被告单位卿烨科技(北京)有限责任公司
被告人:鲍某,男,1984年出生,硕士研究生文化,案发前系卿烨科技(北京)有限责任公司法定代表人、互联网部经理
被告人:莫某,女,1986年出生,大学文化,案发前系卿烨科技(北京)有限责任公司商务负责人及技术团队主管
被告人:马某,男,1982年出生,硕士研究生文化,案发前系卿烨科技(北京)有限责任公司首席执行官
被告人:赵某某,男,1985年出生,大学文化,案发前系卿烨科技(北京)有限责任公司员工
被告人:周某某,男,1989年出生,中专文化,案发前系卿烨科技(北京)有限责任公司员工
被告人:卢某,男,1990年出生,大学文化,案发前系卿烨科技(北京)有限责任公司员工
被告人:宋某某,男,1994年出生,大学文化,案发前系卿烨科技(北京)有限责任公司员工
经法院审理查明:
2015年至2017年5月期间,卿烨科技(北京)有限责任公司出于企业营利目的,经作为公司主管人员的鲍某、莫某、马某同意,由莫某主管的业务团队即赵某某、周某某、卢某、宋某某等人提供技术支持,制作、传播主要针对境外用户计算机信息系统的破坏性程序,进而获取经济收入。
经鉴定,该破坏性程序源代码在其所捆绑的应用程序被用户执行后,会在用户不知情的情况下对Chrome内核的浏览器安装crx插件,插件对用户的Chrome内核的浏览器进行劫持,对浏览启动页进行修改,且用户无法进行更改。该公司利用上述破坏性程序所获取的违法所得为944.85美元,折合人民币6千余元。
2017年6月15日,鲍某、莫某、马某、赵某某、周某某、卢某、宋某某被公安机关抓获归案,到案后如实供述了对上述作案过程。
针对上述事实,公诉人在庭审过程中宣读、出示了下列证据材料,并经法庭质证:
1、鲍某于2017年6月15日所作的供述:
证明其于2015年4月与他人共同开办了卿烨科技有限责任公司。其公司成立后,开发了“野马浏览器”、“ozip”、“Siviewer”、“soso desk”、“fvpimageviewer”、“holainput”等变现软件,国外一些杀毒软件公司认为其公司的程序是病毒程序。变现软件的意思就是说这个软件能把流量变成钱。其公司这类变现软件的活跃用户大概每天有一两百万,但其公司没有实际统计过安装量。国外杀毒软件之所以认为其公司的变现软件是病毒,原因就在于该类软件修改用户首页、静默下载、还有回传用户数据。其公司先会去境外出售流量的公司购买流量,然后会有大量用户运行其公司的变现软件,然后这类软件就会修改用户的浏览器首页;修改首页后,有些是用户可以改的,还有一种是会锁死,用户没法改;而且就算是改了首页,其公司的软件还会定期改回其公司指定的首页。这样修改或者锁死用户的浏览器首页,都没有经过用户的允许。静默下载就是指其公司在后台给用户下载其公司的软件,用户不知道。之所以要静默下载,是因为其公司的变现软件经常会被杀毒软件杀掉,其公司要保证时刻给用户安装新版免杀的变现软件来推广广告,保证其公司安装到用户电脑上的软件被杀后,还有新的版本没被杀掉,能让公司继续推广流量挣钱。据其了解,其公司的变现软件会回传软件的崩溃情况、用户电脑上安装软件的信息以及用户的浏览器首页信息,具体负责技术这块的是赵某某。用户并不知晓变现软件具有回传用户数据这一功能。其公司给用户电脑静默下载的新版变现程序之所以不会被杀毒软件杀掉,是因为其公司每次都会修改一些代码,或者加壳类似的手段,做些免杀工作,每次杀毒软件更新,来杀掉其公司的变现软件都有一个更新的时间段,其公司的变现软件每次更新后,功能不会发生变化,只是写法会变。其公司负责免杀的人是赵某某。其公司2016年净利润为1000多万人民币,具体数据马某比较清楚,他是公司负责人。境外推广广告的广告公司向其设在美国的壳公司(RAFOTECH)结算,然后从美国把钱打回卿烨公司,一个月结算一次,一个月结算几万美金,具体数字公司的财务经理梅某知道。美国的壳公司是在加州注册的,没有人员在那里办公,就是个壳,走账用。公司老板是马某,其是CTO,商务是莫某,这就是公司主要的高层领导。其认为其公司软件修改用户首页、给用户静默下载软件、回传用户数据的行为是违反中国法律的,但公司的用户都是外国的,这么做主要是为了挣钱。莫某的部门负责软件控制下载,具体是谁不清楚。周某某主要做免杀这一部分工作,提供技术指导和研究,赵某某和周某某交叉做,都会承担一部分。
鲍某于2017年6月16日所作的供述,证明基本内容与其2017年6月15日所作供述内容一致,略有区别之处在于其表示不清楚其公司变现软件的用户量有多大,不清楚静默下载的新版变现软件之所以不会被杀毒软件杀掉的具体技术,不清楚公司的具体盈利情况,认为修改境外用户的数据不违反中国法律。
鲍某于2017年7月4日所作的供述,证明其虽然是卿烨科技有限公司的法定代表人,但公司的老板是马某,他是出资人。其只负责公司的一部分业务,主要是网站的开发制作和维护。在公司软件修改用户浏览器首页的事件中,更改后的网页有一部分是其团队制作的,另一部分是和国外公司合作制作的。其团队只负责制作网页,软件如何更改用户首页,其不清楚。其不清楚公司软件主要是通过什么获利,因为这方面主要是莫某负责。通常是其公司在美国注册的公司RAFOTECH与一些公司签搜索合同,即通过其公司网站进入到合作公司网站的搜索结果页,如果用户点击上面的广告,就会产生一部分的费用,对方就会把这些钱打到美国公司RAFOTECH的账户上。其公司通过软件更改用户首页的方式获得利润,与其公司正常获得的利润一样,由合作公司一起转到公司账上,具体获利多少其就不清楚了。至于具体获利多少,莫某负责这一块,她应该有报表,马某应该也知道。
2、莫某于2017年6月15日所作的供述:
证明其是2016年5月开始在卿烨科技(北京)有限责任公司开始上班,但2017年4月才办理了正式入职手续,因为其工作的上一家公司在给其办户口,其没法把档案挪过来,但这期间其实际工作是在卿烨公司。卿烨公司成立于2015年,公司主营业务是网络广告推广和软件推广,公司开发了“野马浏览器”、“ozip”、“Siviewer”、“soso desk”、“fvpimageviewer”、“holainput”等变现软件,国外一些杀毒软件公司认为其公司的程序是病毒程序。其是公司的商务负责人和部分研发团队的管理者,主要职责是对公司的变现软件进行推广,扩大变现软件的用户使用量,只有用户使用量上来之后,公司的盈利才会增加,推广的主要方式是与海外的广告网络联盟合作,其公司给广告联盟推广费,他们负责提高其公司变现软件的安装用户量。用户在电脑上安装其公司变现软件后,变现软件会对用户的电脑浏览器的首页进行修改,将首页锁定为其公司的首页,用户在使用浏览器的过程中会通过其公司的首页进行搜索,搜索结果页会显示与关键词相关的广告,广告提供商会根据广告点击量给其公司分成。变现软件能把流量变成钱。其公司这类变现软件的活跃用户大概每天有300多万,高峰时期,大概每天有500多万,这个结果是公司统计得来的。国外杀毒软件之所以认为其公司变现软件是病毒,原因就在于该类软件修改用户首页、静默下载、还有回传用户数据。其负责与境外出售流量的公司去买流量,然后就会有大量用户运行其公司的变现软件,这类软件就会修改用户的浏览器首页。修改之后,有一部分浏览器的首页用户自己可以改回来,还有一部分浏览器的首页会在用户安装其公司的变现软件后,被变现软件下载的插件进行锁死操作。只有在第一次安装其公司的变现软件时,才会经过用户的允许,后续的修改和锁死操作是在用户不知情的情况下完成的。其还负责管理公司的部分研发团队,这部分团队的主要工作是对公司所有的程序进行免杀处理,防止被杀毒软件杀死。主要是通过对程序加壳、阻止杀毒软件的部分运行进程、修改部分特征代码和修改签名的方式,来实现免杀功能的。赵某某是研发团队的组长,他主要负责公司程序免杀的整体工作,他下面还有姜某、周某某、宋某某、卢某,他们这五个人都是做免杀以及静默下载程序的。其最熟悉周某某,因为之前其与他在同一公司工作。周某某工作能力很强,给他的工作任务都能很好完成,他与同事关系也很好,因为他脑子很活,能解决各种问题,赵某某也非常看重他,有重要的任务都交给他。赵某某的直接领导是其,他每周向其汇报工作。为了防止公司的变现软件被杀毒软件杀死,其公司会用变现软件捆绑的一个计划任务,这个计划任务的作用是静默下载和静默安装其公司的变现软件,从而保证公司变现软件的存活率。静默下载就是在用户不知情的情况下,在后台自动完成整个下载和安装操作过程。之所以采用静默下载的方式,就是担心用户一旦知道这个事情,就很可能不同意下载安装其公司的变现软件,这样就会影响其公司变现软件的存活率,直接影响公司的获利。其知道公司的变现软件会回传软件的存活率、用户电脑上安装软件的信息、用户浏览器首页信息、用户电脑硬件编码,这块具体工作由鲍某负责。其不清楚用户是否知晓软件具有回传用户数据的功能。据其所知,其公司在2016年变现软件这一块业务的净利润是3000多万元人民币,其他方面的业务盈利其不清楚。具体是多少,马某清楚,他是公司负责人。关于其公司变现软件的业务收入,是国外的广告公司根据广告推广量来跟其公司进行结算的。其只知道有一家公司是两个月结算一次,其他公司不清楚。每次结算多少钱其也不清楚,因为其不负责这块业务,平时都是由鲍某手下负责的,公司的财务经理梅某也知道这个情况。公司的老板是马某,鲍某是CTO,其是商务,这就是公司的主要高层领导。
莫某于2017年6月16日所作的供述,证明其所供述的内容与其在2017年6月15日所供述内容基本一致,只是进一步说明其公司与国外广告结算收入的工作平时都是由鲍某手下的石学彬负责。
莫某于2017年7月21日所作的供述,证明其供述内容与之前供述内容一致。
莫某于2018年2月7日所作的供述,证明马某是卿烨科技(北京)有限责任公司的老板,他参与了公司各项业务的运营管理,也知道公司在经营流量劫持、变现等业务,对流量劫持、变现等业务目标也提出过要求,因为其负责业务推广,刚开始马某要求其每天有5万元的推广量,后来就变成了每天3万元的推广量。鲍某有对卿烨公司的服务器进行配置的权力。
3、马某于2017年6月15日所作的供述:
证明其于2016年6月开始在卿烨科技(北京)有限责任公司任职。该公司成立于2015年底,成立后,开发了“野马浏览器”、“ozip”、“Siviewer”、“soso desk”、“fvpimageviewer”、“holainput”等变现软件,国外一些杀毒软件公司认为其公司的程序是病毒程序。其是公司的CEO,主要负责公司的整体业务。变现软件所起到的作用就是能把流量变成钱。公司此类变现软件的日平均活跃用户量大约是在500万左右,具体有多少需要看一下公司的统计结果。国外杀毒软件之所以会认为其公司的变现软件是病毒,原因就在于该类软件修改用户首页、静默下载、还有回传用户数据。修改用户浏览器首页的目的在于,其公司需要将公司的搜索流量导给第三方的广告公司,帮助第三方网络公司扩大广告推广量,然后第三方公司会根据广告推广量给其公司结算推广费用,从而达到盈利目的。其公司修改用户浏览器首页后,用户自己可以再改变首页的设置。其公司修改用户浏览器首页的行为,只有一部分是经过用户同意的,大部分是没有经过用户同意的。其公司主要是通过两种手段来实现修改用户浏览器首页的目的:第一种手段是未经用户允许,在后台自动运行对用户的浏览器配置文件进行修改;第二种手段是未经用户允许,在后台静默下载安装一款浏览器插件,这个插件的功能就是修改用户的浏览器首页。静默下载就是指其公司在用户不知情并且未经用户允许的情况下,在后台自动下载并安装软件的行为。之所以要采用静默下载的安装方式,是因为其公司的变现软件经常会被杀毒软件杀掉,为了保证用户电脑上一直存在其公司的变现软件,就需要安装新的变现软件。但如果在安装过程中通知用户,用户有可能不同意,这样就会导致其公司变现软件的用户量下降,会减少其公司的经济效益。据其了解,公司的变现软件会回传公司软件的崩溃情况,会回传用户电脑上安装的杀毒软件信息,会回传用户的浏览器首页信息以及搜索次数,负责这块业务的是赵某某。但用户并不知道其公司的变现软件具有回传数据的功能。由于其公司会对新的变现软件做免杀处理,这样就可以绕过杀毒软件的杀毒,不会被杀死。主要是通过修改一些特征代码,做一些免杀,但每次更新变现软件时,功能不会发生改变,只是写法会变。赵某某是公司的技术总监,大部分免杀工作都是由他负责,技术部门的同事会进行部分代码的编写,最后会统一交给他进行组装整合工作。其公司2016年变现软件业务收入7000多万元人民币,具体多少需要看一下公司的运营报表。其公司会通过首页的搜索流量导到第三方广告公司,广告公司会根据广告推送量计算收益,之后按照比例分成汇给其公司在美国注册的空壳公司RAFOTECH,然后通过这个空壳公司把钱转给其公司。壳公司是在加州注册的,没有人员在那里办公,就是个壳,走账用。一个月结算一次,每个月大概结算80多万美金,具体数额其需要看财务报表。其公司财务经理是梅某。其是公司CEO,鲍某是CTO,莫某是COO,这就是公司的主要高层领导。其无法确认用公司软件修改用户浏览器首页、给用户静默下载软件以及回传用户数据的行为是否违法。其公司这么做就是为了挣钱。
马某于2017年7月4日所作的供述,证明其公司通过软件更改客户浏览器首页获得的收益,对方是直接把钱转到其公司在香港和美国注册的公司银行账户上。有两家公司与其公司有这种业务的合作,一家是美国的InfoSpace公司,另一家是Yahoo在以色列的一家代理公司IRONSOURCE公司。以色列的IRONSOURCE公司收入非常少,主要是美国的InfoSpace公司。其公司与美国的InfoSpace公司合作所获得的收益,都是通过变现软件更改客户浏览器首页所获得流量而取得的收入;其公司与IRONSOURCE公司之前还有一些其他的合作。InfoSpace公司更改过几次名字,因此用来转账的账户名其记不清了;IRONSOURCE公司用来转账的账户名就叫IRONSOURCE。这种合作大概是从2015年8月开始的。通过这种合作,每月收入30至40万美金,获利不好计算,因为有很多推广等业务的支出不好计算。
4、赵某某于2017年6月16日所作的供述:
证明其所在的卿烨公司主营业务是做广告推广、软件开发。其在公司主要负责软件开发,公司总共有100人左右,其所在部门大概有5个人,其是负责人,其直接领导是莫某。其在公司的职务是软件开发工程师,主要工作就是开发安装程序和软件的免杀业务,是莫某安排其负责这几块业务的。公司的盈利模式是:公司通过变现软件篡改用户浏览器首页,进而劫持用户的搜索和访问流量,将流量导向其公司的合作公司指定的服务器,然后通过流量变现获得盈利。其所在团队开发的是提供给渠道的安装程序。这个安装程序会未经用户允许,修改用户首页,修改用户搜索引擎,并有静默下载功能。静默下载就是不经过用户确认就给客户安装程序。之所以采用静默下载的方式,是为了防止公司的变现软件被杀毒软件查杀删除的情况发生,其团队通过把经过免杀处理的变现软件给用户静默下载,可以提高变现软件的存活率。免杀就是指绕过杀毒软件的查杀,防止被杀毒软件删除。其团队主要是通过修改特征代码的方式来逃避杀毒软件的识别查杀。变现软件修改用户浏览器首页后,用户可以修改主页,但其公司也会在一些时候把用户修改的首页再改回其公司的首页,整个过程用户都是不知情的,都未经用户允许。变现软件能把流量变成钱,其公司这类变现软件的活跃用户量每天大概有三四百万。国外杀毒软件之所以认为其公司的变现软件是病毒,原因就在于该类软件会在用户不知情的情况下,未经用户允许,修改和锁定用户首页、并且会在后台静默安装公司的变现软件、并曾经还有回传用户杀毒软件安装数据的功能。其公司免杀研发团队的负责人,卢某负责具体免杀工作,他搞不定的,其帮他;周某某负责做免杀和修改首页这一块,但还会做更难的任务,因为他的技术非常好;宋某某只负责开发升级程序,但用于免杀是未经用户同意的;还有一个女孩叫张媛媛,她主要就是每天看杀毒软件报杀毒的情况。其不清楚公司的盈利情况,也不清楚公司变现软件这块业务收入是如何结算的,马某、莫某和鲍某知道。马某是公司的CEO,鲍某是法人代表,莫某是商务主管。其认为公司利用软件修改用户浏览器首页、给用户静默下载软件、回传用户数据的行为在中国境内是违法的。
5、周某某于2018年3月8日所作的供述:
证明其在卿烨公司主要负责软件逆向工程、调试,主要的工作任务都是赵某某给其安排的,宋某某、卢某等人开发的程序如果无法正常运行,一般都是由其负责进行校验、查错。因为其技术能力优秀,有时候其他人的程序如果有问题的话,会找其帮忙,其会帮助解决一些纯技术上的问题。赵某某曾经给其安排过一个任务,开发一个功能模块用来修改浏览器的配置,锁定用户浏览器的首页。
6、卢某于2017年6月15日所作的供述:
证明其于2016年开始在卿烨科技(北京)有限责任公司任职。公司的主营业务是做广告推广、软件开发和游戏开发。其在公司主要负责软件开发编程,所在部门大概有20多个人,行政负责人是莫某,技术负责人是赵某某,其主要负责编写下载器,下载器是和合作商的软件捆绑在一起,在用户安装合作商的软件是,会一起安装下载器,之后下载器就会运行下载器其公司的变现软件了。其在公司就是普通的程序员,主要工作就是编写代码,针对的是下载器和变现软件更新这两块业务,是赵某某让其负责这两块业务的。其公司的盈利模式通过变现软件篡改用户浏览器首页,进而劫持用户的搜索和访问流量,将流量导向合作公司指定的服务器,然后通过流量变现获得盈利。其编写的下载器的主要功能是在用户安装其公司合作商的软件后,捆绑安装其编程的下载器,下载安装之后会自动运行,在用户不知情的情况下,未经用户的允许,在后台静默下载安装并运行一个名为“loadmemory.dll”的文件,这个文件第一个作用是针对用户的浏览器配置作出修改,将用户浏览器的首页锁定为其公司设置的一个主页,对用户的流量进行劫持导流;第二个作用是对用户电脑上的变现软件进行更新,以保证其公司变现软件的存活率。如果用户将首页改回后,重新进入浏览器,这个dll文件会再次未经用户同意,将主页锁定会设定的主页。其所说的“更新”并不是传统意义上的更新,因为其公司的变现软件经常会被杀毒软件删除,为了保证公司变现软件的存活率,这个dll文件会在用户不知情的情况下,未经用户允许,在后台静默下载安装运行其公司的变现软件,达到提高公司变现软件存活率的目的,以带来流量进行变现。之所以不让用户知道静默下载的过程,就是担心用户一旦知道这个事情,就很可能不同意下载安装其公司的变现软件,这样就会影响其公司变现软件的存活率,直接影响公司的获利。公司这类变现软件的活跃用户量每天大概有两百多万。国外杀毒软件之所以认为其公司的变现软件是病毒,原因就在于该类软件会在用户不知情的情况下,未经用户允许,修改用户首页、并且会在后台静默安装公司的变现软件、还有回传用户数据的功能。其还负责编写下载器的免杀工作,因为其编写的下载器被杀毒软件认定为病毒,会对下载器进行删除处理,为了避免被杀毒软件查杀,所以其需要对下载器进行免杀处理,这种免杀处理主要是通过修改特征代码的方式来逃避杀毒软件的识别查杀。赵某某是免杀研发团队的负责人,宋某某、周某某、姜某、袁之明和其负责各自产品的免杀工作。为了防止公司的变现软件被杀毒软件查杀的情况发生,其公司会用变现软件捆绑的一个计划任务,这个计划任务的作用是静默下载和静默安装其公司的其他变现软件,从而保证公司变现软件的存活率。回传的用户数据主要包括公司变现软件的存活率、用户电脑硬件的UID、用户的搜索习惯等。其听公司老板马某说,2016年公司的盈利大概在一亿元人民币左右。其不知道公司变现软件这块业务收入是如何结算的,马某、莫某和鲍某知道。马某是公司的CEO,鲍某是法人代表,莫某是其直接主管。其认为公司利用软件修改用户浏览器首页、给用户静默下载软件、回传用户数据的行为是违法的。
7、宋某某于2017年6月16日所作的供述:
证明其于2016年到卿烨科技(北京)有限责任公司工作。该公司的主营业务是做广告推广、软件开发。其在公司就是普通的程序员,主要负责软件功能模块的编写和参与部分免杀工作,所在部门大概有20多个人,行政负责人是莫某,技术负责人是赵某某,其听从赵某某的工作安排。其知道公司的盈利模式是跟锁定搜索相关的浏览相关的,具体的变现规则不清楚。其编写的功能模块具体来说是一段源代码,这段源代码需要嵌入到其公司的变现软件当中,用户在安装其公司的变现软件后,会触发其编写的功能模块运行,这个模块的作用包括提高网络连接成功率和公司变现软件的存活率。变现软件的意思就是说这个软件能赚钱。静默下载就是在用户不知情的情况下,未经用户允许,在后台自动下载安装软件。之所以要静默下载,不让用户知道这个过程,是因为用户一旦知道这个事情,就很可能不同意下载安装其公司的变现软件,这样就会影响公司变现软件的存活率,直接影响公司的获利。用户并不知道其公司研发的功能模块下载安装新的变现软件的过程。免杀是指绕过杀毒软件的查杀,防止被杀毒软件删除。其公司是通过修改特征代码的方式逃避被杀毒软件识别查杀。其公司的软件在修改用户浏览器首页后,用户可以自己修改主页,同时公司提供用户寻求帮助的接口,帮助不会修改主页的用户帮他们把主页设置他们想要的主页。公司的这类变现软件的活跃用户量每天大概有二百多万。国外杀毒软件之所以会认为其公司的变现软件是病毒,原因就在于该类软件会在用户不知情的情况下,未经用户允许,修改和锁定用户首页、并且会在后台静默安装其公司的变现软件。赵某某是免杀研发团队的负责人,卢某负责下载器的免杀工作,袁之明、张玉博(袁之明是张玉博的领导)、周某某和其(其与周某某坐在一起)负责功能模块的免杀工作,姜某负责软件的整体开发和免杀工作,然后团队所有人共同负责软件的静默下载安装功能的研发工作。赵某某作为程序员,编程技术能力非常强,公司就让他作为团队的负责人,带着其这些人干活。周某某作为程序员的技术实力也非常强。因为赵、周两人的技术水平基本相当,所以他们承担了大部分研发工作。其公司研发的软件还具有回传用户电脑安装其公司变现软件存活率、用户浏览器首页锁定情况、活跃情况以及用户搜索习惯的功能,用户对这一功能是不知道的。其不知道公司的变现软件这块业务的收入是如何结算的,马某、莫某、鲍某他们知道。马某是公司的CEO、鲍某是法人代表、莫某是商务主管,赵某某是公司的CTO。其现在知道利用公司软件修改用户首页、给用户静默下载软件、回传用户数据的行为是违法的。这么做就是为了给公司获取更多的利益。
宋某某于2017年7月21日所作的供述,证明其公司开发的软件,在加载了其开发的功能模块之后,可以提高软件的网络连接成功率。没有加载其开发的功能模块的软件,在访问某网站时,如果登录的服务器有问题,无法登录,就会显示网络连接不成功;加载了其开发的功能模块后,在访问某网站时,登录的服务器有问题,就会选择其他服务器进行连接,以此来提高网络连接成功率。其开发的功能模块只适用于其公司开发的软件,其公司软件具有免杀功能,其参与了免杀功能的研发工作。
8、证人于某的证言及报案材料:
证明其是北京火绒网络科技有限公司的员工,其来公安机关的目的是要举报卿烨科技(北京)有限公司制造流氓软件,下载该公司软件后将会强制在用户的Chrome浏览器中安装一个插件,这些插件的功能就是锁定Chrome浏览器中的首页和新标签页。2017年6月1日,其所在公司看到国外一个叫作CheckPoint的公司发布了一个报告,报告称“发现了由中国一家名为卿烨科技(北京)有限公司控制的流氓软件“火球”,感染的计算机数量高达2.5亿。这款流氓软件能够控制受害者的web浏览器,对其流量进行监控并窃取数据。”其所在公司看到这个办公后,开始对报告中提到的流氓软件及制造该软件的公司进行分析。经分析发现,除了CheckPoint公司提到的几款软件外,还有其他的流氓软件,这些流氓软件感染电脑后会将Chrome浏览器的首页和新标签页改为该软件指向的搜索页,而用户无法更改。这些流氓软件的运行机理就是下载软件后,该流氓软件会检测电脑里是否安装了Chrome浏览器,若没有则没事;若有,则会提示用户安装一个Chrome插件,不安装插件就不能安装软件。装上这个插件之后,就会将Chrome浏览器的首页和新标签页改为该软件指向的搜索页。这些流氓软件的注册信息中,都出现了注册人鲍某和他所注册使用的电子邮箱。通过搜索卿烨科技(北京)有限公司的情况,发现公司的法人代表就是鲍某。通过搜索该公司开发的软件情况,发现有6款软件包含流氓插件。这六款软件分别是Deal Wifi、OZIP、Siviewer、SOSO DESK、FvpImageviewer、Holainput,这些软件都是针对海外开发的,其中Deal Wifi软件是wifi共享工具,OZIP软件是功能是压缩和解压缩,Siviewer软件的功能是图片浏览,SOSO DESK软件的功能是快速搜索计算机上的用户文件,FvpImageviewer软件的功能是图片浏览,Holainput软件的功能是英文的输入法。这些软件的功能都是与浏览器主页无关的,不需要通过修改主页的方式来实现。
9、证人梅某的证言:
证明其是从2015年开始到卿烨科技(北京)有限责任公司担任财务主管的。据其了解,公司的经营内容包括广告的推广和游戏的发行。主要在苹果和谷歌的系统上发行手游,这些手游都是针对海外欧美国家发行的。其公司发行的游戏收益是负数,因为推广费高于游戏发行带来的收入。广告推广的业务主要是在国外,广告的内容大致是商品和网站。其公司来自苹果、谷歌的收入都是游戏收入,公司其他的收入就是广告的收入。2016年广告收入是700万至800万美金,折合成人民币是5000万元左右,但因为部分收入用于推广游戏,结汇到国内的收入只是2000万元人民币;2017年至今,广告收入大概有200万美金左右,折合成人民币是1400万左右。公司的法人代表是鲍某,他还是公司广告业务的主管;马某是实际的老板;莫某在公司的职位跟鲍某差不多,是与鲍某平行的另一个主管,负责公司研发软件的推广。非苹果、谷歌打来的钱需要广告业务组(这个组的负责人是鲍某)来确认,这个组有石学彬等四人,由他们四人与付款的客户联系确认,这个组收到的境外资金都是收入,也就是收取的其他广告商在其公司研发软件上发送广告的费用,因为其公司研发的软件有会发送广告的功能,至于如何在技术上实现其就不清楚了。支出方面主要是境内的工资、房租、日常办公支出和境外的软件推广及游戏推广费用,负责游戏推广的是殷龙,负责软件推广的是莫某。莫某组所产生的境外资金都是支出,是为了推广公司研发的软件,而向其他网站或者公司支付的费用。公安机关从其电脑中提取了“RAFO搜索表”和“RAFO收入成本汇总表”,其中:“RAFO搜索表”中的siviewer表中的“Est Gross Rev”的数据代表的是毛收入,2016年4月27日至2017年1月21日的毛收入总和为103 498.20美元;“RAFO搜索表”中的siviewer表中的“Est Net Rev”的数据代表的是净收入,2016年4月27日至2017年1月21日的净收入总和为58 145.76美元。“RAFO搜索表”不是其制作的,具体谁做的不清楚,其只是可以通过一个共享文档看到这些数据。“RAFO收入成本汇总表”是根据“RAFO搜索表”里的周报汇总表里的数据制作出来的。“RAFO搜索表”所涵盖的时间是从2015年7月12日至2017年6月10日,“RAFO收入成本汇总表”涵盖的时间是从2015年4月1日至2017年6月10日。之所以两个表所涵盖的时间段不同,是因为“RAFO搜索表”只是搜索业务的收入表,“RAFO收入成本汇总表”是公司所有业务的收入表。其不清楚不同的软件搜索网页与流量变现收入之间是否存在匹配关系。
10、证人陈某的证言:
证明其是北京卿烨科技有限公司的出纳。公司收付款账户有4个,分别是北京卿烨招商银行崇文门支行账户,主要用于公司日常开销、工资等事宜;上海卿烨招商银行崇文门支行账户,主要用于收投资款、购买理财产品;香港卿烨公司账户主要给一些境外公司付款,也会收到另外一些公司付款;美国卿烨公司账户主会收到鲍某、莫某两个部分的收款,还会向北京卿烨公司账户和相关卿烨公司账户付款。美国卿烨公司结算没有规律,一般是北京卿烨公司账户看没钱了,梅某会通知其做支出单,然后找马某签字,然后其会和梅某就会结算美国和香港卿烨公司的钱款到北京卿烨招商银行的账户。
11、证人王某的证言:
证明其从2016年10月开始任职于卿烨科技(北京)有限责任公司,主要从事服务器运维工作。其只是知道公司的变现软件会回传变现软件存活率的功能,有回传用户电脑上安装软件信息的权限,会回传用户的电脑硬件uid,其他的就不知道了。其公司在国外租赁了16台服务器,这些服务器主要用来接收回传的用户数据并对数据进行梳理统计,公司的搜索站也部署在服务器上。开始其认为公司是卖广告的,2017年6月有一篇关于其公司出品的软件国外报道出来,说其公司研发的软件是流氓软件,会修改用户的浏览器首页,以达到流量劫持的目的,导流之后通过流量变现获利。后来其问主管鲍某和老板马某,他们告诉其差不多就是这样。具体的其就不清楚了,技术的人员比较了解。其只负责维护服务器以及在服务器上装载一些基础服务。
12、证人姜某的证言:
证明其是2015年11月到北京卿烨科技有限公司工作的。其在公司只负责火狐浏览器的工作,主要是在火狐浏览器上修改和添加一些东西,修改成锁定其公司推广的网站,还有添加一个服务模块,这么做没有经过火狐浏览器公司的允许。这个服务模块每90分钟左右访问一次其公司的服务器,接收其公司服务器下发的任务,俗称“云控”。这个软件回访其公司服务器的操作,用户并不知道。软件回访公司服务器之后,其公司就可以给客户静默下载软件,让回传信息,让用户主页变回其公司推广的主页,这些操作客户也不知道。有时候其会自己操作,有时候是鲍某,有时候鲍某安排人给其一些插件,让其放到云控制端让用户电脑自行下载。其只清楚浏览器这一块,其有火狐浏览器的源代码,用户下载后第一次运行就是其设定,之后用户修改了首页,也可以靠云控修改,通过云控修改用户首页的方式,并没有经过用户允许。莫某、鲍某安排其写的静默下载的功能。赵某某安排其回传用户的历史浏览记录,这样可以分析用户习惯。其公司研发的软件会被杀毒软件杀掉,因此公司设立了专门做免杀的团队来更新软件,以避免被杀毒软件查杀。公司负责免杀的团队人员包括赵某某、周某某、宋某某和卢某。其不清楚公司的盈利情况,具体数据得问马某、鲍某、莫某这三个高管或者管财务的梅某。
13、受案登记表,证明2017年6月7日,于某向北京市公安局海淀分局刑事侦查支队进行举报,称卿烨科技(北京)有限公司制造流氓软件,下载该公司软件后会强制在用户的Chrome浏览器中安装插件,这些插件的功能是锁定Chrome浏览器中的首页和新标签页,并指向该软件特定的搜索页,该插件的功能与用户下载的软件功能无关。
14、营业执照,证明卿烨科技(北京)有限责任公司住所地位于北京市海淀区海淀大街1号8层803室,法定代表人为鲍某。
15、劳动合同书,证明马某、莫某、赵某某、周某某、卢某、宋某某均与卿烨科技(北京)有限责任公司签订了劳动合同。
16、网络推广服务协议、合同、发票、账目数据,证明:(1)由卿烨科技(北京)有限责任公司为RAFO香港和RAFO美国两家公司的产品、网站、软件提供专业化数据统计、分析、优化、指导、搜索支持及互联网推广服务,并按照基本服务费 推广服务费(该项费用按月推广量进行结算)的方式收取费用。其中,合同第3条规定,双方结算确认后,由卿烨科技开具INVOICE(发票)给RAFO香港和RAFO美国,RAFO香港公司和RAFO美国在收到发票7个工作日内向卿烨科技(北京)有限责任公司指定银行账户支付结算款项。卿烨科技(北京)有限责任公司向RAFO香港开具的发票总金额(2016年度)为219.5万美元,卿烨科技(北京)有限责任公司向RAFO美国开具的发票总金额(2016年1月至9月)为118.39万美元。(2)卿烨科技(北京)有限责任公司与GOOGLE公司、CENEOSP公司、LAZADA公司之间的收付款情况:(3)卿烨科技(北京)有限责任公司提供的财务收支情况。
17、审计报告,证明经北京市公安局海淀分局委托,北京安立德会计师事务所对RAFO集团中卿烨科技(北京)有限公司等四家公司2015年4月至2017年5月的会计账簿、会计凭证、会计报表进行司法鉴证并对其2015年4月至2017年5月取得收入情况、客户构成情况及集团内部各公司款项往来情况发表司法鉴定意见。鉴定意见为:2015年4月至2017年5月间,上述四家公司总计取得收入折合人民币173751979.65元,其中集团内部关联企业之间收入45 998 455.16元,扣除集团内部关联企业之间收入后金额为127 753 524.49元。卿烨科技(北京)有限责任公司2016年1月至2017年6月广告注入收入209 747.2元,游戏发行广告收入35 690.86元,技术服务收入101 217.63元,多方式广告收入31364.27元,棋牌收入666 805.82元,合计1 044 825.78元。
18、现场勘验检查笔录、鉴定意见,证明2017年6月15日14时00分至14时25分之间,公安机关对位于北京市海淀区梦想实验室(卿烨科技有限责任公司)内的一台惠普台式电脑进行了勘验检查,从该电脑中提取并拷贝了相关数据。2017年7月4日,公安机关委托北京信诺司法鉴定所对提取到的上述数据进行功能性鉴定。经鉴定:(1)从送检的一张光盘中提取出名称为“卿烨科技有限责任公司.zip”的压缩文件,该压缩文件内为源代码程序。经对该程序源代码进行分析,源代码在捆绑应用程序被用户执行后,会在用户不知情的情况下对Chrome内核的浏览器安装crx插件,插件对用户的Chrome内核的浏览器进行劫持,对浏览启动页进行修改,且用户无法进行更改;该源代码程序,会在用户未知的情况下进行安装插件,并篡改原有程序功能,具有恶意性质,为恶意代码程序。(2)从送检的另一张光盘内提取出程序文件11 035个,该程序源代码与前一张光盘内压缩包中的程序源代码功能一致,只是版本不同。
19、远程勘验检查笔录、财务电子账目,证明2017年6月16日0时0分至0时36分之间,公安机关对卿烨有限责任公司员工梅某的电子邮箱进行了远程勘验,从中提取到名为“RAFO搜索”以及“Rafo收入成本汇总表”的电子数据,并予以保存。查看“Rafo收入成本汇总表”文件中“搜索”子表内BA列(1-5行)明确写明字段“siviewer QTYPE RU劫持收入”,通过对BA列收入数据求和,得出总数额为944.85美元,折合人民币6千余元。
20、到案经过,证明鲍某、莫某、马某、赵某某、周某某、卢某、宋某某均于2017年6月15日被公安机关抓获归案。
21、身份证明,证明鲍某、莫某、马某、赵某某、周某某、卢某、宋某某的基本身份信息。
经庭审质证,被告单位卿烨科技(北京)有限责任公司及其辩护人,鲍某、莫某、马某、赵某某、周某某、卢某、宋某某及其各自辩护人的质证意见主要为各被告人的供述、证人证言中以及审计报告中有关被告单位业务收入的表述不能直接等同于对被告单位违法所得数额的认定,其他质证意见同被告人辩解以及辩护人的辩护意见。法庭认为,辩方所提质证意见主要是就证据的关联性(亦即证明力的强弱程度)所提出的异议,对其形式上的合法性并无异议;控方上述证据形式、来源合法,可作为定案根据使用。对于控方在案证据证明力的强弱程度,则将在本院认为部分与相关辩护意见一并论述。
法院裁定:
被告单位卿烨科技(北京)有限责任公司以及作为直接负责的主管人员鲍某、莫某、马某,作为直接责任人员的赵某某、周某某、卢某、宋某某,故意制作、传播破坏性程序,影响计算机系统正常运行,后果严重,其行为均已构成破坏计算机信息系统罪,应予惩处。北京市海淀区人民检察院关于被告单位卿烨科技(北京)有限责任公司以及鲍某、莫某、马某、赵某某、周某某、卢某、宋某某犯有破坏计算机信息系统罪的指控罪名成立,但指控数额不当,本院予以纠正。在本案中,控辩双方的首要争议焦点在于对被告单位卿烨科技(北京)有限责任公司违法所得数额的认定,本院认为,认定某项收入为违法所得,其逻辑前提是应当确认该项收入的获取是建立在行为人实施了违法行为的基础之上,也就是说,该项收入的取得与行为人的违法行为之间存在因果关系。根据在案证据,可以证实被告单位卿烨科技(北京)有限责任公司存在制作、传播可不经用户允许而修改、锁定用户浏览器首页的计算机程序的行为,这显然是一种违法行为。同时,值得注意的是,各被告人以及证人对于被告单位采用劫持用户浏览器这一方式所获得收入数额的表述不尽相同,且差异很大,因而在本案中,若仅采信言词证据来认定被告单位的违法所得数额,则本案的事实认定将具有极大的不稳定性、不确定性,不符合证据确实、充分的证明标准。而控方依托审计报告所得出违法所得为人民币8000余万元的结论,并不能排除在违法所得数额认定问题上所产生的合理怀疑,原因在于,现并无证据证实被告单位卿烨科技(北京)有限责任公司设立之初便是以进行违法犯罪活动为目的,也不能证实被告单位是以进行违法犯罪为主要活动,况且审计报告中对于被告单位及其关联公司收入方式的表述为“广告注入收入”、“搜索收入”、“游戏发行收入”、“流量收入”、“技术服务收入”等,上述表述方式均无法显示或证明被告单位哪一项收入系采用劫持用户浏览器这一违法方式所获取,因此控方将审计报告中8000余万元收入全部等同于被告单位的违法所得这一结论证据不足。对于被告单位违法所得数额,应当通过更具客观性和稳定性的证据来予以认定,公安机关从被告单位财务主管梅某的电子邮箱内提取到了“Rafo收入成本汇总表”,该表格中的某项财务数据不仅仅显示出被告单位存在944.85美元这一业务收入,而且标明了这一收入系通过与siviewer软件捆绑下载的计算机程序劫持用户浏览器的方式而获得,证明了被告单位的该项收入与违法行为之间的因果关系,同时其内容的真实性也得到了公司财务主管梅某的认可,这一证据的取证渠道、记载方式使得它更具稳定性、客观性和真实性,并可与在案其他证据印证,以该证据为基础来认定本案的违法所得数额,符合我国刑事诉讼法所规定的证明标准,因此本院对被告单位、被告人及辩护人就违法所得所提辩解、辩护意见予以采纳。对于辩护人所提本案属于非法控制计算机信息系统罪的辩护意见,本院认为,根据鉴定机构出具的鉴定意见,可以证实被告单位卿烨科技(北京)有限责任公司制作、传播的源代码程序,与siviewer软件捆绑下载运行后,在用户不知情的情况下针对特定浏览器安装crx插件,而crx插件的功能就是用于修改用户浏览器启动页,并阻止用户自行更改,从而达到劫持用户浏览器的目的,由此可见,被告单位制作、传播的源代码程序静默下载安装crx插件这一行为未经用户允许,属于非法控制计算机信息系统,而crx插件未经用户允许,擅自修改用户浏览器启动页,且用户难以自行更改,这一行为则导致用户无法根据其本人意愿选择浏览器启动页,这是对用户计算机信息系统原有功能的破坏,属于破坏计算机信息系统的行为。因此,被告单位制作、传播的源代码程序既具有非法控制他人计算机信息系统的功能,也具有破坏他人计算机信息系统的功能,仅以非法控制计算机信息系统罪来评价被告单位的上述行为不完整、不全面,从本案而言,该源代码程序的非法控制功能服务于破坏功能,二者之间具有手段和目的的牵连关系,因而对于制作、传播该源代码程序的行为应采用从一重处罚的原则,即应以破坏计算机信息系统罪对被告单位及各被告人定罪处罚,故本院对于辩方针对指控罪名所提辩护意见不予采纳。关于卢某的辩护人所提的无罪辩护意见,本院认为,卢某供认其知晓其所研发的下载器就是服务于劫持用户浏览器首页的源代码程序,而同案莫某、赵某某、宋某某对其实施的犯罪行为亦有明确指认,因此上述辩护意见缺乏事实根据,本院不予采纳。根据在案证据,鲍某、莫某、马某同为被告单位高层管理人员,分工虽有不同,但均知晓并同意被告单位采用制作、传播破坏性程序获取业务收入的行为,均应作为单位犯罪中直接负责的主管人员予以认定,此三被告人之间不宜再区分主、从犯;赵某某、周某某、卢某、宋某某均为涉案破坏性程序的相关研发人员,对于破坏性程序的原理、功能和违法性均有明确认知,应作为破坏性程序制作、传播行为的直接责任人员予以认定,此四被告人亦不宜再区分主、从犯,故本院对于辩护人所提相关被告人系从犯的辩护意见不予采纳。因鲍某系被告单位卿烨科技(北京)有限责任公司的法定代表人,其到案后能如实供述所犯罪行,且该被告单位的诉讼代表人张琳当庭亦对指控罪名和基本事实表示认可,故应认定被告单位卿烨科技(北京)有限责任公司具有如实供述所犯罪行的情节。同时,被告单位卿烨科技(北京)有限责任公司以及鲍某、莫某、马某、赵某某、周某某、卢某、宋某某系初犯,鲍某、莫某、马某、赵某某、周某某、卢某、宋某某到案后及庭审过程中均能如实供述罪行,故本院对被告单位卿烨科技(北京)有限责任公司及7名被告人均依法从轻处罚,辩护人的相关辩护意见,本院酌予采纳。综上,本院依照《中华人民共和国刑法》第二百八十六条第三款、第一款、第四款,第三十条,第三十一条,第六十七条第三款,第五十三条以及《最高人民法院、最高人民检察院<关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释>》第五条第(三)项、第六条第一款第(四)项、第八条之规定,判决如下:
一、被告单位卿烨科技(北京)有限责任公司犯破坏计算机信息系统罪,判处罚金人民币五万元。
二、鲍某犯破坏计算机信息系统罪,判处有期徒刑二年。
三、莫某犯破坏计算机信息系统罪,判处有期徒刑二年。
四、马某犯破坏计算机信息系统罪,判处有期徒刑二年。
五、赵某某犯破坏计算机信息系统罪,判处有期徒刑一年十一个月。
六、周某某犯破坏计算机信息系统罪,判处有期徒刑一年十一个月。
七、卢某犯破坏计算机信息系统罪,判处有期徒刑一年十一个月。
八、宋某某犯破坏计算机信息系统罪,判处有期徒刑一年十一个月。