福建日报报业集团主管 《福建法治报》官方网站
原创 | 法治福建 | 记者调查 | 时政 | 国内 | 普法课堂 | 法治时评 | 说法 | 求证 | 大案要案 | 权威发布 | 公安 | 检察 | 法院 |

“挖矿”两年获利1500万

2018-09-11 11:31:51 来源:《检察日报》

从“论坛版主”撬开“冰山一角”

贺翔成是如何进入警方视线的呢?原来,腾讯公司的安全团队检测到一款游戏外挂暗藏木马程序,这正是贺翔成开发的“绝地求生”外挂程序。他伙同其他人员利用这款外挂程序非法控制了607台计算机来进行“挖矿”,直到案发,该木马程序感染了数十万台用户电脑。

腾讯公司网络安全部工作人员告诉记者,用户一旦下载了“绝地求生”这款游戏外挂程序,电脑就会被植入木马程序。“杀毒手段不断升级,木马也不断升级。真可谓‘道高一尺,魔高一丈’!”办案检察官赵树芬感慨道。

赵树芬介绍,这款挖矿程序会自动检测电脑的使用情况,当CPU(中央处理器)使用率在一定范围内时,该木马就会自动启动,在后台静默挖矿,电脑的使用者是觉察不到的。这对计算机CPU、GPU(图形处理器)资源和电力资源的耗费相当大。贺翔成为何如此谙悉计算机,又怎样潜伏下来默默“挖矿”?一连串的问号困扰着办案检察官。

这要从三年前说起。当时32岁的贺翔成是当地一家网吧的网管。一个偶然机会,他成了“天下网吧”论坛的版主。贺翔成利用版主的身份,建立了多个外挂讨论群,不仅在群文件中共享外挂程序,还悄无声息地将含有木马的外挂程序上传到“天下网吧”论坛供网民下载。平时,贺翔成还利用木马程序,给电脑用户投放广告弹窗,借此获取广告受益,用户每点击1000次,贺翔成获得零点几元的受益。单看一笔受益很小,但是天长日久,获利也不是小数。

不久,贺翔成成功“研发”出名为“绝地求生”等游戏新款外挂程序,具备“自动瞄准”“透视”“子弹加速”“子弹跟踪”等功能,通过社交群和论坛宣传,并供网民免费下载发展大量用户。

随着“事业”越干越大,贺翔成已不满足于“小打小闹”。喜好钻研的他仿冒“爱奇艺”,编写了酷艺VIP影视服务端和客户端,在全国范围内发展了60多个代理,以年卡、月卡等方式向全国网吧兜售。至案发,贺翔成共向全国2465家网吧卖出年卡5774张,季卡282张,半年卡116张,月卡3285张,非法牟利20万余元。

除此之外,贺翔成还有一个重要的身份,就是58迅推平台的大客户经理。贺翔成利用58迅推的增值客户端控制了3万余台网吧主机,非法获利26.8万余元。

2017年10月以来,贺翔成又对58迅推的增值客户端、挖矿程序进行修改,内嵌了自己的HSR(红烧肉币)钱包地址,被挖主机在挖矿时挖到矿币后会转到其HSR钱包中。截至案发,贺翔成已挖取了8552枚币(最高价格252元/枚,目前市值42元/枚)。

顺藤摸瓜挖出“幕后东家”

58迅推增值联盟源于一家网络公司——晟平公司。这家公司2014年成立,坐落在大连市甘井子区。公司旗下有两个网站:一个是迅推,另一个是速推。两个网站在分工上各有侧重,迅推主要是做广告增值和云增值(就是“挖矿”,即挖取虚拟货币);速推则做手机App。

2014年试运行之后,公司幕后控制人贾峰指使公司副总兼运营主管张焕亮组织所谓的“研发”,也就是先研发挖矿监控软件,再集成挖矿程序。很快,该公司形成了以闫石为技术主管,以赵乐乐、丛宁一、彭立山等人为技术骨干的研发团队,将寻找到的挖矿程序进行完善,制作成“EXE”木马程序。程序研发后交由测试部测试员白桦进行测试,一旦测试成功就投放公司的迅推客户端平台,再由郭宜杰、费林洋等客服部工作人员通过客服、QQ等方式向市场推广。客服部肩负“发展下线带领并指导使用”的双重任务,在向市场推广的过程中,成功“吸纳”了贺翔成、张数等若干下线。

贺翔成和其他下线从迅推平台下载增值客户端程序后,通过多种方式将增值客户端非法植入到网吧主机中,并静默下载挖矿监控软件和挖矿程序运行。挖到的矿币会转移到贺翔成等人的虚拟货币钱包中,由公司财务主管励芸随时变现提现,并按照控制的终端数向代理分发提成。这些虚拟货币主要有DGB(极特币)、XMR(门罗币)、Zcash(零币)等类型。至案发,团伙成员非法控制389万多台电脑主机做广告增值收益,在100多万台电脑主机静默安装挖矿程序,两年间共挖取DGB(极特币)2600余万枚。这些虚拟货币大部分都已经卖出,嫌疑人共非法获利1500余万元。