河”被认为中国木马病毒的开山鼻祖级产品，其变种多达数千种，至今依然通过互联网流传。

朱宇告诉记者，“当时我就是想开个玩笑，把客户端程序发给一个女生，然后我在宿舍遥控她的电脑，比如设定半夜自动开机，播放恐怖音乐一类的。”在那之后，朱宇隐约意识到了“控制他人电脑”多少可以帮助自己实现一些目的。2008年2月的时候，朱宇接了个副业。“那时候有人问我愿意不愿意帮忙开发一款游戏的木马。”朱宇说，“目的很简单，就是盗号。整个开发完成之后，我收到2000元。”

不巧的是，朱宇的小姨子正好是那款游戏的玩家，因为不小心中了朱宇开发的木马，辛苦努力了一年多的心血在一夜间被洗劫一空。“后来他们还找过我，但我再也没做过。”朱宇说，“感觉太不道德，就像种植鸦片。”

变种 从制造到分销形成完整产业链

类似朱宇这样的开发者，在木马王国里处于产业链的最高端，被称之为“造枪的”。他们大多是程序员或者工作室，出于不同目的走到一起，针对不同的盗号目标开发不同版本的“木马”。

在“温柔木马”案中，吕某、曾某等犯罪嫌疑人就先后开发出40多款针对不同产品的“木马”，上千万个网络游戏账号因此受到威胁。

而负责“木马”销售的严某等人则被称之为“卖枪的”，他们负责通过自建网站，向有意通过购买“木马”而实施网络盗窃的不法分子销售“木马”。购买“木马”的盗窃实施者，往往被称之为“拿箱子的”。

在“木马”从“造枪”环节流传到“拿箱子”处时，一张罪恶的黑网就已经准备铺开了。通过雇佣散工，“拿箱子的”将木马通过各种方式尽可能多地传播出去，这些人被称之为“挂马的”。

当木马开始工作之后，“拿箱子的”会收到海量包含着用户账号密码的电子邮件。这时他们有两个选择，第一是把这些包含着良莠不齐信息的邮件打包转卖给“大买家”，也可以选择自行雇人洗劫。

无论通过哪种方式，从受害者账号里盗窃出来的虚拟物品最终都将在游戏里被兑换成最容易流通的虚拟物品，并转移到某个仓库账号以方便在类似淘宝、5173这样的虚拟交易平台上完成销赃，最终变成人民币。

木马产业链

●造枪 程序员或者工作室，针对不同的盗号目标开发不同版本的木马。

●卖枪 负责通过自建网站，销售木马，完成资金回流。

●拿箱子 购买木马的盗窃实施者。

●挂马 雇佣散工，将木马通过各种方式尽可能多地传播出去。

●分销 把包含信息的邮件打包转卖给“大买家”，或自行雇人洗劫。

●变现 从账号里盗窃出来的虚拟物品被兑换成游戏虚拟物品，并转移到某个仓库账号，在虚拟交易平台上完成销赃，最终变成人民币。

【事件核心点击】

上周，全国最大制售“木马”盗号案在江苏省开庭审理，涉案金额3000余万元。

2007年5月至2008年8月间，该团伙为牟利先后编写40余款网络游戏的木马程序，用于窃取网络游戏玩家的账号、密码。警方查证至2008年8 月，“温柔系列”木马病毒非法入各类网站1200多个，占全国盗号木马份额的50%，至少造成800余万个游戏玩家的游戏账号密码、游戏装备被盗。

■ 一针见血

让木马无处可挂

政府网站、校园网站，众多知名的商业网站甚至杀毒软件官网，都是黑客首选的“挂马”目标。这不能不说是一种尴尬。

就像是被自己不熟悉的人出卖，远不如被自己所信任的朋友出卖更容易让人愤怒。尤其是按照时下主流网站的说法，各种“来历不明”的链接才是木马肆虐的原因。谁又能想到，登录正规经营的商业网站，甚至是政府网站都会有被感染的风险。

不可否认，执法部门对于犯罪团伙的打击正在逐年加强，“温柔团伙”的落网也能对以身试法者形成震慑。如果大多数的网站都能提升自己的安全意识和信息化水准，让黑客们的“木马”无处可挂，事情恐怕不会走到今天这个地步。

几千年前，特洛伊人如果意识到把木马拉进城里的危险，之后的屠城血案或许永远不会发生。几千年后，如果信息化安全成为一种常态的考虑，“温柔木马”们或许不会如此猖狂。□