真实案例：一个技术青年的网络失足

作者：苗得雨 资料及案例提供：葛龙生

自从Internet诞生以来，这个由各种数据和信息交织而成的网络编程为了一个大型的第二社会，很多人在网络中寻找到了自己新的生活方式，新的就业机会，新的人生态度，所有的一切都让得以接触网络的人群面向着一条虚拟世界的竞技场，然而网络的隔阂和数字的虚拟让犯罪者的心理也开始无所畏惧，于是网络在某些人的眼里成为了无法无天的代名词，他们认为，那里是他们的天下……

从玩火到纵火

徐立（化名），河北省唐山某钢铁公司设备机动处机加工分厂的一名普通工人，然而这个刚刚28岁的普通青年因为开发了BKDR-VB.CQ木马程序（文件名：ipxsrv.exe）构造“僵尸网络（Bot.net）”，并利用其实施DDoS攻击很可能成为中国网络发展史上第一个因为黑客及网络入侵而判刑的人。2005年2月3日被河北省唐山市路北区人民检察院依法以涉嫌破坏计算机信息系统罪批准逮捕，一副手铐结束了他网络无法无天的黑客生涯……

徐立没有接受过专业的计算机学习，只是在钢铁公司附属的技校读过书，但是他幸运的从1999年就开始接触到了互联网，正是互联网改变了徐立的人生轨迹。在接触互联网的最初，徐立迅速被这样网络世界中丰富多彩的内容震撼了，他第一次看到了什么叫做网页，第一次接触到了远在天边的陌生网友，所有的这一切都让他感觉新奇和刺激，这个外表腼腆的小伙子渴望着来自网络的沟通，虽然他也仅仅是刚刚接触网络，但是他仍然清晰的感觉到，网络就为了他而生的。

接触网络不久，很快徐立就迷恋上了当时Windows 98中内嵌的一个聊天软件Chat，通过Chat他能够进入全世界各大聊天室，和来自全世界任何一个某个角落里的人无限制的沟通。“当时并没有QQ这种软件，而且ICQ在国内也不是很普及，最初的网民都是在IRC聊天室中认识，我就在燕赵信息港的聊天室中认识了很多网友。”但是网络攻击事件很快将徐立拖出了单纯聊天排解寂寞的目的，他很快就发现，在网络中的某些高手，只要看谁出言不慎就可以将其踢出聊天室，即便是在自己不是聊天室管理员的情况下也为所欲为。在多次被这些高手赶下舞台之后，徐立开始对这种Chat中踢人的技术产生兴趣，很快他就找到了这款能够在Chat中踢人的软件，在河北省燕赵信息港的Chat中小试身手。

“要知道那种网络攻击的成功给人的带来的不仅仅只有精神上的喜悦，那是一种无法形容的快感，于是我就开始对网络黑客技术产生了浓厚的感兴趣，特别是那种在Chat聊天室中风光的感觉。”然而徐立没有意识到，这种超越了现实中法律的约束，在虚拟世界中称王称霸的留恋感觉已经将他推上了黑暗的大门。1999年，徐立已经开始不再满足单纯的在聊天室里踢踢人，他开始开发自己的Chat聊天工具，他根据mIRC这款开源的IRC聊天工具基础上开发了自己的第一个Chat聊天软件“XL_BOT”。XL_BOT中他添加了一些诸如语言轰炸、自动回复、自动踢人等Bot的功能。由于这款工具在IRC聊天室中所显示的独特威力，很快风行一时，最终某省信息港的Chat聊天室因为Bot之类的攻击和其它原因最终被迫关闭。

什么是BOT？BOT就是ROBOT(机器人)的缩写，是一组用来自动管理IRC聊天室、辅助进行聊天、甚至进行搞笑的程序。例如，大家可能都在聊天室里看到过某些人能够每次都打出不同的彩色文字、或者某人因为一说脏话就被踢出的情景吧？这就是用到了BOT。很多IRC客户端软件都提供了编写BOT的功能，例如Microsoft Chat、Pirch、mIRC.等

信息港Chat的关闭并没有让徐立的行为得到遏制，相反他开始在全国各个IRC聊天室中兴风作浪，当在某个聊天室中遇到强敌的时候，他就会想尽方法的向强敌发起挑战，为此他还专门自学了大量VB编程的知识，并根据国外一些IRC踢人工具开发了自己的第一个真正的黑客程序“Script.exe”。这款黑客工具通过扫描网络中的IP段寻找到被植入Subsever木马的计算机用户，然后再利用Subseven自身的弱点，让这些带有木马的用户的计算机自动将Script.exe的服务端下载到计算机中执行，在掌握了大量的计算机后，徐立可以通过控制所有被入侵的计算机一起想IRC聊天室的服务器进行攻击，从而达到将聊天室的所有网友“轰炸”下线的目的。由于这款工具的威力和攻击力非常强，一时间在全国甚至世界一些著名的IRC服务器危害一时。但是徐立不但没有感觉到自己在玩火，而是从某些网友的“钦佩”与赞许中得到了来自网络中更多的快感，这时的徐立认为，在网络中，至少在IRC这片天空中，他已经成为了当之无愧的“王者”。

感染灵魂的病毒

2000年，徐立已经不再满足去别的IRC聊天室中捣乱，为了提高自己在IRC放面的技术和知识，他开始自己租用服务器搭建自己的IRC聊天室，在搭设服务器的过程中，徐立也经受了各种网络攻击，多样的攻击方式让徐立学到了大量的网络攻击知识，徐立并没有因为自己建设IRC聊天室而将精力花在去研究如何防范网络攻击的技术，他却相反的将自己所有见到的攻击方式重新整理并编写出了Script.exe攻击软件的升级版本Msapp，这个程序大大提高了对IRC服务器的功能能力，它能够通过IRC服务器本身发放被病毒感染的垃圾数据包，并且可以通过指令让用户到指定的地址下载文件，随后Msapp迅速通过Kuangz这个后门软件为感染源，采用了与Script同样的手段感染那些已经感染了Kuangz后门的计算机，由于程序的攻击性大增，徐立在自己最高峰的时候控制了将近一万台各种计算机。随后徐立又不断的完善Msapp的攻击能力，在程序中还加入了IPC共享扫描、自动植入功能，让受害用户突破将近三万人。

此时的徐立虽然找到了一份想当稳定的音乐下载网站网管员工作，但是为了虚拟的快感他已经全然不会在估计任何后果，“因为在我看来，网络IRC中几乎没有能够和我抗衡的对手了。”自信膨胀徐立随后又针对Windows NT/2000/Xp系统服务启动方式将Msapp.exe程序去掉Ipc共享漏洞扫描繁殖功能升级为Rasinf.exe程序，还利用大量感染Rasinf.exe程序的计算机对著名的甲骨文公司的Web服务进行了10分钟的攻击测试，致使其停止了服务。技术让徐立充满了自信，他深信自己就是网络中的游侠，四处烧杀闯荡网络这个没有法律的虚拟江湖。

2004年冲击波、振荡波接连袭击全球，国内诸多公司也愈加的开始重视网络安全，恶意的网络入侵和网络攻击更是被法律定性为了刑事犯罪，徐立开始担心自己会失去网络管理员的工作，于是为了达到提高自己网站的访问量等诸多目的，徐立再一次改进了Rasinf木马病毒，他不仅仅重写了全部的程序代码，更将下载文件、发起拒绝服务攻击、终止主机进程、搜集主机系统信息、自身升级等功能威力更大的攻击方式添加到了病毒中，并将这款新的威力强大的木马病毒命名为Ipxsrv（杀毒软件公司将其称为僵尸病毒）。2004年6月份，徐立将编写完成的僵尸木马病毒通过托管在网通唐山公司的服务器上开始进行大面积散播，根据检查部门保守统计，仅仅半年时间，僵尸木马病毒已经传染了计算机将近四万多台。