国内第5号黑客编盗号木马 3个南京玩家报案后他落网了
魏晓昕 孟军 孙长庆
计算机程序员关雷(化名)号称国内黑客第5大高手,有着一份外人羡慕的高薪工作。可他居然鬼使神差地答应了“朋友”的邀请,编写并发布盗号木马,供盗号团伙盗取“传奇世界”、“冒险岛”、“永恒之塔”等游戏里玩家的账号密码,他则从中收取维护升级木马的劳务费。南京几个玩家失窃后向警方报了案,经侦查,公安网监部门抓获了关雷、孙立光,以及购买木马并实施盗号的李骏等8个下家。将这个网络犯罪团伙,从木马程序作者到批发商,再到盗号实施者以及挂网流量商来了个“一锅端”。
他俩是上线
黑客高手应邀改装木马
1980年出生的关雷大学读的是数学专业,由于爱好计算机成了一名高手,就职于北京一家计算机信息公司任程序员,号称国内黑客第5大高手,他的网名“帝国大叔”和QQ号长期位列国内网络顶级黑客排行榜。记者搜索了该排行榜,果然发现与关雷资料吻合的人,属于顶级黑客之一。2008年年底,有个叫“远洋”的网友慕名加了关雷的QQ,“远洋”和关雷聊天说自己有个网站,老是被人攻击,想请关雷帮忙做安全维护,他每个月付给关雷一两千元维护费。关雷当时就上了“远洋”提供的网站地址,发现已经被人攻击了,身为高手的他很快找到了漏洞并给补上,随后,“远洋”信守诺言地将1000元钱打给关雷。从那以后,“远洋”的网站一旦遭到攻击,他就找关雷给维护,并打款将费用付给关雷。
2009年八九月间,这两个网友的关系处得比较熟络了。一天,“远洋”和关雷在QQ上聊天,说起做游戏的盗号木马很赚钱,并从网上发给关雷一个木马,让他破解看看。
这个技术对关雷来说还不是小菜一碟,他很快破解了。关雷通过脱壳、免杀、再加壳等程序,做成一个改良版的木马生成器。一切搞定后,关雷将改好的木马发给“远洋”,“远洋”测试后回复“可以使用”,但这个木马没有卖出去,因此就不付钱给关雷了。过了几天,“远洋”又给关雷发来一个“新奇迹世界”游戏的盗号木马,关雷如法炮制地破解、修改后回传,这一次“远洋”反馈说卖掉了,很快给关雷的卡上汇去5000元钱。
闭着眼睛挣了20多万“闲钱”
关雷交代,他后来又给“远洋”做过“魔兽世界”、“冒险岛”、“永恒之塔”等游戏木马,他给自己的木马加壳,一来逃避杀毒软件的查杀,二来可减少木马的占用空间,三来通过给木马加密,也要防止别人偷他的木马。“远洋”收到木马后在网络批发出卖,因为网络游戏会不时地更新,因此木马也需要更新修改,这更新维护的活也只有关雷能干,有时“远洋”还给他发来新的木马样本,由关雷负责破解。游戏木马提供给“远洋”后,关雷每隔一两个星期就要更新维护一次,“远洋”按月给他的银行卡打钱,开始的几个月每个月支付几千元,随着工作量的加大,后来每个月的报酬达到一两万元。2010年9月,“远洋”付给关雷的钱越来越少,说是木马不好卖,关雷就不想再做了,接下来的两个月里,“远洋”不断地催促他继续做维护,关雷给他做了“冒险岛”、“永恒之塔”、“龙之谷”三个木马的免杀,收到“远洋”的10000元钱后,就再也看不到对方上线了,关雷心里也犯嘀咕,心想“远洋”怕是给抓起来了。其实,关雷帮“远洋”做事一直有担忧,两人紧密联系了一段时间后,他觉得自己的QQ号用得太多了,感觉早晚要出事,于是换了个QQ号与“远洋”联系。
“远洋”前后共给关雷汇了二十多万元,关雷的程序员工作收入本就不菲,生活中他并不缺钱,这些钱打到卡上后他也一直没用过。
关雷知道这些木马可以将游戏的密码、账号、游戏里的角色、二级密码、游戏金币等参数一起发送到指定的地址,而且根据“远洋”的要求,他在“冒险岛”和“永恒之塔”两款游戏里给“远洋”留过后门,通过后门,“远洋”可以轻松截取游戏中各个玩家的游戏信息,盗号更是小菜一碟,但他并没有去追问“远洋”购买这些木马程序的目的,而是选择“睁一只眼闭一只眼”,帮助“远洋”更新和维护木马程序。
这样的合作直到今年1月,南京接连有三个玩家发现游戏装备被盗,有个玩家连游戏密码都被人改掉了,三人先后向警方报了案。南京警方网监部门经侦查,于1月11日在北京将关雷抓获。
木马批发商获利买辆车
“远洋”的真名叫孙立光,沈阳人,他有个网站做外挂下载,因为时常被人攻击所以慕名找到关雷。这期间看到别人卖木马赚了钱,并且听说木马盗号一个月能挣10万元,加之网上有人联系他买木马,怎奈自己没这个技术,于是请关雷来写木马程序,先后让关雷给他写了“奇迹世界”等六款木马程序。孙立光转手在网上的QQ群里叫卖,先后把木马批发卖给了网名叫“90后”的网友。由于网络游戏会定期升级,孙立光卖出的木马也需要定期做相应的修改,于是孙立光和“90后”谈好每个月要收取维护费,其中“奇迹世界”每个月费用为五六千元,“冒险岛”是每个月7000-10000元,“永恒之塔”头一个月是15000元,之后每个月略有减少。孙立光每个月通过网络和“90后”结算后,按10%-20%给关雷提成,孙立光给关雷的木马做独家代理,充当二道贩子短短几个月就获利7.5万元,他潇洒地买了辆中华轿车开起来。
他们是下家
买马者设工作室“洗信”盗号
孙立光的下家“90后”是远在广西柳州的李骏。早在2008年,李骏的同学胡军在玩“奇迹世界”游戏时认识一个玩家,对方告诉他通过“洗信”可以赚钱,还能获得好的装备,当时对方发给他“奇迹世界”的10个账号和密码,胡军付给玩家30元,他把买来账号上的装备转移到自己的账号上,对比了一下如果花钱买要花100多元,于是动心想做“洗信”的买卖,和同学李骏商量后一拍即合。
2009年夏天,李骏出资购买了电脑,聘请胡军等人成立了一个“洗信工作室”,所谓的“洗信”就是盗取游戏玩家的账户和密码。李骏负责在网上联系卖木马的,和卖家熟悉后就交给同学胡军保持联系,胡军同时负责“洗信”。生意好的时候,洗信工作室每个月能挣2万元,李骏按工作室利润的两成分给胡军,对于其他雇来的洗信操作人员,则根据工作量每月发给他们1500-2000元工资。从“洗信工作室”成立到案发被抓,李骏和胡军共获利15万元左右,他俩的同学王长竹得知后也想搞这一行,于是向李骏讨教,李骏把他们已经洗过的“二手信”发给他,让刚入门的王长竹先熟悉熟悉。
2010年11月18日早上,南京玩家小强上网时惊奇地发现,自己在“奇迹世界”游戏61区的游戏装备被偷了,装备市值2000元左右,这些装备有的是他在游戏里购买的,有的是在游戏里自己制作的,花的都是游戏币,而游戏币是他先后花了1万多元人民币充值后换取的。小强开始不清楚账号是如何被盗的,后来他上网查询了一番,得知是中了一种木马,于是到公安机关报了案。南京警方先后接到数位游戏玩家的类似报案,网监部门立案后展开侦查,先后将李骏、胡军、孙立光和关雷等人抓获。
合作伙伴开“后门”吃里扒外
李骏落网后交代,他们通过流量商在网上挂木马,游戏玩家一旦浏览了流量商挂木马的网站,就会自动下载木马,木马就会把玩家输入的账号和密码以及游戏种类、玩家身份等信息(即盗号者所称的“信”)发到指定的网页里。李骏通过胡军及其他雇员操作,获取账号和密码进入这款游戏,找到这个玩家的身份名,随即进入玩家的角色,将玩家的装备洗出来拿到网上交易,由于别的玩家都不愿以现金直接交易,他们就将装备换成游戏币后再交易换成现金。
李骏只负责出资,“洗信工作室”的具体事务都交给胡军去做,他只是每天登录木马作者制作的网页,通过网页查看收到的信掌握流量。这个网页行话叫“箱子”,他将“箱子”的地址发给胡军和其他工作室成员,由他们直接登录,按照各自分工的区域来洗信。李骏开始并不太懂“箱子”的奥秘,到后来他渐渐感到洗出来的“信”越来越少,经过一番调查这才发现胡军背着自己留了个后门,把洗出的信截留10%悄悄卖给王长竹,先后卖出七八百封信获利两三千元。原来,王长竹发现李骏发给自己的都是洗过的“二手信”,转而找到胡军求购,李骏、胡军及洗信工作室其他成员落网后,王长竹也一并被抓获归案,本案中同时落网的,还有为洗信工作室挂网出售流量的成都人伍山。伍山交代,他在网上接受广西网友“90后”委托将木马挂网,对方盗得一个游戏账号付他4元钱。伍山通过朋友买到某网站的权限后,将“90后”交给他的木马挂了上去,短短一天半时间就进了50多封信,拿到“90”后汇来的200多元后,他觉得这活计轻松又赚钱,便专心干起这个买卖,四五个月便赚了1.2万余元。(文中人物、网名均为化名)
通讯员 孟军 孙长庆
本报记者 魏晓昕
中国顶级黑客网络资料(2010版)
sunwear
日娃哥。EST核心成员。圈内皆知他手握很多未公开漏洞。渗透入侵和漏洞方面的高手,曾是编程内核牛人。曾经入侵过世界顶级黑客组织Metasploit,剑桥大学等众多高端机构。几年前的世界最顶级两大黑客大会defcon和blackhat都对他有过报道。
刺
刺哥,大风哥。身材瘦弱。是中国黑客圈内纯技术黑客组织幻影旅团创始人。中国顶级黑客之一。目前好像就职于淘宝公司网络安全部门。也是手握很多未公开漏洞的人。很多影响力很大的0day都是出自幻影旅团。WebZine的发起人。并且发展过WIKI的系统。还曾远赴美国参加世界顶级黑客大会blackhat。
dm
国内顶级地下黑客组织0x557核心成员。是漏洞挖掘、利用方面的高手。不用说,手里的漏洞也是多的可以批发了。目前就职于世界著名反病毒杀毒软件公司麦咖啡(刚刚被intel收购)。现在还写起了iphone,ipad下的安全软件。看来是个全能选手。
tombkeeper
于某。传说中的tk教主。国内著名黑客组织安全焦点核心成员。就职于绿盟科技,俗称妇科圣手。对windows操作系统以及漏洞等方面的研究可以说是非常精通。而在安全焦点论坛,最近几年一直被人奉为TK教主。对于其他领域的科学也有着独到的见解。文笔思想也是很独特的。
isno
安全焦点核心成员之一。目前就职于北京一家公司。曾经写过很多漏洞溢出方面的分析利用文章(WEBDAV,IDQ,IDA等)。exploit也写过很多。现在较为低调。