破坏计算机信息系统罪案例分析

　　被告人徐赞，男，1978年4月9日出生，回族，河北省迁安市人，中技文 化，唐钢设备机动处加工分厂工人，住唐山市路北区健康楼12楼2门401号。因涉嫌破坏计算机信息系统罪于2005年1月11日被刑事拘留，同年2月4日被逮捕。现羁押于唐山市第一看守所。

　　辩护人孙勇，北京市首信律师事务所律师。

　　河北省唐山市路北区人民检察院以唐北检刑诉(2005)179号起诉书指控被告人徐赞犯有破坏计算机信息系统罪，于2005年7月5日向本院提起公诉。本院依法组成合议庭，公开开庭审理了本案。唐山市路北区人民检察院指派检察员刘树利出庭支持公诉，被告人徐赞及其辩护人孙勇到庭参加了诉讼。现已审理终结。

　　唐山市路北区人民检察院指控被告人徐赞利用其编写的ipxsrv.exe程序，在互联网上进行传播，先后感染40000余台计算机，形成Bot Net僵尸网络。2004年10月6日至2005年1月10日，被告人徐赞操纵僵尸网络对北京大吕黄钟电子商务有限公司网站 (www.kuro.com.cn)发动多次拒绝服务攻击，致使该公司遭受重大经济损失，并且影响北京电信数据中心皂君庙机房网络设备及用户。经计算机病毒防治产品功能测试机构鉴定，ipxsrv.exe程序为破坏性程序。

　　被告人徐赞对公诉机关指控的犯罪事实予以供认。辩护人孙勇提出的辩护意见主要是被告人徐赞的行为不构成犯罪。

　　经审理查明，被告人徐赞利用QQ尾巴等程序在互联网上传播其编写的ipxsrv.exe程序，先后植入40000余台计算机，形成Bot Net僵尸网络。2004年10月至2005年1月，被告人徐赞操纵僵尸网络对北京大吕黄钟电子商务有限公司所属音乐网站 (www.kuro.com.cn/北京飞行网，简称酷乐)，发动多次DDOS攻击，致使该公司遭受重大经济损失，并且影响北京电信数据中心皂君庙机房网络设备及用户，造成恶劣的社会影响。经计算机病毒防治产品功能测试机构鉴定，ipxsrv.exe程序为破坏性程序。

　　上述事实，有公诉机关提供，并经法庭当庭质证认证的下列证据予以证实：

　　1、北京大吕黄钟电子商务有限公司的报案材料证实：自2004年10月6日起，该公司的酷乐网站连续受到几次不明身份攻击。期间，流量达到 50Mb/s，高于异常极限3倍，经技术检查发现TCP连接数达到数万个，同时经过检查没有发现病毒迹象，怀疑有人进行攻击。10月10日起，发现主用 DNS异常，攻击类型为TCP与UDP攻击，峰值流量达到85。95Mb/s，最终导致DNS设备停机。10月18日至11月期间，每天处于间歇性攻击，软件无法正常使用，攻击无固定时间和攻击方式，攻击目标为该公司所有酷乐软件的Web等服务器，导致酷乐软件无法正常使用。11月整个月，攻击总量始终保持在600-700Mbits，攻击目标始终锁定酷乐软件中各栏目的首页，使酷乐无法给客户下载，下载之后无法注册，注册后无法使用。由于受到攻击，该公司遭受重大经济损失。

　　2、案件来源及抓获材料证实：2005年1月6日9时许，唐山市公安局网监处接公安部十一局线索通报名为BK DR-VB.CQ(文件名为ipxsrv.exe)的木马程序在我国网络上广泛传播，根据信息产业部通报的情况，我国境内已有超过4万台主机被感染，经分析，该木马所利用的IP地址为61.182.209。91的DNS服务器在我市境内，接报后，该处遂开展对该IP的布控工作，最终确定犯罪嫌疑人为徐赞。 2005年1月10日16时许，在唐山市路北区健康楼12楼楼下将涉嫌破坏计算机信息系统的被告人徐赞抓获。

　　3、国家计算机网络应急技术处理协调中心关于“僵尸网络”危害的说明证实：感染木马程序(文件名为ipxsrv.exe)的计算机会自动连接二级域名为aswind.com、aswind.net、ourmidi.com、ourmidi.net等多台IRC聊天服务器并接受黑客所发出的控制指令，该木马还有下载文件、发起拒绝服务攻击、终止主机进程、搜集主机系统信息、自身升级等功能。该网络的控制者有条件利用这些感染木马的计算机从事多种网络攻击行为，并造成用户个人信息泄露。当感染的计算机数量达到上万台以后，控制者可操纵发起大规模的网络攻击，能够对互联网上被攻击的各种重要业务系统造成严重危害。由于该木马程序不会给被感染主机的运行带来明显影响，很难被本机用户发现；同时，在接收黑客的攻击命令之前各感染木马的计算机均处于潜伏状态，因此该僵尸网络具有很好的隐蔽性。从而在未彻底清除感染木马计算机的工作带来很大困难的同时，也给互联网安全带来了长期的潜在威胁。该木马程序所利用的IRC聊天服务之一为位于重庆的IP为219.153.0。134。

　　4、天津市质量监督检验站第70站的检验报告证实：被告人徐赞编写的ipxsrv.exe为破坏性程序。

　　5、唐山市公安局网监处出具的说明证实：经该处查询，ourmidi.com、ourmidi.net、aswind.com、aswind.net四个域名均为徐赞在中国频道网站注册，与被感染的计算机自动联接的二级域名是完全一致的。

　　6、重庆市电信公司数据通信中心网管段斌的证言证实：大概2004年12月份，其重新启动IP地址为219.153.0。134的服务器进入系统，发现日志已经被全部清除了，另外有异常的端口开启。三天后，发现有人利用3389登录服务器，IP地址是唐山的。

　　7、北京大吕黄钟电子商务有限公司劳动处处长吴正达的证言证实：从2004年10月6日开始，其公司网站遭到不明攻击，攻击的是该网站提供的所有服务，直到2005年1月11日结束。

　　8、河北省通信公司唐山分公司机房负责人董建忠的证言证实：其单位五层机房存放的IP地址为61.182.209。91的服务器是徐赞的。平时是由徐赞本人负责维护。

　　9、北京电信数据中心皂君庙机房网络管理人员王娜证实：“大吕黄钟”是托管在其机房的用户。2004年10月至2004年11月间“大吕黄钟”遭到DDOS攻击的事实。

　　10、北京电信数据中心皂君庙机房给北京大吕黄钟电子网站发送的传真证实：“大吕黄钟”是托管在数据中心皂君庙机房的用户，近两个月来频繁受到黑客攻击，其攻击流量异常，影响到其接入网络设备的性能。虽然当受到攻击时，“大吕黄钟”的正常服务已基本停止，但是数据中心为了保证“大吕黄钟”的网络连接，一直想尽办法替用户解决问题，多次咨询网络设备厂商cisco公司寻求技术支持。在没有有效的解决网络攻击的情况下，该攻击流量已经多次影响了数据中心皂君庙机房的其他用户及网络设备，为了减少影响范围，数据中心2次为“大吕黄钟”调换接入设备。但是，2004年12月3日的2次攻击流量严重影响到了数据中心皂君庙机房的核心网络设备，造成数据中心所有网络设备有大量丢包，影响范围涉及到数据中心皂君庙机房所有用户们。[page]

　　11、北京飞行网音乐软件开发有限公司(北京大吕黄钟商务有限公司所属)出具的说明证实，该公司自受到攻击以来，遭受了重大经济损失的情况。

　　12、扣押物品清单及物证照片证实：从被告人徐赞处扣押索尼笔记本电脑一台、DNS服务器一台、U盘一个及刻录的备份光盘。

　　13、被告人徐赞的供述证实：ipxsrv.exe程序是其所编写，2004年10月底其开始操纵4万余台计算机对酷乐网站进行拒绝服务攻击和洪水攻击。

　　本院认为，被告人徐赞故意制作、传播破坏性程序，影响计算机系统正常运行，后果严重，其行为已构成破坏计算机信息系统罪。唐山市路北区人民检察院指控被告人徐赞犯破坏计算机信息系统罪的事实清楚，证据充分，罪名成立。辩护人孙勇所提被告人徐赞的行为不构成犯罪的辩护意见，经查理据不足，本院不予支持。依照《中华人民共和国刑法》第二百八十六条第一、三款、第六十四条之规定，判决如下：

　　一、被告人徐赞犯破坏计算机信息系统罪，判处有期徒刑一年零六个月(刑期从判决执行之日起计算，判决执行以前先行羁押的，羁押一日折抵刑期一日，即自2005年1月11日起至2006年7月10日止)。

　　二、随案移送作案工具索尼笔记本电脑一台、DNS服务器一台、U盘一个依法没收。

　　如不服本判决，可在接到判决书的第二日起十日内，通过本院或直接上诉于河北省唐山市中级人民法院。书面上诉的，应交上诉状正本一份，副本二份。

~~~~~~~~~~~~~~~~~~~~~~~~~~~~

　　被告人吕薛文，男，25岁(1974年5月5日出生)，汉族，出生地广东省顺德市，文化程度高中，待业，住广州市东区荣华南69号70l房。因本案于1998年3月13日被刑事拘留，同年5月5日披逮捕。现押于广．州市公安局第三看守所。

　　辩护人李智波、廖时飞，广东环宇商务律师事务所律师。

　　广州市人民检察院以穗捡起二诉[1998]158号起诉书指控被告人吕薛文犯破坏计算机信息系统罪，于1999年1月6日向本院提起公诉。本院依法组成合议庭，公开开庭审理了本案。广州市人民检察院指派代理检察员胡飞燕出庭支持公诉，被告人吕薛文及其辩护人李智波、廖时飞均到庭参加诉讼。现已审理终结。

　　广州市人民检察院指控，1997年4月间，　被告人吕薛文加入HOC组织，　并在互联网中获得攻击与中国公众多媒体通信网广州主机同类计算机系统的方法。1998年1月至2月间，吕薛文在广东省中山图书馆多媒体阅览室及其家里，利用其手提电脑，盗用邹某某的gszkg、王某的gzwling、何某某的hzsiyan、朱某某的hzgkz帐号及使用gzinrt、gzabc、hzxxl非法帐号上网活动，并利用其获得的／var／rfindd／fsdump-l／etc／passwd-F／tmp／dump／方法，攻击中国公众多媒体通信网广州主机，成功入侵该主机系统后取得该主机的最高权限，非法开设gzlfox、gzce两个具有超级用户权限的帐号，以便其长期占有该系统的控制权。同年2月12日，吕薛文利用袁?提供的.LSS程序对蓝天BBS主机进行攻击，获得该主机最高权限后提升LP帐号为超级用户帐号，以便长期取得最高权限，从而控制该系统。吕薛文在成功入侵中国公众多媒体通信网广州主机后，于1998年2月2日至27日，多次非法入侵该主机，对该主机系统部分文件进行修改、增加、删除等一系列非法操作，其中包括在该主机上非法开设gzlittle帐号，以便其上网活动之用，非法开设gzfifa、gzmicro、gzasia帐号送给袁防使用，安装并调试 sniffit未遂，同时为掩盖其罪行，吕薛文将其上网的部分记录删除。2月25日、26日，吕薛文先后3次修改该主机root密码，造成该主机超级密码 3次失效，致使该主机系统管理失控15个小时的严重后果。被告人吕薛文的行为已触犯了《中华人民共和国刑法》第二百八十六条第一、二款之规定，构成破坏计算机信息系统罪，提请本院依法判处，并列举了被告人吕薛文的作案地点和作案工具照片、广州市电信局数据分局报案材料、广东省数据通信局关于广州市数据分局计算机信息系统被恶意攻击带来严重后果的报告、吕薛文与黑客组织成员的通信记录、其盗用他人帐号上网的记录、其攻击广州主机方法的书证、其攻击蓝天BBS 主机的书证、其安装调试sniffit的书证、其多次上网活动时间记录并主动与网管员谈话的记录、其非法开设帐号的书证、广州主机密码自动备份资料、证人任某某、邹某某、黄某某等证言、被告人吕薛文供述、广州市公安局计算机刑事技术鉴定书、广州市价格事务所评估鉴证书等证据。

　　被告人吕薛文庭审中辩解其没有非法修改中国公众多媒体通信网广州主机root密码，其2次修改该密码均经网管员同意。其辩护人辩护称被告人吕薛文没有对计算机信息系统功能、计算机数据和应用程序进行破坏，其入侵行为没有使计算机信息系统不能正常运行，更没有产生严重后果，公诉机关指控被告人吕薛文罪名成立的证据不足，请求宣告被告人吕薛文无罪。

　　经审理查明，1997年4月间，被告人吕薛文加入HOC组织(国内黑客组织)。1998年1月至2月间，吕薛文分别在广东省中山图书馆多媒体阅览室及其家中，利用其TATUNE手提电脑，先后盗用邹匡国的gzzkg、王凌的gzwling、何思燕的hzs iyan、朱根康的hzgkz帐号和使用gzinft、gzabc等非法帐号上网活动，并利用其在国际互联网中获得的攻击与中国公众多媒体通信网广州主机 (以下简称广州主机)同类计算机系统的方法／var／rfindd／fsdump-L／etc／passwd-F／tmp／duMp／，攻击广州主机，在成功入侵该主机系统后取得该主机系统的最高权限，非法开设了两个具有最高权限的帐号gzlfox和gzce，以便其长期占有该主机系统的控制权。之后，吕薛文于1998年2月2日至27日，多次非法入侵广州主机，对该主机系统的部分文件等进行修改、增加、删除等一系列非法操作，其中包括在该主机系统上非法开设了gzlittle帐号，作为其上网活动之用；非法开设了gzfifa、gzmicro、gzasia三个帐号送给袁?(另案处理)使用；安装并调试 sniffit(网络安全监测软件)未遂；同时，吕薛文为掩盖其罪行，将其上网的部分记录删除、修改。2月25日、26日，吕薛文还先后3次非法修改了该主机系统root　(最高权限)密码，致使该主机系统最高权限密码3次失效，造成该主机系统管理失控约15个小时的严重后果。

　　此外，1998年2月12日，被告人吕薛文还利用.lss程序对蓝天BBS主机进行攻击，获得该主机的最高权限后，提升LP帐号为最高权限用户帐号，以便其长期取得该主机的最高权限。[page]

　　上述事实，有公诉机关起诉指控提供并在法庭经公诉人当庭举证的证据证明，其中有经被告人吕薛文签认的其被缴获的作案用手提电脑及其上网作案地点的照片；经被告人吕薛文签认的从其手提电脑中提取的其与HOC组织成员的通信记录；经被告人吕薛文签认的从其手提电脑中提取的其获得的攻击IRIX5.3 系统的方法的记录；广州市电信局数据通信分局(以下简称广州数据分局)出具的被告人吕薛文盗用他人帐号和使用非法帐号上网活动的记录；广州数据分局出具的被告人吕薛文攻击广州主机成功后在该主机系统非法开设gzlittle、gzfifa、gzmicro、gzasya帐号和gzlfox、gzce两个最高权限帐号的文件记录；被告人吕薛文在广州主机安装调试sniffit文件的记录；广州数据分局出具的被告人吕薛文在广州主机系统最高权限密码失效期间主动与网管员在网上交谈并应网管员要求给回新的最高权限密码的记录；经被告人吕薛文签认的从其手提电脑中提取的其在广州主机系统最高权限密码失效期间在网上活动的记录；广州数据分局出具的广州主机系统自动备份root密码的情况记录；广州数据分局出具的被告人吕薛文将蓝天BBS主机LP帐户提升为最高权限用户的文件记录；被被告人吕薛文盗用的帐号的开户资料和使用的非法帐号的证明材料；证人邹匡国、王凌、何思燕、许电明的证言，分别证实其帐号没有给过他人使用或早己取消；证人任庆辉、黄永哲、姚鹏、梁穗鸿、黎英姿的证言，分别证实1998年2月25、26日广州主机系统最高权限密码3次失效的时间，期间被告人吕薛文均主动上网要求与网管员交谈并应网管员要求给回新的最高权限密码，还分别证实吕薛文的上网记录被人删除和蓝天BBS主机被人攻击；证人黄伟泉、吴晓峰的证言，分别证实1998年2月26日下午将广州主机普通用户的远程登录功能封闭以防止黑客入侵；证人袁?的证言，证实被告人吕薛文在广州主机安装调试监听器不成功和吕给gzfifa、gzmicro、gzasia帐号给其使用、吕将其本人上网电话号码修改和上网记录删除、吕攻击过广州主机和蓝天 BBS主机等；广州数据分局出具的广州主机和蓝天BBS主机被黑客攻击并被修改最高权限密码的书面报案材料；广东省数据通信局出具的《关于广州市数据分局计算机信息系统彼人为恶意攻击带来严重后果的报告》，证实广州主机系统被黑客攻击并修改最高权限密码后造成该主机系统管理失控和严重干扰系统安全运行；被告人吕薛文对其攻击蓝天BBS主机和广州主机并取得最高权限后对主机系统进行一系列非法操作等的供述；广州市公安局(1998)穗计刑技(五)字第002 号计算机刑事技术鉴定书，证实根据被告人吕薛文的大同手提电脑中文件(1RIx-FSDUMP.TxT)提供的入侵方法确能成功侵入广州主机系统，获得超级用户权限，系统管理失控的原因是人为修改root密码造成；广州市价格事务所关于广州市电信局数据分局'视聆通'主机(即广州主机)及蓝天BBS被'黑客'攻击造成经济损失评估鉴证书，证实合计损失总值为人民币l1969元。以上证据经控辩双方公开质证，法庭调查查证属实，证据确实、充分且互相印证，足资认定。被告人吕薛文辩解其没有非法修改广州主机root密码，经查，根据前述证据证实，若要改动广州主机root密码，必须要具有该主机系统的最高权限，而在吕薛文入侵该主机期间，除网管员外，就只有吕非法增设的两个帐户gzlfox、gzce具有最高权限，可对主机系统做任何操作；在广州主机网管员于1998年2月25日、26日发现root密码失效时间的前后，吕薛文频繁地上网活动，与密码失效时间吻合；在root密码第一次和第三次失效后不久，吕薛文均主动在网上要求与网管员交谈，并都应网管员要求向网管员提供了新的最高权限密码；1998年2月26日下午在广州主机封闭普遍用户使用远程登录方式进入主机后，只有吕薛文仍能以非法手段登录进入该主机，期间该主机root密码第三次失效，而吕薛文则主动要求与网管员交谈并给回网管员新的root密码；在广州主机网管员第一次发现root密码失效后，吕薛文上网将root密码改为rootl23并告知网管员，网管员试验rootl23可行后为安全起见又将其改为另一密码，但网管员其后在广州主机系统自动备份中，发现该另一密码又被改回rootl23，而该rootl23只有被告人吕薛文和网管员知道。可见，公诉机关指控被告人吕薛文3次修改广州主机root密码致使该密码3次失效，造成该主机系统在密码失效期间管理失控的严重后果的证据是充分的，吕薛文的辩解及其辩护人认为公诉机关指控被告人吕薛文罪名成立的证据不足的辩护理由不能成立，本院不予采纳。

　　本院认为，根据查明的事实和证据，足资证实公诉机关适用法律正确，指控被告人吕薛文犯罪的罪名成立，应予支持。被告人吕薛文违反国家规定，对中国公众多媒体通信网广州主机、蓝天BB3主机信息系统功能、信息系统中存储、处理或者传输的数据进行干扰、删除、修改、增加的非法操作、致计算机信息系统管理失控，不能正常运行，并造成经济损失，后果严重，其行为已构成破坏计算机信息系统罪，依法应予惩处。依照《中华人民共和国刑法》第二百八十六条第一款、第二款、第六十四条之规定，判决如下：

　　一、被告人吕薛文犯破坏计算机信息系统罪，判处有期徒刑一年六个月(刑期从判决执行之日起计算，判决执行以前先行羁押的，羁押一日折抵刑期一日，即自1998年3月13日起至1999年9月12日止)；

　　二、缴获被告人吕薛文作案用的TATUNE手提电脑l台，予以没收，上缴国库(由广州市公安局执行)。

　　如不服本判决，可在接到判决书的第二日起十日内，通过本院或者直接向广东省高级人民法院提出上诉。书面上诉的，应当提交上诉状正本一份，副本二份。