原標(biāo)題：名校畢業(yè)生研發(fā)病毒年獲利8000萬 2.5億臺電腦感染

　　海淀網(wǎng)友協(xié)助民警追蹤跨境黑客

　　高材生開公司研發(fā)病毒 一年獲利8000萬 全球2.5億臺電腦受感染

　　利用廣告插件植入廣告獲利，去年一年獲利近8000萬元。幾名知名高校的畢業(yè)生成立網(wǎng)絡(luò)公司后，從事病毒軟件的開發(fā)，其開發(fā)出的“Fireball（火球）”病毒引起了國外知名安全實(shí)驗(yàn)室的報告。最終，經(jīng)海淀網(wǎng)友舉報，海淀警方日前破獲這一特大跨境“黑客”破壞計算機(jī)信息系統(tǒng)案。

　　“火球”感染2.5億臺電腦

　　6月3日，海淀分局網(wǎng)安大隊(duì)接到一名熱心海淀網(wǎng)友舉報稱：其在網(wǎng)上瀏覽網(wǎng)頁時，發(fā)現(xiàn)一國外知名安全實(shí)驗(yàn)室報告了一起代號為“Fireball（火球）”的事件，同時引出了某中國網(wǎng)絡(luò)公司通過在國外推廣鑲嵌了惡意代碼的免費(fèi)軟件來達(dá)到流量變現(xiàn)。

　　公開的資料顯示，“火球病毒”已感染全球約2.5億臺計算機(jī)。該病毒通過捆綁正常軟件傳播，中毒電腦的瀏覽器主頁、默認(rèn)搜索頁會被鎖定且難以更改。火球病毒感染后會劫持用戶瀏覽器，中毒電腦成為僵尸網(wǎng)絡(luò)的一部分。與此同時，火球病毒還是一個功能完善的病毒下載器，可以在中毒電腦執(zhí)行任何代碼。其核心功能是控制用戶瀏覽器點(diǎn)擊谷歌、雅虎網(wǎng)站的廣告牟利。

　　海淀網(wǎng)友幫警方追蹤黑客

　　由于這名海淀網(wǎng)友是一網(wǎng)絡(luò)安全公司的技術(shù)人員，其在看到國外的安全實(shí)驗(yàn)室分析后，結(jié)合自己的專業(yè)知識，對火球病毒傳播途徑進(jìn)行了分析，并協(xié)助海淀分局網(wǎng)安大隊(duì)民警對該網(wǎng)絡(luò)公司推廣的免費(fèi)軟件進(jìn)行了樣本固定，通過技術(shù)手段對樣本進(jìn)行了功能性分析，確定在這些推廣的免費(fèi)軟件內(nèi)存在相同的惡意代碼。

　　隨后，在市局網(wǎng)安總隊(duì)的領(lǐng)導(dǎo)下，海淀分局網(wǎng)安大隊(duì)對涉案網(wǎng)絡(luò)公司進(jìn)行了調(diào)查，發(fā)現(xiàn)該辦公地、注冊地均在海淀區(qū)。海淀分局隨即成立了專案組對此案進(jìn)行調(diào)查。專案組民警從病毒程序的運(yùn)行方式入手，通過模擬系統(tǒng)中毒過程結(jié)合實(shí)地調(diào)查追蹤，準(zhǔn)確掌握嫌疑人制作病毒自行侵入用戶電腦，強(qiáng)行修改系統(tǒng)配置，劫持用戶流量，惡意植入廣告牟利的犯罪事實(shí)。

　　通過監(jiān)測，辦案民警及時固定了整個犯罪行為過程的關(guān)鍵證據(jù)，同步摸清了該公司組織架構(gòu)。6月15日，專案組正式啟動收網(wǎng)行動，在該公司所在地將該犯罪團(tuán)伙一舉搗毀，抓獲了以馬某、鮑某、莫某為首的11名嫌疑人，嫌疑人對自己的犯罪事實(shí)供認(rèn)不諱。

　　高材生開發(fā)病毒牟取暴利

　　經(jīng)審查，馬某、鮑某、莫某都一直從事IT行業(yè)，其中馬某和鮑某更是國內(nèi)知名高校的高材生，并曾在知名網(wǎng)絡(luò)公司工作過，并通過工作上的接觸而熟識，在閑聊中想到一起開發(fā)惡意插件牟利。2015年，幾個人共同出資成立一家網(wǎng)絡(luò)公司，從事病毒軟件的開發(fā)。

　　在公司中，馬某任公司總裁，鮑某和莫某分別任公司技術(shù)總監(jiān)和運(yùn)營總監(jiān)。記者了解到，2015年底，該公司開發(fā)出“Fireball”惡意軟件后，考慮到國內(nèi)網(wǎng)絡(luò)安全監(jiān)管嚴(yán)厲，為了躲避監(jiān)管，該公司特意選擇在國外開通賬戶，然后將該惡意軟件捆綁正常軟件投放國外軟件市場進(jìn)行傳播。

　　該惡意軟件感染電腦后，能夠在受害者電腦上執(zhí)行任意代碼，進(jìn)行竊取憑據(jù)、劫持上網(wǎng)流量等違法犯罪行為。然后，該公司在該惡意軟件上植入廣告向受害者電腦投放從而牟取暴利，該公司國外賬戶僅僅在去年就非法獲利近8000萬元人民幣。

　　目前，馬某、鮑某、莫某等9人因涉嫌破壞計算機(jī)系統(tǒng)罪已被海淀區(qū)檢察院批準(zhǔn)逮捕，案件還在進(jìn)一步審理中。

　　相關(guān)新聞

　　警方破獲全市首例流量劫持案

　　利用惡意代碼“包裝”正常軟件，通過植入木馬非法獲取利益。海淀警方通過蛛絲馬跡追捕嫌疑人。近日，海淀警方破獲北京首例用戶流量劫持案件，抓獲嫌疑人3名。

　　今年4月28日，海淀分局網(wǎng)安大隊(duì)接到轄區(qū)百度公司報案，稱其公司網(wǎng)絡(luò)流量出現(xiàn)異常，網(wǎng)民訪問渠道被更改，懷疑被植入惡意代碼，造成經(jīng)濟(jì)損失約2000萬元人民幣。

　　警方調(diào)查發(fā)現(xiàn)，訪問hao123網(wǎng)站服務(wù)器的地址大多來自一家服務(wù)器，之前涉案服務(wù)器的公司曾根據(jù)帶入的流量向百度公司索取報酬。后經(jīng)百度公司查實(shí)，這些流量是涉案服務(wù)器公司篡改網(wǎng)民訪問路徑得到的，每次網(wǎng)民登錄hao123網(wǎng)站時都會在不知情的情況下，先通過涉案服務(wù)器，然后登錄到hao123網(wǎng)站，這種篡改普通用戶訪問路徑被稱為流量劫持。

　　專案組民警經(jīng)過近兩個月的工作，最終在順義、朝陽等地將3名嫌疑人抓獲。目前嫌疑人陳某、張某、賈某等3人因涉嫌破壞計算機(jī)信息系統(tǒng)罪被海淀警方依法采取刑事強(qiáng)制措施，案件仍在進(jìn)一步審理中。