中新網11月30日電  木馬病毒倏忽來去，隱藏在角落里的黑客自以為能夠逍遙法外。但是在360安全中心的技術支持下，湖北省麻城市警方終于將一個名為“小耗子”的木馬犯罪組織連根挖出，6名涉嫌木馬制作、代理、傳播和銷贓的案犯盡數落網，國內首次成功破獲一條上下游完整的木馬產業(yè)鏈。“早在警方立案調查之前，360就已經和‘小耗子’木馬有過長期的交鋒�！弊蛱�，360安全專家石曉虹博士首度公開協(xié)助警方破案的內幕。

　　“今年4月，湖北麻城網警發(fā)現當地網吧被黑客攻擊敲詐和‘小耗子’木馬有關，被警方抓獲的‘小耗子’全國總代理韓某供認，他由于‘小耗子’屢遭360安全衛(wèi)士查殺而損失慘重，特別痛恨360，警方因此找到我們來協(xié)助提供木馬的分析和查殺數據。” 360安全專家石曉虹博士透露說。

　　據悉，“小耗子”是一款極具破壞力的木馬下載者，主要通過“掛馬網頁”傳播，入侵網民電腦后會先干掉殺毒軟件，再把各種盜號木馬和廣告程序運送進來。360安全專家石曉虹博士介紹說：“360有2.5億用戶，每當‘小耗子’出現新的變種，我們就會在第一時間將其樣本截獲，并不斷強化防御能力。360工程師還曾破解了‘小耗子’某代理商(業(yè)內俗稱‘發(fā)馬人’)的統(tǒng)計后臺，發(fā)現僅通過該代理商，小耗子一天就感染了5781臺電腦，控制的‘肉雞’電腦總量達到65497個，這足以說明‘小耗子’當時有多么猖獗。”

　　在360安全中心對“小耗子”進行分析和鑒證后，該木馬用于升級的服務器被定位在廣東省東莞市的電信IDC機房中。警方了解到，盡管這款木馬的代理商韓某已經落網，但其作者仍在不斷更新木馬變種。根據360分析的線索以及犯罪嫌疑人韓某的指證，麻城警方隨即趕赴安徽，將“小耗子”木馬的作者楊某抓捕歸案，并進一步順藤摸瓜，分別在河北及廣東將負責為“小耗子”提供“掛馬”流量和銷贓的3位嫌疑人抓獲，從而挖出一條完整的木馬產業(yè)鏈。

　　“對網民危害最嚴重的木馬莫過于‘小耗子’、‘機器狗’、‘犇�！�這些木馬下載者，它們相當于在網民電腦中建了一條一站式直達的‘木馬輸送帶’，能夠把任意木馬程序下載到網民電腦中，無論是偷游戲、網銀帳號的盜號木馬，還是彈廣告、模擬點擊以及高頻訪問的‘肉雞’程序木馬，亦或是那些盜隱私、控制攝像頭進行偷拍的后門程序木馬，都能做到輕而易舉、實時調整‘輸送’內容，因而其風險之大難以衡量�！� 360安全專家石曉虹博士表示：“360的工程師團隊奉行‘木馬不過夜’的原則，一旦發(fā)現新的變種即使通宵熬夜也要盡快消滅，這讓我們能夠嚴密監(jiān)控木馬的一舉一動，不僅為警方辦案提供了有力證據，更是要盡可能地保護用戶免受損失�！�

　　據湖北麻城公安局副局長黃紹魁介紹，“小耗子”木馬產業(yè)鏈不到半年的時間就非法獲利200余萬元，不過，從360安全中心的監(jiān)控數據來看，“小耗子”的作惡規(guī)模其實遠不及“犇�！�、“母馬”等今年頻繁爆發(fā)的高危木馬下載者。

　　360安全專家石曉虹博士表示，在各種木馬病毒中，“小耗子”的感染量只能算是中等規(guī)模，甚至不到“犇牛”高發(fā)期的零頭。“即便如此，‘小耗子’在半年內就賺取了200萬巨額黑色利益，說明木馬產業(yè)的危害遠遠超過人們的想象，互聯(lián)網上大量‘裸奔’的電腦成了木馬賺錢的樂園，這對網民的上網安全構成了極其嚴重的威脅。”

　　“只有用免費安全軟件把全體網民都武裝起來，讓木馬賺錢越來越難，才能真正遏制木馬產業(yè)的危害�！� 360安全專家石曉虹博士介紹說，為了推動安全服務的普及，360安全中心為全體網民提供了360免費安全套裝，包括360安全衛(wèi)士、360殺毒以360安全瀏覽器等產品。其中，永久免費的360殺毒在10月20日正式發(fā)布后受到網民極大歡迎，30天內總裝機量就達到5000萬臺，相當于為網民節(jié)省了50億元的殺毒軟件購買成本。

　　附：小耗子木馬產業(yè)鏈落網事件案情梗概

　　2007年10月 湖北省麻城市一家網吧遭韓某(網名：黑色靚點)操縱上萬臺電腦“肉雞”攻擊，韓某使用非法辦理的手機卡和銀行賬戶向網吧老板勒索8000元人民幣。此次攻擊造成當地公、檢、法、稅務等政府單位以及5家網吧等40多家光纖用戶的網絡癱瘓達三天久，直接經濟損失超過13萬元。警方介入調查后發(fā)現，這起網絡攻擊案源于麻城當地青年高某與網吧老板不合，遂叫其網友黑色靚點對網吧進行攻擊。隨后高某被警方重點監(jiān)控，但由于網絡攻擊證據采集很困難，起訴證據不足，麻城警方只能將這起網絡攻擊案暫時擱置，但偵破工作并未就此完全停止。

　　2009年3月 高某再次利用網絡敲詐他人財物，麻城市公安局網監(jiān)大隊在4小時內將其抓獲，并以此為契機，使一年多前的這場特大網絡攻擊案重現曙光。

　　2009年4月 在高某舉證下，麻城網警抓獲了利用黑客工具發(fā)動網絡攻擊的主犯韓某，并在其“工作室”的電腦中發(fā)現大量木馬程序，“小耗子”木馬下載器也在其中。韓某承認是“小耗子”的全國總代理。

　　據韓某交代，“小耗子”是一款極具攻擊性的木馬下載器，可以秒殺一般的安全軟件，但唯獨360安全衛(wèi)士卻很難對付。韓某說：“所以落雪的瞬間(小耗子的作者)非常痛恨360，每次升級程序在繞過360方面都要絞盡腦汁�！备鶕�這一線索，麻城警方找到了國家計算機應急中心、反病毒聯(lián)盟成員之一的360安全衛(wèi)士公司。

　　隨后，360方面積極配合警方調取了大量關于小耗子木馬的數據。在360安全中心的鑒證配合下，小耗子的作者楊某(網名：落雪的瞬間)開始進入警方視野。

　　2009年5月 麻城網警在安徽省滁州市將楊某抓捕，并當場繳獲其編寫“小耗子”木馬程序的犯罪證據。

　　2009年6月 正忙于開拓財路的“小耗子”下線代理在河北省石家莊市被捕，共有兩人，均為初中學歷，他們一方面從楊某手中購得小耗子木馬下載者，另一方面又通過其它途徑購得網游盜號木馬(另案調查)，由小耗子作為網游盜號木馬的運輸通道和保鏢，通過盜取游戲賬號牟利。麻城警方初步調查，這兩名小耗子下線三個月內的資金流已在數十萬的級別。而他們傳播木馬的主要途徑，則是向深圳的一位流量商購買流量掛馬。

　　2009年7月至今 麻城警方順藤摸瓜在深圳將該流量商抓獲。360安全工程師分析說，流量商是這條產業(yè)鏈中最大的推手和幕后大老板，在木馬產業(yè)中扮演著非常復雜的多重角色：首先是向一些網站站長收購流量，這部分流量既可以出售給小耗子木馬的下線傳播者，也可以由流量商自己掛馬。所掛的木馬也分為兩種，一種是直接竊取網游賬號獲利，另一種是推送偽造的QQ中獎消息，結合釣魚網站(自己制作或是為其他專業(yè)詐騙者進行推廣)進行網絡詐騙，而這些木馬通常也是由流量商以低價雇傭程序員編寫。經麻城網警調查，在深圳抓獲的流量商一個月的收益達到十多萬元。