2004年12月份被江民科技反病毒中心率先截获的“证券大盗”病毒作者一审被判无期。5月9日下午,南昌市中级人民法院一审以盗窃罪判处主犯张勇无期徒刑,从犯王浩、邹亮分别被判13年和12年有期徒刑。
据公安部门侦察,截止到犯罪嫌疑人被捕时,三人犯罪团伙已利用“证券大盗”病毒程序,在不到2个月时间里,截获股民股票账户、密码,盗买、盗卖股票价值1141.9万元,非法获利38.6万元。
2004年12月1日,国内最大的计算机反病毒厂商江民科技反病毒中心发布病毒紧急通报,一名为“证券大盗”的病毒正在通过一个人网站加速传播。江民反病毒专家介绍,该病毒被加载在一地址为www.shoufan.com网站上,该网址与著名投资公司北京首放公司网站(www.shoufang.com.cn)相似。股民只要点击或误入该网站就会中毒,且无任何症兆。该病毒能盗取多家网上证券交易系统的用户账号和密码,严重威胁我国网上证券委托系统的安全应用。
江民反病毒专家介绍,“证券大盗”病毒隐身的www.shoufan.com网站系一个人网站,内容主要是一些证券公司的网址链接,用户点击该网站后,会弹出一个标题为“蓝天广告”的窗口,同时,病毒文件即在无任何提示的情况下被下载到本地并自动运行。
病毒运行后,修改注册表自启动项,以使自己随系统同时运行,随后潜伏在系统中,不对系统产生任何破坏,系统亦无任何异常症状。一旦病毒自动监测到包含多家券商名称的标题窗口,就开始使用键盘钩子程序自动记录用户登陆信息,包括用户名和密码,同时,病毒还通过屏幕快照将用户登陆时窗口画面保存为图片,在记录达到一定次数后,将记录的信息和图片通过电子邮件发送给病毒作者。随后病毒开始“自杀”,删除自己在电脑中留下的所有文件,让受害者找不到任何线索。
经公安部指定管辖,南昌市公安局公共信息网络监察支队开始立案侦察此案。经侦察,犯罪嫌疑人张勇、王浩、邹亮均系江西省宜丰县人。2004年10月17日,张勇在宜丰县新昌镇将王浩、邹亮约至一起,自称已在互联网上租用空间,仿冒网站 "首放证券网"(www.Shoufang.com.cn)制作了一个域名为"www.Shoufan.com"的网站,如果在该网站上设置木马程序,一些安全防护措施较弱的股民一旦访问该网站,其电脑中就会被植入木马程序,该程序能够自动获取股民账号及密码等信息,并发送至指定的电子邮箱中,之后操纵股票账号高价购入自己手中持有的股票便可从中获利。
王浩和邹亮当即表示同意。三人商定,作案所需初始资金按张勇60%、王浩和邹亮各20%的比例出资,所得利润也按此比例分配。三人还进行了分工,由张勇负责木马程序的制作与传播,并进行股票账号的操作;王浩负责用假身份证设立股票、银行账户及办理联通上网卡;邹亮负责在电子邮箱中收取和整理通过木马程序获取股民的股票账户和密码。
2004年10月18日起,张勇伙同王浩、邹亮流窜于长沙、南昌、深圳、广州、厦门、杭州等地,以假身份证开设股票账户,共同出资15万元购买启动股票,然后利用网络病毒程序盗得股民的账号、密码,操纵股民的账户,以涨停板的价格购买张勇等三人的股票,并且致使受害股民账户内的剩余资金全部自动高价购买了其他股民的股票。至同年11月25日止,张勇等三人先后作案19次,累计非法获利38.6万余元,受害股民53人,造成受害人直接经济损失89万余元。
2004年10月以来,浙江、福建、湖北、广东等地公安机关相继接到证券公司和当地股民报案,称其证券公司的客户所开设的证券交易账户上的股票,被人通过网上委托的方式非法盗卖。经调查证实,这是一起故意制作、传播黑客程序,盗取证券用户交易账号及密码后,恶意进行股票买卖从中获利的案件。2004年12月16日,张勇等三人在安徽省潜山县被抓获。
江民反病毒安全专家认为,此次“证券大盗”病毒作者被判无期的案例说明,通过网上窃取他人证券交易、网上银行账号、密码的行为,已经不能按照《计算机病毒防治办法》和《治安处罚法》相关条例进行惩处了,而是直接按《刑法》规定的盗窃罪论处,这次案例也给网络上日益猖獗的利用木马盗号的不法分子猛敲了一记警钟。