被告人徐贊，男，1978年4月9日出生，回族，河北省遷安市人，中技文 化，唐鋼設(shè)備機(jī)動(dòng)處加工分廠工人，住唐山市路北區(qū)健康樓12樓2門401號(hào)。因涉嫌破壞計(jì)算機(jī)信息系統(tǒng)罪于2005年1月11日被刑事，同年2月4日被逮捕?，F(xiàn)羈押于唐山市第一看守所。

孫勇，北京市首信律師事務(wù)所律師。

河北省唐山市路北區(qū)人民檢察院以唐北檢刑訴(2005)179號(hào)起訴書指控被告人徐贊犯有破壞計(jì)算機(jī)信息系統(tǒng)罪，于2005年7月5日向本院提起。本院依法組成合議庭，公開開庭審理了本案。唐山市路北區(qū)人民檢察院指派檢察員劉樹利出庭支持公訴，被告人徐贊及其辯護(hù)人孫勇到庭參加了訴訟。現(xiàn)已審理終結(jié)。

唐山市路北區(qū)人民檢察院指控被告人徐贊利用其編寫的ipxsrv.exe程序，在互聯(lián)網(wǎng)上進(jìn)行傳播，先后感染40000余臺(tái)計(jì)算機(jī)，形成Bot Net僵尸網(wǎng)絡(luò)。2004年10月6日至2005年1月10日，被告人徐贊操縱僵尸網(wǎng)絡(luò)對(duì)北京大呂黃鐘電子商務(wù)有限公司網(wǎng)站 ()發(fā)動(dòng)多次拒絕服務(wù)攻擊，致使該公司遭受重大經(jīng)濟(jì)損失，并且影響北京電信數(shù)據(jù)中心皂君廟機(jī)房網(wǎng)絡(luò)設(shè)備及用戶。經(jīng)計(jì)算機(jī)病毒防治產(chǎn)品功能測(cè)試機(jī)構(gòu)鑒定，ipxsrv.exe程序?yàn)槠茐男猿绦颉?/p>

被告人徐贊對(duì)公訴機(jī)關(guān)指控的犯罪事實(shí)予以供認(rèn)。辯護(hù)人孫勇提出的辯護(hù)意見主要是被告人徐贊的行為不構(gòu)成犯罪。

經(jīng)審理查明，被告人徐贊利用QQ尾巴等程序在互聯(lián)網(wǎng)上傳播其編寫的ipxsrv.exe程序，先后植入40000余臺(tái)計(jì)算機(jī)，形成Bot Net僵尸網(wǎng)絡(luò)。2004年10月至2005年1月，被告人徐贊操縱僵尸網(wǎng)絡(luò)對(duì)北京大呂黃鐘電子商務(wù)有限公司所屬音樂網(wǎng)站 (北京飛行網(wǎng)，簡(jiǎn)稱酷樂)，發(fā)動(dòng)多次DDOS攻擊，致使該公司遭受重大經(jīng)濟(jì)損失，并且影響北京電信數(shù)據(jù)中心皂君廟機(jī)房網(wǎng)絡(luò)設(shè)備及用戶，造成惡劣的社會(huì)影響。經(jīng)計(jì)算機(jī)病毒防治產(chǎn)品功能測(cè)試機(jī)構(gòu)鑒定，ipxsrv.exe程序?yàn)槠茐男猿绦颉?/p>

上述事實(shí)，有公訴機(jī)關(guān)提供，并經(jīng)法庭當(dāng)庭質(zhì)證認(rèn)證的下列證據(jù)予以證實(shí)：

1、北京大呂黃鐘電子商務(wù)有限公司的報(bào)案材料證實(shí)：自2004年10月6日起，該公司的酷樂網(wǎng)站連續(xù)受到幾次不明身份攻擊。期間，流量達(dá)到 50Mb/s，高于異常極限3倍，經(jīng)技術(shù)檢查發(fā)現(xiàn)TCP連接數(shù)達(dá)到數(shù)萬個(gè)，同時(shí)經(jīng)過檢查沒有發(fā)現(xiàn)病毒跡象，懷疑有人進(jìn)行攻擊。10月10日起，發(fā)現(xiàn)主用 DNS異常，攻擊類型為TCP與UDP攻擊，峰值流量達(dá)到85。95Mb/s，最終導(dǎo)致DNS設(shè)備停機(jī)。10月18日至11月期間，每天處于間歇性攻擊，軟件無法正常使用，攻擊無固定時(shí)間和攻擊方式，攻擊目標(biāo)為該公司所有酷樂軟件的Web等服務(wù)器，導(dǎo)致酷樂軟件無法正常使用。11月整個(gè)月，攻擊總量始終保持在600-700Mbits，攻擊目標(biāo)始終鎖定酷樂軟件中各欄目的首頁，使酷樂無法給客戶下載，下載之后無法注冊(cè)，注冊(cè)后無法使用。由于受到攻擊，該公司遭受重大經(jīng)濟(jì)損失。

2、案件來源及抓獲材料證實(shí)：2005年1月6日9時(shí)許，唐山市公安局網(wǎng)監(jiān)處接公安部十一局線索通報(bào)名為BK DR-VB.CQ(文件名為ipxsrv.exe)的木馬程序在我國(guó)網(wǎng)絡(luò)上廣泛傳播，根據(jù)信息產(chǎn)業(yè)部通報(bào)的情況，我國(guó)境內(nèi)已有超過4萬臺(tái)主機(jī)被感染，經(jīng)分析，該木馬所利用的IP地址為61.182.209。91的DNS服務(wù)器在我市境內(nèi)，接報(bào)后，該處遂開展對(duì)該IP的布控工作，最終確定犯罪嫌疑人為徐贊。 2005年1月10日16時(shí)許，在唐山市路北區(qū)健康樓12樓樓下將涉嫌破壞計(jì)算機(jī)信息系統(tǒng)的被告人徐贊抓獲。

3、國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心關(guān)于“僵尸網(wǎng)絡(luò)”危害的說明證實(shí)：感染木馬程序(文件名為ipxsrv.exe)的計(jì)算機(jī)會(huì)自動(dòng)連接二級(jí)域名為aswind.com、aswind.net、ourmidi.com、ourmidi.net等多臺(tái)IRC聊天服務(wù)器并接受黑客所發(fā)出的控制指令，該木馬還有下載文件、發(fā)起拒絕服務(wù)攻擊、終止主機(jī)進(jìn)程、搜集主機(jī)系統(tǒng)信息、自身升級(jí)等功能。該網(wǎng)絡(luò)的控制者有條件利用這些感染木馬的計(jì)算機(jī)從事多種網(wǎng)絡(luò)攻擊行為，并造成用戶個(gè)人信息泄露。當(dāng)感染的計(jì)算機(jī)數(shù)量達(dá)到上萬臺(tái)以后，控制者可操縱發(fā)起大規(guī)模的網(wǎng)絡(luò)攻擊，能夠?qū)ヂ?lián)網(wǎng)上被攻擊的各種重要業(yè)務(wù)系統(tǒng)造成嚴(yán)重危害。由于該木馬程序不會(huì)給被感染主機(jī)的運(yùn)行帶來明顯影響，很難被本機(jī)用戶發(fā)現(xiàn);同時(shí)，在接收黑客的攻擊命令之前各感染木馬的計(jì)算機(jī)均處于潛伏狀態(tài)，因此該僵尸網(wǎng)絡(luò)具有很好的隱蔽性。從而在未徹底清除感染木馬計(jì)算機(jī)的工作帶來很大困難的同時(shí)，也給互聯(lián)網(wǎng)安全帶來了長(zhǎng)期的潛在威脅。該木馬程序所利用的IRC聊天服務(wù)之一為位于重慶的IP為219.153.0。134。

4、天津市質(zhì)量監(jiān)督檢驗(yàn)站第70站的檢驗(yàn)報(bào)告證實(shí)：被告人徐贊編寫的ipxsrv.exe為破壞性程序。

5、唐山市公安局網(wǎng)監(jiān)處出具的說明證實(shí)：經(jīng)該處查詢，ourmidi.com、ourmidi.net、aswind.com、aswind.net四個(gè)域名均為徐贊在中國(guó)頻道網(wǎng)站注冊(cè)，與被感染的計(jì)算機(jī)自動(dòng)聯(lián)接的二級(jí)域名是完全一致的。

6、重慶市電信公司數(shù)據(jù)通信中心網(wǎng)管段斌的證言證實(shí)：大概2004年12月份，其重新啟動(dòng)IP地址為219.153.0。134的服務(wù)器進(jìn)入系統(tǒng)，發(fā)現(xiàn)日志已經(jīng)被全部清除了，另外有異常的端口開啟。三天后，發(fā)現(xiàn)有人利用3389登錄服務(wù)器，IP地址是唐山的。

7、北京大呂黃鐘電子商務(wù)有限公司勞動(dòng)處處長(zhǎng)吳正達(dá)的證言證實(shí)：從2004年10月6日開始，其公司網(wǎng)站遭到不明攻擊，攻擊的是該網(wǎng)站提供的所有服務(wù)，直到2005年1月11日結(jié)束。

8、河北省通信公司唐山分公司機(jī)房負(fù)責(zé)人董建忠的證言證實(shí)：其單位五層機(jī)房存放的IP地址為61.182.209。91的服務(wù)器是徐贊的。平時(shí)是由徐贊本人負(fù)責(zé)維護(hù)。

9、北京電信數(shù)據(jù)中心皂君廟機(jī)房網(wǎng)絡(luò)管理人員王娜證實(shí)：“大呂黃鐘”是托管在其機(jī)房的用戶。2004年10月至2004年11月間“大呂黃鐘”遭到DDOS攻擊的事實(shí)。

10、北京電信數(shù)據(jù)中心皂君廟機(jī)房給北京大呂黃鐘電子網(wǎng)站發(fā)送的傳真證實(shí)：“大呂黃鐘”是托管在數(shù)據(jù)中心皂君廟機(jī)房的用戶，近兩個(gè)月來頻繁受到黑客攻擊，其攻擊流量異常，影響到其接入網(wǎng)絡(luò)設(shè)備的性能。雖然當(dāng)受到攻擊時(shí)，“大呂黃鐘”的正常服務(wù)已基本停止，但是數(shù)據(jù)中心為了保證“大呂黃鐘”的網(wǎng)絡(luò)連接，一直想盡辦法替用戶解決問題，多次咨詢網(wǎng)絡(luò)設(shè)備廠商cisco公司尋求技術(shù)支持。在沒有有效的解決網(wǎng)絡(luò)攻擊的情況下，該攻擊流量已經(jīng)多次影響了數(shù)據(jù)中心皂君廟機(jī)房的其他用戶及網(wǎng)絡(luò)設(shè)備，為了減少影響范圍，數(shù)據(jù)中心2次為“大呂黃鐘”調(diào)換接入設(shè)備。但是，2004年12月3日的2次攻擊流量嚴(yán)重影響到了數(shù)據(jù)中心皂君廟機(jī)房的核心網(wǎng)絡(luò)設(shè)備，造成數(shù)據(jù)中心所有網(wǎng)絡(luò)設(shè)備有大量丟包，影響范圍涉及到數(shù)據(jù)中心皂君廟機(jī)房所有用戶們。