[psac]

新網銀大盜」作者被捕 作案人竟為16歲中專生

7月17日，廈門市公安局網安處透露，去年7月份被江民科技反病毒中心率先截獲的「新網銀大盜」病毒作者劉某已經被捕。犯罪嫌疑人劉某系廈門市某中專校在校生，被捕時年僅16歲。他通過攻陷網站種植木馬的形式，盜竊某銀行網上銀行用戶密碼帳號，然後通過多次轉賬的形式抽取現金。截止案發時，劉某已經竊取現金達62500餘元。

　　2005年7月10日，江民反病毒中心再次截獲一個網銀木馬（Trojan/PSW.VShell.a）。該病毒將發作日期定於2005年8月1日，病毒通過記錄用戶鍵盤輸入，盜取工行個人網上銀行的帳號密碼，並通過網頁尾本把獲得的非法訊息提交給病毒作者。病毒執行後，會新增kv2005.dll和kvshell2005.dll兩個文件，，企圖偽裝成殺毒軟體程序欺騙普通電腦用戶，事實上江民殺毒軟體KV2005並無此程序。

　　病毒傳播者通過入侵吉林「搜狐」網，將其中部分網頁連接改造成可偷偷開啟他事先設定的惡意網頁的「陷阱」連接，然後自行利用各種IE瀏覽器的MHT漏洞嘗試對點擊者的電腦進行木馬種植。

　　自從新網銀木馬被發現後，陸續有線人報告在網路上交易以後，賬戶上的錢常常莫名其妙地丟失掉。

　　從去年7月份開始，廈門公安局網安處開始對此案件進行立案偵察。 市公安局網安處案件科葉旭鋒介紹說，從7月份到12月份，他們通過多方面進行排查，和許多地方的網安部門互相合作，掌握了這個主要犯罪嫌疑人和他的團伙已經掌握了大量受害者的銀行卡號、網路銀行方面的個人資料，12月份，網路警察在廈門市某中專校園內，抓獲了犯罪嫌疑人劉某，根據劉某的供述，又從深圳、三明、南京等地抓獲了另外幾名犯罪嫌疑人。

　　據警方介紹，去年才16歲的劉某考上了廈門市某中專校。劉某平時不愛讀書，整天泡在網上，玩些黑客的小程序，後來熱衷玩灰鴿子木馬， 利用灰鴿子木馬可全面地監控別人的電腦，中毒電腦中的任何訊息都可以被隨意控制甚至移除。

　　犯罪嫌疑人劉某說，當時只是覺得木馬好玩，又有錢賺，就開始盜取別人網上銀行帳號，把別人卡上的錢轉到自己卡上。由於劉某僅僅是一個在校中專生，網路技術和手段有限，為此，他通過QQ聯繫上專門編寫網路程序賺錢的三明人莊炳先。

　　劉某給莊炳先7000元的費用，讓莊幫他寫殺毒軟體查不出來的木馬病毒，之後他通過QQ聯繫到某黑軟聯盟網站站長「吾知道」，給了「吾知道」2000元叫他說明 傳播木馬程序。

　　江民科技反病毒專家何公道介紹說，病毒發作後，會自動尋找包括IE、Maxthon、TTraveler 、MYIE 、TouchNet、Opera 、SmartExplorer 、k-meleon、GreenBrowser在內的多種瀏覽器，一旦發現用戶使用其中任一種瀏覽器登入工行個人網上銀行的介面，則開始記錄用戶的鍵盤輸入。如果卡號長度為19個字串，並以"95588"開頭時，病毒就將會記錄下的卡號、密碼和驗證數位等訊息加密後向指定的網站提交。劉某通過登入指定網站下載木馬發來的網上銀行客戶資料，並分析出帳號和密碼，發現有較多的錢就通過轉帳將錢轉入指定帳戶進行支取。

　　起初劉某與「吾知道」合作了幾次，但是最後卻因木馬程序昇級問題不歡而散。

　　劉某只好另外尋找突破口，他不僅對木馬程序進行昇級來防範現有的殺毒軟體，同時還在網際網路上向兩名黑客付費取得了吉林「搜狐」網和四川某公司的網站後門權限，並在吉林「搜狐」網上種植網頁木馬，在四川某公司的網站上接收盜取來的某銀行網銀資料。

　　劉某為了將別人帳戶上的錢轉出但是又擔心被發現，於是他找了幾個外地的網友用假身份證辦理了銀行卡，把別人帳戶上的資金轉了好幾手以後轉到這些網友辦的銀行卡上，網友從銀行取出錢後再轉匯給他。

　　據警方介紹，僅僅通過侵入吉林「搜狐」網傳播木馬，劉某就獲取了124張銀行卡的網銀資料。網路警察在一個與他相關的網站上還發現了數百張銀行卡資料，最終查明劉某前後一共盜走12名受害者銀行卡內的錢款62500多元。

　　雖然案件得以偵破，但這起網上犯罪案件暴露的黑客低齡化卻不得不發人深思。廈門市公安局網安處案件科葉旭鋒認為，犯罪主要嫌疑人低齡化、高度虛擬化、犯罪手段高度隱秘化，是這起案件的典型特徵，此外，超地域化是另一特徵，幾個犯罪嫌疑人在現實中從未謀面，只是在網上認識並策劃實施了這起案件。

　　針對網上銀行頻頻發生的木馬竊密案件，江民反病毒專家再次提醒廣大網上銀行用戶，在使用網上銀行時，務必安裝防火牆或殺毒軟體，及時昇級殺毒軟體，開啟病毒既時監控。不要下載不明的軟體程序，不開啟來路不明的電子郵件。此外，用戶應養成定期更改登入密碼，盡量在固定場所、固定電腦上登入銀行網站，結束網銀頁面後要及時清理登入網銀的上網歷史記錄等安全習慣。