僵尸网络罪案例分析

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

破坏计算机信息系统罪案例分析

被告人徐赞,男,1978年4月9日出生,回族,河北省迁安市人,中技文化,唐钢设备机动处加工分厂工人,住唐山市路北区健康楼12楼2门401号。因涉嫌破坏计算机信息系统罪于2005年1月11日被刑事拘留,同年2月4日被逮捕。现羁押于唐山市第一看守所。

辩护人孙勇,北京市首信律师事务所律师。

河北省唐山市路北区人民检察院以唐北检刑诉(2005)179号起诉书指控被告人徐赞犯有破坏计算机信息系统罪,于2005年7月5日向本院提起公诉。本院依法组成合议庭,公开开庭审理了本案。唐山市路北区人民检察院指派检察员刘树利出庭支持公诉,被告人徐赞及其辩护人孙勇到庭参加了诉讼。现已审理终结。

唐山市路北区人民检察院指控被告人徐赞利用其编写的ipxsrv.exe程序,在互联网上进行传播,先后感染40000余台计算机,形成Bot Net僵尸网络。2004年10月6日至2005年1月10日,被告人徐赞操纵僵尸网络对北京大吕黄钟电子商务有限公司网站()发动多次拒绝服务攻击,致使该公司遭受重大经济损失,并且影响北京电信数据中心皂君庙机房网络设备及用户。经计算机病毒防治产品功能测试机构鉴定,ipxsrv.exe程序为破坏性程序。

被告人徐赞对公诉机关指控的犯罪事实予以供认。辩护人孙勇提出的辩护意见主要是被告人徐赞的行为不构成犯罪。

经审理查明,被告人徐赞利用QQ尾巴等程序在互联网上传播其编写的ipxsrv.exe程序,先后植入40000余台计算机,形成Bot Net僵尸网络。2004年10月至2005年1月,被告人徐赞操纵僵尸网络对北京大吕黄钟电子商务有限公司所属音乐网站(/北京飞行网,简称酷乐),发动多次DDOS攻击,致使该公司遭受重大经济损失,并且影响北京电信数据中心皂君庙机房网络设备及用户,造成恶劣的社会影响。经计算机病毒防治产品功能测试机构鉴定,ipxsrv.exe程序为破坏性程序。

上述事实,有公诉机关提供,并经法庭当庭质证认证的下列证据予以证实:

1、北京大吕黄钟电子商务有限公司的报案材料证实:自2004年10月6日起,该公司的酷乐网站连续受到几次不明身份攻击。期间,流量达到50Mb/s,高于异常极限3倍,经技术检查发现TCP连接数达到数万个,同时经过检查没有发现病毒迹象,怀疑有人进行攻击。10月10日起,发现主用DNS异常,攻击类型为TCP与UDP攻击,峰值流量达到85。95Mb/s,最终导致DNS设备停机。10月18日至11月期间,每天处于间歇性攻击,软件无法正常使用,攻击无固定时间和攻击方式,攻击目标为该公司所有酷乐软件的Web等服务器,导致酷乐软件无法正常使用。11月整个月,攻击总量始终保持在600-700Mbits,攻击目标始终锁定酷乐软件中各栏目的首页,使酷乐无法给客户下载,下载之后无法注册,注册后无法使用。由于受到攻击,该公司遭受重大经济损失。

2、案件来源及抓获材料证实:2005年1月6日9时许,唐山市公安局网监处接公安部

十一局线索通报名为BK DR-VB.CQ(文件名为ipxsrv.exe)的木马程序在我国网络上广泛传播,根据信息产业部通报的情况,我国境内已有超过4万台主机被感染,经分析,该木马所利用的IP地址为61.182.209。91的DNS服务器在我市境内,接报后,该处遂开展对该IP 的布控工作,最终确定犯罪嫌疑人为徐赞。2005年1月10日16时许,在唐山市路北区健康楼12楼楼下将涉嫌破坏计算机信息系统的被告人徐赞抓获。

3、国家计算机网络应急技术处理协调中心关于“僵尸网络”危害的说明证实:感染木马程序(文件名为ipxsrv.exe)的计算机会自动连接二级域名为、、、等多台IRC聊天服务器并接受黑客所发出的控制指令,该木马还有下载文件、发起拒绝服务攻击、终止主机进程、搜集主机系统信息、自身升级等功能。该网络的控制者有条件利用这些感染木马的计算机从事多种网络攻击行为,并造成用户个人信息泄露。当感染的计算机数量达到上万台以后,控制者可操纵发起大规模的网络攻击,能够对互联网上被攻击的各种重要业务系统造成严重危害。由于该木马程序不会给被感染主机的运行带来明显影响,很难被本机用户发现;同时,在接收黑客的攻击命令之前各感染木马的计算机均处于潜伏状态,因此该僵尸网络具有很好的隐蔽性。从而在未彻底清除感染木马计算机的工作带来很大困难的同时,也给互联网安全带来了长期的潜在威胁。该木马程序所利用的IRC 聊天服务之一为位于重庆的IP为219.153.0。134。

4、天津市质量监督检验站第70站的检验报告证实:被告人徐赞编写的ipxsrv.exe为破坏性程序。

5、唐山市公安局网监处出具的说明证实:经该处查询,、、、四个域名均为徐赞在中国频道网站注册,与被感染的计算机自动联接的二级域名是完全一致的。

6、重庆市电信公司数据通信中心网管段斌的证言证实:大概2004年12月份,其重新启动IP地址为219.153.0。134的服务器进入系统,发现日志已经被全部清除了,另外有异常的端口开启。三天后,发现有人利用3389登录服务器,IP地址是唐山的。

7、北京大吕黄钟电子商务有限公司劳动处处长吴正达的证言证实:从2004年10月6日开始,其公司网站遭到不明攻击,攻击的是该网站提供的所有服务,直到2005年1月11日结束。

8、河北省通信公司唐山分公司机房负责人董建忠的证言证实:其单位五层机房存放的IP地址为61.182.209。91的服务器是徐赞的。平时是由徐赞本人负责维护。

9、北京电信数据中心皂君庙机房网络管理人员王娜证实:“大吕黄钟”是托管在其机房的用户。2004年10月至2004年11月间“大吕黄钟”遭到DDOS攻击的事实。

10、北京电信数据中心皂君庙机房给北京大吕黄钟电子网站发送的传真证实:“大吕黄钟”是托管在数据中心皂君庙机房的用户,近两个月来频繁受到黑客攻击,其攻击流量异常,影响到其接入网络设备的性能。虽然当受到攻击时,“大吕黄钟”的正常服务已基本停止,但是数据中心为了保证“大吕黄钟”的网络连接,一直想尽办法替用户解决问题,多次咨询网络设备厂商cisco公司寻求技术支持。在没有有效的解决网络攻击的情况下,该攻击流量已

相关文档
最新文档