江民发布三大“网银大盗”病毒技术对比分析

6月11日消息 2004年4月到6月间,江民反病毒研究中心接连截获“网银大盗”、“网银大盗Ⅱ”、“网银大盗Ⅲ”,三大病毒的都将矛头直接指向了被人们认为“固若金汤”的网上银行。随着各大媒体和国家计算机病毒应急处理中心的大范围预警,一时间网上银行用户的安全意识空前提高,银行方面也前所未有地对自己的网上银行安全机制进行重新评估和查漏补缺,有效地保护了网上银行用户的资金安全。

日前,江民反病毒专家通过比较分析,总结了三大“网银大盗”病毒的异同之处。

“网银大盗”、“网银大盗Ⅱ”和“网银大盗Ⅲ”共同之处在于,三种“网银大盗”都属于特洛伊木马程序,传播途径都是通过网络传播,盗取对象都是网上银行个人用户。三大病毒作者作案动机都是企图盗取个人网上银行的账号、密码,然后利用转账、网上支付等手段窃取用户网上银行存款。“网银大盗”、“网银大盗Ⅱ”和“网银大盗Ⅲ”木马都是非主动传播,主要通过用户在浏览某些网页或点击一些不明连接及打开不明邮件附件等操作时,间接感染用户电脑。“网银大盗”、“网银大盗Ⅱ”和“网银大盗Ⅲ”木马影响包括Win9x,Windows2000, Windows XP, Windows2003在内的所有Windows操作系统。

三大“网银大盗”病毒不同之处在于:

1、利用漏洞不同
“网银大盗”木马利用某商业银行网上银行个人登陆页面的安全漏洞。
“网银大盗Ⅱ”木马记录用户的所有击键,然后通过提交动态网页的方式将密码发送,利用防火墙规则设置上的漏洞。“网银大盗Ⅲ”木马通过微软的MHT漏洞传播。

2、 利用技术的不同

“网银大盗”木马使用OLE插入技术,直接读取IE页面控件内容,从而获得用户的帐号密码。
“网银大盗Ⅱ”木马利用成熟的键盘记录技术(Key记录程序),轮询遍历键盘输入信息,监视用户操作,截取用户按键,获得用户的账号密码。


“网银大盗Ⅲ”木马利用OLE插入技术,直接读取IE页面控件内容,但比“网银大盗”监控的更广、更详细,从而获得包括用户的账号密码在内的众多信息。

3、木马编写技术不同
“网银大盗”木马通过使用Visual C++编写,利用UPX技术压缩,技术难度相比较高。
“网银大盗Ⅱ”木马使用Visual Basic编写,利用Aspack技术压缩,技术难度相比较低。
“网银大盗Ⅲ” 木马使用DELPHI编写,利用UPX技术压缩,木马文件较大,技术难度最高。

4、创建文件不同

“网银大盗”木马在感染电脑里创建expl0er.exe本身文件外,还将创建expl0er.dll挂钩和发信模块文件。
“网银大盗Ⅱ”木马在感染电脑里只创建svch0st.exe本身文件。
“网银大盗Ⅲ”木马在感染电脑创建user32.exe木马本身文件,还将创建mssdk32.dll和mslib32.dll模块,负责设置消息挂钩,并对IE页面控件进行监视,检查和发送邮件由木马主程序来完成。


5、发送账号、密码方法不同
“网银大盗”木马通过自带的发信模块以电子邮件形式把记录的用户信息发到木马作者指定信箱。
“网银大盗Ⅱ” 木马则是通过向asp页面提交的方法,把用户键入的所有键值通过get方式发送到指定的服务器。
“网银大盗Ⅲ”木马也通过电子邮件把信息发给病毒作者。但所发送的信息包括用户使用过程中各种IE控件的所有有关信息,直接发送到俄罗斯一免费私人信箱。


6、盗取对象不同
“网银大盗”木马只盗取工商银行个人网上银行账户及密码。
“网银大盗Ⅱ”木马则几乎盗取目前中国所有个人网上银行的帐号及密码。
“网银大盗Ⅲ”木马盗取则盗取英国爱格银行(Egg)、英国哈里费克斯银行(Halifax)、英国巴克莱银行(Barclays)、英国国家西斯敏斯特银行(NationalWestminster)、英国苏格兰皇家银行(RoyalBank ofScotland)、英国劳埃德银行(Lloyd)、西班牙联邦储蓄银行(la Caixa)等8家著名国外银行。


针对已出现的三大“网银大盗”,江民公司已经在第一时间升级了病毒库。江民反病毒专家提醒用户,及时升级江民KV2004杀毒软件病毒库,开启实时监控,设置密码隐私保护功能,可有效防杀病毒,不要登陆访问陌生网站。   

相关经验

0