QQ大盗的黑色产业链

提要:经过四个月的调查，常州市公安局破获了一起利用“掠夺者”“Q币大盗4”“New Q大盗”三款木马软件的盗号团伙。不到一年时间，数千万个QQ号被盗，盗号量占全国被盗QQ号总数的90%，造成数百万用户4000多万元的财产损失。

　　QQ大盗的黑色产业链

　　QQ盗号的黑色产业已经呈现集团化及行业细化的特征，一个个QQ号盗窃案的背后隐藏着完整的黑客利益链条

　
　　“如果把用户的QQ信息比作一头牛，各层转卖者就像一条生产流水线，牛在流水线上被依次剥皮去肉，最后剩下的骨头也被充分利用。”2012年12月10日上午，江苏省常州市公安局网络安全支队(以下简称常州网安支队)第三大队副大队长瞿俊告诉《中国新闻周刊》。

　　活跃用户超过7亿的网络聊天工具QQ早已成为黑客们的目标。近期，经过四个月的调查，常州市公安局破获了一起利用“掠夺者”“Q币大盗4”“New Q大盗”三款木马软件的盗号团伙。不到一年时间，数千万个QQ号被盗，盗号量占全国被盗QQ号总数的90%，造成数百万用户4000多万元的财产损失。

盗号拿“信”

　　常州网安支队终于等到了一起关于QQ被盗的报案，数额不大，涉及160个Q币。“大部分用户在QQ被盗之后并不会去报案，”网安支队第三大队的副大队长瞿俊对《中国新闻周刊》说，“很多时候大家都觉得百十来块钱就算了。”

　　警方对受害人电脑进行电子勘验，一款叫做“掠夺者”的木马程序被发现。这款程序不仅能盗取QQ密码，而且还能避开腾讯公司的验证系统而对Q币进行转移。与此同时，网安支队又接到了另外一起通过QQ进行诈骗的报案，在受害人的电脑中发现了一款叫做“Q币大盗”的木马程序。警方分析后认定，两款木马来自同一个编码源。2012年7月中旬，常州网安支队决定成立专案组。

　　木马所指向的服务器成为唯一的破案线索。

　　涉案服务器的注册地位于南通市，而他的租用者却远在天津，访问过该服务器的IP地址则遍布全国各地。专案组陆续锁定了天津、黑龙江、上海、湖北、福建等15个省(市、区)，31名犯罪嫌疑人。其中包括掌握着“掠夺者”“Q币大盗”“New Q大盗”三款木马的犯罪嫌疑人。9月9日，26个抓捕小组分赴各地进行抓捕。

　　此时，于阔正在天津家中上网，很快被捕。27岁的于阔圆头圆脑，以“燕子”“杜鹃”这样的女性网名被圈内熟知，他是“Q币大盗”的总代理。

　　2012年年初，于阔从同行“帅公子”——即“掠夺者”木马的控制者钮华建手中拿到了这款木马的样本。经过技术破解后，这款木马可以将“信”直接发到他的服务器上。按于阔的话说，“这款马非常好用，兼容性强，信也很稳定。”

　　“信”是QQ盗号行业的术语，一组QQ用户名和密码称为一个“信”。而批量传送给黑客信息在圈内叫做“信封”，根据产品不同分为“装备信封”“QQ信封”等等。通过一些黑客工具，将信里面有价值的信息(QQ靓号，QQ币，有价值的游戏装备等)筛选出来的过程称为“洗信”。

　　仅读过中专的于阔并非电脑高手，为了让这款木马效率更高，他专门花5000块钱请了一个技术人员，协助他破解。破解的内容一是要改变木马的传送地址，另外还要给他“去后门”。同样已经被捕的技术人员欧永告诉《中国新闻周刊》，很多作者在写木马程序的时候，会留一个“后门”，也就是将木马获取的信同时发到另一个服务器上，这样可以成为作者的额外收入。

　　一部分这类木马来自技术交流论坛，一些技术高手会在论坛上炫耀自己的技术能力，而这时一些盗号团伙就会把这个源文件进行破解后为己所用。而更多的时候，是在警方端掉一个盗号团伙后，他们直接将没人控制的木马重新破译据为己有。

　　“掠夺者”木马的操控者钮华建就是在今年年初，看到之前的盗号团伙被警方端掉后，找人破译了无人操控的“掠夺者”木马，自己一步步发展起来。