视频 | 视频｜北京一科技公司开发“火球”病毒境外传播 非法获利近8000万元

 看看新闻Knews记者昨日从北京海淀警方获悉，目前这起跨境“黑客”案件已经破获，9名主要犯罪嫌疑人因涉嫌破坏计算机系统罪，已被海淀区检察院批准逮捕。

今年6月3日，海淀分局接到一名热心“海淀网友”于先生举报称：他是一名网络安全公司的技术人员，在网上浏览网页时，发现一国外知名安全实验室报道了一起代号为“FIREBALL（火球）”的事件，在这起事件中发现了某中国网络公司通过在国外推广镶嵌了恶意代码的免费软件来达到流量变现的目的。 

“当时说影响到2.5亿用户，因为数量很大，而且还是在中国的公司，当然会引起安全公司的重视，所以我们就加班加点的进行了分析，在了解了背后病毒的传播和感染渠道，就报了案。”于先生说。

于先生随后结合自己的专业知识，对“火球病毒”病毒传播途径进行了分析，并协助分局网安大队民警对该网络公司推广的免费软件进行了样本固定，通过技术手段对样本进行了功能性分析，确定在这些推广的免费软件内存在相同的恶意代码。

随后，在北京市公安局网安总队的领导下，分局网安大队对涉案网络公司进行了调查，发现该办公地、注册地均在海淀区。网安和刑侦部门成立专案组，开展立案侦查。 

办案民警通过模拟系统中毒过程结合实地调查追踪，准确掌握嫌疑人的犯罪事实，及时固定了整个犯罪行为过程的关键证据，同步摸清了该公司组织架构。

6月15日专案组正式启动收网行动，在该公司所在地将该犯罪团伙一举捣毁，抓获了以马某、鲍某、莫某为首的11名嫌疑人。

经审查，马某、鲍某、莫某都一直从事IT行业，2015年共同出资成立一家病毒软件开发的网络公司，为了躲避监管，在开发出“FIREBALL”恶意软件后，就在国外开通账户，然后将该恶意软件捆绑正常软件投放国外软件市场进行传播。

据犯罪嫌疑人交待，他们跟海外的一些网络联盟有广告技术合作，海外网络联盟会提供代码，安装他们插件的用户在浏览网页的时候，会把代码加入到网页上。为防止“火球”病毒软件被卸载，他们会在后台下载一些驻留系统的程序，而这些程序用户是不知情的。

该恶意软件感染电脑后，能够在受害者机器上执行任意代码，进行窃取凭据、劫持上网流量到删除其他恶意软件的各种操作等违法犯罪行为。然后，该公司在该恶意软件上植入广告向受害者电脑投放从而谋取暴利。

办案民警介绍，在用户不知情的情况下，用户的流量就会被这款恶意代码劫持，劫持去某些网站上去点击广告，通过这个来实现流量变现。此外，恶意代码还会在用户不知情的情况下，强制给你升级，升级完了之后还继续流量变现。

“就相当于它拥有用户的最高权限，你在它的面前时透明的，因为杀毒软件都杀不掉它。”北京市公安局海淀分局网安大队副大队长董立波说。

网络犯罪一般都存在取证难、固定证据难的问题，而在此次案件的办理上，海淀区检察院的办案人员全程参与案件侦办过程。

“对他们自己的内部邮件系统、内部通信系统，我们也进行了及时的冻结和扣押，直接保障了相关数据被完全固定，所以说这个案子在审查的过程中，电子数据给了我们极大的支撑，也是最后我们决定逮捕相关嫌疑人最重要的法律依托。” 北京市海淀区人民检察院科技犯罪检察部检察官许丹说。

据了解，案件还在进一步审理，可能还会有其他的犯罪行为，嫌疑人罪名查实后，可能面临5年以上的有期徒刑。

（看看新闻Knews记者 王一鸣  编辑：陈曦）