7月17日,厦门市公安局网安处透露,去年7月份被江民科技反病毒中心率先截获的“新网银大盗”病毒作者刘某已经被捕。犯罪嫌疑人刘某系厦门市某中专校在校生,被捕时年仅16岁。他通过攻陷网站种植木马的形式,盗窃某银行网上银行用户密码账号,然后通过多次转账的形式提取现金。截止案发时,刘某已经窃取现金达62500余米。
2005年7月10日,江民反病毒中心再次截获一个网银木马(Trojan/PSW.VShell.a)。该病毒将发作日期定于2005年8月1日,病毒通过记录用户键盘输入,盗取工行个人网上银行的账号密码,并通过网页脚本把获得的非法信息提交给病毒作者。病毒运行后,会创建kv2005.dll和kvshell2005.dll两个文件,,企图伪装成杀毒软件程序欺骗普通电脑用户,事实上江民杀毒软件KV2005并无此程序。
病毒传播者通过入侵吉林“搜狐”网,将其中部分网页链接改造成可偷偷打开他事先设定的恶意网页的“陷阱”链接,然后自行利用各种IE浏览器的MHT漏洞尝试对点击者的计算机进行木马种植。
自从新网银木马被发现后,陆续有网民报告在网络上交易以后,账户上的钱常常莫名其妙地丢失。
从去年7月份开始,厦门公安局网安处开始对此案件进行立案侦察。市公安局网安处案件科叶旭锋介绍说,从7月份到12月份,他们通过多方面进行排查,和许多地方的网安部门互相合作,掌握了这个主要犯罪嫌疑人和他的团伙已经掌握了大量受害者的银行卡号、网络银行方面的个人资料,12月份,网络警察在厦门市某中专校园内,抓获了犯罪嫌疑人刘某,根据刘某的供述,又从深圳、三明、南京等地抓获了另外几名犯罪嫌疑人。
据警方介绍,去年才16岁的刘某考上了厦门市某中专校。刘某平时不爱读书,整天泡在网上,玩些黑客的小程序,后来热衷玩灰鸽子木马, 利用灰鸽子木马可全面地监控别人的电脑,中毒电脑中的任何信息都可以被随意控制甚至删除。
犯罪嫌疑人刘某说,当时只是觉得木马好玩,又有钱赚,就开始盗取别人网上银行账号,把别人卡上的钱转到自己卡上。由于刘某仅仅是一个在校中专生,网络技术和手段有限,为此,他通过QQ联系上专门编写网络程序学习的三明人庄炳先。
刘某给庄炳先7000米的费用,让庄帮他写杀毒软件查不出来的木马病毒,之后他通过QQ联系到某黑软联盟网站站长“吾知道”,给了“吾知道”2000米叫他帮助传播木马程序。
江民科技反病毒专家何公道介绍说,病毒发作后,会自动查找包括IE、 Maxthon、TTraveler 、MYIE 、TouchNet、Opera 、SmartExplorer 、k-meleon、GreenBrowser在内的多种浏览器,一旦发现用户使用其中任一种浏览器登录工行个人网上银行的界面,则开始记录用户的键盘输入。如果卡号长度为19个字符,并以"95588"开头时,病毒就将会记录下的卡号、密码和验证数字等信息加密后向指定的网站提交。刘某通过登陆指定网站下载木马发来的网上银行客户资料,并分析出账号和密码,发现有较多的钱就通过转账将钱转入指定账户进行支取。
起初刘某与“吾知道”合作了几次,但是最后却因木马程序升级问题不欢而散。
刘某只好另外寻找突破口,他不仅对木马程序进行升级来防范现有的杀毒软件,同时还在互联网上向两名黑客付费取得了吉林“搜狐”网和四川某公司的网站后门权限,并在吉林“搜狐”网上种植网页木马,在四川某公司的网站上接收盗取来的某银行网银资料。
刘某为了将别人账户上的钱转出但是又担心被发现,于是他找了几个外地的网友用假身份证办理了银行卡,把别人账户上的资金转了好几手以后转到这些网友办的银行卡上,网友从银行取出钱后再转汇给他。
据警方介绍,仅仅通过侵入吉林“搜狐”网传播木马,刘某就获取了124张银行卡的网银资料。网络警察在一个与他相关的网站上还发现了数百张银行卡资料,最终查明刘某前后一共盗走12名受害者银行卡内的钱款62500多米。
虽然案件得以侦破,但这起网上犯罪案件暴露的黑客低龄化却不得不发人深思。厦门市公安局网安处案件科叶旭锋认为,犯罪主要嫌疑人低龄化、高度虚拟化、犯罪手段高度隐秘化,是这起案件的典型特征,此外,超地域化是另一特征,几个犯罪嫌疑人在现实中从未谋面,只是在网上认识并策划实施了这起案件。
针对网上银行频频发生的木马窃密案件,江民反病毒专家再次提醒广大网上银行用户,在使用网上银行时,务必安装防火墙或杀毒软件,及时升级杀毒软件,开启病毒实时监控。不要下载不明的软件程序,不打开来路不明的电子邮件。此外,用户应养成定期更改登陆密码,尽量在固定场所、固定电脑上登录银行网站,退出网银页面后要及时清理登录网银的上网历史记录等安全习惯。