木马传播者自投罗网
昨天一个倒霉的木马传播者直接把病毒诱饵扔进了我的kingsoft.com邮箱,在我收到主题为“你好”,内容为“我在互联网上看到你们公司发的产品信息,请问向这种的什么价格,可以邮购吗 谢谢回复”,第一感觉这是一封垃圾邮件,一般这种邮件会被公司的邮件网关直接过滤,但这个邮件却突破了这一关。出于职业的本能反应,我打开了这个附件。
附件是RAR文件,其中有一个EXE,显然是病毒的可能性很大。
解开发现是个图片图标的EXE,基本上仅凭“肉眼特征码”就可以判断为病毒。
立即将这个样本转给珠海引擎组,很快珠海告诉我这是一个键盘记录器。因这个病毒邮件是发到kingsoft.com邮箱,怀疑可能较多的同事收到这个邮件,就匆匆忙忙通知信息部在邮件服务器上删除所有相同特征的邮件,所幸这个陷阱邮件并不多。
盗取网银用户账户
这个木马的配置实在比较NC,引擎组简单的脱壳逆向之后就发现了后台的秘密。很快,有较为惊人的发现。这个木马是为了窃取用户网银信息而设计,木马会监视活动窗口是否有银行相关的信息,若发现就进行键盘记录并截取当前窗口,再将获得的相关资料发送到指定的服务器。下图为其中一张图片,而所有这些JPG图片是连续的,用户每点击一次鼠标会生成一张图片,也可以根据图片文件的生成时间和键盘记录创建的TXT文本的内容结合分析,得到网银用户的帐号密码。
注:黑框中已作技术处理,将用户帐户隐藏。
当然,黑客拿到网银用户的帐号密码,并不代表黑客已经可以随意处置网银用户的财产。受这个木马威胁最大的,仍然是网上银行的大众版。再次提醒网民,最好不用大众版网银,去申请个专业版吧,最好是移动版的,就是通常所讲的U盾或USBkey。需要注意的是,在你不在电脑旁时,最好断开网络。我严重怀疑那些大量财产丢失的个案,其原因是电脑被远程控制,黑客直接在用户电脑上完成了支付操作。
分析发现,这个木马尚不能对专业版网上银行用户造成威胁,因专业版的网银登录,仅有帐号密码是不够的,还必须有网银专业版证书(文件型或移动型:U盾),就算黑客拿到文件型网上银行的证书,也不一定能支付成功,黑客还需要同时盗走用户的手机,因为恢复证书时,银行的系统会将验证码发送到客户关联的手机中,一段时间不使用,页面会过期跳转,验证码也将失效,并且证书恢复、备份、所有的支付记录都会发送手机短信通知。
网友评论