溯源 只为了“开个玩笑”

　　2000年朱宇(化名)在清华大学的研究生宿舍里摆弄“冰河”的时候，打破头他也想不到原来这么两段小程序能在几年后对整个网络世界造成如此巨大的影响。“冰河”被认为中国木马病毒的开山鼻祖级产品，其变种多达数千种，至今依然通过互联网流传。

　　朱宇告诉记者，“当时我就是想开个玩笑，把客户端程序发给一个女生，然后我在宿舍遥控她的电脑，比如设定半夜自动开机，播放恐怖音乐一类的。”在那之后，朱宇隐约意识到了“控制他人电脑”多少可以帮助自己实现一些目的。2008年2月的时候，朱宇接了个副业。“那时候有人问我愿意不愿意帮忙开发一款游戏的木马。”朱宇说，“目的很简单，就是盗号。整个开发完成之后，我收到2000元。”

　　不巧的是，朱宇的小姨子正好是那款游戏的玩家，因为不小心中了朱宇开发的木马，辛苦努力了一年多的心血在一夜间被洗劫一空。“后来他们还找过我，但我再也没做过。”朱宇说，“感觉太不道德，就像种植鸦片。”

　　变种 从制造到分销形成完整产业链

　　类似朱宇这样的开发者，在木马王国里处于产业链的最高端，被称之为“造枪的”。他们大多是程序员或者工作室，出于不同目的走到一起，针对不同的盗号目标开发不同版本的“木马”。

　　在“温柔木马”案中，吕某、曾某等犯罪嫌疑人就先后开发出40多款针对不同产品的“木马”，上千万个网络游戏账号因此受到威胁。

　　而负责“木马”销售的严某等人则被称之为“卖枪的”，他们负责通过自建网站，向有意通过购买“木马”而实施网络盗窃的不法分子销售“木马”。购买“木马”的盗窃实施者，往往被称之为“拿箱子的”。

　　在“木马”从“造枪”环节流传到“拿箱子”处时，一张罪恶的黑网就已经准备铺开了。通过雇佣散工，“拿箱子的”将木马通过各种方式尽可能多地传播出去，这些人被称之为“挂马的”。

　　当木马开始工作之后，“拿箱子的”会收到海量包含着用户账号密码的电子邮件。这时他们有两个选择，第一是把这些包含着良莠不齐信息的邮件打包转卖给“大买家”，也可以选择自行雇人洗劫。

　　无论通过哪种方式，从受害者账号里盗窃出来的虚拟物品最终都将在游戏里被兑换成最容易流通的虚拟物品，并转移到某个仓库账号以方便在类似淘宝、5173这样的虚拟交易平台上完成销赃，最终变成人民币。

　　木马产业链

　　●造枪 程序员或者工作室，针对不同的盗号目标开发不同版本的木马。

　　●卖枪 负责通过自建网站，销售木马，完成资金回流。

　　●拿箱子 购买木马的盗窃实施者。

　　●挂马 雇佣散工，将木马通过各种方式尽可能多地传播出去。

　　●分销 把包含信息的邮件打包转卖给“大买家”，或自行雇人洗劫。

　　●变现 从账号里盗窃出来的虚拟物品被兑换成游戏虚拟物品，并转移到某个仓库账号，在虚拟交易平台上完成销赃，最终变成人民币。