“頂狐結巴密碼”木馬2009年3月15日,央視3·15晚會揭露了一個名為“頂狐結巴密碼”的木馬程式瘋狂竊取網民個人信息,日盜取用戶密碼3G,近15億個漢字。根據央視曝光,這個木馬程式國內所有的防毒軟體均無法查殺,而開發者在拿到數據之後,以400元/G的價格通過網路渠道出售。
案例經過
頂狐下載者軟體2007年1月福建泉州的蔡先生突然發現自己的一筆存款不翼而飛。2007年5月,江蘇省無錫市溫女士的信用卡被人分四次消費了2000元。受害人隨後向警方報案。
隨後,警方通過一系列線索發現了一個名為“螞蟻”的嫌疑人,在抓捕後,警方很快從其電腦里發現了多達一萬多個用戶的網上銀行信息,還有用戶的身份證號碼、手機號碼等等,幾乎無所不有。
據螞蟻交代,他掌握的信息都是“頂狐”出售的。暱稱為“頂狐”的黑客曾是2005年瑞星公布的十大病毒的製造者之一,2006年編寫了木馬程式,開始了盜取個人信息的行當。頂狐還以免費下載的方式任由人下載和傳播,頂狐偷偷給自己留了一手,黑客們盜取的所有信息都會自動回復到他的手中。
入侵過程
“頂狐結巴密碼”木馬隨著網路收費時代以及越來越多網路交易平台的構建,網上的黑色產業早已形成了鏈條。黑客通過掛上木馬等後台病毒,盜竊以千萬計的個人信息,這些信息包括QQ號碼、遊戲賬號,遊戲貨幣、信用卡信息等,在分類和抽檢後,製作成各類“信封”(如QQ信封),賣給中間商,中間商再通過網上交易平台出售給需要的“客戶”。而正是由於有大量黑客軟體的出售,使盜竊個人信息的技術要求大幅降低,越來越多的年輕人在利益的誘惑下參與到網路犯罪當中。
2008年6月,陳軍剛剛代理完一宗特大信用卡詐欺案。陳軍告訴記者,此案的首腦之一是一名來自廣東惠州的80後年輕人。此人是一名頗為典型的“信封”售賣者,網上人稱“頂狐”。2006年,他製作了一款名為“頂狐下載者”的軟體,放在網路上供人使用。但在“下載者”當中,卻潛藏了另一款名為“頂狐結巴”的木馬軟體。網友一旦使用了“頂狐下載者”,潛藏在其中的“頂狐結巴”就會潛入電腦,不停將網友的個人信息傳送到製作者指定的網路空間。而與部分木馬軟體稍有不同的是,“頂狐結巴”具有記錄鍵盤敲擊的功能,因而,在賣出的“信封”中,就包含不少網上銀行的賬號和密碼。起初,“頂狐”僅是將這樣的“信用卡信封”以400元/GB的價格出售中間人金星。2007年,金星結識了在各地流竄作案的偽造信用卡犯罪分子龔永強後,虛擬犯罪迅速與現實接軌,並製造了引起公安部高度重視的“3·5”特大網上銀行盜竊案。其中,“頂狐”負責分離網銀信息,金星負責周轉,龔永強則利用這樣的信息製作假冒的銀行卡後去銀行取錢,總計盜竊作案七次,盜取人民幣140餘萬元,從中得款40多萬元,分給同夥100餘萬元。
相關術語
QQ信封是QQ黑市的特殊名詞。QQ信封—般在許多QQ交易論壇裡面都會看見這幾個字,所謂的QQ信封就是黑客通過非法手段(放木馬,入侵別人電腦,竊取區域網路信息)得來的QQ號碼和密碼,以萬為單位保存的信息文本。
信封又分為一手信封(原始的,黑客將盜來的QQ號碼和密碼不經過任何工具,隨機儲存的),二手信封(已經被黑客工具將裡面有價值的號碼取出,所剩下的號碼)以及N手信封。
洗信——通過一些黑客工具,將一手信裡面有價值的號碼(號碼裡面有QB的,無保護的靚號,5位、6位的靚號等)篩選出來的過程。
死保號——有密碼保護,但是因為時間過長而忘記密碼保護答案的號碼。
散幣——不成整數的QB數量。
