"网银隐身劫匪"专偷工商银行网银帐户

新客网 XKER.COM 2008-03-11 来源：中关村在线收藏本文

“网银隐身劫匪”（Win32.Huhk.d.7607），这是一个感染型病毒，用于盗窃工商银行网银帐户。盗窃成功后对系统进行修复，隐蔽得非常好，极其恶性。

“病毒下载器135168”（Win32.Troj.LwyMum.yc.135168），这是一个使用Delphi编写的感染型木马病毒。病毒运行后会查找卡巴斯基监控窗口并关闭，然后在后台悄悄连接网络，从远程服务器下载病毒至用户计算机。病毒会感染用户磁盘上的所有.EXE和.SCR文件，感染后的文件会多出一个名为".KAO"的节，这时感染的文件日期即为被感染时间。

    一、“网银隐身劫匪”（Win32.Huhk.d.7607）威胁级别：★★

    病毒编写者在制作大量针对网游的盗号木马的同时，也从来没忘记过把目标瞄准银行里的真实财产，只要有网上支付发生，病毒作者就不会放过从中搞鬼的机会，毒霸病毒分析专家昨日捕获到的网银木马，再次提醒我们，盗号木马绝对不止窃取网游帐号那么简单。

    这个针对工商银行网银的盗号木马在运行后，会感染用户系统中IE浏览器的主程序iexplore.exe，利用IE来截获用户的网银信息。由于病毒体型小，以及病毒作者采取比较“节约空间”的感染方式，受到感染后的iexplore.exe程序大小不会变生改变。但当用户使用IE浏览器登陆工商银行网银系统进行网上交易时，病毒就会将截取众多信息。包括用户的支付卡号、接收卡号、密码、收款人姓名、收款人所在地、交易流水号、收款网点机构名、收款人所在网点机构、总金额等全部的敏感信息都会被该木马记录下来。

    获取到帐号信息后，木马就悄悄连接病毒作者指定的一个远程服务器，让病毒作者（木马种植者）掌握用户的银行帐号、密码，甚至个人隐私，给用户造成无法估计的重大损失。而且由于采取网络转账，赃款可能会较难追回，因此需要使用网银的用户，一定要养成良好的网银使用习惯，比如及时安装银行提供的官方安全插件、只从银行官网登录网银，以及经常使用杀毒软件扫描系统等。

    另外，此木马有着较强的“破坏现场”能力。一旦盗号成功，木马就会读取windows的备份文件夹，将iexplore.exe恢复成正常，使得用户无法找到它的犯罪证据。

    二、“病毒下载器135168”（Win32.Troj.LwyMum.yc.135168）威胁级别：★

    此病毒运行后，会在系统中生成一个标记。这样，如果以后有它的病毒副本再此进入用户电脑，就能发现这台电脑已经是它的地盘，从而防止重复运行造成浪费时间和不必要的出错。接着，然后查找并关闭杀毒软件卡巴斯基的实时监控窗口AVP.Tray，让自己接下来的破坏活动能顺利进行。

    病毒创建线程，感染用户磁盘中的.EXE和.SCR文件，感染后的文件会多出一个名为“.KAO”的节，这时感染的文件日期即为被感染时间病毒查找并注入IE窗口。同时，它在后台连接病毒作者指定的地址hxxp://xx.a**k*v.com，悄悄下载更多其它病毒到用户电脑中运行，引发更多无法预计的破坏。

    顺便提及，病毒在搜索磁盘中的EXE文件进行感染时，会避开WINDOWS、Internet Explorer、Outlook Express、Windows Media Player、WinRAR等少数几个目录下的文件。

    金山反病毒工程师建议

    1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

    2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给病毒以可乘之机。

上一篇：免杀病毒并不可怕安全解析病毒免杀技术下一篇：2008年三月Microsoft安全公告摘要

【收藏】【评论】【推荐】【投稿】【打印】【关闭】