销”每月1万元到8万元不等，周山收到款后，将“大小姐”的木马生成器、收信程序以及更新版本通过QQ传给这些“包马人”。

　　周伍就是游戏“QQ自由幻想”的“包马人”，在接手这一款木马后，周伍盗取了无数游戏用户的账号，这些账号被“包马人”称为“信”，经过“洗信”(即将没有虚拟财产的“信”剔除)，得到2000多个有效的“信”，通过变卖这些“信”里的虚拟财产，他一个人就获利百万元。

　　其他的“包马人”还有：陈六，他包下了针对“武林外传”的盗号木马，每月支付“包马费”1.2万元，后涨至1.5万元;盛七以每月2.5万元价格包下“征途”的盗号木马;范八以每月2.5万元包下“问道”的盗号木马;杨九以每月2万的价格包下“梦幻西游”的盗号木马……

　　“包马人”通过直接在网上传播、转卖，以及雇佣他人盗号等方式牟利，同时他们又发展其下线，称为“站长”。陈六就将“武林外传”的盗号木马发送给何十、吴十一等“站长”，由他们租用服务器放置木马，这些“站长”下线是“流量商人”，由他们来扩大木马的传播，同时“站长”们又从“流量商人”那儿收购大流量的“信”。杨某、郭某、程某等“流量商人”拿到木马后，疯狂攻击一些网站，甚至连政府网站也不放过，江苏、上海的一些政府网站也被嵌入病毒链接，以劫持这些网站的用户下载“流量商人”种下的木马。

　　2008年5月5日，由于“大小姐”入侵，江苏某厅政府网站陷入瘫痪，并由此案发。公安机关随即展开侦查。

　　2008年的夏天，这些“大小姐”背后的神秘黑客们，因为从来没有见过面，他们决定在上海聚会，为其中一人庆贺生日。对他们久已关注的公安机关，通过技术侦查获得此信息后，对他们进行了抓捕，并从他们随身携带的十余台笔记本电脑中，获取了大量的电子证据，这为后来此案的侦查带来很大的便利。

　　四次移送终起诉

　　这些交易记录如何甄别?哪些与本案有关，哪些是一般性交易记录?还有电子证据该如何固定?比如说，网上交易时，“支付宝”仅对交易记录保存两个月，没有交易记录的部分应如何固定证据?面对这些新类型证据，又如何认定?对于这些从未谋面的犯罪嫌疑人，可否认定为犯罪团伙?这都是摆在侦查人员面前的新难题。

　　2008年8月23日，这起木马案由公安机关移送至南京市鼓楼区检察院审查起诉。检察官们审查发现，这一类案件受害人非常不确定，因为大多数人虚拟财产遭窃后，都会自认倒霉，大都不会选择报警;另外，此类案件的案值也很难确定，尽管王业供述，他生意最好的时候，曾经3个月就挣了3000万，但在实际的审查过程中，只有数百万案值被确定。

　　在对涉案人员进行依法讯问后，本着对这起案件负责的态度，检察院以证据不足，事实不清为由，先后三次将本案退回公安机关补充侦查。

　　2月9日，公安机关第四次将此案移送审查起诉。

　　曹立说，多次退回补充侦查，是执法机关慎重办案的表现。因为这种新类型案件中，证据的取得、电子证据的固定与认定，都无先例可援。一方面，公安机关作出了大量的工作，他们面对的是海量信息，仅其中一人的交易记录他们就打印了800多页，更不要说那些聊天记录了。另一方面，检察机关及时介入此案，补充侦查时，对于证据如何以合适的程序调取、如何鉴定、如何转化等，检察院都给予侦查工作很多检察建议，并最终形成证据锁链。

　　这个占据我国木马盗号程序市场60%的“大小姐官司”，终于因其情节严重，危害特别大，而终于进入起诉阶段。(文中涉案人物为化名)

9 7 3 1 2 4 8 :