有趣的黑客病毒

6.2.3　传播、制造有害数据及病毒违法行为的查处

【案例10】

17岁少年炮制“混客”网站炸弹，击中10万台电脑

2001年12月中旬至2002年1月末的短短40多天时间里，全国有10万余台电脑遭受到一种名为“混客绝情炸弹”的攻击，引发了网民恐慌。2002年2月黑龙江省公安厅和七台河市公安局的网络安全人员成功破获了这起互联网犯罪案件，然而令人惊讶的是，“黑客”竟然是一位年仅17岁的重点学校的高一学生。

“混客炸弹”伏击网民

2002年1月上旬，山东滕州市新兴网吧。一位网友在OICQ收到了一个陌生人留下的网址：www．cnhunk．com，附后说明告诉他这是一个酷站。出于好奇，他登录这个被称为“混客帝国”的网站，结果计算机当场死机。重新启动后却发现，电脑的注册表被修改，窗口无法关闭，控制面板中的各部名称均被改为“混客的玩笑”。更为严重的是，主机的连接被破坏，整个网吧不能接入互联网。

大批电脑遭到“混客炸弹”的攻击

从2001年8月份开始，黑龙江省公安厅计算机网络安全监察处和七台河市公安局指挥中心不断接到网民报案，称因登录“混客帝国”网站时遭到“混客”炸弹攻击，造成电脑不同程度损坏，部分网吧已因此停业。某公司的27台电脑全部遭到炸弹袭击，影响了公司的正常经营。

网络安全人员通过技术手段跟踪发现，“混客帝国”网站维护人员使用电脑的IP地址隶属于七台河市。该网站本身就是一枚“炸弹”，只要网民登录就会自动链接为一段破坏性代码程序，此时计算机的主页图片开始晃动，并且失去控制。该网站的有害代码修改计算机的注册表，在启动组、桌面、程序组、收藏夹都增加了破坏性代码，用鼠标点击后就会发生死机现象，其中“我的文档”中的文件只要鼠标停在上面就会死机，同时禁止运行程序，根据系统的不同还可能出现A盘不能使用，C盘和桌面隐藏的现象。

这起罕见的“黑客”案件，引起了黑龙江省公安厅的高度重视，七台河市公安局指挥中心成立了专案组。2001年底，专案组的民警在网上巡逻时发现并跟踪“黑客”，可是当民警迅速赶到七台河市一家网吧时，“黑客”却在两分钟前离去。第二天，“混客帝国”网站的部分内容被删除，注册表被更改，而且“黑客”留言：混客从此绝迹网络！

警方的侦查工作一时陷入僵局，但经过艰苦的调查和网上取证，2002年1月27日，神秘“黑客”在自己的家中被警方抓获。警方在“黑客”家中发现笔记本和台式电脑各一台，但笔记本电脑已瘫痪，“黑客”说，这是因为无数次被自己制作的“混客炸弹”击中的后果。最让警方没想到的是，神秘“黑客”苏勇（化名）竟是一名年仅17岁的学生，正在当地一所重点中学读高一。

视“黑客”为网络英雄

2000年暑期，初中毕业的苏勇迷恋上了电脑。一个黑客网站引起了他的兴趣。“‘黑客’是网上自由人，具有高智商和计算机专业水准及一定的职业道德。更确切地说，‘黑客’是一个优秀的网络安全人员。”最初，苏勇是这样评价“黑客”的。苏勇想做这样的人。但他深知自己的水平算不上“黑客”，于是他给自己起了一个网名：“混客”。

此后，他用7天7夜的时间，创建了一个叫“混客帝国”的黑客网站，内容涉及黑客软件、教程等，还开设了一个免费论坛。一个星期后，网友达到1 000多人。苏勇自称“站长”，还请了国内一些知名的“黑客”做版主。

2001年9月，他把从网上搜集到的“万花谷”病毒的代码进行更改和加密，将“混客帝国”升级为“混客绝情炸弹”。这并不是通常的借文件传播的病毒，只是做在网页内的一段恶意脚本，当用户在不知情的情况下打开该网页时，病毒就发作了。

然而，苏勇并没有想到“混客绝情炸弹”的影响力如此之大。做完网站，有一段时间他不管不问。可有一天他去“看望”自己的网站时，发现访问量已大得惊人。再看看网上，到处是有关“混客炸弹”的消息。

2001年12月新浪网载文《浏览网页就会感染，“混客绝情炸弹”毁你没商量》，称“混客绝情炸弹”是一种危害极大的新型病毒，其爆发现象有多种：如修改IE默认主页、修改注册表、关机甚至破坏系统环境、格式化硬盘等，造成电脑瘫痪，数据丢失。其外在表现就是被攻击的电脑出现蓝屏、死机现象。防火墙和杀毒软件很难对它进行有效的防范。《电脑爱好者》杂志2002年第2期将“混客炸弹”的杀伤力排在五星级病毒的位置。

酝酿中国最大的黑客笔友会

在这之后，苏勇又制作了“混客绝情炸弹解药篇”，告诉中了“绝情炸弹”的网友，可以通过其获救。此时的苏勇又有了新的想法：通过网站赚钱，在高三毕业时至少挣10万元，供自己上大学！

赚钱的方法是这样的：网友进入“混客绝情炸弹解药篇”后，会发现一个图片，上面的文字提示说是网主的照片，而实际上这是一个“木马程序”，进入该网页的网友电脑端口即向苏勇开放，可以窃取该用户的OICQ口令、IP地址等。至案发时止，他已将从网上窃取来的联众财富积分（一种虚拟的致富分，积攒越多在网上越富有）卖了2 950元。

这些钱都被他挥霍一空。2002年1月上旬，他代表学校到哈尔滨参加全省中学生主页设计大赛时，住一天200多元的宾馆，买了500元的打火机和200元的布娃娃。

苏勇对破解密码很有自信，在看守所里他告诉记者，他曾在一个小时内破解过10个信箱的密码。据警方查证，他共盗取联众会员的用户名和密码50余个，OICQ号码5 000个。

他还想了一个赚钱的方法：进入“混客绝情炸弹解药篇”的计算机会再次受到炸弹袭击，只不过此网友中的炸弹不是“绝情炸弹”而是“友情炸弹”。他认为，经过两次“交火”的网友是可以成为朋友的，因此苏勇在此处给网友留下了真实的地址、姓名，还有一封信：“我喜欢交朋友、写信，酷爱电脑、足球、武术。如果你想和我做朋友，那么请你寄来5元钱，作为通信费用。”

按苏勇的设想，通过写信就可以赚上一笔，然后把这些网友组织起来成立中国最大的“黑客”笔友会，再收取会费。

其间，他还收了一个14岁的“黑客”小徒弟。

网络自由人也不能为所欲为

据警方介绍，“混客炸弹”大面积爆发集中在2002年1月份，自2001年12月27日至2002年1月29日，共有109 623名用户访问该网站，最高日访问量8 212人，日平均3 350人。

黑龙江省公安厅和七台河市公安局指挥中心在因特网上发出寻找受害者公告，在短时间内，收到了来自美国、加拿大、新西兰及香港、广东、山东、辽宁、云南、河北、吉林等地网民发来的100多份电子邮件。吉林桦甸市夹皮沟镇一位开网吧的农民说，网吧所有电脑都“中弹”了，镇上没人会修理，只好关门停业了。听说抓到了“黑客”，他提出了赔偿要求。“我原来想做一个优秀的网络安全人员，也曾为一些网站找出漏洞，并发去补丁程序。可终因为逞强和个人英雄主义，成了危害社会的‘黑客’，希望其他的人不要步我后尘。”在看守所里，苏勇痛心地对记者说：“我现在终于明白了一个道理：网络并不是完全自由的。”

【案例11】

“熊猫烧香”病毒大案

2007年2月12日，湖北省公安厅宣布，根据统一部署，湖北网监在浙江、山东、广西、天津、广东、四川、江西、云南、新疆、河南等地公安机关的配合下，一举侦破了制作传播“熊猫烧香”病毒案，抓获李某（男，25岁，武汉新洲区人）、雷某（男，25岁，武汉新洲区人）等多名犯罪嫌疑人。这是我国破获的国内首例制作计算机病毒的大案。

据查，李某于2006年10月开始制作计算机病毒“熊猫烧香”，并请雷某对该病毒提修改建议。雷某认为，该病毒会修改被感染文件的图标，且没有隐藏病毒进程，容易被发现，建议李某从这两个方面对该病毒程序进行修改。李某按照雷某的建议修改了“熊猫烧香”病毒程序，由于其技术原因，修改后的病毒虽然不改变别人的图标，但还是出现图标变花，隐藏病毒进程问题也没有解决。2007年1月，雷某自己对该病毒源代码进行修改，仍未解决上述两个问题。

2006年12月初，李某在互联网上叫卖该病毒，同时也请王某及其他网友帮助出售该病毒。随着病毒的出售和赠送给网友，“熊猫烧香”病毒迅速在互联网上传播，由此使得自动链接李某个人网站www.krvkr.com的流量大幅上升。王某得知此情形后，主动提出为李某卖“流量”，并联系张某购买李某网站的“流量”，所得收入由其和李某平分。为了提高访问李某网站的速度，减少网络拥堵，王某和李某商量后，由王某化名董某为李某的网站在南昌某公司租用了一个2G内存、百兆独享线路的服务器，租金由李某、王某每月各负担800元。张某购买李某网站的流量后，先后将九个游戏木马挂在李某的网站上，盗取自动链接李某网站游戏玩家的“游戏信封”，并将盗取的“游戏信封”进行拆封、转卖，从而获取利益。

从2006年12月至2007年2月，李某共获利145 149元，王某共获利8万元，张某共获利1.2万元。由于“熊猫烧香”病毒的传播感染，影响了山西、河北、辽宁、广东、湖北、北京、上海、天津等省市的众多单位和个人的计算机系统的正常运行。2007年2月2日，李某将其网站关闭，之后再未开启该网站。2007年2月4日、5日、7日被告人李某、王某、张某、雷某分别被仙桃市公安局抓获归案。李某、王某、张某归案后退出所得全部赃款。李某交出“熊猫烧香”病毒专杀工具。

2007年9月24日，湖北省仙桃市人民法院公开开庭审理了此案。被告人李某犯破坏计算机信息系统罪，判处有期徒刑四年；被告人王某犯破坏计算机信息系统罪，判处有期徒刑二年六个月；被告人张某犯破坏计算机信息系统罪，判处有期徒刑二年；被告人雷某犯破坏计算机信息系统罪，判处有期徒刑一年。

仙桃市人民法院审理后认为，被告人李某、雷某故意制作计算机病毒，被告人李某、王某、张某故意传播计算机病毒，影响了众多计算机系统正常运行，后果严重，其行为均已构成破坏计算机信息系统罪，应负刑事责任。被告人李某在共同犯罪中起主要作用，是本案主犯，应当按照其所参与的全部犯罪处罚，同时，被告人李某有立功表现，依法可以从轻处罚。被告人王某、张某、雷某在共同犯罪中起次要作用，是本案从犯，应当从轻处罚。四被告人认罪态度较好，有悔罪表现，且被告人李某、王某、张某能退出所得全部赃款，依法可以酌情从轻处罚。