“神马都是浮云”是一句 *** 流行语，而20岁的程序写手高阳却把它用作了新型木马病毒的名字。在短短两个月的时间里，这匹“神马”通过 *** 传播在全国各地横冲直撞，窃走近百名受害人网银账户内的资金，涉案金额达1000多万，制造了全国更大一起网银盗窃团伙案。

近日，江苏省徐州市公安局网警支队破获这起盗窃案。这匹神通广大的“神马”，最终成为 *** 中的过眼浮云。

本报记者 王秋实

本报制图 何将

热心网友发来神秘文件

今年3月22日入夜，家住江苏省徐州市的王先生像往常一样，经营着自己的 *** 网店，就在他和顾客在网上讨价还价时， *** 跳出了一个对话窗口，一个昵称叫“我爱 *** ”的网友自称认识拍拍网公司的人，能帮王先生刷拍拍网店的信誉。

王先生起初还有点怀疑，但随着聊天的深入，他渐渐地感觉对方说的话很真诚，就慢慢放松了警惕。

看到王先生进入自己设下的圈套，陌生网友向王先生在线发送了一个软件包，说软件包内就是新规则。王先生没有多想就点击接收了这个软件包，同时陌生网友“不经意”地告诉王先生，现在支付宝有优惠活动，充值100送30，很合算，而且只限当晚。

此时的王先生已经完全相信这个网友的话了，他立即用工行网上银行向自己的支付宝账户打钱，之一次打了2000元后，电脑屏幕上突然跳出几个字“巨人账户充值成功”，但查询支付宝账户时，发现充值没有成功。王先生知道巨人是 *** 游戏的账户，但自己从来不玩游戏，怎么会充值到巨人 *** 的账户里呢？他不知道是哪里出了问题。但感觉情况不妙的王先生查看了自己的银行账户，这一看他惊呆了：自己银行账户里的3万多元现金，被人转移到巨人 *** 的账户里变成了游戏币。第二天一早，他满头大汗地跑到辖区的派出所报案。

新型病毒可后台改金额

经过大屯公安分局与徐州市公安局网警支队的联合调查发现，犯罪嫌疑人以发“拍拍新规则”为名，实际向王先生发送的是一种叫做“浮云”的新型木马病毒。这种病毒在受害人使用网银转账的过程中，在后台秘密截取网银转账信息，在受害人不知情的情况下，将受害人网银内的资金秘密转入到犯罪嫌疑人指定的游戏账户。

除了具有一般的网银盗窃木马的功能外，“浮云”木马更具有隐蔽性，甚至可以躲过杀毒软件的扫描，并且可以根据银行卡内的资金情况，更改盗窃资金的额度。

王先生被骗的资金去向，是案件唯一的突破口。专案组民警根据王先生提供的线索，通过分析和追查受害人资金流向，很快将嫌疑人位置锁定在山东省威海市一小区。获取这一信息后，3月31日，民警将再次准备作案的两名嫌疑人林某和王某抓获。

租“马”人牵出盗窃团伙

据林某交代，2011年初，他在一黑客群内结识了网友“GG”，“GG”教他利用发送“浮云”木马软件，控制受害人网上银行支付、更改支付地址、盗窃他人网银卡内现金，并以每月3000元的价格将木马病毒出租给他。

王某主要负责联系网店用户，以多种 *** 诱骗用户实施种马，盗来的资金与林某分账。

专案组民警发现，“浮云”木马盗窃团伙主要成员近60名，团伙成员角色分工极其细致，从木马作者，到负责修改病毒躲避杀毒软件查杀的免杀人员，以及租用木马骗钱的“包马人”，专门引诱受害人上钩的“拉单人”和得手之后的洗卡人，每个成员都有自己明确的角色。

团伙成员全部落网

在对涉案资金进行分析整理后，警方发现，在不到两个月的时间里，“浮云”木马案件中的受害人达到近百人，涉案金额1000多万。徐州市公安局网警支队案件侦查队队长张伟告诉记者，这一数字说明，“浮云”木马与以往的电脑病毒相比危害性更大，如果不尽快侦破此案，病毒可能会呈几何级数向外扩散，骗倒更多的网民。

专案组民警经过一个多月的数据分析和侦查，成功抓获了包括木马作者、包马人、免杀人在内的58名犯罪嫌疑人。

目前，41名犯罪嫌疑人已被依法逮捕，破获案件30多起，扣押涉案机器112台、银行卡456张，追回受害人被骗资金300多万元。这起公安部挂牌督办的全国更大网银盗窃团伙案至此告破。

案件特点

四成嫌疑人都是90后

据徐州市公安局网警支队案件侦查队队长张伟介绍，此案中抓获的犯罪分子显示出低龄化的特点，多数为青少年，22岁以内的90后占到40%。这些人的学历高低不等，从初中肄业到大学毕业都有，但是都没有正当收入来源，又贪图享受，利用网银木马盗窃就成了他们“致富”的一条捷径。

而且随着 *** 技术的发展，木马逐渐呈现出智能化、傻瓜化的特点，“浮云”木马通过进程实时监视用户浏览器地址栏URL，当用户有支付行为时，该木马会自动读取指令，然后根据指令进行防查杀升级。犯罪分子种下“马”后，只需要使用修改工具进行简单配置就能立即实施盗窃。一次种马，多个充值账号使用，可实施多次盗窃。由于该木马操作简便，容易上手，他们在实施盗窃的同时，还相互传授经验，导致犯罪成员迅速增加。

犯罪成员反侦查意识强

虽然此案中犯罪嫌疑人年龄都不大，但却有丰富老到的反侦查意识。他们为了隐藏身份、逃避追查，不使用真实的身份信息，盗窃得手后立即找人“洗卡”。洗卡人购买游戏点卡，然后将游戏点卡卖给网游公司或游戏玩家变现。另外，作案用的收款账号、第三方充值等账号多是一案一用，变换频率较高，而且活动地点、作案地点不固定，给警方追查嫌疑人带来很大难度。

以往 *** 犯罪人员一般都是单打独斗，或者最多几个人临时组成团伙，相比之下，此案犯罪团伙人员众多，源头的木马作者、免杀人员，到下面的洗卡人员、包马人员、拉单人员，每一级人员都有明确的角色分工，作案手段各不相同，组织非常严密，而且该团伙区域分布较广，从最北方的黑龙江到最南端的海南省都有，遍布全国32个地市。