警惕网络病毒背后的利益黑手

　　2008年7月29日，江苏省公安厅互联网违法犯罪举报中心接到网民举报 “徐州购物网有病毒。”江苏省公安厅网警总队与徐州市公安局网警支队立即对“徐州购物网”网站进行技术分析。结果显示，网站服务器被安装了25款可疑程序，其中有15款是非常流行的“温柔”系列木马程序。

　　“温柔”系列木马大范围传播，导致众多网络游戏用户账号、密码和虚拟装备被盗，社会危害严重。警方发现，整个“温柔”系列木马程序“链性”团伙成员涉及广东、广西、浙江、安徽、福建、江苏、江西、上海等10多个省市。徐州市公安局迅速成立专案指挥部，公安部、江苏省公安厅有关领导和网侦专家到一线指导协调。

　　2008年8月27日，专案指挥部命令分赴在全国的33个抓捕组同时展开抓捕行动。抓捕小组在当地警方配合下，抓捕制作木马程序合伙人、传播木马总代理、一级代理、流量商、洗信人等重要团伙犯罪成员110人，扣押作案工具服务器、电脑主机、U盘等电子储存介质500多件，暂扣涉案赃款200余万元。

　　利益链

　　网络专家认为，网络病毒泛滥的一个重要原因是利益驱动。

　　参与案件侦办的徐州市网络警察支队副支队长、公安部网侦专家李晴揭示了“温柔”系列木马案背后的利益链。犯罪嫌疑人吕某与曾某合作制作完成“温柔”病毒，用于盗窃游戏玩家的账号、密码。2007年10月，他们找到严某与陈某做“温柔”系列木马病毒总代理向全国发售，并约定营利分成。2008年3月，严某和陈某在“温柔”网站打广告寻求分代理。很快，形成了以严、陈为“温柔”系列木马程序销售总代理，卢某、梁某、黄某某等为销售分代理的网上传播销售网络。总代理将“温柔”系列木马盗号程序销售、传播给分代理，然后由分代理将木马按技术配置后提供给一些流量商人(租用木马服务器能把木马挂到网站上的人)，由其将针对不同游戏盗号木马植入一些网站。

　　当网民访问这些被植入“温柔”系列木马病毒网站时，计算机会自动下载木马程序并隐藏，一旦用户上网登录自己的游戏账户，木马程序就会自动链接运行，盗取游戏玩家输入的用户名和密码，并形成一封信(一个用户和密码称为一封信)存入代理预先租用的服务器内。随后，“信”被流量商出售给洗信人 (用盗取的帐号和密码非法登录他人游戏盗取游戏内装备的人)，后经洗信人将盗取的“游戏信封”进行整体销售(转卖)或拆封(洗信)，盗取游戏玩家的虚拟财产，变卖得利。

　　病毒传播渠道

　　对互联网用户账号密码被盗现象，不少用户认为是电信接入商的管理疏漏。李晴说，目前用户上网账号密码被盗，多数是由于间谍木马盗取网民账号所致。因此，不仅电信接入商需要努力避免管理漏洞，用户自身也应加强对网络间谍的防范。

　　网警提示网民警惕病毒传播四大渠道：

　　一是热点事件。病毒制造者充分利用热点事件或热点人物引诱用户上当。

　　二是网络漏洞。一些病毒是利用“WMF漏洞”制作的恶意图片，嵌到各种网页，当存在漏洞的系统访问这种页面时，就会自动下载恶意的木马(如广告、盗号、后门等)。

　　三是网页/脚本。网页/脚本病毒目前多数充当为木马下载器，利用IE漏洞自动下载病毒并自动运行，被嵌入的网页多数是被黑的网站。

　　四是文件。一些病毒利用欺骗邮件加上文档文件的格式漏洞，掀起新邮件蠕虫风波。

　　网侦专家提醒广大网民，一定要养成良好的上网习惯，对所用的系统经常升级和更新，对存在的软件漏洞及时打补丁，安装防毒和杀毒能力强的正版安全软件，开启自动更新病毒库和网页防木马功能，定期进行全盘查杀病毒。不要随意打开陌生人的信件，不点击可疑QQ、MSN信息，输入密码时尽量使用软键盘，不要用浏览器保存账号和密码自动登录，从网上下载软件后首先要用反病毒、木马软件扫描，确定无疑后使用。