作者：李鐵軍

【賽迪網(wǎng)-IT技術(shù)報(bào)道】近期應(yīng)警惕一個(gè)名為BMV(寶馬下載器)的病毒，據(jù)統(tǒng)計(jì)：該病毒通過(guò)100萬(wàn)次左右的攻擊，成功入侵了6萬(wàn)臺(tái)左右的電腦。主要通過(guò)入侵政府網(wǎng)站、學(xué)校網(wǎng)站、中小型網(wǎng)站掛馬傳播，也通過(guò)騰訊問(wèn)問(wèn)、硅谷動(dòng)力等網(wǎng)站的xss漏洞傳播，日新增掛馬網(wǎng)站3000余個(gè)。

該病毒的惡意行為：

1.IE主頁(yè)被修改

IE主頁(yè)被修改為hxxp://www.ku266.com，同時(shí)被強(qiáng)制安裝多款流氓軟件，比如“一起來(lái)音樂(lè)助手”等。

2.comres.dll被惡意修改

comres.dll被惡意修改，處理不慎將致程序運(yùn)行錯(cuò)誤。

用戶(hù)感染此病毒以后，開(kāi)機(jī)會(huì)出現(xiàn)Windows文件保護(hù)提示框，告誡用戶(hù)發(fā)現(xiàn)系統(tǒng)文件被修改；同時(shí)殺毒軟件對(duì)感染的系統(tǒng)文件進(jìn)行操作以后會(huì)導(dǎo)致系統(tǒng)異常。比如運(yùn)行QQ等程序時(shí)出現(xiàn)無(wú)法定位程序輸入點(diǎn)SYSCTM.COMRESMODULEINSTANCE于動(dòng)態(tài)鏈接庫(kù)COMRES.DLL上，又如提示找不到comres.dll。

3.ARP攻擊，網(wǎng)速變慢

ARP防火墻會(huì)攔截到大量對(duì)外的ARP攻擊，局域網(wǎng)網(wǎng)速明顯變慢(通過(guò)ADSL撥號(hào)并使用路由器的也組成了一個(gè)小型局域網(wǎng)，請(qǐng)廣大網(wǎng)友注意)。

另一個(gè)典型的特點(diǎn)是正常上網(wǎng)的其它電腦，訪問(wèn)任何頁(yè)面都有可能遭受網(wǎng)頁(yè)掛馬攻擊。

4.劍俠世界，地下城勇士等熱門(mén)的網(wǎng)游、QQ尊貴靚號(hào)羊入虎口

該木馬下載器會(huì)下載5個(gè)系列39款盜號(hào)木馬，針對(duì)魔獸、天龍八部、劍俠世界、地下城勇士等當(dāng)前最流行的網(wǎng)絡(luò)游戲。

這個(gè)最變態(tài)了，中個(gè)寶馬下載器，一次帶39款盜號(hào)木馬進(jìn)來(lái)，竊賊顯然想來(lái)個(gè)螞蟻搬家。

防御方案

1.更新殺毒軟件病毒庫(kù)到最新病毒庫(kù)，并開(kāi)啟文件實(shí)時(shí)監(jiān)控功能，可完全防御該病毒入侵。

2.安裝金山網(wǎng)盾可從源頭阻斷惡意病毒的下載。

3.局域網(wǎng)用戶(hù)可以安裝金山ARP防火墻防御該病毒的ARP攻擊。

一鍵清除方案：

對(duì)已經(jīng)中毒的網(wǎng)民，可下載金山急救箱并升級(jí)到最新版本，可一次掃描重啟后完全清除該病毒變種及其下載的盜號(hào)木馬變種。

作者：木淼鑫

【賽迪網(wǎng)-IT技術(shù)報(bào)道】目前國(guó)內(nèi)并未發(fā)生一起銀行系統(tǒng)被黑客入侵的事件。相對(duì)攻擊難度高、代價(jià)大的銀行系統(tǒng)，不法分子更多的是對(duì)使用網(wǎng)銀交易的終端用戶(hù)“下黑手”，網(wǎng)銀安全事故的發(fā)生集中在用戶(hù)對(duì)于網(wǎng)銀的使用過(guò)程中。

據(jù)了解，國(guó)內(nèi)網(wǎng)銀目前分為大眾版和專(zhuān)業(yè)版兩種。“根據(jù)這兩種形態(tài)，網(wǎng)銀安全問(wèn)題主要包括密碼安全保護(hù)和數(shù)字證書(shū)安全保護(hù)。”360安全中心的石曉虹博士表示，“一般來(lái)說(shuō)，不法分子主要通過(guò)盜取網(wǎng)銀賬戶(hù)密碼作案、在‘肉雞’電腦上直接轉(zhuǎn)賬、充分利用網(wǎng)銀用戶(hù)不良使用習(xí)慣等三種手段偷錢(qián)。其中，第一種手段主要針對(duì)大眾版，而后兩種主要針對(duì)專(zhuān)業(yè)版。”

石曉虹表示：“網(wǎng)銀交易危機(jī)頻發(fā)的癥結(jié)關(guān)鍵在于用戶(hù)的安全意識(shí)和防護(hù)措施。國(guó)內(nèi)網(wǎng)銀用戶(hù)的安全意識(shí)普遍比較薄弱，誤認(rèn)為設(shè)置復(fù)雜的密碼就可以保護(hù)網(wǎng)銀安全。其實(shí)利用木馬的盜竊團(tuán)伙大多是偷窺到用戶(hù)的密碼，然后隨意進(jìn)入受害用戶(hù)的大眾版網(wǎng)銀，并采用小額盜竊方式，很多用戶(hù)丟了錢(qián)可能自己并不知道。相對(duì)于安全系數(shù)較高的專(zhuān)業(yè)版網(wǎng)銀，大眾版網(wǎng)銀的安全隱患尤為突出。”

據(jù)介紹，從前不法分子主要是利用“字典攻擊”和“窮舉攻擊”破解密碼，也就是編個(gè)軟件自動(dòng)試探密碼，而目標(biāo)賬戶(hù)的生日和電話等身份信息也極容易成為密碼被猜透的根源。銀行安全體系為此分別在技術(shù)上和管理上進(jìn)行針?shù)h相對(duì)的防護(hù)，比如設(shè)置網(wǎng)銀和銀行卡密碼輸入錯(cuò)誤次數(shù)的限制。很多人更是在耳濡目染中形成了根深蒂固的觀念，認(rèn)為設(shè)置復(fù)雜的密碼就足以保護(hù)賬戶(hù)安全，而事實(shí)上，目前犯罪分子的手段已經(jīng)從“破解密碼”轉(zhuǎn)變成了“偷竊密碼”，在各類(lèi)“肉雞”控制工具和網(wǎng)銀盜號(hào)木馬的面前，密碼復(fù)雜與否并沒(méi)有本質(zhì)差別。

在石曉虹看來(lái)，不法分子用木馬盜竊網(wǎng)銀和用攝像頭偷窺銀行卡密碼的本質(zhì)其實(shí)是一樣的：在銀行卡被盜用案例中，最為常見(jiàn)的是ATM機(jī)上被不法分子偷貼針孔攝像頭，一旦有人使用銀行卡取錢(qián)，密碼就會(huì)被偷錄下來(lái)。而在木馬盜取網(wǎng)銀的案例中，那些潛伏在用戶(hù)電腦中的木馬程序同樣具備了“攝像頭”的功能，相當(dāng)于不法分子給自己裝上了“千里眼”：用戶(hù)的鍵盤(pán)操作、電腦桌面、瀏覽器的交互數(shù)據(jù)都被嚴(yán)密監(jiān)控，密碼設(shè)置得再?gòu)?fù)雜也無(wú)濟(jì)于事，一旦不法分子“記錄”下了密碼，便可通過(guò)大眾版網(wǎng)銀以小額支付或轉(zhuǎn)賬的方式竊取錢(qián)財(cái)。

“相對(duì)而言，使用U盾數(shù)字證書(shū)的專(zhuān)業(yè)版網(wǎng)銀安全系數(shù)還是很高的，但用戶(hù)也必須在完成網(wǎng)銀操作后及時(shí)將U盾拔下來(lái)，否則對(duì)于‘灰鴿子’等‘肉雞’控制工具來(lái)說(shuō)，可以直接遠(yuǎn)程操作在受害用戶(hù)電腦上進(jìn)行轉(zhuǎn)賬交易。”石曉虹提醒專(zhuān)業(yè)版網(wǎng)銀用戶(hù)也不可放松警惕：“此外，不法分子在盜取網(wǎng)銀時(shí)詐騙手段的使用特別活躍。在各類(lèi)理財(cái)論壇中，很多用戶(hù)反饋?zhàn)约罕灰恍┨貎r(jià)信息蒙蔽，在‘釣魚(yú)’頁(yè)面上按引導(dǎo)支付1元之后網(wǎng)銀密碼便失竊了，造成的損失通常在上千元人民幣。”

作者：木淼鑫

【賽迪網(wǎng)-IT技術(shù)報(bào)道】在360安全中心截獲的“專(zhuān)業(yè)”網(wǎng)銀盜號(hào)木馬中，“網(wǎng)銀大盜”、“網(wǎng)銀竊賊”以及“網(wǎng)銀隱身劫匪”等木馬及其變種數(shù)以千計(jì)，它們針對(duì)網(wǎng)銀用戶(hù)進(jìn)行特殊的設(shè)計(jì)：有的能自動(dòng)判斷網(wǎng)銀操作正在進(jìn)行，并記錄鍵盤(pán)操作；有的是在用戶(hù)訪問(wèn)網(wǎng)銀頁(yè)面時(shí)劫持瀏覽器數(shù)據(jù)；有的甚至直接將網(wǎng)友訪問(wèn)的網(wǎng)銀頁(yè)面劫持到偽造的“釣魚(yú)”頁(yè)面。一旦不法分子“記錄”下了密碼，便可通過(guò)大眾版網(wǎng)銀以小額支付或轉(zhuǎn)賬的方式竊取錢(qián)財(cái)。

此外，以“灰鴿子”為代表的遠(yuǎn)程控制木馬可以任意修改或盜取中招用戶(hù)電腦中的文件、記錄鍵盤(pán)信息、查看用戶(hù)的操作等，中招電腦在網(wǎng)絡(luò)世界的另一邊毫無(wú)秘密可言，一些專(zhuān)業(yè)版網(wǎng)銀用戶(hù)被盜便是因?yàn)殡娔X中了此類(lèi)木馬受到不法分子的遙控，在U盾沒(méi)拔下或網(wǎng)銀數(shù)字證書(shū)保存在電腦中的情況下，對(duì)方可以直接在自己的電腦上登陸網(wǎng)銀進(jìn)行轉(zhuǎn)帳操作。

圖片說(shuō)明：這是一款“網(wǎng)銀大盜”的木馬生成器，不法分子在向木馬作者繳納一定注冊(cè)費(fèi)后（費(fèi)用標(biāo)準(zhǔn)與所選擇的功能掛鉤），再填入收取所盜網(wǎng)銀帳號(hào)密碼的FTP服務(wù)器地址，便可以生成專(zhuān)為自己進(jìn)行網(wǎng)銀盜號(hào)的木馬。它所生成的木馬無(wú)論通過(guò)何種形式傳播，盜取的網(wǎng)銀帳號(hào)和密碼都會(huì)自動(dòng)發(fā)送到不法分子指定的服務(wù)器中。

圖片說(shuō)明：這是“灰鴿子”遠(yuǎn)程控制木馬的控制界面，不法分子可以對(duì)中招機(jī)器進(jìn)行的操作包括：文件管理、獲取系統(tǒng)信息、剪貼板查看、進(jìn)程管理、窗口管理、鍵盤(pán)記錄、服務(wù)管理、共享管理，捕獲屏幕，視頻監(jiān)控，音頻監(jiān)控……可以說(shuō)，用戶(hù)在本地能看到的信息，使用灰鴿子遠(yuǎn)程監(jiān)控也能看到。如果用戶(hù)在電腦上進(jìn)行網(wǎng)上銀行交易，則遠(yuǎn)程屏幕監(jiān)控容易暴露用戶(hù)的帳號(hào)，再加上鍵盤(pán)監(jiān)控，用戶(hù)的密碼也岌岌可危。

圖片說(shuō)明：這是一個(gè)偽造工行網(wǎng)銀支付界面的釣魚(yú)網(wǎng)頁(yè)，通過(guò)地址欄可以看到，它的URL與正當(dāng)工行支付網(wǎng)頁(yè)的URL完全不同，這也是當(dāng)前常見(jiàn)的網(wǎng)銀盜竊手段，即不法分子利用各類(lèi)誘惑信息欺騙網(wǎng)銀用戶(hù)首先進(jìn)行一個(gè)小額支付（通常為1元），發(fā)來(lái)的鏈接卻是釣魚(yú)網(wǎng)頁(yè)，以此偷取受害用戶(hù)的網(wǎng)銀信息。